針對網路架構圖進行安全性弱點檢視,檢視項目包含設計邏輯是否合宜、主機網路位置是否適當及現有防護程度是否足夠。
2.有線網路惡意活動檢視
2-1. 封包監聽與分析
針對有線網路適當位置架設側錄設備,觀察內部電腦或設備是否有對外之異常連線或DNS查詢,並比對是否連線已知惡意IP、中繼站(Command and Control,C&C)或有符合惡意網路行為的特徵,發現異常連線之電腦或設備需確認使用狀況與用途。封包側錄至少以6小時為原則,以觀察是否有異常連線。
2-2. 網路設備紀錄檔分析
檢視網路與資安設備(如防火牆、入侵偵測/防護系統等)紀錄檔,分析過濾內部電腦或設備是否有對外之異常連線紀錄。發現異常連線之電腦或設備需確認使用狀況與用途
網路設備紀錄檔分析以1個月或100 M byte內的紀錄為原則。
3. 使用者端電腦檢視
3-1 使用者端電腦惡意程式或檔案檢視
針對個人電腦進行是否存在惡意程式或檔案檢視,檢視項目包含活動中與潛藏惡意程式、駭客工具程式及異常帳號與群組。
3-2 使用者電腦更新檢視
作業系統與使用者電腦安裝之Microsoft各項應用程式安全性更新作業系統、Office應用程式、Adobe Acrobat、Adobe flash player及Java應用程式更新檢視(包含檢視使用者電腦是否使用已經停止支援之作業系統或軟體(如 Windows XP或Office 2003))針對使用者電腦防毒軟體安裝、更新及定期全系統掃描狀況進行檢視。
3-3 使用者電腦組態設定檢視
針對使用者個人電腦組態設定,依行政院國家資通安全會報技術服務中心,官方網站「政府組態基準」專區所公布安全性檢視之內容為主,以確認機關對於組態設定之落實情形。參考網址為http://www.nccst.nat.gov.tw/GCB 。
4.伺服器主機檢視
4-1 伺服器主機惡意程式或檔案檢視
針對伺服器主機進行是否存在惡意程式或檔案檢視,檢視項目包含活動中與潛藏惡意程式、駭客工具程式及異常帳號與群組
4-2 伺服器主機更新檢視
作業系統與伺服器主機安裝之Microsoft各項應用程式安全性更新作業系統、Office應用程式、Adobe Acrobat、Adobe flash player及Java應用程式更新檢視(包含檢視伺服器是否使用已經停止支援之作業系統或軟體(如 Windows XP、Windows Server 2003或Office 2003))。針對伺服器主機防毒軟體安裝、更新及定期全系統掃描狀況進行檢視。
5.安全設定檢視
5-1目錄伺服器(如MS AD)組態設定檢視
針對AD伺服器組態設定,依行政院國家資通安全會報技術服務中心,官方網站「政府組態基準」專區所公布安全性檢視之內容為主,以確認機關對於組態設定之落實情形。參考網址為http://www.nccst.nat.gov.tw/GCB。
若無AD伺服器,可以其他目錄伺服器以個別使用者端電腦檢視方式完成(使用者端電腦以項次3的電腦為範圍設定檢視)5-2 防火牆連線設定
檢視防火牆的連線設定規則(如外網對內網、內網對外網、內網對內網)是否有安全性弱點,確認來源與目的 IP 與通訊埠連通的適當性。(包含設置「Permit All/Any」與「Deny All/Any」等2項防火牆檢測規則確認)