2009年11月18日 星期三

[專題] 從ISO 27001談實體安全管理

許多企業在規劃如何去加強資訊安全時,首先想到的都是如何去防護網路安全,以為添購了防火牆、設置入侵偵測系統或是安裝防毒軟體等,就做好了資訊安全防護工作,不會受到駭客入侵而造成企業損失。但是,這樣真的就安全了嗎?我們不妨看看以下媒體所報導過的真實事件:
  • 美國飛機製造商波音公司一部含有38萬名現職及退休員工的資料,因為員工一時疏忽放置在車上而遭竊;美國退伍軍人事務部,也因不小心遺失筆記型電腦,而造成2600萬退伍軍人資料的外洩。
  • 美國大型家電連鎖商Circuit City,因信用卡公司不慎將含有持卡人資料的電腦磁帶當成垃圾丟棄,遺失了260萬名信用卡持卡人資料。
  • 日本三井住友銀行倫敦分行,因數名竊賊假扮成清潔人員,而偷偷在處理國際轉帳事務的電腦內,安裝了鍵盤側錄程式,差點順利竊走4億美元的存款。
  • 巴西中央銀行因竊賊花了三個月時間挖掘地道,而被搬走約21億台幣的現鈔,但是金庫內的攝影機與偵測器,卻完全沒有發揮任何作用。
  • 今年3月美國國稅局存放納稅人資料的26個電腦磁帶,竟在市政府大樓內遺失。
從以上事件可以看出,因為設備的不當使用與人員的未經管制,加上實體環境缺乏防護管理,所造成的資安問題更加嚴重,值得所有組織與企業來予以警惕注意。

識別對實體與環境的威脅來源

如何去加強實體及環境的安全管理,已成為資訊安全工作中不可或缺的重要一環,除了防範經由網路滲透入侵的資安事件之外,天災與人禍更是我們需要去關切及預防的,此處所謂的天災,是指企業面對週遭環境的天然威脅,而人禍則是泛指因為人為管制的疏忽所造成的資訊安全危害。

因此,企業進行實體與環境安全的管理的目的,即是為了消除這兩項重大的威脅,並將可能發生危害的風險降至最低。從以上的角度來看,威脅又可概分為:
  1. 自然因素:指颱風、水災、火災、雷擊、地震等。
  2. 非自然因素:指電力、空調系統等。
  3. 人為因素:指偷竊、惡意破壞及門禁管制疏失等。
針對自然因素的預防,我們可以先從自然災害的威脅評估著手,像是調查所在區域的颱風、地震頻率,以及救援單位能夠及時到場協助的時間。另外,對於建築物本身的設計整建,是否使用防火建材、強化玻璃等,可以進一步要求對大樓結構進行強化,以抵擋自然災害的侵襲。

至於非自然因素的預防,主要是為了維持設備的正常運作,企業必須具備主要電力與備援電力獨立配電系統,另外像是針對突波與瞬間斷電的預防、總開關防護、發電機安置地點及供油儲存,也要有良好的規劃。在空調系統方面,在機房內需要有恆溫、恆濕的溫濕度控制與空氣濾清裝置,對於大樓出入風口也要有妥善保護。

最後在人員作業方面,具敏感性的職務在人員錄用前需進行的背景調查;重要處所進出必須做到人員識別與門禁管制;機房人員也須做好消防演練、疏散及消防設備的使用測試。

企業的實體與環境安全若沒有做好,所造成的損失有兩種,一種是資產設備的失竊或損毀,會造成直接的財務損失;另一種則是資訊資產的遺失,例如重要的設計資料、公司人事資料或是重要商業機密等,輕則使商譽受損,重則甚至造成整個企業營運的中斷。

ISO 27001的實體安全控制措施

在ISO 27001:2005的附錄A控制措施中,「A9實體與環境安全」項目清楚規範了實體與環境安全此一控制項目,可做為企業在進行實體與環境安全管理時的最佳參考。

在「A9.1安全區域」控制項目中,其目標即是為了防止企業或組織所在的場所,遭到未經授權的實體存取與侵害,而要求必須劃分安全的邊界,將關鍵或敏感的資訊置放於安全的區域,並且給予妥善的保護。

而「A9.2設備安全」,目標是防止因資產的遺失、損害或竊盜,而造成組織營運的中斷。本文則以ISO 27001的規範為基礎歸納出以下幾點,提供企業在執行實體及環境安全管理時的參考。

一、設定實體安全邊界 - 針對實體邊界的保護,必須依照週邊設施,根據其資產價值來決定保護措施的設置程度,以達到安全控管的目標,要注意的事項有:
  • 建築物週圍可設立圍牆等人工屏障或實體隔離設施,並且加強燈光照明系統,另外還可設置重點監視設備或保全人員巡邏。

  • 對於邊界進出口須設置警衛、檢查哨,並且進行人員及車輛進出管制,識別方式可採取識別證、磁卡、生物辨識(指紋、掌紋、虹膜、聲紋)等。在人員識別方面,需注意辨識準確度、速度及設置成本,必要時可採取人員陪同或搭配可錄音錄影之監視系統。

  • 對於無人門窗應予以上鎖,無人區域與重要設施,宜定時派人巡邏,或安裝防盜與監視系統。
二、進出人員管制措施 - 在ISO 27001的「4.3.3紀錄管制」條款中要求,對於資訊安全管理的運作,所建立並維持的各項記錄,必須加以保護與管制,所以像是人員進出登記表,都必須妥善加以保存,建議可採取的人員管制措施如下:
  • 來訪人員應要求出示身份識別,配載身分識別標示,並且記錄進出的日期與時間。

  • 人員進出區域與動線需妥善規劃,來訪人員不應直接進入作業區域,若需進入作業管制區,須經由授權或專人陪同才能進入。

  • 技術支援或維護服務人員,需事先取得授權才能進行作業,並視管理需要由專人陪同監督。

  • 未經適當申請程序之人員,應禁止留在辦公室單獨作業。

  • 調職與離職人員,禁止其進入原工作之區域。
三、設備安全管理 - 對於企業內所使用的相關資產設備,應放置在予以適當保護的地點,以避免因不安全的環境而造成設備本身的損壞,或是未經授權的存取使用。另外,攜出場外使用的設備,也應該實施管制與保護措施,需要注意的事項有:
  • 存放或處理敏感性資料的設備,應放置在可以監控的地點,並且提供足夠的電源供應,如不斷電系統與防火、水災的保護,尤其是需要特別保護的設備,務必採取獨立區域與其他設備分開。另外,對於設備所使用的通訊線路,必須採取如隱藏或地下化的保護措施,以避免遭到資料截取與破壞。

  • 設備的維護必須由授權的維護人員來進行,若是委由廠商維護,針對維修人員必須通過身份識別或是陪同進行。在維護的過程中,必須將所排除的錯誤或是變更進行完整記錄,若需送回廠商處維修時,也必須按照設備攜出之規定進行,設備攜回或送修,應清除內含所有的敏感性資料。

  • 在敏感區域,所有未經授權之資訊設備,像是筆記型電腦、儲存設備、數位相機、照相手機等,皆不可攜入或攜出,需要攜入或攜出辦公室之設備則必須加以記錄檢查。

  • 外勤人員所使用的筆記型電腦,必須安裝防毒或個人防火牆,並且提供適當的資料保護措施,像是設定開機密碼或硬碟及檔案加密,並且要求不可將設備置於可能發生偷竊之地點,像是汽車等。

  • 企業內之無人設備(例如印表機、影印機、傳真機等)需有使用保護機制(如設置密碼),所列印之資訊應要求立即從印表機上取走,敏感資訊則應採用受管制監控之設備來列印。

  • 人員離開座位或是下班時間,應實施桌面淨空政策,將文件與儲存媒體置於上鎖之櫃子,電腦螢幕應啟用螢幕保護程式。

  • 需要報廢與再使用之資訊設備,必須針對其內含之儲存媒體,進行如低階格式化的資料刪除與覆寫,以確保資料能完全清除,所列印出的敏感資訊,若不需保存或是印壞丟棄時,應按照規定之銷毀程序處理。
四、機房之安全管理 - 屬於企業核心運作之電腦機房,在設置時應考慮地點及建築防護是否足夠,以減少天災或人為因素所造成的安全威脅,其安全管理注意事項如下:
  • 機房設置地點需考量天災發生頻率之問題,並且應避免鄰近火源、水源和交通頻繁之地點。

  • 機房之安全設計需考慮採用如高架地板、隱藏佈線、地板承重度及排水、防火功能等。

  • 機房應擁有獨立與備援之電力支援,對於重點設備應考慮優先供電設施及UPS不斷電系統。

  • 機房內應裝置適當的煙霧偵測器、溫度感知器等火警設備,並且設置滅火器材(考量使用乾粉及在無人區域使用二氧化碳減火器)以防止火災的發生。

  • 危險及易燃性之物品,絕對不可存放在機房中。

  • 機房之位置,應該盡量避免過於明顯的標示,以避免成為侵入和攻擊的目標。

  • 機房使用之備援設備,應存放一定之安全距離,以避免災害發生時一併遭到損毀。

  • 機房人員應熟悉緊急應變程序,並且實施定期演練及測試;非機房人員需取得授權,並由相關人員陪同監控始可進入。

  • 機房應具備門禁管制設備或上鎖,並視情況設置監視設備,人員出入需取得授權並登記日期時間。
小心實體安全的資安漏洞

其實,大多數企業皆重視的網路安全工作只是資訊安全的其中一環,而企業最容易輕忽的,卻是最基礎的資安防護工作,像是實體與環境的安全管理等。請試著想想,當惡意人士能夠輕易進入企業環境之中,將整台主機、儲存設備,甚至是員工的筆記型電腦偷走,此時企業所設置的網路安全設備將是無法發揮任何作用的,而且資料損毀或竊盜所造成的傷害與損失,很可能會遠大於經由網路入侵系統所造成的危害。所以,如果企業對於實體與環境沒有採行適當的防護管理,當遭遇所謂的天災或人為的惡意破壞,很可能會讓重要的營運資訊毀於一旦。

在ISO 27001中,已針對實體及環境的安全管理,提供了明確的指引與實作建議,可以避免關鍵設備或機密資訊受到不當的存取、損害與干擾,企業能夠藉由落實各項控制措施來降低可能發生的風險。另外,在難以避免的天災部份,建議還可透過保險或委外管理等風險轉移措施,為企業提供更深一層的保障。(本文刊載於2007年iThome資安專刊)

沒有留言: