先前我們提到了企業常發生的資安事件，可以得知每間公司都必須面對的資安課題。我們應該基於資安會有缺口、會被侵入的理念下，去規劃資訊安全架構會比較符合現在這麼多的攻擊手段，因此，資訊人員必須用『零信任』的概念來提升企業的資訊安全防護能力，而提升企業資安防護力的方法有那些呢?

建立身份識別機制

在規劃資訊架構的時候，如何做身份識別的確認，確定登錄者是使用者本人，可以從以下幾個方面著手：

一、定期更換密碼

定期更換登入的密碼，當密碼被駭客探知的時候，因為密碼不同了，就可以消弭這個風險。

二、密碼複雜度

規劃密碼的複雜度，例如：要求必須包含英文大寫、小寫、數字、特殊符號，或是密碼的長度至少達到幾碼。

三、雙因素認證

這是目前被大量應用的一種方式，例如：在收發EMAIL的時候，除了要輸入帳號密碼以外，還會有一個認證視窗，可能是OTP驗證，或者是需要使用簡訊確認輸入Code。

四、登入、登出有記錄可查詢

所有的帳號登入登出都有記錄可以查詢，例如：用戶在哪個時間點、透過什麼方式連結到某一台主機，做了資料收取或者是郵件收發的動作，都要有記錄可以查詢。

五、異常使用警示及鎖定

建立非正常使用的報警機制，例如：用戶半夜淩晨3點登入Mail Server；或者用戶本人在臺灣上班，卻使用美國IP登入；用戶一般一天收發次數最多10幾次，收發數量突然暴增到100次等等。如果出現類似的異常使用狀況，要能夠及時發出預警。

確保裝置安全

資訊設備配發給使用者以後，如何確保資訊設備是安全的，使用者是正確使用資訊設備，可以從以下幾個方面著手：

一、防毒防駭控制

相比早期的單機防毒，目前一般企業裡面都會採用中控型防毒，中控型防毒不僅可以知道網路內的資訊設備有沒有安裝防毒軟體，還能知道電腦是否及時更新，使用者有沒有私自卸載防毒軟體，電腦是否被病毒攻擊等等。例如：MITRE ATTACK攻擊裡面有個程式叫防禦，駭客進入到企業系統以後，為了保持惡意程式不被掃描到，第一步就是停用防毒軟體。因此，企業使用中控型防毒就可以及時發現並預警。

二、電腦控制權

1.周邊使用：雖然在零信任架構下，員工們通常會正常使用電腦，但還是應該明確訂定使用的規範和限制，以防止無意間使用不當產生安全隱患，例如：能不能使用隨身碟、CD-ROM、燒錄器、藍牙等等。

2.設定修改：電腦上的一些設定是否可以修改，以及如果被修改了能否及時察覺。例如：Regedit檔被修改、IP被修改、電腦名稱被修改等等。

3.軟體安裝：是否允許員工自行安裝所需的軟體；如何限制員工安裝帶有病毒的軟體，如果不小心安裝了，是否能檢測到?

4.操作使用：如何確定員工登錄的網站是合理的，如何避免登錄到危險的網站?

三、系統更新、漏洞修補

系統需要更新到最新，漏洞也要及時修補。

四、可被控制的

電腦是否可以強制Update、是否可以強制限制使用。

五、異常使用警示

如果存在異常使用的狀況，是否可以及時警示。

六、充分溝通

公司一旦對資訊設備進行限制，有些員工會反彈電腦不好用、降低工作效率等等。因此，資安人員除了確保資訊設備安全，還需要和內部員工及主管進行充分地溝通。

完善網路安全設計

一、網路安全設計

在零信任架構下，假設網路有可能會被入侵，因此，在網路安全設計上就要能夠做到：網路使用有記錄可查詢、異常使用能告警。例如：有使用者在網路中異常使用偵測軟體，如：Sniffer、OpenVAS，系統需要能夠告警。

二、最小化的網路安全設計

現在是萬物聯網的時代，IoT、工業4.0、智慧工廠，公司所有設備都連接網路，同時也是將所有設備都暴露在網路的危險之中，一旦被入侵，如何才能夠將公司的損失降低到最小？資訊人員可以做的就是：最小化的網路安全設計，主要包括兩方面：

1.最小化分割網路

將企業網路做最小化分割，被分割開的網路之間不能互相干擾。例如：

• 將公司重要網路分割出來，做虛擬網路(VLAN)
• 部門切割
• 主機群Server Group切割
• 對外服務進行切割
• 設備機台切割，也就是把工廠網路、辦公室網路、SERVER網路分別切割

2.最小化放行原則

被切割開的網路之間，再採取最小化的放行原則。例如：限制哪些應用程式可通聯，限制Port或是只有特定IP可以通聯。

現在勒索病毒猖獗，如果辦公室的使用者點了不該點的Mail或是執行了不該執行的附件，導致駭客入侵以後，開始加密所有網路設備，一旦公司的生財器具被加密就會損失慘重，例如：OT設備。針對OT設備的防禦，我們可以在網路前面加IPS來過濾，另外還可以做的就是切割，限定只有必要的IP、必要的人、必要的應用程式可以連接，其他的一概不准。

想要進階學習《企業網路安全》相關議題，推薦您相關課程資訊

【面授課程】： ESG系列-G企業網路安全攻防(需自帶筆電)

立即下載折扣碼享課程優惠