這個章節是指如何控管組織的網路，我們可以從網路 OSI 7 層網路架構來構思通訊安全。
但太花時間，我們直接看重點！

通常我們會從【組織的網路架構圖】開始確認有什麼樣的網路設備開始，
最常抽驗的項目會以【核心設施】及【內部提供的網路服務】以確認相關的風險。
如：因應疫情的關係，就常常抽驗 VPN 服務的網路區隔、權限、存取控制等等。

• 由於網路架構視受稽方複雜程度不同，應由組織外向內看，可以對外連接到的服務需要關注，如：VPN、Gateway、防火牆
• 除了內部網路的實體區隔外，常使用【網路交換器】進行邏輯性的網段區隔

A.13 通訊安全

A.13.1 網路安全管理

目標：確保對網路及其支援之資訊處理設施中資訊之保護。

A.13.1.1 網路措制措施

應管理及控制網路，以保護資訊系統及應用。

• 防火牆、Switch、Wifi 或是任何可以用來做網路控制措施
  多為防火牆，盡可能依最小化原則設置。
  如果是完全內部封閉的網路環境，如果沒有設置防火牆也很合理。

A.13.1.2 網路服務之安全

應識別所有網路服務之安全機制、服務等級及管理要求事項，並應被納入網路服務協議中，不論此等服務係由內部或委外提供。

• 依政策進一步確認網路服務控管的安全機制
• 針對網路服務之相關安全性的監督，要將可接受監督的條件納入服務協議，如：防火牆的規則審查、定期處理 SOC 的維護記錄

Common ports #CheatSheet

圖片來源：https://twitter.com/adtipstricks/status/857098171545202689

A.13.1.3 網路之區隔

應區隔各群組之資訊服務、使用者及資訊系統使用的網路。

• 主要就是做網路區隔，可以透過任何設備與方式，但要小心，不是所有的部份都需要做區隔，而是依其風險性，如提到的DMZ，常看到用VLAN區隔完後，並沒有做Access Control，所以只有網段上的區分(例如: 縮小Broadcast Doamin讓網路品質變好)，但沒有真正的控制效果，如：ACL 或是透過防火牆來限制存取。

A.13.2 資訊傳送

目標：維護組織內及與任何外部個體所傳送資訊之安全。

A.13.2.1 資訊傳送政策及程序

應備妥正式之傳送政策、程序及措制措施 ，以保護經由使用所有型式通訊設施之資訊傳送。

• 資訊傳送應有相對應的政策與執行的程序，如：傳送機敏文件出去時要加密，密碼不可經由同一管道提供，或是其他的要求作法，組織要有可遵循的政策程序文件出來。

A.13.2.2 資訊傳送協議

協議應闡明組織與外部各方間營運資訊之安全傳送。

• 對外傳輸資訊要建立協議，如：EDI、SFTP…
• 或是在傳輸後會有不可否任性的檢核，如 Hash，這些要求和安全都該寫在建立的協議中。

A.13.2.3 電子傳訊

應適切保護電子傳訊時所涉及之資訊。

• 如果組織是透過電子傳訊的方式來進行資訊傳送，如：電子郵件，要保護其中傳輸的資訊，如例用電子簽章做電子郵件的完整性保護。

A.13.2.4 機密性或保密協議

宜識別、定期審查及文件化，以反映組織對資訊保護之需要的機密性或保密協議之要求事項。

• 定期檢視保密的內容是否適當需要調整

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

黑相集：稀望鎮

《黑相集：稀望鎮》是《直到黎明》（Until Dawn）開發團隊的驚悚恐怖系列《黑相集》第二彈作品。
第一彈是 2019 年《黑相集：棉蘭號》。
但我不是很喜歡結局，所以推薦稀望鎮。

《黑相集》是一系列驚險刺激的獨立電影式恐怖遊戲作品，情節具有多重分支，包含單人及多人遊戲模式。有四名大學生與他們的教授意外受困於荒廢的“稀望鎮”。他們被無法穿越的迷霧包圍，死命地試著逃脫，又目睹了來自過去的恐怖幻覺。他們必須在邪惡力量將所有成員的靈魂拽進地獄前，釐清這些亡靈的動機。見證來自過去的恐怖幻覺，十七世紀安多佛女巫審判案的陰影盤桓不去。逃離在迷霧中緊追著他們不放的恐怖亡靈！

Steam 最近在促銷噢！
https://store.steampowered.com/app/1194630/The_Dark_Pictures_Anthology_Little_Hope/?l=schinese