Page 39 - 清流雙月刊 NO.47

P. 39

CI 學堂

四、實施系統強化

系統強化（systems hard-
ening）通常是通過減少攻擊

面（attack surface）來保護

系統的過程，當系統能執行的
功能增加時，漏洞面會隨之變
大；原則上，單一功能系統的

安全性比多功能系統來的高。

減少可用的攻擊方式（attack
vector）通常包括更改預設
密碼、刪除不必要的應用軟

體，以及禁用不必要的端口
網路分段係將網路劃分為更小、更安全的子網或網段，以縮小網路（port）或刪除不必要的服務、
受攻擊的範疇，並為每個子網路提供獨特的安全控制機制和服務，
保護關鍵資產遭受駭客攻擊或降低網路攻擊可能造成的損害。協議和應用程序等。此外，建

置防火牆、入侵檢測（Intru-
並搭配防火牆予以隔離；不同類型用戶與 sion Detection System, IDS）和入侵防禦

不同類型資源，皆應以不同網段予以區隔，（Intrusion Prevention System, IPS）系統、
才能在發生攻擊事件時，將災害縮減至最限制利用遠端桌面協定（Remote Desktop
小範圍。 Protocol, RDP）對 OT 系統和組件進行存

取，亦可降低網路攻擊成功的可能。惟須
三、實施存取控制
注意的是系統強化固可降低網路攻擊成功
應控制對 OT 系統的存取，其機制應的風險，但任何錯誤配置可能導致意外後

包括強大的身分驗證、授權和問責機制。果或停機。
組織應將對關鍵系統的訪問限制為僅允許
五、實施安全監控
有合法存取需求的授權人員進行存取。實
施存取控制的第一步是確定需要保護的資包括實施網路和系統監控工具、入侵

產以及需要存取的個人或軟、硬體資產。偵測系統以及安全資訊和事件管理（Secu-
接著應制定存取控制政策，來定義授予和 rity Information and Event Management,

撤銷對這些資產存取權限的規則。在授予 SIEM）解決方案，以檢測潛在威脅。同時，
系統存取權限之前，應使用強大的身分驗組織應同步建立緊急應變的復原計畫與程

證機制，例如雙因子身分驗證（2FA）或生序。重要的是，安全監控應該是一個持續
物識別身分驗證來確認用戶的身分。的過程，組織應該定期審查和更新監控策

No.47 SEP. 2023 37

34 35 36 37 38 39 40 41 42 43 44