跳轉到

加密通訊資安政策

資訊安全政策範本分為基礎版與進階版,各版本分別再分為四個等級類型,請衡量組織的狀況作適當的調整。

「加密通訊資安政策」包含章節內容中的「加密通訊」、「加密即時通訊」、「加密電子郵件」。

等級說明

等級 說明
優先 需優先且必須達成的項目。
建議 完成或達成該項目會更好。
須知 需先瞭解相關的背景知識。
選用 額外的建議或其他的選項。

基礎版本

適用於剛開始建立資訊安全政策的小型公民團體

優先

  1. 加密即時通訊工具:選擇即時通訊工具時,應優先選用提供端到端加密的工具(例如:Signal、WhatsApp)。
  2. 加密電子郵件通訊:發送含有機敏資訊的電子郵件時,應使用內建的加密功能(如:Gmail 提供的機密模式)或第三方加密插件(如:ProtonMail、Tuta)。
  3. 兩步驟驗證:所有成員的即時通訊工具與電子郵件帳號應啟用兩步驟驗證,以提高帳號安全性。
  4. 密碼管理:應使用密碼管理工具(如:Bitwarden、1Password)以便產生和儲存強密碼。
  5. 軟體更新:即時通訊應用程式和電子郵件客戶端應保持最新,避免使用過期或不安全的版本。
  6. 安全連線:應確保連線至即時通訊工具與電子郵件伺服器時,使用 HTTPS 或其他加密連線協議。
  7. 設備安全:成員應設置螢幕鎖定密碼或生物識別技術,保護裝置內的資料安全。

建議

  1. 培訓與教育:定期為成員舉辦資安培訓,說明加密通訊的重要性和實務技巧。
  2. 定期更換密碼:建議成員每 3-6 個月更換一次即時通訊工具和電子郵件的密碼。
  3. 安全信任鏈:在交換公開密鑰時,應透過安全的渠道(如面對面)確認對方的身份。
  4. 瀏覽器擴充工具:建議安裝瀏覽器防護擴充工具。
  5. 安全備份:備份含有重要通訊記錄的裝置,並確保備份檔案也受到加密保護。
  6. 機敏資料標記:發送電子郵件時,使用標記(如:「機密」)來提醒接收人進一步保護資料。
  7. 清除快取記錄:定期清除即時通訊工具與電子郵件客戶端的快取和存放的暫存記錄。

須知

  1. 加密算法:認識常見的加密算法(如 AES、RSA)的基本概念與差異。
  2. 數位簽章:瞭解數位簽章的原理與用途,以便未來組織內部應用。
  3. 信任根證書:瞭解根證書的概念及其對 HTTPS 安全的重要性。
  4. 電子郵件加密插件:瞭解如何安裝及使用常見的電子郵件加密插件,例如 PGP
  5. 社交工程攻擊:學會辨識社交工程攻擊的常見手法,保護個人及組織資料。
  6. 隱私政策:瞭解各常用通訊工具及電子郵件服務的隱私政策內容。
  7. 洩漏應對措施:瞭解資料洩漏時應採取的應對措施及通報流程。

選用

  1. 自架伺服器:研究即時通訊工具及電子郵件伺服器的自架設計,提高控制能力。
  2. 硬體加密設備:考慮使用硬體加密裝置(如 USB 加密鑰匙)提高安全性。
  3. 匿名通訊工具:探索和試用高匿名性的通訊工具(如 TOR-based 通訊應用)。
  4. 定期安全稽核:定期進行內部安全稽核,檢查加密策略是否有效。
  5. 開源解決方案:使用開源的即時通訊和電子郵件加密解決方案(如 Element)。
  6. 法律及合規:深入瞭解與通訊加密相關的法律規範與合規要求。
  7. 資安團隊合作:與國內或國際的資安團體或行動者合作,了解並採用最新的加密技術和策略。

進階版本

適用於已有一定資訊安全政策基礎且規模較大的公民團體

進階版本

優先

  1. 磁碟加密:所有成員的設備應開啟磁碟加密功能(如 BitLocker 或 FileVault)。
  2. 數位簽章應用:所有外部文件及電子郵件應加上數位簽章,確保文件完整性與可信任來源。
  3. 端對端加密:所有即時通訊與電子郵件應使用端對端加密技術。
  4. 加密憑證管理:定期更新和管理使用的加密憑證,避免過期或被撤銷。
  5. 傳輸層加密:除了 HTTPs,鼓勵採用 TLS/SSL 技術應用於所有電子郵件伺服器。
  6. 多因子驗證:啟用多因子驗證(MFA),強化各種應用程式的安全性。
  7. 安全通訊指南:制訂並落實一套詳細的內部安全通訊指南,包含加密應用和來源情報保護。

建議

  1. DLP(資料流失防護):設定 DLP 政策,防止機敏資訊未經授權發送。
  2. 內網隔離:在內部網路上實現隔離方案,保護機敏資料的流通。
  3. 加密郵件閘道:部署加密郵件閘道,保護內外部的電子郵件通訊。
  4. 多重加密層:結合多層加密技術,以保護高機敏資料。
  5. 漏洞掃描與評估:定期進行即時通訊和電子郵件所使用的工具的漏洞掃描。
  6. 外包通訊安全評估:考慮委託外部專業資安單位進行定期的通訊安全評估。
  7. 入侵檢測系統:採用網路入侵檢測系統(IDS)監控內、外部的可疑活動。

須知

  1. 對稱與非對稱加密:深入瞭解對稱加密和非對稱加密的實作與應用。
  2. 零知識證明:學習零知識證明技術的應用場景及其在通訊加密中的應用。
  3. 混沌網路:研究混沌網路技術,提升通訊和資料傳輸的匿名性及安全性。
  4. 後量子密碼學:瞭解後量子密碼學的基本概念及其未來應用。
  5. 隱寫術:學習隱寫術技術,以便未來利用隱寫術進行隱密資料傳輸。
  6. 同態加密:了解同態加密的基本原理及其在安全運算中的應用。
  7. 區塊鏈應用:研究區塊鏈技術在安全通訊及資料保護上的潛在應用。

選用

  1. 加密即時訊息備份:實施加密即時訊息備份方案,確保資料在備份過程中也受保護。
  2. 分散式通訊:探討部署分散式通訊架構,增強抗襲擊能力。
  3. 智慧合約:利用智慧合約技術,提升通訊和交易的安全性與自動化。
  4. 去中心化通訊平台:考慮使用去中心化的即時通訊平台(如 Matrix)。
  5. 隱私強化計劃:制定和落實隱私強化計劃,全面保護組織及成員隱私。
  6. 自適應安全架構:建立自適應安全架構,快速應對動態威脅。
  7. 隱私法遵循:深入瞭解各國隱私法規,確保所有通訊策略符合相關法規要求。