ntuccepaper2019

作者：童鵬哲 / 前臺灣大學計算機及資訊網路中心計畫研究專員

---

前言

資安事件層出不窮，迫使政府近年來相當重視資安，不僅在法規與制度上大刀闊斧外，也要求各大企業與政府單位在資安經費上提高預算，努力改變整個大環境。但我們依然能看到不少上新聞的資安事件，經過抽絲剝繭的找尋原因後，卻發現只是使用者在使用資訊服務時，可能是不小心、可能是忘記也可能是沒概念，所造成的資安事件。

 

人類活動與資安事件

從上面這張由開源情資網站(https://shodan.io)所提供的IoT設備分布圖，我們可以觀察到什麼現象呢？大部分的資訊網路服務與系統，都是位於人口密集的都市地區。而建立這些資訊網路服務後，才可能因為有機敏資料、設計漏洞…等，造成後續的資安事件發生。

所以，資安事件往往都與人的活動息息相關，沒有了人類活動，應該也就沒有了資安事件。講到這邊我們會不會突然有了一個大膽的想法冒出來，「解決不了問題，那就解決發生問題的人吧？！」以上應該是大家常聽到的一句玩笑話，但這對大部分的資安工程師來說，卻是很深刻的體悟(笑)。

但現實總是殘酷的，讓人類消失這種事情大概就與讓資安事件消失一樣，短時間內是不太可能發生的事情，所以我們仍然要回歸現實面，透過努力的溝通與宣導，讓使用者都可以保持良好的資安使用習慣，而盡可能降低資安事件的發生。

 

資安使用習慣小集錦

            一般使用者在日常生活中，會用到的資通訊服務與設備，不外乎就是個人電腦、印表機(事務機)、NAS、分享器、電子郵件、公用wifi…等，若在這些產品的使用上，都能多加留意，應該就大幅的降低資安事件發生的機率。下面筆著將會以學校環境做為場景，提供一些使用習慣的整理，供大家做為參考。

1. 個人電腦、印表機(事務機)、NAS、分享器

以學校環境來說，最特別的大概就是電腦與各種設備，都以Public IP使用居多，以台大為例：即是140.112.x.x網段的IP。對一個校園使用者來說是相當友善的資源，可以讓老師、職員、學生在各種研究、測試與辦公上，都相當的便利，這在外面的企業公司是幾乎不可能有的環境。但是，方便往往就是一種雙面刃，隨之而來的就是資安問題會比較難控管。

1. 做好存取控管(盡可能將可連線範圍限制在學校內部) 

   一般來說，都會建議校園使用者關於個人電腦、印表機(事務機)、NAS、分享器，若有使用Public IP的使用者，可以在主機上，設定防火牆規則，僅以白名單的方式讓可信任的網段連線。

2. 白名單規則舉例： 

   通常可以設定140.112.0.0/16的範圍才可連線，若有校外辦公需求，只要再使用台大的VPN即可擁有台大網段，一樣可以繼續在校外辦公。

2. 電子郵件

透過電子郵件進行攻擊的「社交工程」，大概也是這幾年在各種資安宣導的場合上經常出現的關鍵字。為了能有效杜絕這類的攻擊，必須請使用著能養成好的習慣：

1. 公務信箱與私人信箱盡量分開使用，公務信箱只用於公務使用，避免收取不必要且不認識的信件。
2. 若是使用outlook收發，請關閉信件預覽，避免outlook因信件預覽，進而直接開啟惡意程式。
3. 若因職務需求，會大量收發不認識的信件，如秘書、人資等，那其電腦就必須有更多的資安防護，如安裝EDR等相關端點防護軟體，進行即時監控。

3. 公用wifi

公用wifi雖然方便，但也暗藏許多危機，建議非必要不要使用公用wifi，盡量以自己手機的網路訊號或其分享的熱點使用為佳。若真的不幸非得使用公用wifi，建議再多加一層自己信任的VPN連線會比較好。

4. 備份

這幾年勒索事件頻頻出現，也讓大家有了要備份資料的概念，但是關於備份的細節處理上，仍然有幾個地方是需要注意的。例如：不要讓備份的工具，經常性的掛載在電腦上，否則一旦被加密勒索，一樣無法救回資料。因此，檔案備份可以有以下的3-2-1原則：

1. 每周或每月備份檔案3分。
2. 至少儲存成2種媒體(storage)方式。
3. 其中1份要存放異地。

5. 密碼

大家應該都有印象，前幾年虛擬貨幣的挖礦相當盛行，其中有一個關鍵字—算力(hash rate)，在整個挖礦生態中經常被提及。隨著時代的推進，挖礦方式已經從CPU的計算變成了顯示卡(GPU)挖礦，算力(hash rate)也成為了挖礦玩家甚至各大礦池錙銖必較的數據之一。

雖然挖礦的算力光鮮亮麗地持續成長，但其實在另一方面，同樣需要算力(hash rate)密碼破解，也隨著顯示卡的成長茁壯，一直持續在成長。根據國外媒體的報導，以目前最頂級的遊戲顯卡Nvidia RTX4090來說，針對特定的密碼hash規則，最高的計算量已可以達到300GH/s (1 GH/s = 1,000,000,000 per second hashes)，針對一些常見的密碼破解，大概幾天內就可以破解[1]。

所以，密碼設定原則的調整，將會是非常重要的一環，雖然技服中心已有提供一些密碼管理原則，但筆者這邊還是提供一些參考國外專家以及自己比較常應用的密碼原則[2]：

1. 密碼應至少包含16個字。
2. 密碼最好包含以下四種字符中的至少三種，大寫字母(ABC)、小寫字母(abc)、數字(123)和標點符號或其他特殊字符(！#$% &*_=+？）。
3. 長度勝於複雜。(“MonitorHouseboatFibonacciRuler”可能比“;S)5uRvN+w”強。長片語可能更容易記住，但不要使用大家都知道的片語。)
4. 避免使用常用名稱、俚語或字典中的任何詞。
5. 不要包含姓名的任何部分或電子郵件地址的任何部分。
6. 密碼內容永遠不要提及任何可以在網路上搜尋到關於你的資訊。換句話說，不要把它作為你最喜歡的樂隊或電影、你寵物的名字、你的暱稱、你的電話號碼，尤其是你的生日。

以上資訊可以供大家做為日後設定密碼的參考。

 

資安素養與結語

習慣的養成說實在並不容易，更不用說是富含知識、態度與技能的素養養成，更需透過大量生活中的場景去應用與結合，才有可能慢慢累積。好在近年來，在教育部的大力倡導下，學術環境提供了相當多的資安通識課程與專業課程，讓學術網路的夥伴們可以有更多的機會認識與學習資安知識。

但是，除了聽課學習拿到資安法規定的資安時數之外(笑)，下了課堂，也不妨靜下來來想想，自己平時在生活中，可以有哪些調整，有助於改善容易發生資安問題的使用習慣。未來，甚至在使用新的資訊服務或設備時，也可以依據學習到的資安知識內容，慢慢的在資安規劃上稍作考量或是詢問一下專業人士之意見(如單位的網管或IT部門的相關同仁)，一定都能有助於工作環境上甚至個人上的資訊安全防護。

期望有一天大家都能達到「資安好習慣，習慣成自然，自然沒資安」的境界。

 

參考文獻

[1].  Eight RTX 4090s Can Break Passwords in Under an Hour, https://www.tomshardware.com/news/eight-rtx-4090s-can-break-passwords-in-under-an-hour

[2].  How to create strong passwords, https://www.tomsguide.com/news/create-strong-passwords