完成鐵人賽後一下子就放鬆下來，該完成的還是繼續完成，FIGHT

適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF

• 技術面分類提要
• 網路架構的檢視
• 端點的安全防護
• 應用開發的防護基準
• 盤點清查與檢測掃描
  • 盤點文件、清查舊系統、帳號
  • 安全性檢測
    • 弱點掃描
    • 滲透測試
  • 資通安全健診

安全性的檢測目的在清查應用系統上是否存在弱點、威脅，試圖找出並對其進行修補。在實施上相對簡單，只需要利用軟體工具進行「弱點掃描」與「滲透測試」即可。困難的地方在於事後對於報告上的弱點進行修補，因此建議在工具的選擇上多多比較，看看哪一套容易判讀與擁有較低的誤判率。技術人員建議越早進行、在各階段性進行掃描以提早發現弱點，加速修補過程。

弱點掃描: 又分為主機與應用程式(網頁)。主要找出已知的弱點
廣義上來說，只要會影響在資產價值的機密性、完整性、可用性即可稱為弱點，實際執行上工具則以 CVE 資料庫為主要比對項目。

• 結果依風險等級分為高、中、低
• 核心資通系統一般會要求至少修補高、中風險以上(註1)
• 主機弱點掃描工具
  • Nessus
  • Free Nexpose Community
• AP(網頁)弱點掃描工具
  • Acunetix | Web Application Security Scanner。有試用版
  • AppScan

滲透工具留在下一篇好了...

參考資源

修正「教育部委外辦理或補助建置維運伺服主機及應用系統網站資通安全及個人資料保護管理要點」