在公司機房主機的硬碟裡面,存放著這幾年來所有的客戶與交易資料,小陳每天都小心翼翼地注意機房的溫溼度、空調與電力系統,來維持這小型資料中心的正常運作,為了避免閒雜人等或是竊賊進入機房,小陳也建議公司設置了安全鎖,並且要求進出的相關人員必須填寫進出登記簿。
不過,總務人員說,為了一些資產設備維護的方便,也必須擁有一把鑰匙,所以小陳將另一把機房鑰匙交給總務人員保管,總務人員在鑰匙上貼了「機房」二字的標籤之後,就把它和一般的鑰匙都放置在桌上的文件盒裡,有委外維護的廠商需要進入機房時,只要向總務打聲招呼就能拿到鑰匙,總務並沒有仔細核對其身份,更沒有填寫進出登記簿,因為他認為只有公司的員工才需要去填寫。
管理問題重於技術問題
從上述的情況來看,小陳所有的努力,到了最後很可能會功虧一簣,因為經過總務座位的任何一個人,都有機會輕易地取得這把鑰匙,更何況上面還清楚地標示著「機房」二字,一旦有人成功竊取了機房鑰匙,或是以其他藉口獲得總務人員的信任,偽裝成維護人員進入機房,企業的重要設備或是儲存的資料,就會成為待宰的羔羊。
對於中小企業而言,若需要自行建置維護一個機房或是小型的資料中心,都會面臨到兩個問題,首先是預算與環境,因為要建置一個麻雀雖小、五臟俱全的機房,就必須要考慮機櫃、電力、空調、佈線、消防等硬體設施,不過這些都可以透過工程技術來加以克服。至於另一個也是最重要的問題就是機房管理,即使大多數企業都制訂了機房管理辦法或作業規定,但規定是否能真正落實,有沒有稽核機制來加以檢視,卻仍舊是個很大的問號,尤其是員工對於資安問題的警覺性與回報能力,可不是擁有一紙規定就可以統統達成的。
目前,許多企業對於所謂進出人員的管制,往往只是流於形式而已,這也是發生不當的內部資料存取與設備被竊的主要原因,惡意駭客只要透過「社交工程(Social engineering)」手法,像是冒充委外廠商的服務人員,或是尾隨在企業員工之後混入,甚至是假裝為同一公司員工,但是忘了帶門禁卡而請他人代刷,都可以輕易取得通行權進入企業內部環境,這時候,所有抵抗外來攻擊的網路安全設備已形同虛設,因為駭客早已另闢蹊徑,直接攻進了企業的核心。
資安強度決定於最弱一環
從ISO 27001標準的角度來看,對於「實體與環境安全」已有明確的管理要求,在附錄A9的控制措施中,即強調必須劃分實體安全邊界,並且實施實體進入的控制措施。另外,在本文條款的「4.3.3記錄管制」章節中,也要求對於資訊安全管理的各項記錄,必須加以妥善保存,像是人員進出機房管制區域的日期、時間,以及是否有人授權與陪同等,都需要有完整的文件記錄才行。
因此,企業該如何加強實體安全呢?除了參考ISO 27001的規範之外,讓我們回到一開始的小故事,文中提到的幾個情境,都可以轉化成為資安觀念,作為加強實體安全時的參考:
- 未核對委外服務廠商的身份 - 顯示出人員管制有疏失,企業對於委外服務的廠商,必須要確認其維護人員是否有事先申請,並且取得了管理階層的授權,在核對身份無誤之後才能進行相關作業,並且最好要有專人陪同。
- 機房鑰匙未妥善保管 - 顯示員工的資安教育訓練應加強,在企業的存取控制政策中,更應明訂鑰匙和通行碼保管人須善盡使用保管責任。
- 出入人員未填寫登記簿 - 顯示缺乏標準的作業程序(SOP),就算來訪人員經過身份確認之後,也必須配戴清楚的身份識別標示,並且詳實記錄進出機房的日期與作業時間。
沒有留言:
張貼留言