資安問題

資安管理

seeyounow 2017-10-13 15:00:51 ‧ 6509 瀏覽

分享至

資安是不是脫離不了人工查核的部分，像是主機上的系統版權序號再怎麼樣還是需要拍照，然後使用者密碼即使開啟密碼複雜度也開啟每三個月強制使用者更改密碼，但使用者還是有可能設定過簡單的密碼，這些都需要當場查核才能確切執行，各位都怎麼應付公司的資安問題呢?

看更多先前的討論...收起先前的討論...

魷魚 iT邦新手 1 級 ‧ 2017-10-13 15:31:56 檢舉

感覺敘述有點籠統，系統版權序號跟資安沒什麼關係，跟資產比較有關係吧@@"
使用者帳密除了定時更換以外，還有複雜度可以設置。
人工查核是必須的，透過內稽外稽可以協助了解環境況狀，另外閱讀log也是蠻重要的:D

seeyounow iT邦新手 5 級 ‧ 2017-10-13 15:37:28 檢舉

沒確認版權序號，不是正版的當然會有造成資安問題的風險阿...只是想說是不是比較嚴謹的資安作法都是需要定期人工找每個使用者檢查，在想有甚麼辦法可以更能夠有效率並節省這繁雜的程序，不然有一堆使用者要找，又要喬時間，我只是問問看其他人的做法和遇到的情況想瞭解一下而已啦

魷魚 iT邦新手 1 級 ‧ 2017-10-13 16:14:47 檢舉

電腦都是資訊單位購買安裝的，怎會出現非正版的系統，除非使用者自己另外安裝，但....這是更嚴重的資安漏洞了。另外好像有軟體可以讀出系統的序號，應該有辦法批次獲得資產的序號，這樣就不用一台一台拍照了。
管理者一般都是對伺服器做設定與檢查，使用者端如果你沒有給高於一般的權限，基本上不太容易作怪。
所以一般都是檢查伺服器，看設定是否有問題，是否有產品漏洞，log檔是否異常之類的，跟使用者好像沒啥關聯@@"
你可以說明看看會定期找使用者檢查什麼，這樣大家會提供其他的辦法給你參考

魷魚 iT邦新手 1 級 ‧ 2017-10-13 16:16:28 檢舉

阿....如果跟使用者有關聯的，大概就是可以定期做資安宣導和.....做誘捕找出資安觀念差的做資安教育XDDDDDDD

seeyounow iT邦新手 5 級 ‧ 2017-10-13 16:27:29 檢舉

軟體讀出的序號不一定是主機上的授權序號阿，基本上是不會有使用者這樣變更沒錯，但是沒定期做檢查，到時候出事要怎麼解釋，另外也是因為微軟大大會檢查，我不知道是不是一定所有大公司使用的序號都是大量授權，只能說不能保證沒有買零售的吧，這樣就需要拍照查證，這都是一個確保，資安不就是為了防範，不能保證完全沒問題但總是要做，這樣出事也總有個依據，通常檢查就是我說的密碼和版權標籤序號，其他應該軟體都能解決，另外也有些使用者是不能加入AD網域的，當然是有原因真的不能加入，不然為了好管控誰想添加麻煩不加入呢，主要還是想了解其他IT遇到的情況和做法

runan5678 iT邦研究生 1 級 ‧ 2017-10-13 16:54:07 檢舉

密碼的部分不加入網域也可以用GPO控管，只是不從AD派送，必須本機設定就是。另外公司一定有部分特殊人物必須例外處理，在不違反資安規則之下採取不同的管制作法應是可行，不過這類人數當然是越少越好。

魷魚 iT邦新手 1 級 ‧ 2017-10-13 17:11:12 檢舉

軟體讀的序號跟實際不同，代表你這電腦有重灌過啊= ="如果你的電腦都是大量授權或隨機/彩盒版，那微軟是不會來檢查的，如果妳都是合法管道，那就更不用去拍照查證了，應該是資產交給使用者前確認狀況，如果哪天出狀況，那就是看資產的保管人是誰來問責，但這些都是資產的問題，跟資安是沒關係的。
資安的確是要靠定期檢查.更新.稽核.災難演練.文件比對等來保障，但對象比較針對伺服器，不然動輒千U的管理員會忙到翻肚:D
如果有少數使用者不能加入網域，那就另外想辦法來管理，或者降低使用者權限，再不然就是簽切結書來自保，以上方法提供參考~

丹尼 iT邦研究生 4 級 ‧ 2017-10-14 12:43:11 檢舉

公司政策配合宣導不配合私下解決
使用者對於電腦不慎操作造成公司損失
我們只要人盡勝天，其餘聽天命
關於這問題
上次我們公司花錢請稽核，在那邊跟我打嘴砲
下班後我就私下處理掉他。

窮嘶發發發 iT邦高手 1 級 ‧ 2017-10-15 01:22:32 檢舉

資安，我個人從幾個面相來說吧
1. 資料備援
2. 網路安全
3. 行為控管
4. BYOD 管理
5. 無線訊號監控與遮蔽
6. PBX 監控與反盜錄
7. 資料安全
8. 服務安全 ( WEB MAIL FTP .... )
9. 基本電腦安全管理 ( 電腦、檔案、AD 用戶端 .... 各項權限政策 )
還有很多啊，要講資安，很多議題的，上面大概只列了不到 10% 吧

窮嘶發發發 iT邦高手 1 級 ‧ 2017-10-15 01:23:54 檢舉

如果要的只是應付，最好的藉口就是公司沒有預算，不做計劃跟規劃，然後裝死就好
不然我上面列的全部做到，然後再做足其他 90% 的話，至少每年要上百萬的預算才有機會達成的

oldman1 iT邦新手 3 級 ‧ 2017-10-16 16:22:00 檢舉

單就樓主的範例來說:
透過系統設定密碼複雜原則，就可以解決；並不需要現場查核，因為系統自已就會把關
Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy

至於大範圍的資安管理議題，表面上都是"預算先決"，實際上是客觀面的"重要性"決定了一切。實務上，建議從理論規範的範圍開始(也就是ISO資料)，依據老闆的政策只是去規畫可行的實作辦法。但這個過程是充滿了溝通與協調，技術問題往往是"枝微末節"，甚至簡化回到"預算先決"類型。

只是台灣資安要做到好的部分，一定都會有嚴格執行的困擾(不方便、特權帳戶、不配合...)。這些問題沒有人可以給標準答案，因為沒有完美的防禦環境；所有的安全規範，都是在思維的模擬實驗室裡假定出來，它一定要接受現實的挑戰與預算調度的考驗。

每個類似環境都存在著差異性，異質產業的差異性會更大，但其中有共通的原則，譬如:備份、病毒防禦、入侵偵測、行為控管等，就是需要在協調中創造它的實現。
Good luck!

補覺鳴詩 iT邦高手 1 級 ‧ 2017-10-17 19:54:03 檢舉

樓主說的是主機"殼"上的 OA 序號貼紙嗎?
這種事情只要人工做一次就好了吧?
先一台一台調查建立起資料庫
之後只要再讓電腦定期回報序號跟資料庫比對就好了

另外設定過於簡單的密碼是怎麼回事??
除非用一些工具去修改本機帳號才可以吧?
而且你要怎麼得知密碼太簡單? 使用者告訴你密碼? 這樣實施資安好像怪怪的
有些事情我覺得防不勝防，魔高一尺道高一丈，你有辦法防就有辦法解
能做的就是盡力而為，如果有人故意做對
那就看單位上有沒有對應的"處理"辦法了
不能解決人產生的問題，那就解決製造問題的人

登入發表討論