|
一、人員進出管制
資訊管制區內應有適當的進出管制保護措施,以確保只有被授權的人員始得進入。進出管制應考量事項建議如下:(1)來訪人員進入管制區應予適當的管制,並記錄進出時間;來訪人員只有在特定的目的或是被授權情形下,才能進入管制區。(2)在管制區內,所有的人員應配載身分識別標示,並隨時注意身分不明或可疑的人員。(3)員工異動或離職後,應立即更改或撤銷其進入管制區的權限。(4)各樓層的配置說明及內部的電話聯絡簿,應以不讓有心人士循線找出電腦設施的所在地為原則。
二、網路安全人員內部控管
內部資訊人員為掌握機敏資料最關鍵的人物,因此單位內部的系統管理者其平時社交生活狀況尤應特別注意。內部控管保密資料的機制如未能有效執行與落實,則非常容易淪為有心人士介入的弱點,而引發極為嚴重的後果。
三、小心外聘網路安全人員(維護系統時直接接觸主機)
有些機關的資料輸入與系統維護是委外處理的,在委外過程中要考慮那些資料適合委外,那些資料不適合。其次,若要委外應要考慮如何做,讓資料不易外洩,例如一些資料可用代碼、代號方式儲存。而且可以把資料分成兩部分交給兩個人繕打,或可以把重要的資料挑出自行繕打,以防止資料外洩,這都是資料輸入時要考慮的。另外在輸入資料時,儘量不要把每一項目都告知輸入人員,以提高安全性。近期某科技公司工程師利用公司派他到某政府機構維修電腦時,因該機構承辦人不熟悉系統維護流程而放任外部工程人員進入機房,該工程人員即在無人看管下偷偷拷貝資料,造成資料外流,此皆為政府部門所應警惕之處。
四、嚴防人員勾串,內神通外鬼
96年1月軍方所屬某4個單位因人員以隨身碟任意下載不明網站資料,結果遭中共駭客以惡意程式入侵。姑且不論該事件是否因內部人員之故意,或係單位內部人員的不慎,其內部網站遭入侵已是事實。因此資訊教育應以強化電腦運用、提升資訊系統管理運用能力為目標,而資訊倫理的教育以及隨身碟的管控,更是單位內資訊安全控管的重點所在;尤其現今病毒發展速度之快,許多看似安全其實充滿危機的動作,常被一般人所忽視,單位內對儲存媒體的控管應該多加重視,才能有效防堵任何可能發生問題的漏洞。
五、嚴守「專網專用」政策
嚴禁國軍網路、戰情網路、機敏網路與網際網路搭接、混用或誤插,此為網路安全最重要也是最基本的概念;民網應以集中、公開設置為原則,如有軍、民網資料交換需求,必須設置檢疫區,檢疫電腦僅能單一用途,嚴禁處理公務之網路連接外部網路系統,才能確保專網專用的實質效益。
六、落實網路安全防護機制
由於電腦網路具有開放性、互連性等特徵,易受到電腦駭客、電腦病毒和其他非法攻擊。為確保網路安全,軍用網路須與網際網路完全隔離,使駭客無法透過網際網路進行攻擊。其次,在軍用網路上傳輸和處理軍事機密資料必須採多層級、多功能等加密措施。再其次,是建構一套完善入侵檢測系統,針對可能危害網路安全事件進行掃瞄並分析網路中各個封包內容,確定所傳輸內容是經授權,並對入侵資訊發出警告及採取隔離網路連接、跟蹤攻擊源、記錄攻擊過程等措施。因此建議:
1. 資訊安全機制:從密碼防護機制、電腦病毒防禦機制等方面去強化。
2. 網路安全機制:從設置網路防火牆、虛擬私有網路(VPN)等技術方面去防護。
3. 系統安全機制:可從弱點掃描、入侵偵測損害預防等機制之建構防護。
七、建構優勢資訊戰力
資訊戰首重「安全」。國家基於當前戰略構想,在考量資訊安全應置網路防護為優先,故目前資訊戰的重點乃在網路安全防護,且以全方位思考與創意運用為原則。在發展安全防護機制與系統裝備之外,更應朝向構建自動化、系統化以及資訊化之安全防護系統目標邁進。由被動性的防護進而建構主動性的監、偵能量及反制作為,同時結合產、官、學、研界力量建立防衛自主能量,俾確保國家在資訊戰場的優勢,以克制中共犯臺企圖。
八、強化網路保防工作
針對電腦病毒戰的攻擊,除迅速對症下藥及清除病毒外,並應以「防火牆」機制,事先劃分若干個封閉「隔離箱」,整個電腦系統即分塊隔離,避免整個系統染上病毒。
為貫徹多管齊下的預防措施,應運用各種防禦手段,包括:經由對電腦加密防止敵方(或駭客)進行電腦滲透以竊取情報資料;對核心系統和重要用戶的密碼和口令,要嚴格控制知曉範圍,嚴守機密;通過加強管理、監督、檢測、維護等各種技術手段;對敵方實施電磁欺騙和干擾,也可利用一定功率的干擾釋放假信號,擾亂對方的微波探測,誘惑其上當或直接干擾敵方探測設備的正常工作,以達到屏蔽己方的資訊源,保護系統正常工作的目的。
|