今天我們來講講有關 port 與 ISO 27001 的相關知識

常用 Port 的及具體功能

• Port 20（FTP Data - TCP）
  工作：負責 FTP 協定中的資料傳輸，傳送實際文件內容。用於上傳和下載文件。
  例子：當用戶從 FTP 伺服器下載文件時，數據流量會通過 Port 20。

• Port 21（FTP Control - TCP）
  工作：負責 FTP 控制連接，傳送 FTP 指令，如登入、目錄操作和指令回應。
  例子：用戶通過 FTP 登入伺服器，或查詢伺服器中的目錄結構，這些控制指令都會通過 Port 21。

• Port 22（SSH - TCP）
  工作：用於安全的遠端登入和命令執行，提供加密的連接，保護通訊安全。
  例子：系統管理員使用 SSH 連接遠端伺服器，執行系統維護或管理命令。

• Port 23（Telnet - TCP）
  工作：提供不加密的遠端登入連接，允許用戶在遠端系統上執行指令。
  例子：早期用於管理路由器或伺服器的 Telnet 連線，雖然方便，但因未加密，現已被 SSH 取代。

• Port 25（SMTP - TCP）
  工作：負責電子郵件的傳送，尤其是郵件伺服器之間的郵件交換。
  例子：當郵件伺服器 A 將郵件傳送給伺服器 B，該過程通過 Port 25 傳遞郵件內容。
• Port 587（SMTP over TLS - TCP）
  工作：SMTP 加上 TLS 安全加密，用於安全的電子郵件傳輸，特別是用戶端向伺服器傳送郵件。
  例子：當使用者發送電子郵件時，郵件客戶端透過 Port 587 使用加密方式將郵件送到郵件伺服器。
• Port 110（POP3 - TCP）
  工作：負責從郵件伺服器下載電子郵件，通常適用於將郵件下載到本地端進行離線讀取。
  例子：用戶使用電子郵件客戶端（如 Outlook）下載郵件至本地端時，POP3 通訊透過 Port 110 進行。
• Port 995（POP3 over SSL - TCP）
  工作：POP3 加上 SSL/TLS 加密，提供安全的郵件下載服務，適合離線郵件存取。
  例子：使用 POP3 over SSL 從伺服器下載郵件到本地端進行閱讀，過程中加密資料保護隱私。
• Port 143（IMAP - TCP）
  工作：用於從郵件伺服器同步電子郵件，並允許在多個設備上管理和存取郵件。
  例子：用戶通過手機和電腦同步電子郵件，IMAP 透過 Port 143 進行多裝置同步。
• Port 993（IMAP over SSL - TCP）
  工作：IMAP 加上 SSL/TLS 加密，提供安全的郵件存取，支援多裝置的同步。
  例子：使用者從手機和電腦同步查看電子郵件，IMAP over SSL 透過 Port 993 提供安全的通訊。

• Port 53（DNS - TCP/UDP）
  工作：負責域名與 IP 位址的解析。UDP 用於查詢，TCP 用於較大的資料傳輸，如區域傳輸。
  例子：當用戶輸入一個網域名稱，DNS 伺服器將會透過 Port 53 將該名稱轉換為 IP 地址。

• Port 67/68（DHCP - UDP）
  工作：DHCP 協定用來自動分配 IP 位址。Port 67 是 DHCP 伺服器的連接埠，Port 68 用於客戶端接受分配的 IP。
  例子：當一台新設備連接到網路時，它會透過 DHCP 客戶端（Port 68）向伺服器（Port 67）請求 IP 位址。

• Port 80（HTTP - TCP）
  工作：負責未加密的網頁資料傳輸，是 HTTP 協定的預設連接埠，用於網頁內容的傳遞。
  例子：當用戶訪問未加密的網頁（如早期的網站），資料會透過 Port 80 傳輸到用戶瀏覽器。
• Port 443（HTTPS - TCP）
  工作：負責加密的網頁資料傳輸，使用 SSL/TLS 來保護通訊安全。
  例子：用戶訪問銀行或購物網站，資料通過 HTTPS 加密，確保傳輸過程中的隱私和安全。

• Port 123（NTP - UDP）
  工作：用於網路設備的時間同步，確保所有設備的時間一致。
  例子：伺服器每隔一段時間透過 NTP 協定與全球 NTP 伺服器同步時間。

• Port 445（SMB - TCP）
  工作：用於文件和資源共享，通常在 Windows 系統中應用，用於共享檔案、印表機等。
  例子：在公司網路中，使用 SMB 共享的資料夾可被其他電腦訪問和讀取。

• Port 3306（MySQL - TCP）
  工作：MySQL 資料庫伺服器的預設連接物連接埠，用於與 MySQL 伺服器通訊，進行資料庫查詢和管理。
  例子：當應用程式需要從 MySQL 資料庫中查詢或更新數據時，會通過 Port 3306 進行連接。

ISO/IEC 27001

ISO/IEC 27001 是一個國際公認的標準，為資訊安全管理系統（Information Security Management System, ISMS） 設定具體的要求，旨在幫助組織系統化地管理資訊資產的安全。ISO/IEC 27001 的目標是確保資訊的機密性、完整性和可用性，並且能夠幫助組織有效地管理資訊安全風險。

1. 資訊安全管理系統（ISMS）的建立：要求每個組織都應根據自身需求，建立一個正式的 ISMS，並且這個系統應涵蓋以下幾個步驟：

   • 定義範圍： 識別哪些部門、業務流程和資訊資產需要保護，確定 ISMS 的覆蓋範圍。
   • 風險管理流程： 組織必須制定並實施一個風險管理框架，這包括對資產、威脅、漏洞進行風險評估，並確定如何處理這些風險。
   • 文件化的資訊安全政策： 每個組織都需要有正式的文件化資訊安全政策，這些政策應說明組織的資訊安全目標和方法。
   • 管理層的參與： 最高管理層應提供足夠的資源和支持，以確保 ISMS 的運行有效。

2. 資訊安全政策：要求組織制定一個全面的資訊安全政策，這個政策應包含以下內容：

   • 資訊安全的目標： 列出該組織欲達成的具體 ISMS 資訊安全目標，如防止資料洩露或確保業務連續性。
   • 員工責任： 明確每個員工在資訊安全中的責任，如定期更新密碼、遵循安全流程等。
   • 風險處理計劃： 根據風險評估結果，決定如何應對特定的風險，包括風險接受、轉移或減少等策略。

3. 風險評估與處理：要求組織進行嚴謹的風險評估，並針對評估結果制定應對計畫。風險評估包括以下步驟：

   • 識別風險： 識別與每個資訊資產相關的威脅和漏洞，列出可能影響資訊安全的風險。
   • 風險分析： 根據威脅的嚴重性和發生的可能性，對風險進行量化評估。
   • 風險處理計畫： 制定具體的控制措施來降低風險，比如加強存取控制、使用加密技術保護敏感資料等。
   • 風險接受： 風險無法完全消除的，組織需接受並進行定期的審查。

4. 資訊安全控制措施：ISO/IEC 27001 附錄 A 列出了 114 項資訊安全控制措施，這些控制措施分佈在 14 個領域，涵蓋從技術到管理層面的各種需求。組織可以根據自身風險評估的結果，選擇合適的控制措施來應對風險。以下是幾個主要的控制領域：[ISO 27001:2022 條文]

   • 資訊安全政策： 確保有明確的安全政策，指導資訊安全管理的各個方面。
   • 資產管理： 對資訊資產進行分類和保護，包括硬體、軟體、數據等資產。
   • 存取控制： 確保僅有授權人員能存取敏感資料和系統，通過強密碼、兩步驗證等方式來保護資料。
   • 加密： 確保在傳輸過程中或存儲中使用加密來保護機密資訊。
   • 物理與環境安全： 確保組織的物理設備受到保護，防止未經授權的人員接觸或破壞。

5. 合規性：組織必須遵守相關法律、法規以及契約義務。這些義務可能包括：

   • GDPR（通用資料保護規則）： 對於處理歐盟居民個人資料的組織，需要遵守 GDPR 的要求，以防止個人資料洩露。
   • 其他國際和地方法規： 組織還需要遵守當地和行業內特定的法規，例如金融機構可能需要遵守的 PCI-DSS（支付卡產業資料安全標準）。
   • 內部合規性： 確保組織內部所有的流程和運作符合公司自訂的安全政策和規定。

6. 供應鏈管理：強調了供應鏈管理，因為供應商和第三方合作夥伴可能成為安全漏洞的來源。具體要求包括：

   • 第三方風險管理： 確保所有與組織有關的外部合作夥伴、供應商同樣遵守資訊安全規定。
   • 契約要求： 與第三方簽訂合約時，確保將安全責任和要求納入合同條款。

7. 持續改進：強調 ISMS 需持續改進。組織需要定期檢查其資訊安全政策和控制措施，確保能夠適應不斷變化的風險環境。具體的要求包括：

   • 定期內部審計： 組織應定期進行內部審核，以評估 ISMS 的執行情況，確保其符合既定的政策和程序。
   • 管理層審查： 最高管理層需要定期審查 ISMS 的運行情況，確保其能夠有效應對當前的資訊安全威脅。
   • 事件響應與改進： 針對每次發生的安全事件或問題，組織應立即進行分析，並更新和改進相關的控制措施，避免類似事件再次發生。

8. 員工訓練與組織文化：員工的行為和意識是資訊安全的重要組成部分。ISO/IEC 27001 要求：

   • 培訓與教育： 定期進行員工資訊安全培訓，確保他們瞭解自身責任和如何應對安全威脅。
   • 行為守則： 制定清晰的員工行為守則，確保所有人遵循正確的操作流程，如如何處理機密信息、如何回應釣魚攻擊等。

9. 資訊安全事故處理：ISO/IEC 27001 規定，組織必須有一個有效的資訊安全事件管理計畫，包括：

   • 事件響應流程： 需要有一個具體步驟來識別、報告和處理安全事件，確保一旦出現威脅或攻擊，組織能夠及時應對。
   • 調查與報告： 對每次事件進行詳細的調查，並記錄相關細節，以便在未來進行分析和改進。
   • 改進措施： 根據事件分析結果，更新安全控制措施，並強化員工的安全意識。

今天的練習就到這邊，以下是參考資料，請搭配服用：

FTP
電子郵件協定
常見系統 port
TCP/UDP 埠列表
認識 ISO 27001

內文如有錯誤，還請不吝指教~