給NxO組織的資安實作建議(一)

閱讀時間約 9 分鐘
本照片由 Bing AI 產生

本照片由 Bing AI 產生

注意! 我並非什麼資安專家,因此,以下的文章內容,純粹是個人在組織內的做法分享,不符合任何法規或所謂的「標準做法」,若您有更好的做法,請多多給予建議,我們可以一起前進(或請您帶領我們前進)。

我是某 NPO 組織的資訊人員,我假裝您們不知道我是哪個組織的,哈哈哈! 以下是我的個人分享,也是一份給我組織的紀錄,以便後進者(新進同仁)可以參考(叫同仁每年做一次,哈哈哈)。

在正式開始之前,先講一下心情:

最近,只要外出參加 資訊安全 的課程,都一直被恐嚇,因為最近,某銀行因資安問題被金管會罰了上千萬,所以這件事,資訊(資安)公司都會拿出來,告訴你,資安沒做好,到時候就看著辦,還不趕快把錢拿出來...

這事一直被提及,有好有壞,壞處就是組織內的資訊人員,可能備感壓力,我們 NPO、NGO組織,大部分在 資訊安全 上本就量能(能力、人力、財力...)不足,我在聽課時就常常覺得"不如歸去",做什麼不好,非要在非營利組織負責資訊,搞不好還要被連坐處罰。

好處是這個案例,可以拿來說服主管,多多投注一些金額(財力)在資安吧,先做好預防,總是比被處罰好吧!

人生的每個作為,都可以選擇由「恐懼」驅動,還是選擇由「愛」 驅動。

雖然對資訊人員來說,資安的恐懼無所不在(心裡煩憂),要買這個什麼來保護資料庫,要導入那個什麼來防電腦綁架...等,但,我們就盡力而為吧,為了保護我們的資助人、服務對象...等,也算保護駭客無法得手(積功德嗎?),哈哈! 讓我們「由愛出發,做好資安」吧。

好! 廢話完畢。

第一件要做的事,資訊系統盤點。

哇! 突然覺得好像很多事要做呢?

請原諒我,本文只講跟【電腦資訊】方面比較相關的事,我們資訊人員實在權限沒有大到可以管【人】,但【人】也是資安的風險因素之一,另,紙本文件的部分,本文也不提(就是用櫃子鎖起來啦),請記得以上的提醒...就好了吧?

好,先翻箱倒櫃把組織內會用到的 所有 資訊系統找出來,然後把點點滴滴記到一份 Excel 中吧! 以下是 Excel 大概的格式,個人角度,僅供參考:

資訊系統盤點範例格式

資訊系統盤點範例格式

好的,我並不打算提供現成的表格給您,因為想要您自己動手去做。每個欄位應該用您自己的角度,自己組織的狀態去思考,要不要這個欄位,這個欄位要怎麼寫,寫些什麼?

以下,我簡單列舉上面的範例欄位,簡單的欄位就快速略過,有點難填的就說明我的思維給您參考。

1.【資產名稱】、【說明簡述】、【使用單位】、【合作廠商與聯絡人】

以上這幾個欄位如字面所述,不特別說明,略過。

2.【資產種類】欄位:

這個欄位寫法很多種,建議以您所能理解的語言(詞彙)來將此系統分類就好,自創也沒關係,我有舉例的部分之後會分別細說,但實際上的分類有可能會更多,可能是下列幾種可能:

網站系統: 簡單,這個資訊系統就是一個網站囉!

這個部分,視期主機所在位置不同,我會分三篇來分享經驗,分別是「地端租用空間(您不會進機房)」、「自租或自建機房(會需要進機房)」、「雲端(如:Azure)」

電腦應用程式: 從過去的電腦歷史走來,應用程式的範圍就有點複雜了,可能還可以分成 "單機版"(只在某電腦上可以用),或 "Client(單機)/Server(伺服器)" 架構(要有個主機,主機沒開,單機就無法作業)。

我在這裡用 "應用程式" 這詞,是形容他就是要打開一個軟體(APP),然後才能連接到系統,在應用程式內操作資料的意思,不是那種直接打開網頁,登入就能操作的系統。

設備: 一個獨立的裝置,您要說他是一台主機也可以啦。像 NAS(Network Attached Storage 網路附接儲存裝置),說他算設備還是主機呢? 您自己決定吧! 我這裡用 "設備" 這個詞來歸類,而不使用主機。

不過採用「設備」這個詞,是因為~ 比如~ 您有自己的機房的話,「防火牆機器裝置」就比較明確是一個設備,他應該也要受到管理的。

企業網路服務: 這個項目明顯的範例大概有兩個,就是像 Office 365 系統 或是 Google Workspace 有幾種,應該也是有其他的啦,在此系列文章中,先不談此一部份,他們的資安措施應該是沒問題的(我們也管不到)。

其他: 看您的需求與想像,可能會有需多不同的資產種類,您就自行增加囉!

3.【所在位置】 欄位:

通常是只該系統"主機"在哪裡? 請您按實際狀況填寫。依照其所在的位置不同,可能會有不同的資安對應措施,比如說: 在自己的機房,自己的辦公室... 可能防火牆就是一個非常重要的設備,而放在 雲端 的話,連線控制就或許是要認真管控的地方了。細節後續再說。

4.【機敏資料等級】與【機敏資料補充(說明)】 欄位:

這個資訊系統裡面的資料,是否有機敏資料呢? 如果有是什麼樣的機敏資料? 可以寫在補充裡面給自己參考。機敏資料等級 用 高、中、低 來表示即可。

5.【停機影響評估】與【停機影響補充】 欄位:

停機影響評估一樣 用 高、中、低 來表示即可。 此系統萬一不能連線或不能使用時(或主機掛點),影響是有多大? 要評估呀! 停機影響補充 就隨便寫寫吧!

請注意: 【機敏資料等級】和【停機影響評估】這兩個欄位就是要用來評估,哪個系統要先著手進行資安強化的順序依據,如果兩個等級都是 高,那麼您就知道是要優先處理的系統了吧!

呵呵! 【機敏資料等級】高,【停機影響評估】高 很多吼! 辛苦囉!

6.【系統復原預估】 欄位:

雖然,範例檔裡面都沒有寫上內容,其實,建議您是要認真思考這一欄位內容的,若當該系統被綁架或入侵(甚至是火災),系統無法運作時,您有辦法(找到廠商,找到備份,或找到機器...)能夠把它復原嗎? 如果可以,預估會需要耗時幾天呢?

如果您的答案是無法復原,那麼該怎麼辦? 想辦法把他補全囉! 或該系統已經沒有廠商可以處理了,是否該進行新的可替代系統導入呢?

這個欄位的資料怎麼來? 如果是委外的系統,就是問問他們,請問,萬一此系統的主機掛了,您們預估多少時間可以復原呢? 有備份可以復原嗎? 依照系統屬性(【資產種類】)的不同,可能會有不同答案,若對答案不滿意,就要追問,有辦法可以更快嗎? 通常得到的答案是花錢,如果必要,錢就是要花的。

這欄位先不急著填,請看完後續文章,我 "應該" 會依照系統屬性(【資產種類】)的不同提示一些備份與系統復原要點。

7.您還可以自訂更多欄位的!

如果需要,您當然可以新增更多的欄位,把恩怨情仇都寫進去,比如說: "合約到期日"(如果有廠商在維護該系統的話),看您啦!

第二件事,認識資安威脅

這是個大問題,要面對他。我們不希望發生,但要有所準備。

超級大的災難(天災)我們先不談,比如: 外星人攻打地球,剛好用量子炮把機房燒掉了。這種事先不管。因為超級大災難的發生,要關心的應該是組織還能不能,要不要運行,而非小小資訊系統正不正常的問題了。

以組織的資訊系統而言,我覺得(個人觀點)面前面臨的最大威脅有兩種;資料外洩 與 系統綁架。

系統綁架"相對"好處理(這樣講不是很正確啦),只要密集確實的做好備份,了不起主機重建,幾天後還是一尾活龍。

資料外洩影響就大了,您的服務對象、捐款人、客戶... 登有可能被騷擾與詐騙,關係到組織信譽的問題,影響會很深遠的。而且,平時沒啥交情的主管機關(也不先給點費用來讓我們加強資安),這時候就會跑出來,頻繁給予關愛的公文... 會被煩死。萬一還要被罰款,就 OOXX 了。

當然,我們在要先認真努力做好該做的啦,避免資安事件發生。

由於 "資訊安全意識" 真的很重要,我在此先提醒一些重點:

1.預先進行反詐騙宣導:

在網站、臉書、IG...各種地方先進行反詐騙宣導,最好定期來做,申明本組織不會怎樣怎樣的(如打電話更改刷卡,更改付款方式,用手機操作 APP ...等),先幫服務對象、捐款人、客戶...有關係的任何人,先提高反詐騙的意識,先做總是好的,可以先預防,不要等發生再做。

2.建立必要的應變小組與應變措施(S.O.P.)

您要先假裝此事肯定會發生,一旦發生,有哪些人可以分工,哪些人該做什麼事(比如說誰去報警...),哪些系統該第一時間就要關閉或者哪些系統要立刻追查是否是資料洩漏的系統,怎麼追查...等。

要先準備好,不會發生,但吾有以待之。

應變措施的部分先不多說了,那是收費課程,哈哈哈,開玩笑的,沒空寫是真的(技術能力不足也是真的),總之要認真想想,並在組織中先實作落實,先寫書面計劃吧。

3.同仁的資安教育訓練

資訊安全意識是全體同仁的事,光處理資訊的同仁有此意識是不夠的,務必要讓每位同仁皆能有所警覺。現在的資安危害,已經不是裝裝防毒軟體就能夠解決的問題了,每位同仁接要關心自己的資安,我們才能強化組織的資安,確保組織在資安防護上沒有時麼漏洞。

定期為所有同仁進行資安教育訓練 勢必(是必) 要的,我們目前最大的困擾是資訊安全教育訓練的教材要哪裡來? 如果您有免費可用的教材,歡迎提供喔。

本篇結語與作業

好的,既然已經起了念要解決資安的問題,每天都要能好好睡個覺! 那就請您開始動手吧! 好好的花一點時間,把 資訊系統盤點表應變小組與應變措施 做出來! 認真想想組織中有些什麼資訊系統,他的影響性如何,或者,從能做的先做,網站先加上反詐騙宣導... 看看以上內容,可以先完成什麼,開始前進吧。

這篇文章,也是我一個念頭,希望對大家有所幫助,沒想到這篇就修修改改寫了約兩個星期,希望第二篇可以趕快寫出來。

avatar-img
34會員
88內容數
然而,這個世界是多元性的,人生也是。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
多元人生記事錄 的其他內容
老實說,這個錯誤訊息實在不太明確... 這個問題,我測試了一下,在您登入電腦時,若使用 Office 365(microsoft 365) 帳號登入,就會出現。但若用電腦本機的帳戶登入,遠端桌面就沒有此問題。蠻妙的! 或許,Office 365 有啥安全性的措施吧! 不知道真相是啥? 哈哈!
由於我個人英文能力實在不太好,經常查一些電腦相關資訊查到一些英文網頁或英文影片去了,英文網頁還好,慢慢看~還能看出個端倪,了不起來個整篇翻譯,還是大概能看懂。 影片~ 雖然 Youtube 是有自動翻譯成中文字幕的功能,但... 如果是看稍微技術方面的影片,我常常看得是一個頭兩個大。
如果想看官方文件的話~ 請看 使用 Azure 監視器監視虛擬機器,我是有看沒有懂啦~ 以下,我直接以我能了解的方式,進行實作。 一般而言,從「概觀」功能下的「監視」~可以看到一些主機的運行狀況。
最近發生的事~ 容我模糊的講,我們發生問題的電話主機是這一台(NEC SL1000),此一連結是網路上搜尋到的一篇說明手冊 PDF 檔案。 受駭單位原本有四線電話,某日發現其中兩線電話怪怪的,而且電話機在沒人撥打情況下,電話機會出現佔線情況,於是他們就自己測試了電話,發現,該兩線打進去,會被轉..
我發現,我在 2023/7/12 日起,Office 365 內管理者帳號,會收到幾封 Office 365 的一些提示信件,信件內共通的內容是會有一行 Questionable URLs detected in message...
承上篇,繼續往下走吧! 來說明一下 PHP 兩個會用到的套件安裝,一個是 ionCube,另一個為 memcached ●PHP 套件 ionCube 安裝 先以下列指令,在帳戶內建立一個 tmp 資料夾備用,執行時留意是在帳號剛登入主機的位置喔!
老實說,這個錯誤訊息實在不太明確... 這個問題,我測試了一下,在您登入電腦時,若使用 Office 365(microsoft 365) 帳號登入,就會出現。但若用電腦本機的帳戶登入,遠端桌面就沒有此問題。蠻妙的! 或許,Office 365 有啥安全性的措施吧! 不知道真相是啥? 哈哈!
由於我個人英文能力實在不太好,經常查一些電腦相關資訊查到一些英文網頁或英文影片去了,英文網頁還好,慢慢看~還能看出個端倪,了不起來個整篇翻譯,還是大概能看懂。 影片~ 雖然 Youtube 是有自動翻譯成中文字幕的功能,但... 如果是看稍微技術方面的影片,我常常看得是一個頭兩個大。
如果想看官方文件的話~ 請看 使用 Azure 監視器監視虛擬機器,我是有看沒有懂啦~ 以下,我直接以我能了解的方式,進行實作。 一般而言,從「概觀」功能下的「監視」~可以看到一些主機的運行狀況。
最近發生的事~ 容我模糊的講,我們發生問題的電話主機是這一台(NEC SL1000),此一連結是網路上搜尋到的一篇說明手冊 PDF 檔案。 受駭單位原本有四線電話,某日發現其中兩線電話怪怪的,而且電話機在沒人撥打情況下,電話機會出現佔線情況,於是他們就自己測試了電話,發現,該兩線打進去,會被轉..
我發現,我在 2023/7/12 日起,Office 365 內管理者帳號,會收到幾封 Office 365 的一些提示信件,信件內共通的內容是會有一行 Questionable URLs detected in message...
承上篇,繼續往下走吧! 來說明一下 PHP 兩個會用到的套件安裝,一個是 ionCube,另一個為 memcached ●PHP 套件 ionCube 安裝 先以下列指令,在帳戶內建立一個 tmp 資料夾備用,執行時留意是在帳號剛登入主機的位置喔!
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Thumbnail
說到暴政,我們可以很容易指出幾個政權,也可以指出他們做了哪些事迫害無辜的人,但當我想到要怎麼定義「暴政」或「極權專制」,在制度上的說明詞彙就會在腦中形成模糊的概念,什麼也說不出來。我讀這本書主要是想更了解暴政具體會怎麼實踐,而我們該如何警惕,可以做些什麼。
親愛的兒子,上次提到如何進行資產配置。就一直股債80/20配置下去?然後呢?要不要賣出?何時賣出? 80/20是20多歲年輕人的股債配置,30歲就股債70/30配置,40歲就股債60/40配置。股票大漲後配置有可能自然而然變成股債85/15,此時就賣出股票,轉成債券,比例又調回80/20,叫做再平衡
投資自己也是好的投資! 如何投資自己?養成良好的三習慣!一是閱讀的習慣;二是運動的習慣;三是理財的習慣。 閱讀的習慣可以讓你博覽群書、鑑古知今、鍛鍊文筆、學習新知、探究學問。英文或外語要學好,才能打國際杯! 運動可以讓你活動筋骨、強化心肺功能、頭腦清晰、身體健康、團隊合作。慢跑、打球、游泳、、、都是
親愛的兒子,股市開戶後,電子下單軟體裝好後,就像學習電腦軟體一樣,練習買進與賣出就可以開始股票買賣了。當然,必須留意戶頭中有多少錢,以免違約交割(買太多,沒有足夠的錢進行交割)。 建議你一開始買ETF,什麼是ETF?ETF是exchange traded fund,簡單來說,是一籃子股票,是一堆股票
股票是什麼?是公司在市場上發行的股份,買了就是股東,公司賺錢要分給股東!簡單又容易懂。公司賠錢呢?股價下跌也不發股息。所以買賣股票要知道風險與利潤是相伴而來的。 方式:低買高賣就賺錢,其他包括手續費、稅費、配股配息、除權息、交割、開盤收盤、、、慢慢學嘍! 到券商開戶買股票:開戶然後下載軟體線上買股票
Thumbnail
如果有「最好的人生」,這種模板,可以讓每個生命的長成,作為楷模般一部按圖索驥地走去,那「在人生裡過的最爽的人」這種模板,會是什麼樣子呢? ! 閱讀不只是用來區分知識與資訊的差別而是內容深度,讓我們能透過像顯微鏡下的切片,看見別人生命深邃之處,與此相遇,也可能是靈魂碰撞或只是被啟發了。
Thumbnail
不少家長擔憂:如果學童戴的是「手錶型兒童智慧手機」,會不會讓孩子在應該專心上課時,難以抵擋各種社群 App 和遊戲的誘惑?而大家吵得最兇的議題,就是這些兒童智慧手錶的資安疑慮。
      ”哈利波特"這部電影相信大家都耳熟能詳;電影裡的鄧不利多教授在辦公室養了一隻鳳凰,牠的眼淚可以加速傷口癒合,而且牠還有一個神祕的力量--"重生",並在重生中得到新的昇華......然而,大家都只知道牠有多厲害,卻忽略了在鳳凰獲得重生之前,牠需要經歷一段多麼巨大的痛苦和輪迴......
Thumbnail
那扇窗富麗堂皇,一片、兩扇、多張,緩緩地,漸漸地如行板般舒醒著,太陽光芒慢慢地隨時光撒在走廊上,太陰與太陽交接持續閃耀,那飽滿的黑暗漸有層次,使的這巴洛克建築好似天界珍珠被賜予人類一般,伴隨著菊色皇徽與伊斯蘭風情,就靜靜的矗立在島嶼之北,紫葡萄與綠葉銘刻於灰牆之上,成就了不凡的奇蹟。
Thumbnail
Morten T. Hansen 高績效心智 工作績效的研究分為組織與個人兩種派別,前者強調學習效率,像是Stan與Vermeulen的學習迴圈或者其他人提出的學習曲線。後者則是前陣子討論到Erics
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
Thumbnail
說到暴政,我們可以很容易指出幾個政權,也可以指出他們做了哪些事迫害無辜的人,但當我想到要怎麼定義「暴政」或「極權專制」,在制度上的說明詞彙就會在腦中形成模糊的概念,什麼也說不出來。我讀這本書主要是想更了解暴政具體會怎麼實踐,而我們該如何警惕,可以做些什麼。
親愛的兒子,上次提到如何進行資產配置。就一直股債80/20配置下去?然後呢?要不要賣出?何時賣出? 80/20是20多歲年輕人的股債配置,30歲就股債70/30配置,40歲就股債60/40配置。股票大漲後配置有可能自然而然變成股債85/15,此時就賣出股票,轉成債券,比例又調回80/20,叫做再平衡
投資自己也是好的投資! 如何投資自己?養成良好的三習慣!一是閱讀的習慣;二是運動的習慣;三是理財的習慣。 閱讀的習慣可以讓你博覽群書、鑑古知今、鍛鍊文筆、學習新知、探究學問。英文或外語要學好,才能打國際杯! 運動可以讓你活動筋骨、強化心肺功能、頭腦清晰、身體健康、團隊合作。慢跑、打球、游泳、、、都是
親愛的兒子,股市開戶後,電子下單軟體裝好後,就像學習電腦軟體一樣,練習買進與賣出就可以開始股票買賣了。當然,必須留意戶頭中有多少錢,以免違約交割(買太多,沒有足夠的錢進行交割)。 建議你一開始買ETF,什麼是ETF?ETF是exchange traded fund,簡單來說,是一籃子股票,是一堆股票
股票是什麼?是公司在市場上發行的股份,買了就是股東,公司賺錢要分給股東!簡單又容易懂。公司賠錢呢?股價下跌也不發股息。所以買賣股票要知道風險與利潤是相伴而來的。 方式:低買高賣就賺錢,其他包括手續費、稅費、配股配息、除權息、交割、開盤收盤、、、慢慢學嘍! 到券商開戶買股票:開戶然後下載軟體線上買股票
Thumbnail
如果有「最好的人生」,這種模板,可以讓每個生命的長成,作為楷模般一部按圖索驥地走去,那「在人生裡過的最爽的人」這種模板,會是什麼樣子呢? ! 閱讀不只是用來區分知識與資訊的差別而是內容深度,讓我們能透過像顯微鏡下的切片,看見別人生命深邃之處,與此相遇,也可能是靈魂碰撞或只是被啟發了。
Thumbnail
不少家長擔憂:如果學童戴的是「手錶型兒童智慧手機」,會不會讓孩子在應該專心上課時,難以抵擋各種社群 App 和遊戲的誘惑?而大家吵得最兇的議題,就是這些兒童智慧手錶的資安疑慮。
      ”哈利波特"這部電影相信大家都耳熟能詳;電影裡的鄧不利多教授在辦公室養了一隻鳳凰,牠的眼淚可以加速傷口癒合,而且牠還有一個神祕的力量--"重生",並在重生中得到新的昇華......然而,大家都只知道牠有多厲害,卻忽略了在鳳凰獲得重生之前,牠需要經歷一段多麼巨大的痛苦和輪迴......
Thumbnail
那扇窗富麗堂皇,一片、兩扇、多張,緩緩地,漸漸地如行板般舒醒著,太陽光芒慢慢地隨時光撒在走廊上,太陰與太陽交接持續閃耀,那飽滿的黑暗漸有層次,使的這巴洛克建築好似天界珍珠被賜予人類一般,伴隨著菊色皇徽與伊斯蘭風情,就靜靜的矗立在島嶼之北,紫葡萄與綠葉銘刻於灰牆之上,成就了不凡的奇蹟。
Thumbnail
Morten T. Hansen 高績效心智 工作績效的研究分為組織與個人兩種派別,前者強調學習效率,像是Stan與Vermeulen的學習迴圈或者其他人提出的學習曲線。後者則是前陣子討論到Erics