最新消息
【資安訊息】美國國土安全部網路安全暨基礎安全局(CISA)分享遠距工作指南
[內容說明:] 轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202106-1136技服中心綜整摘要美國國土安全部網路安全暨基礎安全局(CISA)分享之遠距工作指南供各會員參考運用,情資分享等級: WHITE(情資內容為可公開揭露之資訊) |
[影響平台:] N/A |
[建議措施:] 1. 組織高層指南(1) 資安政策與程序a. 檢視與更新資安政策與程序,以因應遠距辦公之資安風險。b. 明確訂定遠距辦公應有之資安意識與資安要求。(2) 資安訓練a. 運用資安訓練以增進員工資安知識與了解現行資安威脅,讓員工遠距辦公也能依資安要求存取系統與資料。(3) 非公務設備a. 制定資安政策以因應遠距辦公之資安風險,如在家列印、使用非公務電子郵件及使用非公務儲存設備等規範。b. 政策應涵蓋遠距辦公使用之公務設備、非公務設備、行動裝置及家用網路之安全性設定與安全性更新。(4) 新辦公型態之網路安全a. 因應遠距、分流及異地辦公,應制定基本「網路衛生(Cyber Hygiene)」政策。b. 網路衛生政策應涵蓋網路釣魚防護、安全性更新及可攜式儲存媒體使用等,並定期向員工宣導最新政策。2. 資訊人員指南(1) 安全性更新與漏洞管理a. 確認軟硬體資訊資產之正確性。b. 確保即時更新安全性修補與執行弱點掃描。c. 啟用自動化更新安全性修補機制。(2) 資安管控機制a. 運用資安管控機制,確保連線安全性。b. 運用零信任原則進行遠端VPN存取。c. 檢視現有資安防護架構,確保服務存取安全性。(3) 多因子身分鑑別a. 運用多因子進行遠端存取身分鑑別。b. 制定應急計畫或替代方案以因應多因子身分鑑別失效。(4) 軟硬體白名單a. 建立組織核可之軟硬體設備白名單,包括協同合作工具與視訊會議軟體。b. 提供員工相關軟硬體之安全操作手冊。(5) 定期備份a. 定期備份組織重要系統與檔案。b. 定期確認備份可以回復。c. 確保離線與異地存放備份。(6) 強化電子郵件安全性a. 運用Domain-Based Message Authentication, Reporting & Conformance (DMARC)機制,強化電子郵件安全性,防護釣魚郵件與商業電子郵件詐騙。3. 遠距辦公人員指南(1) 強化資安設定a. 變更家用網路設備預設通行碼,並使用高複雜度強化設定通行碼。b. 無線網路應使用WPA2或WPA3加密協定,停用不安全之WEP與WPA協定。c. 避免使用實際地址與設備資訊設定無線網路SSID。(2) 遵守資安政策與規範a. 應依組織資安政策,處理業務所需接觸之個人資料、機敏文件、客戶資料等。b. 避免在非公務設備上儲存與傳送業務所需接觸之個人資料、機敏文件、客戶資料等。c. 應依組織資安規範,確保遠距辦公使用之設備已符合資安要求,如通行碼身分鑑別與防毒軟體安裝。(3) 電子郵件安全a. 小心開啟電子郵件附件與點擊郵件中之連結。b. 注意釣魚郵件與社交工程郵件。(4) 通報可疑活動a. 確認自己知道可疑活動之通報連絡方式與窗口。b. 即時通報可疑活動。 |
[參考資料:] |