H1Day29：技術控制

H31.3.1. 技術控制

在電腦軟硬體、網路上實行的控制措施，即為技術控制（也稱為邏輯控制）。從ISO27001：2022建議的技術控制，可以得到很多啟發。以下擇要做些描述：

1. 特殊存取權限：預設系統管理員的帳號應該要更名，例如Administrator改為Ad-1；Root改為CentOS或Kali。並且要限制具有特權權限帳戶的使用，以最小權限為原則。即使是高階管理者也不允許他們使用超出其需要的系統權限。另外，帳號密碼不可以共用，以便明責及安全。
2. 對原始碼的存取：系統應嚴格區分開發環境、測試環境與正式（生產）環境。程式開發者不能給予將所開發程式放到生產環境的權限。系統更新應先在測試環境中測試無誤再上到正式環境。
3. 資料遮蔽：資料去識別化(data anonymization)或匿名化(pseudony mization)，用於減少機敏資料非必要的散佈或揭露，在保護資料同時也維持其可用性。資料遮罩用虛擬資料（假名化）或符號（例如號、O號）取代真正的資料，以便在實際資料不需使用的情況下可被安全的運用。
   *4. 資訊備份 ：資料備份是系統、組態或應用程式資料的複本，與原始資料分開儲存。組織有時候可能會遇到非預期的事件，例如自然災難、人為錯誤、安全事件或系統故障。資料備份是一項重要的資料保護功能，可降低發生非預期事件時失去全部或部分資料的風險。此功能可讓組織能夠將系統和應用程式還原到之前所需的狀態。
4. 鐘訊同步：將電腦系統時間與時間伺服器NTP同步。通常要從3個以上的來源進行同步，當有一台時間伺服器不能正常運作時，仍能夠從另外的伺服器上取得正確同步時間。鐘訊同步可以幫助電腦犯罪鑑識人員和資安人員確定事件發生的時間，從而使事件紀錄具有證據力。
5. 密碼技術之使用：帳號用來識別；密碼用來驗證。密碼的複雜度、長度和使用代數的限制，做為組織的密碼使用政策，可以增加系統的機密性。*