跳轉到

網路與 Wi-Fi

在組織工作環境中,確保公民團體的網路與 Wi-Fi 設定安全,是抵禦潛在威脅的重要項目之一,「個人裝置」相關的設定已在其他章節呈現,本章節會專注在網路通訊設備的調整建議。如果在您的組織中無法驗證以下建議,可尋求信賴的團隊來協助您完成。

個人裝置的網路設定

  • 個人裝置安全建議設定可以參考「裝置安全」章節的說明。可依裝置類型子分類查閱詳細的操作方式。

無線路由器

  • 更改預設管理者帳號及密碼:預設的帳號與密碼往往容易被駭客獲得,因此,應立即更改路由器的預設管理者帳號及密碼
  • 更新設備:定期檢查並更新無線路由器設備,確保它具備最新的安全規格及功能。
  • 加密通訊:確保 Wi-Fi 網路使用 WPA3 加密,若路由器未支援 WPA3,至少應使用 WPA2。避免使用 WEP,因為它已被證明不安全。
  • 隱藏 SSID:選擇不廣播 SSID(Service Set Identifier),增加潛在攻擊者發現無線基地台的難度。
  • 禁用 WPSWi-Fi Protected Setup(WPS)可能存在漏洞,應禁用此功能以提升安全性。

防火牆與網路存取控制

  • 啟用防火牆:在路由器上啟用內建防火牆,並設定適當的規則來過濾不必要或可疑的流量。
  • 建立訪客網路:如果需要提供訪客使用 Wi-Fi,應為他們建立獨立的訪客帳號,這樣可以避免訪客的裝置直接接觸內部網路。
  • 限制設備連接數量:配置路由器設定,限制可以連接的設備數量,降低網路負載。

網路監控與異常檢測

  • 定期檢查連接設備:期檢查路由器上有哪些裝置正在連接,確保沒有未知或未授權的設備。
  • 設定異常流量警示:如設備有能力,設定網路流量監控和警報提示,當流量出現異常時能及時通知。

網路隔離與分段

  • 網路分段:將辦公網路與訪客或其他網路分段,例如,將內部網路和供公眾使用的網路、連結到不同機敏層級的 NAS,可置於不同的 VLAN,以提高安全性。
  • 使用 VPN: 使用 VPN 以保障經由公共網路連接到內部網路的資料數據安全性。

教育與培訓

  • 員工培訓:定期對員工進行網路安全培訓,提升他們對常見攻擊手法如釣魚攻擊、社交工程的認識和防範能力。
  • 強調設備管理:教育員工對個人及辦公設備的網路安全管理,包括不隨意連接不信任的公共 Wi-Fi、經常更新設備的安全更新等。