[](https://hackmd.io/bojpyOkZRQaCw4gXMukDxw) <center> # 弱點掃描標準作業 </center> ### 一、目的 &emsp;&emsp;「弱點掃描（Vulnerability Assessment）」主要在於主動發現和及時修正系統或網路中已存在的弱點和漏洞，以減少被攻擊的風險，提高組織的安全防護能力。其目的詳述如下： 1. 保護系統安全：弱點掃描可以識別系統中存在的弱點和漏洞，從而讓組織採取相應的安全措施，以保護系統的安全。 2. 遵守合規要求：許多行業和組織必須遵守相關的合規要求，例如PCI DSS、HIPAA、CVE及OWASP TOP 10等，透過弱點掃描可以幫助組織檢測是否符合這些要求，從而保持合規。 3. 網路安全管理：弱點掃描可以幫助系統管理人員更好地理解網路中存在的弱點和漏洞，以便進一步加強網路安全的防護。 4. 減少被攻擊風險：弱點掃描可以幫助組織發現可能被攻擊的漏洞，並進行及時修補，從而減少被攻擊的風險。 &emsp;&emsp;為提供組織自身，以及外部單位及客戶，提供便捷且值得信賴的弱點掃描服務，協助提早發現資訊設備中的各種系統弱點和漏洞並即時修補，進而降低資安事件發生的風險、提高系統的安全性，特制定本標準作業程序；並將所有文件品質納入保證項目，包含相關文件與表單、版面及內容皆遵從一致性及正確性之要求，以作為品質管理流程以依據稽核之。 &emsp;&emsp;本【弱點掃描標準作業程序書】經【XX資訊科技股份有限公司】（下稱XX資訊）資安技術服務工作會議通過後實施，修正時亦同。 ### 二、弱點掃描內容 &emsp;&emsp;主要工具：Tenable® Nessus Pro 及 OWASP® Zed Attack Proxy (ZAP) &emsp;&emsp;掃描類型分為主機系統弱點掃描與 Web 網頁弱點掃描。 #### (一)主機系統弱點掃描 &emsp;&emsp;係針對作業系統、網路服務的設定、帳號密碼設定及管理方式等進行弱點掃描，檢測項目符合Common Vulnerabilities and Exposures (CVE)發布的弱點內容如下： 1. 作業系統未修正的弱點掃描 2. 常用應用程式弱點掃描 3. 網路服務程式掃描 4. 木馬、後門程式掃描 5. 帳號密碼破解測試 6. 系統之不安全與錯誤設定掃描 7. 網路通訊埠掃描 #### (二)Web網頁弱點掃描 &emsp;&emsp;係針對Web網頁進行安全弱點掃描，以最新版OWASP TOP 10 2021的項目為基準： 1. A01 Broken Access Control 2. A02 Cryptographic Failures 3. A03 Injection 4. A04 Insecure Design 5. A05 Security Misconfiguration 6. A06 Vulnerable and Outdated Components 7. A07 Identification and Authentication Failures 8. A08 Software and Data Integrity Failures 9. A09 Security Logging and Monitoring Failures 10. A10 Server Side Request Forgery (SSRF) ### 三、作業流程說明（集團或內部單位）： #### (一) 提出申請 1. 申請者（通常為系統管理員）根據自身需求，填寫「弱點掃描申請書」（下簡稱申請書）。 2. 將申請書呈報給單位主管簽核後，傳送至資安技術服務工作組。 #### (二) 審核與確認工作內容 &emsp;&emsp;資安技術服務工作組進行「弱點掃描申請單」之審核，將以面談、電話通話或Email聯繫申請者，確認申請者的身份和聯絡資訊，並核對受測目標網站、系統主機或伺服器的資訊，包含目標網路環境是否設有防火牆，或是否屬外部實體隔離的內部網路，確認進行檢測的時間，以及其他未列出之重要事項。 #### (三) 實施檢測及完成 1. 一般檢測：資安技術服務工作組派員使用遠端連線的方式，對受測目標網站、系統主機或伺服器進行檢測後，將檢測結果交由NOC進行彙整。 2. 機動式平台檢測：受測主機若對外架設防火牆或是與外部完全隔離，則由NOC派員攜帶專用的檢測設備，至受測單位的內部網路進行掃描，並在完成檢測後，攜回設備與檢測結果交由NOC進行彙整。 #### (四) 產出報告及回覆 &emsp;&emsp;資安技術服務工作組將檢測結果彙整後出具【弱點掃描彙整報告】，除詳述可能的安全性漏洞以外，並提供主機管理員相關的系統修補建議參考。 1. 發現目標主機有弱點或漏洞時，資安技術服務工作組將所發現到的弱點或漏洞及修補建議彙整出掃描報告，通知申請單位聯絡人，並請其聯絡單位內之主機伺服器管理者，針對對其弱點/漏洞進行修補。 2. 主機系統管理員完成弱點修補及修補結果回報後，由資安技術服務工作組針對有弱點/漏洞的伺服器進行二次掃描。 3. 複掃後仍無法完成修補之弱點漏洞時，由主機管理者填報無法修補原因及預防措施，並將由資安技術服務工作組產出之「弱點掃描彙整報告」同時呈報所屬單位之主管及資安長簽核以茲紀錄。 ### 四、作業流程說明（客戶及外部組織）： #### (一) 接收弱掃服務申請 1. 客戶或外部組織申請者經報價後，根據其需求填寫「弱點掃描報價單」及「弱點掃描申請書」後，回傳給業務單位及資安服務工作組。 2. 業務單位處理報價單收單(TDL)。 3. 資安技術服務工作組收回「弱點掃描申請單」後經由資安技術服務工作組主管簽核並派員執行。 #### (二) 進行申請審核與聯繫確認弱掃工作內容 1. 資安技術服務工作組進行「弱點掃描申請單」之審核，將以當面、電話或Email聯繫申請者，確認申請者的身份和聯絡資訊，並核對受測主機的資訊，包含目標網路環境是否設有防火牆，或是否屬外部實體隔離的內部網路，並確認進行安全檢測的時間。 2. 業務單位針對「弱點掃描報價單」與客戶進行聯繫確認服務內容、範圍、時間與金額議價。 #### (三) 弱點掃描實施及完成 1. 一般檢測：利用遠端檢測的方式對受測主機進行系統安全評估及檢測後，自動產生系統「弱點掃描報告」，交由NOC進行彙整。 2. 機動式平台檢測：受測主機若對外架設防火牆或是與外部完全隔離，則由專人使用可攜式的機動掃描平台至受測單位的內部網路進行掃描，在完成受測主機的系統安全性檢測後，回報至NOC進行彙整。 #### (四) 產出弱點掃描及回覆報告 &emsp;&emsp;資安技術服務工作組將檢測結果彙整後出具【弱點掃描彙整報告】，除了詳述受測主機系統的可能安全性漏洞，同時需提供詳細的系統修補建議供客戶參考。 1. 發現目標主機有弱點/漏洞時，資安技術服務工作組將所發現到的弱點/漏洞及修補建議彙整出掃描報告，通知客戶並請其聯絡單位內之主機伺服器管理者，針對對其弱點/漏洞進行修補。 2. 主機系統管理員完成弱點修補及修補結果回報後，由資安技術服務工作組針對有弱點/漏洞的伺服器進行二次掃描。 3. 針對二次掃描仍無法完成修補之弱點/漏洞，資安技術服務工作組再次產出「弱點掃描彙整報告」送交客戶。 ### 五、服務水準規範 依據服務水準協定（Service Level Agreement，SLA），將完成工作服務項目為參考目標。 執行時程： * 初掃：每次以 2 週為限 * 複掃：每次以 2 週為限 * 報告：初掃及複掃結束後 2 週內提供 設備服務中斷時間： * 因執行弱點掃描服務造成軟硬體設備服務中斷時，中斷時間不超過 8 小時 不適用於任何基於【XX資訊】合理控制範圍以外之因素所造成之延宕。 ### 六、品質需求 (一) 為確保服務如期如質完成，應指定(資安長/資安主管/報告簽署人)負責督導各項工作執行，並於【弱點掃描彙整報告】中具名簽署以茲負責。<br> (二) 因應稽核需求與品質保證，所有工作流程應依據品質管理原則以保障本項服務品質。<br> (三) 服務期間如應客戶要求辦理啟始會議與結束會議，得應視情況召開專案管理會議以掌控品質，會議討論內容與結果需作成紀錄與追蹤之文件化管理，供(利害關係人/股東/客戶)備考與驗證。<br> ### 七、備註說明： (一) 新設備於正式服務前，須先完成弱點掃描，確認無弱點後，方可上線服務。<br> (二) 弱點掃描之申請單及掃描報告皆屬於資訊安全之機密資料，因此，網路維運中心弱點掃描作業相關業務負責人，及申請使用本服務之相關資訊人員皆須填寫「保密切結書」。<br> (三) 請申請者確定主機於檢測時程內是正常開機，未開機將造成掃描結果錯誤。<br> ### 八、作業流程圖與相關表單 (一) 作業流程圖（附件一）。<br> (二) 檢測服務申請書（附件二）。<br> (三) 檢測技術要求與檢測步驟文件（附件三）。<br> (四) 弱點掃描服務彙整報告（附件四）。<br> (五) 服務保密切結書（附件五）。<br> (六) 弱點掃描服務條款（附件六）。<br> --- |附件一| |-----| 作業流程圖 --- |附件二| |-----| 檢測服務申請書 --- |附件三| |-----| 檢測技術要求與檢測步驟文件 --- |附件四| |-----| 弱點掃描服務彙整報告 --- |附件五| |-----| 服務保密切結書 --- |附件六| |-----| 弱點掃描服務條款