給NxO組織的資安實作建議(三)網站系統-自租或自建機房

本圖片由 Bing Ai 產生

本篇，以我的個人的經驗! 個人的經驗! 個人的經驗!，簡單說明一下組織中機房管理遇到的一些事情(這方面我非專業，請參考看看)，做點經驗分享。

雖然，本文是用「機房」這個概念作為重點來闡述，但是，請注意，若您的單位(辦公室)中，也是有主機伺服器的(就是【資產種類】欄位寫 電腦應用程式 )，您也應該要把您的辦公室視為機房，不是說要把辦公室弄成無塵室或冷氣開超級冷，而是在資安的角度上，要把辦公室同等視為機房，需要相關的資安設備(就是 防火牆 囉)，需要相同的連線控管。

好，我們開始吧!

防火牆裝置

防火牆 是一個裝置，在我們一般使用者眼裡，我們比較熟悉的講法像是 中華電信的小烏龜(小烏龜? 是老派的講法了啦! 就是是指您對外連網路那台裝置)，或家裡的無線分享器(中華電信的或家裡電視寬頻給的機器)，其實 防火牆 是類似的概念，就是我們那 "格"(機櫃) 機房，或辦公室裡面接到外面網路線的那個主要裝置。

這個防火牆裝置就管理著這個空間中網路流通的機器，哪些資料可以從網路流進來，哪些可以流出去，因此十分的重要。

這個裝置是很專業的設備，如果組織中沒有專業的資訊人員，委外是肯定要的。以下簡單說說幾個重點(請跟專業人士或廠商討論喔):

P.S.此處是針對 硬體防火牆(就是一個實體，您看得到的小機器) 進行一些簡單的說明。軟體防火牆和雲端防火牆，我完全沒有懂，無法說明。

A.防火牆要依主機(環境)的需要開啟必要的通訊埠(Port)

這個部分，合作廠商 "應該" 會負責做到好，但是我們要提供必要資訊:

像是機房(辦公室)內對外連網應該是必要的，但是哪些 Port(參考 維基百科 通訊埠) 要開放對外? 除了電腦上網，是不是還有什麼(可能不是電腦的裝置)需要用特定的 Port 號碼需要放出去? 像我的組織就有 上下班的出勤用的刷卡機(舉例而已) 在中心內，需要用自訂的 Port 號碼連網，我就要確認防火牆設定的資料進出規則，會不會阻擋到他們的連線，結果導致刷卡資料無法送給主機系統而造成大家曠職?

除了裡面使用(者)能夠連外網之外，外部的機器可以連進我們內部嗎? 就是內部有主機提供服務的話，又有哪些 Port 要開放讓人連線進來呢? 這些連進來的主機 IP 位置需要被鎖定嗎?

舉實際的例子來說，我有一台人事系統的主機在機房裡面，人事系統想當然耳，是要讓同仁隨時隨地可以用的，就算是同仁半夜快閃去日本，也該是讓他可以半夜上線從國外去進行請假或相關操作的，所以網路 Web 介面的連線(Port 80,Port 443)是隨時開放連線的。

但人事部的同仁要使用後台的 "應用程式" 統整同仁的出勤狀況或其他人事必要作為，這個動作應該只允許他們在辦公室做(不要回家做啦，回家做也是另一種資安問題)，他們要進後台的應用程式的連線，就要鎖定辦公室的 IP 位址，除了辦公室內之外的電腦，是無法連線到後台的。所以，我們就要在 "防火牆" 機器內設定"規則"，只允許辦公室的 IP 位址連線主機的後台作業主機。

這部分就是要和合作廠商密切討論後，再來設定到機器上囉。

B.留意防火牆內韌體的更新週期

防火牆是台機器，裡面有運作的韌體(軟體，就是機器內運作的系統)，不管您是用哪一個廠牌的防火牆，韌體的定期更新勢必要的。因為，當防火牆產品一上市，駭客就會開始想盡辦法來找它的漏洞與入侵的方法。若該機器有韌體的更新，或許便能把漏洞修補起來，降低被入侵的風險。

C.用久了要換 與 是否需要備援機

防火牆產品，不是買一台撐永遠的機器，看組織的費用情況，建議三、五年就該換新的，新的機器功能應該會更強，防護也會更周全啦(理論上)。

那麼，是否需要準備備援機，萬一 防火牆 臨時壞掉可以暫時頂著用呢? 看您機房(辦公室)內的主機，您可以允許它停機多久呢? 如果一刻都不能停(當然實際上是做不到啦，機器壞了總要更換時間)，那當然要有備用機囉。防火牆功能好的話，其實售價不算便宜，所以，如果您有換新機器時，把舊機器留下來作為備援機吧!(舊機器沒壞的話)。

D.防火牆設定值要有備份

防火牆本身內若有設定值匯出的功能，記得每次有更改防火牆設定之後，把設定資訊匯出一份進行備份。最好也另外用抓畫面還是擷取文字的方式，做一份設定文件出來，以備不時之需。(萬一下次 防火牆 換了不同廠牌或版本根本不相容，匯出檔可能會一點用都沒有。)

E.是否要開放 VPN 或 防火牆對接

若您的主機在機房內，視主機的使用方式，或許會需要辦公室的使用者以VPN的方式連線到機房，有時候幫忙的廠商會建議，那麼要不要直接把辦公室的防火牆，直接用VPN介接到機房呢?

如果您辦公室的同仁，"絕"大部分同仁都會需要使用"應用程式"(或 網路上的芳鄰)去連接那台主機來進行作業，那麼可以考慮。但，如果辦公室中只是少部分同仁需要以應用程式方式操作該系統，那麼，不要直接串 VPN 起來，因為，一旦直接串起來後，萬一辦公室的電腦有被感染或入侵的狀況發生，就會被蔓延到機房去的(反之亦然)，危險呀。

電腦主機部分可能需要注意的經驗分享

A.硬體維護廠商

除非您對電腦硬體很(超級)專業，否則，機房內的主機請找硬體維護廠商簽約維護吧!

當然，您可以隨便買一台市售桌上型電腦就拿去當機房主機，如果那個系統不是很重要的話啦，壞掉了不起重買一台，重灌系統三、五天後又是一條好漢，當然可以。但如果是重要的系統，麻煩找硬體維護廠商，簽訂硬體維護合約。

伺服器硬體的管理... 嗯~ 經驗上，有的伺服器會有硬體狀況的連線介面(這樣當然比較方便)，可以連線進去看到伺服器硬體狀況，如果有看到任何三角形警示符號，紅色圓形叉叉之類的，打電話給維護廠商吧! 假設是硬碟有狀況(我遇過)，伺服器的硬碟可不是光華商場(光華數位新天地)可以隨便買得到的喔，都需要跟原廠或代理商看是否有備料(所以需要簽約)、要怎麼才能更換...等，才有辦法更換。因此有好的維護廠商與合約是必要的，至少也要他們有定期檢查的服務，定期幫我們看顧一下主機。

上面這一段不是單指機房內的機器喔，組織內部有放重要主機的話，也請一併辦理。重要主機的硬體維護對我們不是那麼專業的資訊人員來說，有人幫忙，也不會在發生事情時，猶如無頭蒼蠅，還要自己再找硬體，那就麻煩了。

B.主機前後台的資安措施，請比照上篇文章進行

該主機是負責甚麼功能呢? 會怎麼使用，如果是有網站的部分，請參考前一篇文章，檢視一下前後台狀況，務必留意資訊安全。

C.遠端桌面連線方式

我們組織的主機，大部分是 Windows Server 系統的，能從遠端(辦公室)連進 Windows 系統操作畫面是必要的，總要看看畫面上是否有些甚麼訊息，要不要進行系統更新...之類的。

要看系統的畫面，最簡單直接的做法，就是使用 Windows 遠端桌面了，但遠端桌面也是安全性非常讓人擔心的問題。有以下幾點建議:

1.防火牆端一定要鎖定可以連線的 IP Address，比如說只能在辦公室連線，這件事有做，解決大半問題。如果真的無法鎖定 IP(不知是啥狀況會出現此無法鎖定 IP 的情況，應該都可以鎖吧!)，系統使用完後一定要登出。

2.委外合作廠商如需要連線維護，應該要有紀錄(至少載明: 日期，時間，維護原因)，然後再開放廠商的IP後讓廠商進來維護(不能就一直開著廠商 IP，他們可以隨意進入)。當然，這點是有點麻煩，但必要(如果系統是穩定的，次數應該不會很多啦)。 然後，最好能看到廠商在操作些什麼，做了哪些動作，不是要監視他們，而是讓廠商知道，有人在看，不至於亂搞。

D.不要留取任何密碼記錄在主機上(資訊人員注意了)

有時候我們為了方便，我們會把密碼交由瀏覽器(Chrome，Edge...)或應用軟體(如遠端桌面程式...)直接記錄著，主機上要禁止任何記錄密碼行為，舉個例來說:

機房裡面通常不是只有一台主機，通常是一群主機的組合，比如會用 VMWare 介面管理虛擬主機，而且可能還有用 NAS 來備份資料，如果資訊人員在機房裡為了方便，每操作或連線一個系統，就讓電腦記下密碼，等於說，萬一那台主機被入侵了，等於機房內的其他機器都失去防護了。說更具體一點，它入侵這臺機器後，只要打開瀏覽器，他就可以進入VMWare 控管介面，可以進去 NAS 把備份資料殺掉，或甚至可以連你 Office 365 或 Google 的帳號(而且你還是最高權限帳號)...等，那不是被一網打盡了嗎?

E.端點防護

要去了解一下端點防護(EDR、MDR、XDR...?)，那是什麼?(網路找一下，不難找到資訊，因為他們要賣你產品，哈哈)

名詞簡單說明:

EDR（Endpoint Detection and Response，端點偵測及回應）

MDR(Managed Detection and Response，管理偵測及回應），我的理解；它比 EDR 多了人員的介入監控。

XDR（Extended Detection and Response，擴充偵測及回應），我的理解；它管的範圍比較大，除電腦主機外，擴及到會使用的隨身裝置(如手機，平板...)，這概念比較新，聽說 微軟 有。

我們都知道防毒軟體，也都有裝。但防毒軟體的概念是；一一掃描電腦裡面的檔案，若檔案內有 "已知" 電腦病毒的病毒碼特徵，則判定該檔案有風險，封鎖該檔案並提出警告。

端點防護的概念是監控與分析機器上的行為(事件)活動，來檢查機器是否正被入侵，或正在執行一些疑似檔案加密之類的活動... 端點防護是防駭的概念，跟防毒軟體防毒概念不太一樣的。

這部分太技術了，我也只是聽過個皮毛而已，請各自努力喔! 啊! 不過，順便幫 科技濃湯 廣告一下，如果您是在 非營利組織，組織可以加入科技濃湯，科技濃湯的產品中，目前可以用 非常便宜的價格，導入 TeamT5 端點防護喔!

若主機就在辦公室內，須注意要點

我們 NPO，NGO...資訊經費上不是那麼的充裕，難免主機就是放在辦公室內而已，大概也不見得有個機櫃的，提示以下幾點，我們自我檢測看看。

1.主機擺放的位置要盡量保持整潔，不要擺放在荒煙蔓草之中。

主機的電源線，網路線、集線器...等，附近的其他有的沒的，盡可能有規劃的整齊乾淨，萬一需要進行檢查維修，要有能方便處理的空間(要不要 綠色乖乖 自己決定)。

2.主機要放在有人能隨時看得到的地方(除非您放主機的地方是有鎖的小房間)，最好能依照主機的功能，放在相對應的部門或資訊人員可以看到的地方，不要放在什麼沒人用的，大家可以隨便進出的倉庫中，有人走過去對主機做些什麼動作，都沒人知道，那是不行的喔。

3.在網路架構或網路設定上，讓與該系統無關的同仁，是沒有權限可以連線到該主機的(老話就是 網路上的芳鄰 內看得到)。這點其實沒有很複雜，基本上主機上的權限控管設定好就好，當然，可能有更複雜的其他方式去區隔開，有需要的話請自行深入研究與找廠商處理。

4.不斷電系統! 機房內的電源相對穩定，但辦公室可就難說了，主機上不斷電系統是必要的，買個至少能撐個 20 分鐘左右的不斷電系統吧!

5.如果辦公室內的主機有對外(再提醒一下，防火牆要設!)，辦公室網路的頻寬要足夠喔!

NAS

NAS (Network Attached Storage 網路儲存伺服器) 大家應該很熟悉了吧，本來不想特別說明，但:

A.記得把預設帳號"關掉"

NAS 系統都會有預設帳號(比如說 admin)，拿到 NAS 後，就是新建一個帳號(帳號名稱自己取喔)，給予那個帳號最高權限後，就把預設帳號直接關掉。

B.啟用登入錯誤的鎖定功能

NAS 系統內可以設定登入錯誤幾次就鎖定該IP停用多久的時間，要把此功能開起來，並設定長一點的鎖定時間，不要讓駭客一直來測試帳號密碼。

C.定期留意 NAS 空間是否足夠(一定要開啟通知)

大部分的時候，主機的資料(尤其是資料庫備份)備份到 NAS 是一天一天跑的，如果組織產生的資料量大，備份會很快就滿囉。

尤其如果是放在機房中的主機與NAS，真的比較容易忘掉他們的存在，萬一 NAS 滿了，您一直以為備份是正常運行的，結果出事才發現根本沒被份到，那會欲哭無淚的。

所以，NAS 內的 異常通知 一定要開啟，至少他會發封信回報異常狀況。

D.挑選合適的型號 與 必要的整機汰換

視您主機的狀況，挑選合適的 NAS 主機吧! 通常是兩個硬碟應該夠了啦，但如果 NAS 還要負擔其他工作，是否要買到機架式的，還是兩顆硬碟以上的呢?

NAS 也跟 防火牆 類似，也會有韌體上需要更新的問題，使用多年(如: 五年)了也建議整台主機換新。

E.如果沒有必要，不要把 NAS 連線開放到網路上

視 NAS 會應用到的功能，不要把所有功能擠到一台機器內使用(Nas 買一台可以用個五年十年的，成本應該還好)，備份資料用的 NAS 就單純讓他備份用，若多位同仁要在 NAS 進行檔案協作，就不要使用備份用的 NAS 來讓同仁共用，一來安全性上比較好，二來萬一協作用的 NAS 會需要讓同仁遠端讀取資料的話(在家工作)，會需要放到外網上，這台 NAS 的風險就比較高了，不要讓備份暴露在高風險的環境比較好。

所以，如果沒有必要，不要把 NAS 連線開放到網路上，因為網路上隨時都有機器(人)，一直嘗試要入侵 NAS 的! 要注意。

主機管理重要秘訣，就是備份! 備份! 備份!

提醒一下，必要的資安防禦還是要有啦，不要只做備份喔!

A.異地備援

主機上的資料(或整機備份)一定要有異地備援! 因為，如果是資料被綁架，在那個網路環境中，只要網路連得到的機器，不管是電腦主機還是 NAS，資料有可能都被入侵者加密了，如果沒有異地備援，那麼系統要如何復原? 付贖金? 別傻了，做好備份才實在。

如果有異地備份的技術問題，找廠商吧! 講(做)起來雖不複雜，但我無法知道您那邊的系統狀況，不知如何講起。

嗯~ 還是簡單講吧，就是排程把主機的資料先備份到 NAS 上，NAS 再排程備份到異地的 NAS 或 雲端空間。

另機房(辦公室)的頻寬問題，也是要注意的事情，因異地備援也會需要大量的頻寬，如果機房已經建立很久了，"當年" 頻寬可能只有 3M 喔(容我抱怨，現在自租機房的頻寬還是挺貴的)! 所以備份時程的排定，備份的技術(NAS 可能要有先壓縮再上傳備份的功能)...都要考量。

再順帶一提，如果您是非營利組織，還是可以透過 科技濃湯 申請 Microsoft 或 Google 非營利組織帳號，把資料備份到 Microsoft 的 Onedrive 或 Google 雲端硬碟，都能節省不少 異地備援 的成本呢。

B.如果可以，當然要做到整機備份囉。

主機的備份通常會分兩種，整機備份和資料備份。簡單說一下: 資料備份備份通常是指主機上資料庫的備份，但是可能不只資料庫喔! 以我舉例過的人事系統來說，除了資料庫是每天要匯出備份之外，系統可能會有許多的附件檔案，圖片檔案...等，是並沒有存在資料庫中的，所以也要問清楚系統商，除了資料庫，還要備份哪些資料夾(在導入系統時，請廠商幫忙設計備份計劃也是是應該的)?

另一種備份方式是 系統整機備份，整機備份會把電腦上執行的系統(如: Windows)，包含所有硬碟的內容整個備份起來，所以，若整台主機被勒索軟體編碼綁架時，我們就可以執行整臺機器還原，這也是一種救援的方式。這種救援方式，原則上會比整個主機系統重灌，請廠商來安裝軟體，然後再復原資料，要快多了。所以，這個錢~ 該花吧!

系統整機備份需要特定的專業軟體來進行，請洽廠商!

不過，系統整機備份還要留意另外一件事，就是異地備援的問題要怎麼做? 您可以想像，系統整機備份下來，備份檔案應該是非常大的(整機備份通常幾十GB起跳，資料庫備份通常會在10GB以下，資料庫每天異地備援比較好處理)，若機房的頻寬不是很大，系統整機備份的檔案要備份到雲端，是有困難的(若頻寬很夠，那就沒問題)，這點就是一個小小的困境了，要技術支援了。

C.定期檢查與確認備份排程

備份有沒有正常執行咧? 用來備份的機器(NAS)是否頭好壯狀呢? 好好的定期檢查一下吧! 定期或不定期抽查備份的可用性，比如: 如果是備份在外接硬碟，外接硬碟拿到電腦上是讀得到的嗎(我就遇過備份心酸的)? 若放在雲端，雲端檔案是否有及期? 檔案下載是否有問題? 大檔案下載大概要多久? 最好心裡有個底。

說到檢查備份有沒有正常執行，除了看您執行備份的排程，在最近的日期是否成功執行以外，也要順便檢查備份的目標位置，檔案是否有確實更新到，當然不用每個檔案來檢查啦，只要看幾個關鍵檔案是否有最新的日期，大概就可以確認了。

​D.系統復原計劃

要先準備好系統復原計劃(檔案或書面)，載明當系統發生意外時，要去哪裡拿到最後的備份資料，要聯絡誰? 有備無患啦!

結語與作業

這篇文章打了好久喔! 竟然有到七千多字~

如果您組織中有此類系統架構，請認真想想，防火牆的設定是否完備? 要不要導入端點防護? 備份設置是否完整? 備份計劃是否有順利執行呢? 事情很多，放輕鬆，一項一項來吧!

如果需要技術支援，找找廠商吧!