今天我們來講講有關 port 與 ISO 27001 的相關知識
常用 Port 的及具體功能
-
Port 20(FTP Data - TCP)
工作:負責 FTP 協定中的資料傳輸,傳送實際文件內容。用於上傳和下載文件。
例子:當用戶從 FTP 伺服器下載文件時,數據流量會通過 Port 20。
-
Port 21(FTP Control - TCP)
工作:負責 FTP 控制連接,傳送 FTP 指令,如登入、目錄操作和指令回應。
例子:用戶通過 FTP 登入伺服器,或查詢伺服器中的目錄結構,這些控制指令都會通過 Port 21。
-
Port 22(SSH - TCP)
工作:用於安全的遠端登入和命令執行,提供加密的連接,保護通訊安全。
例子:系統管理員使用 SSH 連接遠端伺服器,執行系統維護或管理命令。
-
Port 23(Telnet - TCP)
工作:提供不加密的遠端登入連接,允許用戶在遠端系統上執行指令。
例子:早期用於管理路由器或伺服器的 Telnet 連線,雖然方便,但因未加密,現已被 SSH 取代。
- Port 25(SMTP - TCP)
工作:負責電子郵件的傳送,尤其是郵件伺服器之間的郵件交換。
例子:當郵件伺服器 A 將郵件傳送給伺服器 B,該過程通過 Port 25 傳遞郵件內容。
- Port 587(SMTP over TLS - TCP)
工作:SMTP 加上 TLS 安全加密,用於安全的電子郵件傳輸,特別是用戶端向伺服器傳送郵件。
例子:當使用者發送電子郵件時,郵件客戶端透過 Port 587 使用加密方式將郵件送到郵件伺服器。
- Port 110(POP3 - TCP)
工作:負責從郵件伺服器下載電子郵件,通常適用於將郵件下載到本地端進行離線讀取。
例子:用戶使用電子郵件客戶端(如 Outlook)下載郵件至本地端時,POP3 通訊透過 Port 110 進行。
- Port 995(POP3 over SSL - TCP)
工作:POP3 加上 SSL/TLS 加密,提供安全的郵件下載服務,適合離線郵件存取。
例子:使用 POP3 over SSL 從伺服器下載郵件到本地端進行閱讀,過程中加密資料保護隱私。
- Port 143(IMAP - TCP)
工作:用於從郵件伺服器同步電子郵件,並允許在多個設備上管理和存取郵件。
例子:用戶通過手機和電腦同步電子郵件,IMAP 透過 Port 143 進行多裝置同步。
- Port 993(IMAP over SSL - TCP)
工作:IMAP 加上 SSL/TLS 加密,提供安全的郵件存取,支援多裝置的同步。
例子:使用者從手機和電腦同步查看電子郵件,IMAP over SSL 透過 Port 993 提供安全的通訊。
- Port 53(DNS - TCP/UDP)
工作:負責域名與 IP 位址的解析。UDP 用於查詢,TCP 用於較大的資料傳輸,如區域傳輸。
例子:當用戶輸入一個網域名稱,DNS 伺服器將會透過 Port 53 將該名稱轉換為 IP 地址。
- Port 67/68(DHCP - UDP)
工作:DHCP 協定用來自動分配 IP 位址。Port 67 是 DHCP 伺服器的連接埠,Port 68 用於客戶端接受分配的 IP。
例子:當一台新設備連接到網路時,它會透過 DHCP 客戶端(Port 68)向伺服器(Port 67)請求 IP 位址。
- Port 80(HTTP - TCP)
工作:負責未加密的網頁資料傳輸,是 HTTP 協定的預設連接埠,用於網頁內容的傳遞。
例子:當用戶訪問未加密的網頁(如早期的網站),資料會透過 Port 80 傳輸到用戶瀏覽器。
- Port 443(HTTPS - TCP)
工作:負責加密的網頁資料傳輸,使用 SSL/TLS 來保護通訊安全。
例子:用戶訪問銀行或購物網站,資料通過 HTTPS 加密,確保傳輸過程中的隱私和安全。
- Port 123(NTP - UDP)
工作:用於網路設備的時間同步,確保所有設備的時間一致。
例子:伺服器每隔一段時間透過 NTP 協定與全球 NTP 伺服器同步時間。
- Port 445(SMB - TCP)
工作:用於文件和資源共享,通常在 Windows 系統中應用,用於共享檔案、印表機等。
例子:在公司網路中,使用 SMB 共享的資料夾可被其他電腦訪問和讀取。
- Port 3306(MySQL - TCP)
工作:MySQL 資料庫伺服器的預設連接物連接埠,用於與 MySQL 伺服器通訊,進行資料庫查詢和管理。
例子:當應用程式需要從 MySQL 資料庫中查詢或更新數據時,會通過 Port 3306 進行連接。
ISO/IEC 27001
ISO/IEC 27001 是一個國際公認的標準,為資訊安全管理系統(Information Security Management System, ISMS) 設定具體的要求,旨在幫助組織系統化地管理資訊資產的安全。ISO/IEC 27001 的目標是確保資訊的機密性、完整性和可用性,並且能夠幫助組織有效地管理資訊安全風險。
-
資訊安全管理系統(ISMS)的建立:要求每個組織都應根據自身需求,建立一個正式的 ISMS,並且這個系統應涵蓋以下幾個步驟:
-
定義範圍: 識別哪些部門、業務流程和資訊資產需要保護,確定 ISMS 的覆蓋範圍。
-
風險管理流程: 組織必須制定並實施一個風險管理框架,這包括對資產、威脅、漏洞進行風險評估,並確定如何處理這些風險。
-
文件化的資訊安全政策: 每個組織都需要有正式的文件化資訊安全政策,這些政策應說明組織的資訊安全目標和方法。
-
管理層的參與: 最高管理層應提供足夠的資源和支持,以確保 ISMS 的運行有效。
-
資訊安全政策:要求組織制定一個全面的資訊安全政策,這個政策應包含以下內容:
-
資訊安全的目標: 列出該組織欲達成的具體 ISMS 資訊安全目標,如防止資料洩露或確保業務連續性。
-
員工責任: 明確每個員工在資訊安全中的責任,如定期更新密碼、遵循安全流程等。
-
風險處理計劃: 根據風險評估結果,決定如何應對特定的風險,包括風險接受、轉移或減少等策略。
-
風險評估與處理:要求組織進行嚴謹的風險評估,並針對評估結果制定應對計畫。風險評估包括以下步驟:
-
識別風險: 識別與每個資訊資產相關的威脅和漏洞,列出可能影響資訊安全的風險。
-
風險分析: 根據威脅的嚴重性和發生的可能性,對風險進行量化評估。
-
風險處理計畫: 制定具體的控制措施來降低風險,比如加強存取控制、使用加密技術保護敏感資料等。
-
風險接受: 風險無法完全消除的,組織需接受並進行定期的審查。
-
資訊安全控制措施:ISO/IEC 27001 附錄 A 列出了 114 項資訊安全控制措施,這些控制措施分佈在 14 個領域,涵蓋從技術到管理層面的各種需求。組織可以根據自身風險評估的結果,選擇合適的控制措施來應對風險。以下是幾個主要的控制領域:[ISO 27001:2022 條文]
-
資訊安全政策: 確保有明確的安全政策,指導資訊安全管理的各個方面。
-
資產管理: 對資訊資產進行分類和保護,包括硬體、軟體、數據等資產。
-
存取控制: 確保僅有授權人員能存取敏感資料和系統,通過強密碼、兩步驗證等方式來保護資料。
-
加密: 確保在傳輸過程中或存儲中使用加密來保護機密資訊。
-
物理與環境安全: 確保組織的物理設備受到保護,防止未經授權的人員接觸或破壞。
-
合規性:組織必須遵守相關法律、法規以及契約義務。這些義務可能包括:
-
GDPR(通用資料保護規則): 對於處理歐盟居民個人資料的組織,需要遵守 GDPR 的要求,以防止個人資料洩露。
-
其他國際和地方法規: 組織還需要遵守當地和行業內特定的法規,例如金融機構可能需要遵守的 PCI-DSS(支付卡產業資料安全標準)。
-
內部合規性: 確保組織內部所有的流程和運作符合公司自訂的安全政策和規定。
-
供應鏈管理:強調了供應鏈管理,因為供應商和第三方合作夥伴可能成為安全漏洞的來源。具體要求包括:
-
第三方風險管理: 確保所有與組織有關的外部合作夥伴、供應商同樣遵守資訊安全規定。
-
契約要求: 與第三方簽訂合約時,確保將安全責任和要求納入合同條款。
-
持續改進:強調 ISMS 需持續改進。組織需要定期檢查其資訊安全政策和控制措施,確保能夠適應不斷變化的風險環境。具體的要求包括:
-
定期內部審計: 組織應定期進行內部審核,以評估 ISMS 的執行情況,確保其符合既定的政策和程序。
-
管理層審查: 最高管理層需要定期審查 ISMS 的運行情況,確保其能夠有效應對當前的資訊安全威脅。
-
事件響應與改進: 針對每次發生的安全事件或問題,組織應立即進行分析,並更新和改進相關的控制措施,避免類似事件再次發生。
-
員工訓練與組織文化:員工的行為和意識是資訊安全的重要組成部分。ISO/IEC 27001 要求:
-
培訓與教育: 定期進行員工資訊安全培訓,確保他們瞭解自身責任和如何應對安全威脅。
-
行為守則: 制定清晰的員工行為守則,確保所有人遵循正確的操作流程,如如何處理機密信息、如何回應釣魚攻擊等。
-
資訊安全事故處理:ISO/IEC 27001 規定,組織必須有一個有效的資訊安全事件管理計畫,包括:
-
事件響應流程: 需要有一個具體步驟來識別、報告和處理安全事件,確保一旦出現威脅或攻擊,組織能夠及時應對。
-
調查與報告: 對每次事件進行詳細的調查,並記錄相關細節,以便在未來進行分析和改進。
-
改進措施: 根據事件分析結果,更新安全控制措施,並強化員工的安全意識。
今天的練習就到這邊,以下是參考資料,請搭配服用:
FTP
電子郵件協定
常見系統 port
TCP/UDP 埠列表
認識 ISO 27001
內文如有錯誤,還請不吝指教~