【正文】 理之產(chǎn)品與文件資源（續(xù)） 50 對(duì)應(yīng)微軟資訊安全管理 之產(chǎn)品 /文件資源 ISO/IEC 17799:2023(E) 控制措施節(jié)碼 技術(shù)控制之 1存取控制 (9).Kerberos (10).Active Directory (11).Encrypted File System (12).SSL/TLS (13).Smart Card (網(wǎng)路取控制 ) (作業(yè)系統(tǒng)存取控制 ) 技術(shù)控制之 2稽核與可歸責(zé)性 (1).XML (2).SMTP (3).POP3 (4).ED (5).P2P (6).Event viewer – Application,system, Security, DNS. (7).MOM (8).Time Service. (9).Active Directory. (10).Delegated dministration. (11).Auditing Improvement. (資訊交換 ) (電子商務(wù)服務(wù) ) (監(jiān)控 ) (密碼控制措施 ) (管理資訊安全事故與改善 ) (遵守法規(guī)要求 ) (資訊系統(tǒng)稽核的考量 ) 附錄 1:資訊安全管理控制框架與 ISO/IEC 27001:2023(E)規(guī)範(fàn)性控制措施的對(duì)照，可符合相對(duì)應(yīng)微軟資訊安全管理之產(chǎn)品與文件資源（續(xù)） 51 對(duì)應(yīng)微軟資訊安全管理 之產(chǎn)品 /文件資源 ISO/IEC 17799:2023(E) 控制措施節(jié)碼 技術(shù)控制之 3識(shí)別與鑑別 (1).AD (2).Security Policy 設(shè)定 (3).Radius (4).Terminal Service (5).RAS (Remote Access Service) (6).Kerberos (7).NTFS Security (8).Active Directory (9).Smart Cards (10).SSL/TLS (11).Inter Authentication Server (特權(quán)管理 ) (網(wǎng)路存取控制 ) (作業(yè)系統(tǒng)存取控制 ) 技術(shù)控制之 4系統(tǒng)與通訊保護(hù) (1).SMS (2).WUS(Windows Update Service) (3).IPSec. (4).DHCP (5).NTFS security (6).Exchange Server (7).SMTP (8).Communication Service (9).BizTalk Server (10).Small Business Server (12).DNS (13).Radius (14).Firewall (15).Userproperties (16).Local security policy (17).CAPKI (18).Active Directory (19).Encrypted File System (20).Inter Authentication Service (21).IPSec / L2TP / PPTP (22).Kerberos (23).Security Configuration (24).SSL / TLS. (資產(chǎn)分類(lèi) ) (防範(fàn)惡意碼與行動(dòng)碼 ) (網(wǎng)路安全管理 ) (處理媒體 ) (資訊交換 ) (電子商務(wù)服務(wù) ) (網(wǎng)路存取控制 ) (作業(yè)系統(tǒng)存取控制 ) (密碼控制措施 ) (管理資訊安全事故與改善 ) (遵守法規(guī)要求 ) 附錄 1:資訊安全管理控制框架與 ISO/IEC 27001:2023(E)規(guī)範(fàn)性控制措施的對(duì)照，可符合相對(duì)應(yīng)微軟資訊安全管理之產(chǎn)品與文件資源（續(xù)） 52 附錄 2:資訊安全管理系統(tǒng)技術(shù)性控制措施之說(shuō)明 與實(shí)作－以 Microsoft修補(bǔ)程式作業(yè)為例 技術(shù)脆弱性管理 目標(biāo)：降低來(lái)自於利用已公佈的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)。 技術(shù)脆弱性管理宜以有效的、系統(tǒng)化的、及可重覆的方式實(shí)施，並加以量測(cè)以確認(rèn)其有效性。宜考慮作業(yè)系統(tǒng)，以及其它使用中的應(yīng)用。 技術(shù)脆弱性的控制 控制 取得關(guān)於使用中資訊系統(tǒng)的技術(shù)脆弱性之及時(shí)資訊，評(píng)估組織對(duì)該脆弱性的曝露，以及採(cǎi)取適當(dāng)?shù)牧繙y(cè)以處理相關(guān)的風(fēng)險(xiǎn)。 53 實(shí)作指引 有效的技術(shù)脆弱性管理的前提是一份目前與完整的資產(chǎn)清冊(cè)（見(jiàn) 節(jié)）。需要支援技術(shù)脆弱性管理的特定資料包括軟體供應(yīng)商、版本號(hào) 碼、目前的部署狀態(tài)（例如哪些軟體安裝在哪些系統(tǒng)上）、及組織內(nèi)負(fù) \ 責(zé)該軟體的人員。 採(cǎi)取適當(dāng)與及時(shí)的行動(dòng)以因應(yīng)識(shí)別出的潛在技術(shù)脆弱性。遵循下列指引 以建立有效的技術(shù)脆弱性管理程序： a) 組織宜定義與建立與技術(shù)脆弱性管理相關(guān)的角色與職責(zé)，包括脆弱性監(jiān)控、脆弱性風(fēng)險(xiǎn)評(píng)鑑、修補(bǔ)、資產(chǎn)追蹤、及所需的協(xié)調(diào)責(zé)任； b) 用來(lái)識(shí)別相關(guān)技術(shù)脆弱性與維持認(rèn)知的資訊資源宜識(shí)別其軟體與其它技術(shù)（依資產(chǎn)清冊(cè)清單，見(jiàn) ）；這些資訊資源在清冊(cè)變更，或發(fā)現(xiàn)其它新的或有用的資源時(shí)更新； 附錄 2:資訊安全管理系統(tǒng)技術(shù)性控制措施之說(shuō)明 與實(shí)作－以 Microsoft修補(bǔ)程式作業(yè)為例 (續(xù) ) 54 c) 定義反應(yīng)潛在的相關(guān)潛在技術(shù)脆弱性通知的時(shí)間表； d) 一旦確定有潛在技術(shù)脆弱性，組織宜確認(rèn)相關(guān)的風(fēng)險(xiǎn)與將採(cǎi)取的行動(dòng)，可能包括修補(bǔ)脆弱的系統(tǒng)，以及 /或者採(cǎi)用其它控制； e) 依據(jù)技術(shù)脆弱性需要處理的緊急程度，依據(jù)變更管理（見(jiàn) ）相關(guān)的控制，或採(cǎi)用資訊全事件反應(yīng)程序（見(jiàn) ），實(shí)施需採(cǎi)取的行動(dòng)； f) 若有可用的修補(bǔ)程式，則評(píng)鑑安裝修補(bǔ)程式相關(guān)的風(fēng)險(xiǎn)（比較脆弱性造成的風(fēng)險(xiǎn)與安裝修補(bǔ)程式的風(fēng)險(xiǎn)）； g) 在修補(bǔ)程式安裝之前需測(cè)試評(píng)估，以保證其有效性與不導(dǎo)致無(wú)法容許的副作用；若無(wú)可用的修補(bǔ)程式，則考慮其他的控制，如 : 1) 關(guān)閉與脆弱性相關(guān)的服務(wù)或功能； 2) 採(cǎi)用或增加存取控制，如：防火牆、網(wǎng)路邊界（見(jiàn) ）； 3) 增加監(jiān)控以偵測(cè)或預(yù)防實(shí)際的攻擊； 4) 提昇脆弱性的認(rèn)知； h) 記錄採(cǎi)取的所有程序的稽核日誌； i) 定期監(jiān)控與評(píng)估技術(shù)脆弱性管理程序，以保證其有效性與效率。 j) 先處理高風(fēng)險(xiǎn)的系統(tǒng) 附錄 2:資訊安全管理系統(tǒng)技術(shù)性控制措施之說(shuō)明 與實(shí)作－以 Microsoft修補(bǔ)程式作業(yè)為例 (續(xù) ) 55 其它資訊 技術(shù)脆弱性管理程序的正確運(yùn)作對(duì)許多組織是不可或缺的，因此需要經(jīng)常的監(jiān)控。精確的財(cái)產(chǎn)清冊(cè)對(duì)確保識(shí)別潛在相關(guān)的技術(shù)脆弱性而言是基本的。 技術(shù)脆弱性管理能被視為變更管理的次功能，同時(shí)能利用變更管理的過(guò)程與程序。 供應(yīng)商通常面臨儘快發(fā)行修補(bǔ)程式的強(qiáng)大壓力。因此，修補(bǔ)程式可能未充分地處理問(wèn)題與有負(fù)面的副作用。同時(shí)，在某些案例中，一旦修補(bǔ)程式起作用，解除安裝可能不容易完成。 若不可能充分地測(cè)試修補(bǔ)程式，例如：因?yàn)槌杀净蛉狈Y源，依據(jù)其他使用者報(bào)告的經(jīng)驗(yàn)，考慮延後安裝修補(bǔ)程式以評(píng)估相關(guān)的風(fēng)險(xiǎn)。 附錄 2:資訊安全管理系統(tǒng)技術(shù)性控制措施之說(shuō)明 與實(shí)作－以 Microsoft修補(bǔ)程式作業(yè)為例 (續(xù) ) 56 電腦安全性弱點(diǎn)生命週期 (一 ) 資料來(lái)源 : Brykczynski, B. and R. A. Small (2023) Effective security patch management, IEEE Computer, , , ~57 。 附錄 2:資訊安全管理系統(tǒng)技術(shù)性控制措施之說(shuō)明 與實(shí)作－以 Microsoft修補(bǔ)程式作業(yè)為例 (續(xù) ) 57 電腦安全性弱點(diǎn)生命週期 (二 ) ? T0 = 導(dǎo)致安全性缺點(diǎn)的缺陷產(chǎn)生。 ? T1 = 發(fā)現(xiàn)弱點(diǎn)。早期公開(kāi)發(fā)現(xiàn)的安全性缺點(diǎn)。 ? T2 = 發(fā)現(xiàn)弱點(diǎn)。廣泛公開(kāi)發(fā)現(xiàn)的安全性缺點(diǎn)。 ? T3 = 發(fā)現(xiàn)弱點(diǎn)。組織察覺(jué)的的安全性缺點(diǎn)。 ? T4 = 組織完成安全性缺點(diǎn)風(fēng)險(xiǎn)評(píng)鑑。 ? T5 = 軟體廠商公告可用以解決缺點(diǎn)的新安全性相關(guān)軟體更新及對(duì)策。 ? T6 = 組織察覺(jué)可用以解決缺點(diǎn)的新安全性相關(guān)軟體更新及對(duì)策。 ? T7 = 組織進(jìn)行安全性相關(guān)軟體更新測(cè)試。 ? T8 = 核準(zhǔn)變更要求。 ? T9 = 確認(rèn)部署軟體更新。 ? T10 = 持續(xù)性安全性修補(bǔ)程式部署。 附錄 2:資訊安全管理系統(tǒng)技術(shù)性控制措施之說(shuō)明 與實(shí)作－以 Microsoft修補(bǔ)程式作業(yè)為例 (續(xù) ) 58 附錄 2:資訊系統(tǒng)組態(tài)管理實(shí)作 :以修補(bǔ)程式安裝為例 (一 ) 開(kāi)始 檢查修補(bǔ)程式簽名 檢查修補(bǔ)程式內(nèi)的檔案版本 根據(jù)修補(bǔ)程式發(fā)布日期確定安裝順序 查證快速修補(bǔ)程式安裝成功 檢查其他產(chǎn)品更新 需要重新安裝 結(jié)束 59 建立測(cè)試實(shí)驗(yàn)室作業(yè)環(huán)境 進(jìn)行系統(tǒng)和網(wǎng)路測(cè)試 關(guān)鍵性應(yīng)用程式和服務(wù)的測(cè)試 審核與確認(rèn)修補(bǔ)程式安裝 實(shí)戰(zhàn)演習(xí) 附錄 2:資訊系統(tǒng)組態(tài)管理實(shí)作 :以修補(bǔ)程式安裝為例 (二 ) 60 開(kāi)始 將電腦增加到失敗 (Fail)組 在群組策略中設(shè)定電腦自動(dòng)處理腳本 根據(jù)修補(bǔ)程式發(fā)布日期確定安裝順序 結(jié)束 將電腦增加到成功 (Success)組 已安裝修補(bǔ)程式 將修補(bǔ)程式“推”給這些電腦 附錄 2:資訊系統(tǒng)組態(tài)管理實(shí)作 :以修補(bǔ)程式安裝為例 (三 ) 61 ? 靜夜四無(wú)鄰，荒居舊業(yè)貧。 , March 31, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。 20:13:3520:13:3520:133/31/2023 8:13:35 PM ? 1以我獨(dú)沈久，愧君相見(jiàn)頻。 :13:3520:13Mar2331Mar23 ? 1故人江海別，幾度隔山川。 20:13:3520:13:3520:13Friday, March 31, 2023 ? 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 :13:3520:13:35March 31, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國(guó)見(jiàn)青山。 2023年 3月 31日星期五 下午 8時(shí) 13分 35秒 20:13: ? 1比不了得就不比，得不到的就不要。 。 2023年 3月 下午 8時(shí) 13分 :13March 31, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 2023年 3月 31日星期五 8時(shí) 13分 35秒 20:13:3531 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 下午 8時(shí) 13分 35秒 下午 8時(shí) 13分 20:13: ? 沒(méi)有失敗，只有暫時(shí)停止成功！。 , March 31, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 20:13:3520:13:3520:133/31/2023 8:13:35 PM ? 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 :13:3520:13Mar2331Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 20:13:3520:13:3520:13Friday, March 31, 2023 ? 1不知香積寺，數(shù)里入云峰。 :13:3520:13:35March 31, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 31日星期五 下午 8時(shí) 13分 35秒 20:13: ? 1楚塞三湘接，荊門(mén)九派通。 。 2023年 3月 下午 8時(shí) 13分 :13March 31, 2023 ? 1少年十五二十時(shí)，步行奪得胡馬騎。 2023年 3月 31日星期五 8時(shí) 13分 35秒 20:13:3531 March 2023 ? 1空山新雨后，天氣晚來(lái)秋。 下午 8時(shí) 13分 35秒 下午 8時(shí) 13分 20:13: ? 楊柳散和風(fēng)，青山澹吾慮。 , March 31, 2023 ? 閱讀一切好書(shū)如同和過(guò)去最杰出的人談話。 20:13:3520:13:3520:133/31/2023 8:13:35 PM ? 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 :13:3520:13Mar2331Mar23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 20:13:3520:13:3520:13Friday, March 31, 2023 ? 1知人者智，自知者明。勝人者有力，自勝者強(qiáng)。 :13:3520:13:35March 31, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 31日星期五 下午 8時(shí) 13分 35秒 20:13: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 2023年 3月 下午 8時(shí) 13分 :13March 31, 2023 ? 1業(yè)余生活要有意義，不要越軌。 2023年 3月 31日星期五 8時(shí) 13分 35秒 20:13:3531 March 2023