長假期或活動檔期前 3 分鐘完成重點檢核:網域/網站、郵件/詐騙、雲端/權限、監控/應變。文末提供資安健檢檢測表 PDF 供下載,方便查核風險。
中秋、雙 11、年底旺季常見到網站流量飆升與釣魚詐騙升溫。為了讓團隊能「快速、可落地」地完成節前準備,Cloudmax 匯智整理了這份 《資安健檢 12 項》檢測表,一份表就能看完重點並立刻行動。
A. 網域/網站(高風險優先)
1. 網域到期與 DNS 安全
網域到期日期:___________
□ 30日內將到期,立即續約
□ 到期 < 90 天已設提醒
□ DNS 重要變更(A/CNAME/MX/NS)雙人覆核 + 變更紀錄
□ Registrar Lock 設定(加分)
□ 已啟用 DNSSEC((加分))
【行動建議】即將到期立即續約,尚未到期但系統會自動通知可忽略,若無則設定續約提醒。
2. SSL/TLS 憑證
憑證到期日期:___________
□ 30日內將到期,立即續約
□ 未過期/自簽
□ 有效憑證、集中憑證清單(含到期日與服務對應)
【行動建議】注意到期日,到期前完成續約與憑證更換流程
3. WAF/DDoS 防護
□ 已啟用 WAF 規則(SQLi/XSS/BOT/Rate Limit)
□ 已設定異常警示
□ 未導入相關服務
【行動建議】節前壓測關鍵流程(登入/結帳/註冊);若未導入相關方案,但過去曾經受到攻擊或過去未遭受攻擊,但本次有投入較大行銷資源,建議評估建立應變方案。
4. 網站可用性與備援
□ CDN 快取策略到位
□ 健康檢查/故障切換測試
【行動建議】設定重要頁面監測(>60 秒頻率)、預案演練。
B. 郵件/社交工程(高風險優先)
5. 寄信網域驗證
□ SPF/DKIM/DMARC 三件套齊全
□ DMARC 報表有人看
【行動建議】DMARC 政策至少 p=quarantine,逐步升至 p=reject。
6. 員工釣魚防護與教育
□ 每年至少 1 次釣魚演練
□ 新人/檔期前短訓(15 分鐘)
【行動建議】訂定可疑信件通報流程與 SLA。
C. 雲端/身分存取
7. 身分與權限管理(IAM)
□ 重要帳號全面 MFA
□ 角色分權(least privilege)
【行動建議】專案結束/離職 24 小時內 完成收權。
8. 雲態勢管理(CSPM)
□ 持續掃描公開資源(S3/Blob)、過寬安全群組、未加密磁碟
【行動建議】建立高風險規則自動告警與指派工單。
9. 金鑰與憑證治理
□ API Key/Token 有輪替週期(≤ 90 天)
□ 置於金鑰保管庫
【行動建議】排程輪替與存取審核(含機器帳號)。
D. 監控/應變與備份
10. 可視性與日誌
□ 關鍵系統集中到 SIEM/SOC
□ 留存 ≥ 30 天(法規需求依業別)
【行動建議】建立高優先事件的即時通知與 runbook。
11. 事件應變(IR)
□ 一頁式 IRS(通報名單、隔離步驟、聯絡窗口)
□ 年內演練紀錄
【行動建議】建立 30/60/90 分鐘分層通報節點。
12. 備份與還原演練
□ 3-2-1 策略(3 份、2 種媒介、1 份異地/離線)
□ 近 90 天有還原測試
【行動建議】為關鍵系統建立 RPO/RTO 目標與測試證據。
下載連結:
▌延伸閱讀與服務
- MDR 託管式偵測回應:24×7 監控、威脅獵捕與事件回應(含演練/複測)。
MDR 方案:https://www.cloudmax.com.tw/product/mdr-security-service - CSPM 多雲態勢管理:雲資產持續掃描與合規落地。
- WAF/DDoS 防護與壓測:尖峰前規則優化與交易路徑壓測。
WAF 方案:https://www.cloudmax.com.tw/product/m-waf
DDoS 方案:https://www.cloudmax.com.tw/product/ddos-mitigation - OfficeMail 郵件防詐:SPF/DKIM/DMARC 建置與報表監控。
郵件詐騙防護方案:https://www.cloudmax.com.tw/product/osecure
上列項目仍可視產業別、規模與目標等做調整,需要協助健檢與了解如何做必要的改善,加入 Cloudmax 匯智官方 Line(https://line.me/R/ti/p/@cloudmax),由資安顧問協助您。
▌進階檢查提醒(可作後續深度健檢參考)
除上述《資安健檢 12 項》核心內容外,下列項目為建議納入後續或進階健檢的面向,企業可依規模、產業特性及資安成熟度,由資安團隊或外部顧問協助調整執行。
| 類別 | 項目 | 內容說明 |
|---|---|---|
| 弱點掃描 | 系統與應用漏洞檢測 | 透過掃描工具發現系統、應用層面已知安全漏洞 |
| 主機系統設定 | OS 與設備安全組態檢查 | 確認系統更新、帳號權限及安全組態是否合規 |
| 網路監控 | 流量異常與惡意行為偵測 | 分析網路流量,發現可疑連線及潛在入侵 |
| 端點安全 | 惡意程式掃描與系統完整性檢查 | 電腦和伺服器病毒、後門程式偵測 |
| 防火牆與存取控制 | 規則合理性檢查 | 審查防火牆、存取權限是否符合最小權限原則 |
| 應變能力 | 事件通報演練與備份恢復測試 | 定期演練事件應變流程,執行備份還原測試 |
▌常見問答(FAQ)
1. 我們沒有雲端,也需要 CSPM 嗎?
若完全無公有雲資產,可先跳過;但常見的 SaaS(如郵件/協作)也牽涉到身分與權限,仍建議落實 MFA 與收權流程。
2. DMARC 要直接 p=reject 嗎?
建議先從 p=none 蒐集報表,修正合法寄件來源,再漸進到 quarantine 與 reject,避免誤擋合法郵件。
3. 壓測會不會影響線上服務?
採 離峰+漸進+白名單 IP 與跨團隊溝通即可安全進行,能提前暴露瓶頸並優化 WAF 規則與快取策略。
4. 該先從哪幾項開始?有優先順序嗎?
先處理高風險必做:網域到期、憑證到期等,立即性會讓服務停擺的問題;接續則為安全穩定型問題,如 WAF 高峰前壓測、DMARC 報表監控、MFA 全面化、備份還原演練。
5. 打分低代表很糟嗎?分數怎麼解讀?
分數是成熟度指標,可參考以下 0 – 5 高風險 → 先補 A1 – A3、B5、D11 – D12;6 – 9 中風險→導入流程化與監控;10 – 12 低風險→持續追蹤與複核。
6. 沒有雲端也能用這份健檢嗎?
可以。若無公有雲,可先跳過 CSPM 相關項,專注在 網域/網站、郵件與存取、備援與演練 等通用控制。
7. DNSSEC/Registry Lock 必做嗎?
視環境成熟度列為加分。先把 自動續約、Registrar Lock、CAA、變更雙覆核、MFA 落實,就能大幅降風險。
8. 做完健檢的下一步是什麼?
把缺口轉成工單與時程,必要時可安排健檢諮詢;若需 24×7 偵測與事件回應,可導入 MDR,雲端環境則補上 CSPM。
➜預約 Cloudmax 匯智資安顧問健檢,30 分鐘快速協助您釐清現況與需求。
加入 Line 預約:https://line.me/R/ti/p/@cloudmax
歡迎轉載!請見:轉載原則。
Image by AI-generated via Google Gemini / DALL·E
