使用软件准则
主页 > 
使用软件准则
< 返回

使用软件准则

许多电脑软件均可作为资讯保安的工具。

要做的事
关掉流动装置上非使用的无线通讯连接。
要使用抗恶意软件,并要经常更新。
要先用抗恶意软件扫描磁碟、光碟及其他储存媒体(尤其是来历不明者),然后才开启使用。
要考虑采用防火牆等保安措施,以保护采用宽频接驳互联网的电脑。
要在电脑内应用最新版本的软件及修正档案,以堵塞已知的保安漏洞
要定期备份系统及数据,并且妥为保存。利用备份档案复原流失的数据是最安全及有效的方法。
要按照安装指示来安装电脑软件。
要按照许可证条款及协议来使用电脑软件。
不要做的事
不要使用非法、不可信赖或令人生疑的来源的电脑软件及程式。
不要在未取得版权拥有人或特许持有人明确批准前下载电脑程式。

使用开放源码产品的指引

开放源码软件通常指的是软件的原始码是开放的,准许任何人读取、使用和改写。开放源码软件已渐渐获得接受,即使是企业营运下的环境也接受这趋势。

要安全地使用开放源码软件,以下是一些给用家作指引的保安贴士 :

只从可信任的网站下载开放源码产品,例如软件开发者的官方网站,以避免事先置入恶意程式码的潜在风险。
下载原始码,而非编译过的套装软件,如此,可核对原始码是否符合 MD5,SHA-1 或 SHA-256 校验和(checksum),并分析保安漏洞,和进行编译,以求符合机构的特殊需求。
详细研读产品文件,以获得保安配置参数的详细说明。
假如发现产品的保安漏洞,便应检查是否有既定的通报程序,并确定妥善维护和处理该产品的所有保安议题。
定期检查一般保安漏洞资料库,例如 CVE(Common Vulnerabilities and Exposure),此类资料库发布任何有关开放源码产品保安漏洞的资讯。

如果你的机构正在使用开放源码软件,你应该考虑以下提示 :

制定完善记录的保安政策,并确定严格执行该政策。当企业需要改变时,也须修订该政策。
采用纵深防御(defence-in-depth)策略,可完全应付开放源码产品和网络之间不同水平所引起的威胁
对机构内员工提供适当训练,以支援和维护开放源码产品。把所有作业实务和配置程序进行合适的文件记录,以避免因职务调动或离职而引起的问题。