112年警察人員特種考試資訊管理人員三等網路安全與資訊倫理

三、在資安健診中,要如何確認使用者電腦或伺服器主機是否遭植入惡意程式?請說明建議檢查的項目及流程。(20分)

答:

資安健診的目的是透過整合各項資訊安全項目檢視服務作業,提供資安改善建議,藉以實施技術面控制措施,以提升網路、資訊系統,以及個人電腦安全防護能力。檢測項目如下:

()網路架構檢視

1.針對網路架構圖進行安全性弱點檢視,檢視項目包含設備佈署、備援方式、防火牆規則與主機佈署進行。

2.產出架構脆弱點、防火牆規則與主機佈署不當之處,提供強化建議。

()有線網路惡意活動檢視

1.封包監聽與分析:

  (1)針對有線網路適當位置架設側錄設備,觀察內部電腦或者設備是否有對外的異常連線或者 DNS 查詢,並且比對是否連線已知惡意 IP、中繼站(Command and ControlC&C) 或者有符合惡意網路行為的特徵。

  (2)發現異常連線的電腦或者設備需要確認使用狀況與用途。

  (3)封包側錄至少以6小時為原則,以觀察是否有異常連線。

  (4)產出網路設備異常事件 (如中繼站等異常連線)

2.網路設備紀錄檔分析:

  (1)檢視網路與資安設備 (如防火牆、入侵偵測/防護系統等) 紀錄檔,分析過濾內部電腦或者設備是否有對外的異常連線紀錄。

  (2)發現異常連線的電腦或者設備需要確認使用狀況與用途。

  (3)網路設備紀錄檔分析以1個月或是 100 MB 內的紀錄為原則。

()使用者端電腦檢視

1.使用者端電腦惡意程式或檔案檢視:

  針對個人電腦進行是否存在惡意程式或者檔案檢視,檢視項目包含活動中與潛藏惡意程式、駭客工具程式,以及異常帳號與群組。

2.使用者電腦更新檢視:

  (1)作業系統與使用者電腦安裝的 Microsoft 各項應用程式安全性更新作業系統、Office 應用程式、Adobe AcrobatAdobe flash player,以及 Java 應用程式更新檢視 [包含檢視使用者電腦是否使用已經停止支援的作業系統或軟體 ( Windows XP Office 2003)]

  (2)針對使用者電腦防毒軟體安裝、更新以及定期全系統掃描狀況進行檢視。

3.使用者電腦組態設定檢視:

  針對使用者個人電腦組態設定,依據行政院國家資通安全會報技術服務中心,官方網站「政府組態基準」專區所公布安全性檢視的內容為主,以確認機關對於組態設定的落實情形。

()伺服器主機檢視

1.伺服器主機惡意程式或檔案檢視:

  針對伺服器主機進行是否存在惡意程式或者檔案檢視,檢視項目包含活動中與潛藏惡意程式、駭客工具程式,以及異常帳號與群組。

2.伺服器主機更新檢視:

  (1)作業系統與伺服器主機安裝的 Microsoft 各項應用程式安全性更新作業系統、Office 應用程式、Adobe AcrobatAdobe flash player,以及 Java 應用程式更新檢視 [包含檢視伺服器是否使用已經停止支援的作業系統或者軟體 ( Windows XPWindows Server 2003 Office 2003)]

  (2)針對伺服器主機防毒軟體安裝、更新,以及定期全系統掃描狀況進行檢視。

()安全設定檢視

1.目錄伺服器組態設定檢視:

  (1)檢視目錄伺服器群組的「密碼設定原則」與「帳號鎖定原則」,例如 AD (Active Directory) 伺服器有關群組原則 (Group Policy) 中的「密碼設定原則」與「帳號鎖定原則」設定。

  (2)如果沒有使用 AD伺服器,仍然可以透過其他目錄伺服器或直接在每一台客戶端電腦上進行檢查,以確認是否有被惡意程式感染。

2.防火牆連線設定:

  檢視防火牆的連線設定規則 (如外網對內網、內網對外網、內網對內網) 是否有安全性弱點,確認來源與目的 IP 與通訊埠連通的適當性。

()政府組態基準(GCB)檢視

1.作業系統的使用者電腦組態設定檢視:

  透過自主研發的健診平台,並且依據行政院國家資通安全會報技術服務中心公布「政府組態基準 (GCB)」內容,針對使用者電腦伺服器,以及瀏覽器進行檢測,以確認組態設定的落實情形。

2.作業系統的伺服器組態設定檢視:同上。

3.瀏覽器組態設定檢視:同上。

4.網通設備組態設定檢視:

  透過實際上機檢視,並且依據行政院國家資通安全會報技術服務中心公布「政府組態基準 (GCB)」內容,針對網通設備,以及應用程式進行檢測,以確認組態設定的落實情形。

5.應用程式組態設定檢視:同上。

()資料庫安全檢視

1.特權帳號管理:

  透過訪談,並且搭配實際上機檢視確認特權帳號管理、資料加密、存取授權、稽核紀錄、委外管理、備份保護、弱點管理的機制面,以及設定面安全性。

2.資料加密:同上。

3.存取授權:同上。

4.稽核紀錄:同上。

5.委外管理:同上。

6.備份保護:同上。

7.弱點管理:同上。

參考資料:

1.https://www.acercsi.com/service.aspx?id=2ae13396-d7ae-4a18-8f04-a6d19d41cdd6

2.資通安全服務採購規範.pdf

3.https://www.chtsecurity.com/service/m104

arrow
arrow
    文章標籤
    警察人員特種考試資訊管理人員三等網路安全與資訊倫理
    全站熱搜

    jacksaleok 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄