常見主機漏洞修補建議

(A) 版本更新/Patch加強

為了維護系統和資訊安全，應該定期進行程式版本、資料庫版本、伺服器和 OpenSSL 等的更新和補強，並確保系統運行在最新的和最安全的版本上，不該因為成本或是人力資源等考量而不執行版更/Patch加強。版更可以減少潛在的風險和威脅，並確保隱私和安全。 如php5.6版本已經於2018年停止維護，其表示後續若在5.6版本有新發現之漏洞會面臨沒有Patch之情形，就更容易讓駭客藉由已知的安全漏洞或弱點攻擊，若不進行版本更新和補強，可能會帶來嚴重後果包括資料外洩、系統停擺、業務中斷等…。再根據CVE漏洞資料庫查詢PHP發現之漏洞數統計出在2016年就有109個CVE漏洞，影響的版本包含5.6.x~7.0.11版本，若系統管理者可以優先解決PHP版本更新問題則一次可能就修補掉非常多的漏洞數，可以大幅降低資安風險。也建議經常留意官網安全性公告及關注所使用版本之漏洞訊息資訊或是已停止官方支援Patch之公告，例如：Apache官網則會提供安全性更新說明，或是國家資通安全研究院官網或各區網中心首頁最新消息關注是否有新發佈之資安預警。

👍版本更新的好處：

1.符合法規要求，減少造成資安事件帶來的後續處理困擾。

2.安全性提升，增加面臨不斷推陳出新的資安漏洞或攻擊的防護力。

3.相容性提升，新版本可以與其他技術系統能有更佳的整合，使開發人員可以更快速的解決問題

4.性能優化及新功能增加，提高應用程式的反應速度和幫助開發人員更高效的撰寫程式，提高生產力。

🧑‍⚖️法規面要求：

依資通安全責任等級分級辦法的附表十資通系統防護基準表，針對系統與服務獲得構面中的系統發展生命週期部署與維運階段在等級「普」之控制措施要求應於部署環境中針對相關資通安全威脅，進行更新與修補。在等級「中」以上之控措施要求應執行版本控制與變更管理。

(C) 網路通訊服務協定設定

禁用FTP明文驗證方法提升了身份驗證的安全性，IIS的安全設定如禁用不必要的預設功能和服務和強化身份驗證保護了伺服器資源，取消SSH弱加密套件，並只允許使用較強安全性的加密演算法提高了通信的保密性和完整性，而取消SMB1服務可消除了已知的安全漏洞如勒索軟體攻擊和遠程執行代碼漏洞，還應該實施有效的備份機制，以確保資料的完整性和可恢復性。這些修補措施加強了網絡通信和服務的安全性，提升了系統的整體安全性，

🧑‍⚖️法規面要求：

依資通安全責任等級分級辦法的附表十資通系統防護基準表，針對識別與鑑別構面中的身分驗證管理階段在等級「普」之控制措施要求應於身分驗證相關資訊不以明文傳輸。於系統與服務獲得構面中的系統發展生命週期開發階段在等級「普」之控制措施要求發生錯誤時，使用者頁面僅顯示簡短錯誤訊息及代碼，不包含詳細之錯誤訊息，於部署與維運階段在等級「普」之控制措施應關閉不必要服務與埠口。且於系統與通訊保護構面中的傳輸之機密性與完整性其等級「高」之控制措施要求應採用加密機制，且未遭破解之演算法，加密金鑰或憑證應定期更換。在營運持續計畫構面中的系統備份其等級「普」之控制措施要求應訂定可容忍資料損失之時間要求及執行系統源碼與資料備份。