<<資安重點>>

<<登入帳號保護>>

1. 登入密碼要足夠複雜，可使用<PwTest測試>，並確認沒外流。
2. 登入功能需啟動二階段認證 。(外泄密碼時也有所察覺)
3. 每個使用者都使用自己的帳號，不可多人共用帳號。
4. 盡可能不要使用「最高權限」工作、日常使用。
5. 登入紀錄功能、登入通知(簡訊、郵件)需啟動。(外泄密碼時也有所察覺)
6. 電腦開機必須輸入密碼才能登入，禁止使用自動登入。
7. 所有密碼加鹽後進行管理與存放。(避免密碼遺忘與外洩)
8. 任何輸入密碼的功能、頁面，要確認是否為釣魚網頁，尤其是電子郵件來的登入連接。

<<伺服器、資料庫>>

1. 伺服器服務能不對外的服務、就不要對外，善用 VPN 來取代開Port對外。
2. 程式碼、資料，需定期、手動備份。
3. 防毒軟體安裝，並持續更新病毒碼。
4. 備份在外部的儲存裝置的資料需使用<加密軟體>加密，避免資料外洩。
5. 使用應用程式白名單，當有白名單內之程式啟動，則發告警。
6. 伺服器、軟體的 Log 功能啟動。(當疑似入侵時也能有所追朔原因)
7. 使用紀錄功能完善的防火牆硬體，例如FortiGate。(被入侵時也能有所察覺)

<<使用者、開發者>>

1. 使用 <FFS> 比對程式碼、資料，是否被串改、加料。(被入侵時也能有所察覺)
2. 開發網頁、CGI程式需注意注入攻擊、XSS攻擊與穿牆攻擊等防禦。
3. 檢查電腦 Windows 自動啟動，是否有可疑程式、是否被植入病毒。
4. 開啟外來檔案、網路來的檔案，先用掃毒軟體掃毒。
5. 開發的系統中，建立帳號、申請帳號、密碼建立修改等功能，需進行弱帳號、弱密碼檢查。