|
**侵襲技術性弱點**
|
**專屬反制**
|
**標準反制**
|
|
**強制採用複雜的密碼**
|
**啟用記錄/審核**
|
**檢閱系統設定**
|
**停用服務**
|
**實作入侵偵測系統**
|
**資料加密**
|
**數位簽 章**
|
**實作防火牆**
|
**將應用程式強固化**
|
**維護最新的廠商補強**
|
**安全性原則和程序**
|
**實作 Tripwire**
|
|
密碼破解
|
採用可能的最高加密等級。
|
.gif)
|
.gif)
|
.gif)
|
|
.gif)
|
.gif)
|
|
|
|
|
.gif)
|
|
|
緩衝區溢位
|
強迫 OS 和應用程式驗證他們所接受的資料大小和偏好類型。請使用應用程式等級的防火牆。
|
|
|
.gif)
|
.gif)
|
.gif)
|
|
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
|
|
網路監聽
|
限制區域網路連線和硬體控制權。使用監聽器偵測工具。
|
|
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
|
|
|
|
|
.gif)
|
|
再次攻擊
|
建立單次密碼,防止封包監聽
|
|
|
.gif)
|
.gif)
|
|
|
.gif)
|
|
|
|
|
|
|
連線截奪
|
除去可以預測的 TCP 序號,實作 SSL,強制採用 Cookie,以及防止區域網路連線。
|
|
|
|
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
|
|
|
|
|
資訊收集
|
以 proxy 防火牆限制直接存取權,實作可以更新篩選裝置的智慧型入侵偵測系統,先進行驗證作業再存取應用程式,以及利用防火牆來分隔安全性網域。
|
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
|
|
.gif)
|
|
.gif)
|
.gif)
|
|
|
仔細篩檢文件 (潛入電子投擲器)
|
根據安全性原則,檢閱所有的公用資訊。比方說,公用網站有幾封特定的使用者電子郵件可以受到認可?這些電子郵件是否與使用者帳戶有直接關聯?
|
|
|
|
|
|
|
|
|
|
|
.gif)
|
|
|
無線溢位
|
縮減無線連線區,實作硬體限制,以及使用多重因素驗證。
|
|
|
.gif)
|
|
.gif)
|
.gif)
|
|
|
|
|
|
|
|
社會工程
|
實作強大的原則和訓練程式。
|
|
|
|
|
|
|
|
|
|
|
.gif)
|
|
|
拒絕服務與分散式拒絕服務攻擊
|
收集基準來定義標準的服務層級。所有的存取權都應該以最低權限授與。套用網路入口篩選,來減少 IP 詐欺封包。(其他詳細資訊,請參閱 RFC 2267)。利用入侵偵測系統實作容錯和負載平衡方案,來實作路由器篩選器,啟用配額系統,監視系統效能,監視分散式拒絕服務攻擊簽章。根據廠商來實作 TCP/IP 堆疊提升。
|
|
|
.gif)
|
|
.gif)
|
|
|
.gif)
|
|
.gif)
|
|
|
|
Cookie 侵襲
|
對於 Cookie 實作器而言:所含的資訊越少越好,「千萬不要」將資訊以純文字儲存在 Cookie 當中,要儘量採用特定的路徑。
|
|
|
.gif)
|
|
.gif)
|
|
|
|
|
.gif)
|
|
|
|
CGI 攻擊
|
務必讓 CGI 指令碼動態處理各種使用者輸入大小,不要把未經檢查的遠端使用者輸入傳給 shell 指令,並考慮使用 CGI 包裝函式。
|
|
|
|
|
|
|
|
|
.gif)
|
.gif)
|
|
.gif)
|
|
DNS 污染
|
使用「安全 DNS」(SDNS,Secure DNS),並且實作另一個採用信任之內部 DNS 和不信任之外部 DNS的 DNS。兩者可同時位於同一個防火牆上。限制和驗證區域轉送。
|
|
|
.gif)
|
|
.gif)
|
|
|
.gif)
|
.gif)
|
.gif)
|
|
.gif)
|
|
電子郵件詐欺
|
使用數位簽章或憑證。防止在 SMTP 伺服器進行郵件轉接或詐欺。
|
|
|
.gif)
|
|
.gif)
|
|
.gif)
|
|
.gif)
|
.gif)
|
|
|
|
IP 位址欺偽
|
套用網路入口篩選 (其他詳細資訊,請參閱 RFC 2827)。
|
|
|
.gif)
|
|
.gif)
|
|
|
.gif)
|
|
|
|
|
|
病毒
|
訓練使用者識別病毒行為,做出適當的回應,避免停用病毒偵測軟體,強制定時更新病毒碼。只使用信任的軟體。
|
|
.gif)
|
.gif)
|
|
|
|
.gif)
|
|
|
.gif)
|
.gif)
|
.gif)
|
|
Worm
|
訓練使用者識別病毒行為,做出適當的回應,避免停用病毒偵測軟體,強制定時更新病毒碼。
|
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
|
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
|
特洛伊病毒
|
訓練一般使用者識別病毒行為,做出適當的回應,避免停用病毒偵測軟體,強制定時更新病毒簽名。只使用信任的軟體。
|
|
.gif)
|
.gif)
|
|
|
|
.gif)
|
|
|
.gif)
|
.gif)
|
.gif)
|
|
內部人員濫用
|
來自內部人員的威脅,是最難減少或移除的。實作強大原則,責任區分,權限限制,同級檢閱,工作輪替,以及入侵偵測系統。
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
.gif)
|
|
不慎刪除或誤設服務
|
限制授權範圍 (只有在必要時,才用企業系統管理員或網域系統管理員的權限登入)
以隨時可用的目前備份,降低打錯字的機率。
執行強大的訓練程式,必要時再採行對等檢閱程式。
|
|
.gif)
|
|
|
|
|
|
|
|
|
.gif)
|
.gif)
|