[Day25]ISO 27001 附录 A.13 通讯安全

这个章节是指如何控管组织的网路，我们可以从网路 OSI 7 层网路架构来构思通讯安全。
但太花时间，我们直接看重点！

通常我们会从【组织的网路架构图】开始确认有什麽样的网路设备开始，
最常抽验的项目会以【核心设施】及【内部提供的网路服务】以确认相关的风险。
如：因应疫情的关系，就常常抽验 VPN 服务的网路区隔、权限、存取控制等等。

• 由於网路架构视受稽方复杂程度不同，应由组织外向内看，可以对外连接到的服务需要关注，如：VPN、Gateway、防火墙
• 除了内部网路的实体区隔外，常使用【网路交换器】进行逻辑性的网段区隔

A.13 通讯安全

A.13.1 网路安全管理

目标：确保对网路及其支援之资讯处理设施中资讯之保护。

A.13.1.1 网路措制措施

应管理及控制网路，以保护资讯系统及应用。

• 防火墙、Switch、Wifi 或是任何可以用来做网路控制措施
  多为防火墙，尽可能依最小化原则设置。
  如果是完全内部封闭的网路环境，如果没有设置防火墙也很合理。

A.13.1.2 网路服务之安全

应识别所有网路服务之安全机制、服务等级及管理要求事项，并应被纳入网路服务协议中，不论此等服务系由内部或委外提供。

• 依政策进一步确认网路服务控管的安全机制
• 针对网路服务之相关安全性的监督，要将可接受监督的条件纳入服务协议，如：防火墙的规则审查、定期处理 SOC 的维护记录

Common ports #CheatSheet

图片来源：https://twitter.com/adtipstricks/status/857098171545202689

A.13.1.3 网路之区隔

应区隔各群组之资讯服务、使用者及资讯系统使用的网路。

• 主要就是做网路区隔，可以透过任何设备与方式，但要小心，不是所有的部份都需要做区隔，而是依其风险性，如提到的DMZ，常看到用VLAN区隔完後，并没有做Access Control，所以只有网段上的区分(例如: 缩小Broadcast Doamin让网路品质变好)，但没有真正的控制效果，如：ACL 或是透过防火墙来限制存取。

A.13.2 资讯传送

目标：维护组织内及与任何外部个体所传送资讯之安全。

A.13.2.1 资讯传送政策及程序

应备妥正式之传送政策、程序及措制措施 ，以保护经由使用所有型式通讯设施之资讯传送。

• 资讯传送应有相对应的政策与执行的程序，如：传送机敏文件出去时要加密，密码不可经由同一管道提供，或是其他的要求作法，组织要有可遵循的政策程序文件出来。

A.13.2.2 资讯传送协议

协议应阐明组织与外部各方间营运资讯之安全传送。

• 对外传输资讯要建立协议，如：EDI、SFTP…
• 或是在传输後会有不可否任性的检核，如 Hash，这些要求和安全都该写在建立的协议中。

A.13.2.3 电子传讯

应适切保护电子传讯时所涉及之资讯。

• 如果组织是透过电子传讯的方式来进行资讯传送，如：电子邮件，要保护其中传输的资讯，如例用电子签章做电子邮件的完整性保护。

A.13.2.4 机密性或保密协议

宜识别、定期审查及文件化，以反映组织对资讯保护之需要的机密性或保密协议之要求事项。

• 定期检视保密的内容是否适当需要调整

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

黑相集：稀望镇

《黑相集：稀望镇》是《直到黎明》（Until Dawn）开发团队的惊悚恐怖系列《黑相集》第二弹作品。
第一弹是 2019 年《黑相集：棉兰号》。
但我不是很喜欢结局，所以推荐稀望镇。

《黑相集》是一系列惊险刺激的独立电影式恐怖游戏作品，情节具有多重分支，包含单人及多人游戏模式。有四名大学生与他们的教授意外受困於荒废的“稀望镇”。他们被无法穿越的迷雾包围，死命地试着逃脱，又目睹了来自过去的恐怖幻觉。他们必须在邪恶力量将所有成员的灵魂拽进地狱前，厘清这些亡灵的动机。见证来自过去的恐怖幻觉，十七世纪安多佛女巫审判案的阴影盘桓不去。逃离在迷雾中紧追着他们不放的恐怖亡灵！

Steam 最近在促销噢！
https://store.steampowered.com/app/1194630/The_Dark_Pictures_Anthology_Little_Hope/?l=schinese