掌握供應鏈網路環境安全

近期企業面臨的資安事件，主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等。研究報告顯示有近八成攻擊是無法由防毒軟體偵測，必須了解企業內網架構，執行隔離網域及掌握軟硬體帳號情資等，以建構基礎的資安防護體系。

・ 接入設備合規檢查
・ 非法外來設備控管
・ 自動化檢查IP、MAC、電腦名稱、 AD帳號、Switch、Port、GPO、Windows OS Patch、病毒碼更新、應裝軟體、禁用軟體、漏洞檢查、惡意程式

完成網路安全的基礎

通常企業在改善網路安全架構時，都必須從基礎的盤點設備開始。鑑於工控系統設備較長的產品生命週期，導致許多啞終端連網時沒有任何的防護，是近年許多駭客鎖定的漏洞；工控環境的可用性也是重要的議題，啞終端所能負荷的資料流量無法與IT系統相比，盤點行為必須在不對生產設備造成干擾的情況下進行，意外中斷生產的事故是企業極力避免的。

・ 自動生成完整的設備清單
・ 可辨識設備屬性，提供作業系統版本、所在位置、使用者資訊等設備資料
・ 確保持續性的合規檢查，檢查包含Windows OS Patch、防毒軟體、病毒碼及應裝軟體的安裝、版本與更新，以及合法軟體版權
・ 提升設備合規率，透過收集終端設備的安全狀態確保設備的符規，不符合者可強制斷網引導修補
・ 提供圖表儀表板掌握整體狀況

完善外來設備連接網路的流程

企業實際管理內網時，會面臨部分使用情境是暫時性需要連線外網，或指定時間段內需要連線內網，而這些設備的身分並非內部員工。相比嚴謹周密的外網防護，進入到內網的外來設備若未納入管理、劃分其使用權限，將可能會成為高風險的安全漏洞。

・ 提供設備身分驗證
・ 提供訪客內網連線認證，包含現場申請及預約申請兩種方式
・ 限制訪客對內外網的存取權限與時效，可自動化卸離管理
・ 隔離訪客於特定網段
・ 針對委外廠商提供暫時性白名單或訪客認證
・ 自帶設備BYOD身分驗證

A.8 資產管理

資訊應依法規要求、價值、危害性與對未經授權的揭露或修改之敏感性觀點予以分類。應依照組織所採用的分類法，發展與實施一套適當的資訊標示程序、資產處置程序、可攜式媒體管理之程序；媒體不再需要時，應使用正式程序加以安全地汰除；應保護含有資訊的媒體在傳送期間，不受未經授權的存取、誤用或毀損。

・ 提供IP資產分類
・ 自動產生軌跡資料
・ 提供IP使用紀錄、系統操作紀錄
・ 提供IP保護機關的重要資料，防止資料遺失、毀壞及被偽造或竄改

A.9 存取控制

含以下幾個項目：存取控制政策、網路與網路服務的存取、使用者登錄與註銷、使用者的存取配置、特權的管理、使用者的機密授權資訊之管理、使用者存取權限的審查、機密授權資訊的使用、資訊存取限制、安全之登入順序。

・ 提供准入控制及私接設備管理、違規政策異常事件報表
・ 提供IP/MAC綁定管理、IP/MAC時間管理、MAC/硬體指紋綁定管理
・ 提供身分驗證機制
・ 提供白名單管理，並擁有時間配置
・ 提供IP例外、MAC例外機制
・ 提供AD管理，應加與未加AD管理、AD退網域管理、上線資訊，可設定內外網權限
・ 提供管理、使用者、觀察者權限