2009年12月29日 星期二

[觀點] 從境管當機事件談資安風險管理(上)

意外事件的發生,往往令人措手不及,如果又缺少適當的應變方法,一團混亂的結果更會造成危機的擴大。因此,最好的做法就是在事前設想可能的風險,並採取適當的控制措施來將衝擊降至最低,本文用簡單的範例說明,來協助你了解風險管理的過程

在2009年年初,桃園機場的境管電腦發生了當機事件,使得證照查驗工作必須採用人工方式進行,造成入出境的旅客大排長龍而抱怨連連。以往雖然也有類似情況發生,所幸資訊人員都能在很短的時間內搶修完成,讓服務可以迅速地恢復運作。但是,此次當機事件卻牽連甚廣,使得整個境管電腦系統停擺長達36個小時,更讓8名受到列管的人士得以入出境闖關成功。

此次當機事件,根據官方的聲明指出,主要發生原因是由於硬體過於老舊,導致硬碟與主機板發生故障,進而使得境管系統停擺。但是,在事件引起軒然大波之後,各家媒體和網友卻抱持著不同的看法,歸結起來大致可分為以下幾項原因:
  1. 硬體設備老舊未更新
  2. 相關人員應變力不足
  3. 備援與復原機制不足
  4. 缺少標準處理作業流程
個人認為這次事件的發生,不會只是由單一的因素所造成,因此可以從很多角度來予以探討,包括從系統開發與運作流程、備援作業程序、IT服務管理和營運持續管理等,但因缺少了相關直接證據,在此我們不去探討事件背後的真相如何,而是要來思考以上各個層面,都必須要考慮到的一個重點,那就是所謂的「風險管理」。

風險管理基本概念

風險是什麼?簡單的說,就是「你不想要發生的事件,當它發生的可能性和所造成的影響程度之組合。」舉生活中的風險為例,像是每年可能會發生兩次,當颱風來襲時會使住家所在的區域停電;或是一年左右會發生一次,因為路上的釘子刺破了輪胎,造成車子無法繼續行駛。若是以IT的例子來說,常見的風險則有每年大約發生一次,因為硬碟故障而造成檔案損毀;或是每半年可能發生一次電腦病毒造成系統當機等。

風險的存在與否,主要是視資產所處的環境及活動,要去考量它的嚴重性以及發生的機率,像以上這些事件所產生的風險,都會造成一些問題發生,假如沒有適當的因應作法,可能會讓事態擴大而產生更大的衝擊,所以若想要避免或是降低更多問題的產生,就必須要採取一些對應的風險控制措施,而這也就是風險管理過程中重要的工作之一。

風險管理的過程

風險管理的第一步,就是要先了解會產生風險的對象到底是誰?對企業而言,「風險來自於有價值的資產,所以必須要去識別企業內的重要資產有哪些,還有其所面臨的威脅與弱點是什麼,以便鑑別出各項風險組合。

以這次當機事件為例,它的資產至少包括了系統維護人員、運行系統的電腦主機、系統應用程式、儲存設備、備援系統等;可能的威脅則包括像是設備自然損耗和人員作業疏失;弱點則可能有維護支援服務不足、人員缺乏訓練、缺少應變程序等,如果以上這些資產的威脅和弱點同時發生的話,就會影響到所提供服務的正常運作。

因此,在了解風險的組成至少包括資產、威脅和弱點等三項要素之後,關於風險管理的過程,則可分為「識別資產」、「風險分析」、「風險評估」和「風險處理」等四個步驟來進行,以下是各項步驟的簡要說明。

識別資產
在資訊安全的範圍裡,我們所要探討的資產以資訊資產為主,也就是和資訊有關且彼此影響的事物。資產的種類通常可分為:
  • 人員 - 可分為內部和資訊作業有關的人員,例如管理階層人員、系統開發人員、系統維護人員、資訊處理人員、網管人員等;或是外部的約聘人員和承包商。
  • 文件 - 可分為紙本文件和電子文件,例如系統文件、使用手冊、網路拓樸圖、各式表單、合約、日誌、客戶資料等。
  • 軟體 - 資訊系統運作所需的套裝軟體,包括作業系統、資料庫、一般應用軟體、防毒軟體等,或是內部自行開發的應用軟體等。
  • 硬體 - 指存放、處理或支援資訊系統運作的硬體設備,例如個人電腦主機、伺服器、筆記型電腦、路由器、交換器、不斷電系統等。
  • 實體環境 - 指處理資訊所在的地點及建築物,例如機房、網管中心、備援中心、資訊作業中心等。
  • 服務 - 指對外連結或區域互動的網路,例如ADSL網路、光纖網路、數據專線、無線網路等;或是電力、水力等公共支援服務。
風險分析
在識別和資訊有關的資產並進行分類之後,接下來就要分析這些資產所面臨的威脅與弱點。所謂威脅是指會對資產造成損害的事物,可分為自然因素與人為因素。自然因素是指來自於天災或是設備的自然損耗,人為因素則包括有意破壞和無意的作業疏忽,目前常見的威脅包括:火災、水災、颱風、地震、電力中斷、駭客入侵、內部人員不當操作、人員惡意竊取、人員惡意破壞等。

至於弱點則是指存在於資訊資產本身,容易被威脅利用而造成損害的地方,要注意的是,「弱點本身並不會直接造成資產的損失,必須要伴隨著威脅一併發生,才會產生資安風險。」目前在資訊系統中常見的弱點有:作業系統未更新、病毒碼過期、缺少身份驗證、缺少存取權限控管、使用未加密的網路、人員缺少訓練、設備缺少維護等。

風險評估
在一一識別出資產所面臨的威脅與弱點之後,接下來就要進行風險評估,也就是計算出風險值,並依照風險值的高低來加以排序。當然,風險高的項目,一定是要優先去處理的。

至於風險的計算方式有很多種,礙於篇幅無法做詳盡的說明,在此僅提出一個最簡便的方法,可做為風險評估時的參考,應用時可依所處環境與管理要求來自行定義評價方式,本方法的計算公式如下:

風險 = 資產價值 x 威脅機率 x 弱點等級

關於資產價值可參考表一的說明,可分別依照資產的機密性、完整性與可用性的要求來給予評價,再取其平均值或是最大值;至於威脅發生的可能性,可用「每年發生一次」、「半年發生一次」、「每季發生一次」、「每月發生一次以上」等類別,分別給予1~4的評價;而弱點的等級,則可以區分為「很難被利用」、「難以被利用」、「容易被利用」、「很容易被利用」,同樣給予1~4的評價。

表一:資產評價說明

評價

機密性

完整性

可用性

1

公開,可對外界公布

資訊被竄改後對資產無害

資訊需要使用時,在24小時內需提供

2

一般,公司內部使用

資訊被竄改後對資產輕微損害

資訊需要使用時,在8小時內需提供

3

敏感,相關職務需要才能得知

資訊被竄改後對資產中度損害

資訊需要使用時,在4小時內需提供

4

機密,僅少數特定人士得知

資訊被竄改後對資產嚴重損害

資訊需要使用時,在2小時內需提供


在完成了資產、威脅與弱點評價之後,就可計算出各項資產現有的風險值,並可依風險值的高低,賦予風險等級,例如風險等級A為48~64、風險等級B為32~47、風險等級C為16~31、風險等級D為1~15。最後,企業的管理階層則要決定能夠接受的風險等級,假設為D的話,那麼只要是屬於風險等級ABC的資產,都是我們必須要去做風險處理的對象。表二是一個虛擬範例,僅供參考。

表二:各項資產之風險等級

資產類別

資產
名稱

威脅項目

弱點項目

資產價值

威脅機率

弱點等級

風險值

風險
等級

人員

資料備份人員

作業疏失

訓練不足

4

2

4

32

B

軟體

網站伺服器

駭客攻擊

未更新修補檔

3

4

4

48

A

硬體

網域伺服器

硬體故障

監控不周

3

2

3

18

C

---

---

---

---

--

--

--

--

--


小結

風險管理是一個持續性的過程,舉凡企業內部的組織變更、作業流程改變、資訊資產的變更,或是有重大的資安事件發生之後,都必須要重新進行風險分析和風險評估,以期能夠識別新的風險,才可及早採取適當的風險控制措施,降低可能的資安事件發生,下一次將會為你說明風險處理的相關做法。(本文刊載於2009年2月號網管人雜誌)

2009年12月28日 星期一

[觀點] 回顧過去,展望未來 - 資安工作重點提醒

面對全球不景氣的年代,隨著新的一年開始,究竟資安工作該如何加以落實與推動,將是一個值得重新思考的問題,尤其是在缺錢又缺人的情況下,企業該如何維持資訊安全的水準,同時達到預先設定的目標,本文所提出的建議可作為參考。

2008年底的金融海嘯,嚴重打擊了世界各國的經濟發展,也連帶使得台灣的失業人口數,因此一舉而突破了五十萬人,到底哪些企業在這一波海嘯中受害最深呢?從媒體的報導中看來,高科技製造業與金融產業應該佔了排行榜中的前二名,而無薪假的實施,更是這些科技新貴萬萬沒有想到的景況。不過,卻有一則新聞是讓人感到欣慰的,那就是在資訊安全方面,受創很深的金融業並沒有因此而減緩腳步,根據資策會MIC的調查指出,「強化資訊安全能力」仍是2009年金融業最重要的投資項目,而另外三項重點工作,包括「法規遵循需求」,「強化災難備援能力」、「提升風險控管能力」,事實上也都和資訊安全工作息息相關。

資安威脅的趨勢發展

個人認為,今日資訊部門有一項重要的任務,就是要確保企業發展必要的關鍵業務,能夠藉由資訊系統的協助而順暢運作,換句話說,如何去確保資訊系統的可用性,即是資訊安全重要的工作之一。因此,回顧過去的資安趨勢發展,可看出資訊安全已從風險管理的角度,演變成為在資安事件發生時,如何使企業能夠持續營運,這也代表著資訊安全、風險控管與災難備援,已具有密不可分的關係。

舉例來說,以往企業透過了風險管理的過程,即可鑑別出資訊安全方面可能的威脅與弱點,然後就能導入適當的控制措施,以降低所面臨的資安風險。可是,若萬一還是不幸發生了資安事件,那麼需要思考的角度就必須轉換成為如何在災難發生前,事先擬好各項應對的劇本,以便一旦災難真的發生時,就可以照著劇本的步驟來進行緊急應變,確保能夠在最短的時間內,盡快恢復企業的正常營運,並將對業務活動可能造成的營運衝擊傷害降至最低。

根據個人的觀察,病毒、蠕蟲與木馬等惡意程式,仍是讓目前大多數企業感到最為頭痛的資安威脅,尤其當惡意程式開始肆虐的時候,不只將造成企業的生產力降低,同時也讓資訊與網管人員疲於奔命,更嚴重的甚至會導致企業業務停擺,或是造成機敏資訊的外洩,這些都會是企業難以忍受的狀況,也應該列為優先預防及因應的目標。

資料與網站安全仍受關注

在新的一年,除了惡意程式之外,資料安全與網站安全也仍是資安的兩大主要議題。所謂的資料安全包括像是內部非法存取,行動裝置失竊和儲存媒體遺失等;而網站安全則包括網站主機系統強化、應用程式漏洞修補、網頁應用層防火牆部署等相關工作。

所以,針對資料安全我們該如何來因應呢,首先企業要識別的就是有哪些資料是需要受保護的?接著是這些資料究竟存放在哪裡?還有誰是資料的擁有者和使用者?唯有了解資料的所在位置與從屬的對應關係,我們才能進一步決定,應該要選擇何種控管措施。例如針對檔案伺服器,我們可以進行存取權限的審查與控管,而針對儲存資料的媒體如磁帶等,我們可以選擇以加密的方式來進行資料的保護,當它需要運送至異地存放時,也要選擇適當的保全方法。因此,建議大家可先從管理面的角度來出發思考,再根據本身實際的需求考量,就可以幫助我們更容易判斷應該導入哪一種資安控制技術。

除了確保資料安全無虞之外,截至目前為止,每天仍有許多網站不斷受到駭客入侵,當正牌網站被植入了惡意連結之後,同時也轉變成為危害一般民眾的幫兇。較令人憂心的是,對於有些企業或組織來說,網站遭到入侵仍是漠不關心的一件小事,即使得知自家的網站已被成功入侵,管理人員也不願或沒有採取任何的修補措施。因此,一般使用者必須要尋求自保之道,例如像是更新作業系統的修補檔、安裝最新的防毒軟體和病毒碼、安裝反間諜軟體等,這些已是使用者必要的基本配備,而留意已遭入侵的網站資料,避免連上這些已經淪陷的網站,也是降低感染惡意程式的好做法。

但是對於企業而言,資安人員除了協助使用者採行以上這些措施,還有一項技術是可以考慮導入的,那就是建置具備網頁過濾功能的Gateway端設備,此一裝置除了可阻擋內部使用者連線至惡意網址之外,對於釣魚網站的預防和非正當網頁的瀏覽,以及像是即時通訊軟體的傳送檔案管制,都可以收到不錯的管理效用,也能為資料內容安全做了一層更深的把關。

資安工作的重點提醒

以上的觀察與建議,除了提供給資安相關人員作為參考之外,還有幾項重點工作的提醒,也是未來可以規劃及運作的方向,分別說明如下:
  1. 進行資安解決方案的整合 - 為了確保資料不會遭到外洩,透過資安方案的整合,可以從端點安全開始,即針對重要的使用者電腦進行檔案加密,同時進行週邊設備控管;如果使用者經常需要存取內部的應用系統,可再藉由網路存取控管機制,當電腦一連接到網路,就馬上對它進行身份認證及系統安全掃瞄,在確認使用者電腦所安裝的軟體都已經更新,並且符合所設定資安政策的要求之後,才允許它連上企業內部網路。
  2. 資安管理仍是一帖良方 - 據了解,政府相關的B級單位,最遲須在2009年底通過ISO27001驗證,因此導入有效的資訊安全管理系統(ISMS),已是刻不容緩的工作。個人建議既然要做,就不可將拿到證書當作唯一目的,應該要抱著加強單位資安的心態來進行,因此在導入範圍的選擇上面,千萬不可避重就輕,仍要以關鍵的營運或服務系統為對象。
  3. 加強資安專才訓練 - 政府及民間企業的資安人力不足,仍是一項迫切需要改善的問題,根據資策會MIC在「台灣金融業資安投資現況與展望」調查報告中指出,以台灣的金融業為例,平均每一名資安人力,就需要負責221.4台電腦的資安工作,而1000人以上之金融業,每名資安人力更需要負責高達560.4位的員工。在這麼繁重的工作底下,非常需要專業的資安人員,並且要授權讓他們運用適當的工具,才能達到事半功倍的管理功效。
  4. 注意個資法的動態 - 未來一旦您所處的行業納入了新修正個人資料保護法中的規範,也就表示盡力保護儲存於企業中的個人資料,已是法律要求的必要做法。因此,企業若還是輕忽了個人資料的機密性,而將個人資料輕易地洩露出去,就必須接受法律所規範的罰則制裁,所以建議資安相關人員,請務必以「個人資料保護法」去Google一下,應該可獲得蠻多的資訊,可作為日後因應的參考。
隨著大環境的景氣不佳,許多企業單位皆進行組織整併或人事凍結,原來事多人少的資安工作,在此時此刻更顯得雪上加霜,不過,資安工作是一個持續性的過程,即使在景氣不佳的時候,其實也正是可以進行內部反省與檢討的時刻,因為既然花錢的事不太好說服老闆進行,但是檢討資安政策、落實資安規範、進行員工資安教育訓練,卻正是最好的運作時機,而所有資安工作的推動,仍有賴所有相關人員的共同努力,就讓我們彼此互相打氣加油!(本文刊載於2009年1月號網管人雜誌)

2009年12月21日 星期一

[專題] 電子商務資訊安全與法規遵循

網際網路的盛行,大幅擴展了資訊交換的領域,也改變了傳統的商業交易模式,對於現代企業而言,透過網路即可整合成一個上下游的供應鍊,能夠隨時採購所需要的各式原料與貨品;而對消費者來說,若是想要購買各種商品,已經不再需要攜帶現金跨出家門,也不需要在大賣場裡盲目地尋找想要購買的物品,更不需要一家一家去進行比價,花費太多力氣和時間來找出最值得購入的超值商品。

事實上,今天的消費者只要打開家裡的電腦,輕輕移動滑鼠連上網路,就可以連結販賣各種商品的網路商店,而且還可藉由商品比價的服務,輕鬆地找到想要購買的物品,然後把它們統統放到虛擬的購物車之中。一旦完成選購之後,接著只要按下「結帳」按鈕,再輸入商品送貨的地址和收件人資訊,透過信用卡來直接進行線上交易,短短幾十秒的時間內就可完成購物,有些物品甚至保證在24小時內就可送達顧客手中,若超過遞送時間的話,還會送上補償的現金折價卷,真是方便到令人難以想像。

不過,伴隨著「方便」而來的另一面,往往就會產生所謂的「安全」問題,因為消費者只要憑著信用卡號就能購買商品,那麼,商家要如何確保信用卡號不會在交易過程中被盜用,而造成個人的財務損失?如何去確保這些牽涉到金融交易的資訊,不會輕易落入惡意的第三者手中(例如駭客和公司內非經授權的員工),而被用來從事非法的行為,這些都是提供電子商務和線上交易的業者,必須要認真去面對的問題。

電子商務面臨的安全威脅

根據媒體的報導,從2007年下半年起,因為網路購物資料外洩導致的詐欺案件,已經成為詐騙手法的主流,每月發生件數佔各類詐騙案件的三分之一,警方指出,這些詐騙集團看準了時下年輕人大量使用網路購物,所以經常假借拍賣網站或網購平台業者名義,假冒網購服務人員來行騙。

回顧過去,有關信用交易和線上交易所發生的個人資料外洩事件,在國內外都時有所聞,例如:
  • 2005年6月,美國CardSystems電子付款資料處理公司,因為遭到駭客入侵被植入了惡意程式,導致4000萬筆交易帳戶資料外洩,成為當時規模最大的個人資料外洩事件。
  • 2005年7月開始,美國零售業者TJX公司,至少有一年半的時間,由於無線網路遭到駭客入侵,惡意人士可自由地進入TJX的資料庫,偷偷地盜取客戶的交易資料,造成了4,500萬筆以上的客戶信用卡資料外洩,損失所及包括後續遭到盜刷的各家發卡銀行。
  • 2007年1月,雅虎日本(Yahoo Japan)拍賣網站,出現了大量使用台灣信用卡卡號的異常消費,這些卡號都是事先被人側錄下來,然後集體在雅虎日本拍賣網站上盜刷,發卡單位包括了台灣數家知名銀行業者,約有數千名卡友被波及。
  • 2007年6月,歐洲更發生了大規模的網站遭受駭客入侵、竄改網頁程式碼的事件,受到影響的網站超過了一萬個,其中絕大多數是屬於旅遊、飯店、汽車製造與影音娛樂類等網站;同時間,全台灣也有984個網站被植入了惡意程式碼,包括了汽車、體育、商業和學術機構等網站,民眾只要瀏覽了這些被入侵的網站,就有可能不知不覺被安裝了木馬程式或病毒等惡意程式,竊取個人隱私資料。
  • 2007年12月,國內有八家購物和網路線上遊戲業者,疑似被竊取會員交易資料之後,再轉向購物網站會員進行詐騙,歹徒會以電話清楚告知被害人過去購物的內容明細,再謊稱因為作業疏忽誤將付款方式勾選為分期付款,進而要求消費者至ATM操作以便更正,誘使消費者不小心轉帳上當,預估被害人達五千多人;同時間,某知名線上購物平台業者,受到來自大陸的惡意入侵攻擊,在很短的時間內,被人大量地進行會員資料比對,不斷嚐試破解會員帳號密碼,藉此來取得進入會員登錄資料,有5400筆帳號和密碼因此被比對成功而外洩。
  • 2008年4月,某知名化妝品網站,也傳出會員帳號、密碼疑似遭到歹徒入侵破解,共有70多位會員資料外洩而被詐騙集團利用,要求會員需至ATM提款機前操作,以便更改已付款的訂單,暗中再趁機轉出存款。
以上的資訊安全事件,都是經由媒體所披露出來的,事實上,這些很可能只是冰山的一角而已,還有許多的電子商務業者,對於網站的安全,仍然沒有很好的防護措施,即使被惡意人士入侵竊取了資料,也還是一無所悉,受害的都是那些信用卡號和個人資料遭盜用的消費者而已。當然,也有許多業者,積極地想要加強電子商務的資訊安全,以維護網站的聲譽和消費者的權益,但是卻不知該從何作起,對於這些有心的業者,個人的建議是,不妨參考國際通用的資訊安全法規,從中去挑選適合自己營業項目型態的條款,從這些基本的安全要求開始做起。

認識資訊安全相關法規

對於電子商務業者而言,參考國際法規的規範要求,對於資訊安全防護工作將有莫大的幫助,事實上,有許多法規也已成為各個產業必須確實遵守的法律要求,如果沒有符合法規的規範,企業的負責人很可能會面臨法律刑責與罰款的處罰。

針對目前國際上與資安有關的法規,簡要說明如下:
  1. 美國Sarbanes-Oxley Act沙賓法案 - 要求美國公開上市公司必須做好內稽內控的資安工作,確保財報之正確及有效性,適用對象只限於在美國掛牌上市的企業,以及美國企業赴海外設立的分支機構及子公司,若是重要營運資訊遭到竊改或公佈,造成市場重大影響,將處以100萬美元或是對負責人處以20年以上刑期。
  2. 美國Gramm Leach Bliley Act (GLBA)金融服務法案 - 要求相關金融產業必須保障個人金融資訊隱私,確保資料的機密性、完整性,避免資訊遭到未經授權的存取與誤用,違反者將處1萬美元罰款,其目的在於提供審慎服務架構,考量銀行、證券商、保險公司及其他金融服務業的健全經營,全面提升金融服務業之競爭力。
  3. 美國Healthcare Information Portability and Accountability Act (HIPPA)法案 - 明文要求所有處理或持有健康醫療相關資訊的組織,都必須遵守「保護病患個人資料」的安全性規定。要求相關單位之醫療照護必須要確保個人醫療資訊的安全,具備良好的存取控制措施,並確保資訊在傳輸、處理、儲存過程中不會被竊取或竄改,未遵守者將處五萬美元罰款和一年徒刑。
  4. California Senate Bill 1386法令 - 要求企業在發生資料外洩事件時,必須要通知企業員工、顧客及可能受到侵害的個人,避免掩蓋事件而造成更大的傷害。
  5. Payment Card Industry(PCI)資料安全標準 - 由各家支付卡業者所發起,主要是針對個人的信用卡相關資料,要求銀行必須實行嚴謹的安全控管措施,以保護信用卡持卡人的資料安全。
除了法規之外,目前國際上通用的資訊安全管理標準ISO 27000系列,則是國際認可的資訊安全管理標準,標準內容主要分為兩個部份,ISO 27001是規範建立實施資訊安全系統的方式和文件化的要求,以確保資訊安全系統能夠有效的運作,並且可作為資訊安全管理系統的驗證標準,在全球已有超過4000個組織通過驗證,台灣目前有181個組織取得證書,位居全球第4位。

至於ISO 27002(前身為ISO 17799)則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,可作為建立一個標準的資訊安全管理系統的參考,管理人員在建立資訊安全管理系統時,建議可參照這個標準來進行。

在ISO 27001標準中提到,「確保資訊安全是一個管理過程,而不是一項技術導入過程,它是為了確保資訊安全所實行的各項措施,能夠有效保護資訊不會受到各種威脅,以使企業能夠持續營運,並且將可能受到的損失降至最低。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護知識,才能降低發生資訊安全事件的可能。

PCI DSS資料安全標準介紹

以上所介紹的資訊安全法規中,個人認為PCI DSS是電子商務業者可以參考的最佳指引,PCI DSS是由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council組織所制定,要求所有提供信用卡服務的商店,和支付款有關的業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準要求的安全控制措施。

此一提供給全球產業共同遵守的資料安全標準,雖然主要是用來保護信用卡持卡人的資料,但其目的就是為了要保護個人敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的業者而言,主動落實PCI DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。

本文所參考的的版本是在2006年9月發佈的PCI DSS 1.1(2009/3/31已更新為1.2),一共分為6大目標和12項基本要求,內容涵蓋了技術、政策和程序,這些要求可用來審視業者的安全機制,用以保障持卡人的帳戶及交易資料安全。條文的要求內容說明如下:

(一) 建立並維護一個安全的網路
要求1:安裝並維護良好的防火牆配置,以保護持卡人的資料。
要求2:不使用設備出廠的預設值,例如管理密碼和其他安全參數


(二) 保護持卡人資料
要求3:必須妥善保護儲存的持卡人資料。
要求4:透過公共網路所傳送的持卡人敏感資料,必須加密。


(三) 維護一個弱點管理系統
要求5:安裝防毒軟體,並經常更新程式和病毒碼。
要求6:發展及維護安全的系統和應用程式。


(四) 實施強有力的安全存取控制措施
要求7:依據業務需求,限制對於持卡人資料的存取。
要求8:對於進行資訊存取的個人,只賦予一個唯一識別碼。
要求9:限制持卡人資料的實體存取。


(五) 定期監控並測試網路
要求10:追蹤並監控存取各項網路資源和持卡人資料的過程。
要求11:定期測試系統安全與流程。


(六) 維持一個資訊安全政策
要求12:實施並維護一個資訊安全政策。

PCI DSS對電子商務安全的要求

PCI DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,企業若想要達到PCI DSS標準的要求,必須依照營運規模或每年的交易筆數,透過自我評核問卷 (Self-Assessment Questionnaire)、弱點掃描(Vulnerability scan)和實地稽核(Onsite review)等三種方式來進行認證,以下說明各項要求中應該注意的重點事項:
  • 要求1:在要求1中,業者必須要建立起防火牆的配置標準,像是防火牆的建置拓樸圖、防火牆規則的建置說明以及DMZ區中的安全設定與網段區隔。基本上,除了必須的網路協定之外,其它不必要的網路服務與通訊埠皆不應開放,而且只要是含有儲存持卡人資料的系統,它和公用伺服器之間的任何連線,都必須建立起防火牆來加以區隔,並且藉由實施IP偽裝的機制(NAT)來避免內部主機位址暴露在網際網路上,以限制任何儲存敏感資訊的系統可以被外部公開地存取。
  • 要求2:業者若是透過供應商來安裝各式系統和網路元件,例如防火牆、路由器、無線網路基地台等,應該修改系統管理的預設值,並且針對所有的管理連線進行加密,以避免駭客直接以系統預設帳號及密碼,繞過防線直接危害到管理系統。另外,若是自行開發各項延伸的系統元件,應採取業界建議的安全開發配置標準。
  • 要求3:針對網站儲存的持卡人資料,業者應該秉持保留最少數據的原則,並且制定一個資料處理與儲存程序,來做好持卡人資料的控管。例如,若需要顯示持卡人主要帳號資料時,應採用前六或後四碼的隱蔽措施,如果需要將主要帳號資料儲存的話,也需要採取加密方式來確保資料不會任意被讀取。在實施了加密之後,用來加密持卡人的金鑰就成為重要關鍵,所以還要制定金鑰的管理流程和程序,來確保金鑰不會被洩露和濫用。
  • 要求4:若敏感資料需要透過公共網路來傳送,務必要採用強度難以破解的加密演算法和安全協定,以避免資料在傳遞的過程中遭到破解與竄改。因此,網站必須提供像SSL/TLS或IPSec等安全傳輸協定,並且針對所傳輸的資料進行加密。
  • 要求5:所有和持卡人資料有關的系統,都應該安裝防毒軟體,並且經常更新病毒碼,在防毒軟體的選擇上,建議最好同時具備防木馬與間諜程式的偵測功能。另外,更要確保所有的防毒措施都能及時更新,並且產生可供日後稽核的事件日誌。
  • 要求6:網站的主機系統和應用程式,應該在由供應商發佈修補檔的一個月內進行安裝更新,管理者可以用訂閱方式來接收最新發現的安全弱點。若是自行開發的應用程式,應該採行業界的最佳實務如Security Development Life Cycle(SDLC),將資訊安全與整個軟體發展生命週期相結合,而且要基於安全的程式編碼原則,以確保所有應用程式不會有已知的安全弱點,並且能抵禦已知的惡意攻擊。如果系統和軟體的配置需要更新或修改的話,也要事先取得管理階層的授權,依照所制定的變更控制流程來進行。
  • 要求7:在存取控制措施方面,只能允許工作上有需要的個人來存取電腦資源和持卡人資訊,也就是依據「僅知原則(need to know)」,除非有獲得授權許可,否則應該拒絕所有的存取行為。
  • 要求8:針對存取資料的使用者,必須賦予一個唯一的帳號,才能允許其存取和持卡人有關的資料,這樣做的目的在於一旦發生的非法事件,才能追溯相關責任。而針對採用遠端網路存取的員工或第三方合作廠商,也必須採用雙因素身份認證機制,也就是除了採用帳號和密碼之外,還需要使用如Token、憑證、或生物特徵(指紋)等方式來識別連線的使用者。PCI DSS要求,只要是在系統中需要使用的密碼,無論是儲存或傳輸,進行加密是必要的安全措施。
  • 要求9:針對持卡人資料的實體存取行為,必須採用監視系統和門禁管理等適當的控制措施,而針對所有含有持卡人資料的紙類或電子媒體,都應存放在安全的地點,並採行實體安全保護,無論是內部或外部,含有持卡人的資料都應該限制發送,而且儲存持卡人資料的媒體在離開安全區域之前,也都需要經過管理階層的核准才能放行,一旦含有持卡人資料的媒體不再需要保留時,也要按照一定的安全程序進行徹底銷毀。而針對員工與訪客,也必須有一套流程,像是採用訪客識別證或通行卡,確保對所有訪客都能被有效管理,在訪客來訪期間的日誌記錄,至少需保存三個月以上,以確保訪客的活動能夠被稽核。
  • 要求10:對於和持卡人資料有關的所有存取行為,必須建立一個識別程序,來記錄追蹤存取事件,所記錄的內容應包括使用者ID、事件類型、日期時間、成功或失敗、事件來源、受影響的資料、系統元件或資源的ID或名稱。對於這些事件,管理者應每天進行審查,並且妥善保護稽核軌跡,以防止日誌遭到竄改,所有的稽核記錄應至少保持一年。
  • 要求11:針對各項的安全控管措施,每年應定期實施測試,以確保控制的有效性,每季也至少進行一次內部和外部的網路弱點掃瞄,尤其是在網路發生重大變更之後也要執行一次。針對可疑的入侵事件,應建立警示和通報的機制,一旦發現網路或主機遭到入侵,或是關鍵系統或檔案被非授權的更改,都要能夠及時通報相關的人員。
  • 要求12:業者應建立、發佈、維護和宣傳一個資訊安全政策,並確保所有員工和合作夥伴,都能明瞭相關資訊安全的責任。在人員管理方面,對於待聘員工應進行背景資料的查核,對新進員工則應實施有關資訊安全意識的宣導,使所有員工都能了解保護資料的重要性,藉此將來自內部的資料外洩風險降至最低。如果不幸發生了資料外洩事件,業者應依照事先建立的事件回應計劃來處理,針對所有合作的供應商夥伴,在合約中也應該註明各項安全要求。
預先做好電子商務安全防護

電子商務業者除了參考PCI DSS標準的要求,來加強各項安全控制措施之外,在網站與資料安全管理方面也是相當重要的,尤其是一旦發現資料有可能遭到竊取而外洩時,就應該在第一時間內通知消費者,並盡快進行後續的補救措施,以避免事件一發不可收拾,而造成更大的損失。

另外,隨著新的弱點與攻擊手法不斷出現,業者必須要求系統接受定期的安全測試,以確保安全性不會隨著時間或是因軟體變更的關係而受到影響。換句話說,業者務必要定期進行安全稽核工作,以確保系統可能的漏洞都已修補,並且合乎本身所制定的資訊安全政策,至於資料本身,則要設定追蹤監控機制,以了解到底是誰在什麼時間、地點,存取了哪些資料。

最後,電子商務業者務必要建立一個有效的資訊安全政策,所謂的有效性是指唯有透過管理高層的正式發佈與重視,才能讓所有員工了解資訊安全的重要性,並且明白必須承擔的相關責任,這樣才有可能真正地落實資訊安全的各項工作。(本文刊載於2008工商時報電子資訊工業年鑑)

<參考資料>
1. PCI Security Standards Council網站
2. VISA的帳戶資料安全計劃

2009年12月8日 星期二

[專題] 資訊安全委外服務之分析探討

資訊安全的重要性,在今日的企業中佔有舉足輕重的地位,無論是市場情報收集、產品研發資訊、業務交易與財務資訊,對於企業的營運都是重要的關鍵因素之一。根據資策會MIC的調查指出,層出不窮的資料外洩事件,使得企業必須強化對於法規的遵循意識,也使得對於敏感資訊的管理,受到更嚴格的要求,因為一旦企業重要的資訊遭到不當洩露,不僅會直接影響企業的聲譽,很可能對於企業的經營與市場造成重大的影響。

目前不只是大型企業,包括中小型企業對於資訊安全與營運的重視度也不斷提升,如何去確保資訊的安全,已成為管理階層必須要去重視的課題。只是,資訊安全牽涉的層面很廣,不管是從管理面來建立資訊安全管理制度,到技術面的防禦機制與控制措施部署,都需要專業且專責的人才來協助,由於企業目前仍普遍缺乏資安專業人才來規劃執行各項資安工作,所以若把資安工作委由專業的資安服務廠商來協助,將是企業兼顧成本與效益的良好選擇。

資安委外服務的發展趨勢

根據資策會MIC的研究顯示,全球的資安市場以每年平均15%的速度穩定成長,其中資訊安全服務的市佔率已逐年增加,預計在2009年將會突破五成。以日本為例,目前由資安委外服務業者所提供的服務已非常地多樣化,包括了防火牆代管的應用管理服務、代管入侵偵測系統的不當存取監視服務,以及防毒軟體的病毒監視服務等。

現今企業所面臨的安全威脅日益複雜,加上政府對於資訊安全的要求,以及與民間業者共同合作的努力推廣,使得整個資安市場的熱度持續加溫,尤其是大型企業隨著經營規模與事業版圖的擴大,更要受到國外標準法規的要求規範。因此,針對資訊安全的實施運作更有迫切性需求,要如何進行適當的資源分配與管理,就需要專業的資訊安全業者來予以協助。

近年來,「資安即服務(Security-as-a-Service)」的風潮也開始興起,Gartner於2007年11月的研究指出,預估一直到2012年為止,全球Security-as-a-Service的市場規模,平均每年將有30%的高成長率。而Security-as-a-Service本身的優勢即在於能夠節省成本,並且加速建置的時程,因此對於需要對抗混合式資安威脅的企業,剛好能夠提供即時的協助,並且簡化整個資安產品購買、安裝、建置與管理的流程。

資安委外服務的範疇

一般而言,資訊系統相關的工作範圍很廣,並非所有工作都可採取委外方式來進行。基本上,大多數和資訊有關的委外工作都會傾向於非核心和非關鍵的系統為主,因此,在資訊安全委外方面,可能的項目包括:
  • 產品建置維護服務 - 針對企業所購置的資安設備,像是防火牆、防毒牆、入侵偵測與入侵防禦系統等,由產品供應商依照購買時的合約規範,提供各項售後服務,即使在保固期滿之後,仍可繼續與服務廠商簽署定期維護合約,以維持資安產品的各項功能都可正常運作。
  • 資安顧問服務 - 主要針對資訊安全管理方面,提供專業的顧問諮詢服務,例如資安法規遵循問題、ISO 27001資訊安全管理系統標準導入,以及員工的資安教育訓練等。
  • 資安事件監控 - 藉由服務業者所建置的資訊安全監控中心,可即時收集企業端的各項資安設備所產生的記錄檔,並且監控系統與網路上的各種活動,來提供異常事件診斷服務和資安事故應變處理,並定期產生各項安全統計報告,以協助企業內的管理人員來維持網路的正常運作,確保資訊的安全。
所以,從技術面的資安基礎建設的建置維護、產品的組態設定與參數調整、系統安全性監控、資安事件的處理與清除復原等,到管理面的資安政策諮詢、資安管理系統(ISMS)導入和資安教育訓練等,這些都包括在資安委外的服務範圍之內。

資安委外服務應注意事項

根據政府的資訊作業委外安全參考指引中指出,「針對各項委外作業,應建立事前規劃、事中招標和事後執行維運機制,將相關的規劃服務納入合約中,以確保各項服務之延續。而且為了提高資訊安全服務品質,應該將資訊安全計劃列為委外的必要工作項目,並且要求廠商必須依照主管機關所訂定的標準或規範來執行,提出可行的建議方案,才可確保委外作業的安全。」

此外,在進行資訊安全委外服務時,必須要求承包廠商遵守相關的法令規定,像是針對個人資料的部份,若涉及資料外洩等違法事件時,需依個人資料保護法中的相關法令來處理。換句話說,當企業與委外服務業者簽訂合約時,就應該在合約中註明,承包商在處理各項企業敏感資訊時,必須負有保護資料安全的責任與義務,若違反合約中所註明的各項要求,相關人員要負責相關的損害賠償及法律責任。

當企業在評選資安服務業者時,也要針對業者的各項專業資格進行審查,例如要求參與資安委外服務專案的相關人員,必須具備國際認可的資安專業證照如資訊系統安全專家認證(CISSP),或是要求業者本身需通過ISO 27001資訊安全管理系統的驗證。另外,在資安委外時亦可要求承包廠商不得再將專案外包,以避免來自其他無法控管的專案風險。

簽署資安服務水準協定

基本上,針對委外服務業者的服務品質,企業想要提出各項要求與規範,就需要有文件化的明確說明與指標,才能確保委外服務業者能夠提供一定的服務水準,而這部份就牽涉到要如何去建立一個雙方共同認可,並且可接受的服務水準協定(Service-Level Agreement;SLA)。因此,針對資安的委外服務規範,可以參考以下要點來作為執行時的依據,例如:
  • 服務時間
  • 事件回應速度
  • 系統可用率
  • 異常事件處理程序
  • 稽核作業
所謂的服務水準協定,即是指企業與委外服務業者彼此所認可的規範,其目的在於清楚描述委外服務業者所能提供的各項服務和企業所能接受的服務期望,所以它牽涉的範圍其實相當的廣泛,包括委外服務業者的工作責任、必要的保密安全機制、到場支援服務的時間,以及若業者造反服務水準之後所該採取的罰則等,另外可能還會有雙方個別的特殊約定,這些都需要包括在彼此所簽署的服務水準協定之中。

以網站弱點掃瞄服務為例,在服務水準協定中,即可明確要求每季必須執行一次稽核掃瞄,由服務業者至企業內部或外部針對網站伺服器進行弱點偵測,在掃瞄完成之後,再由擁有資安認證的專業人員進行報告解讀,說明目前網站應用系統所存在的弱點等級,並提出建議及改善的方法。另外,若企業或委外服務業者任何一方想要提出終止服務時,應依照合約的規範,將後續工作移交給企業本身,或是交接給後續承包廠商,這些也都務必要求在一定的期限內,以順利完成移轉或中止動作。

如何評估資安服務廠商

隨著駭客攻擊的手法日新月異,企業該如何去維護本身的資訊安全,確保企業的永續經營,都不斷地考驗著管理者的決心,為了降低企業的營運成本並提高效率,選擇將資訊安全交由專業的委外廠商協助,藉助外部專家的專業能力與資源,不失為一種提升應變能力的管理辦法。不過,要如何去選擇資安委外服務廠商,建議必須考量到以下幾個重點:
  1. 市場口碑 - 資安委外服務是一項長期互相配合的工作,因此選擇資安委外服務廠商時,務必選擇在市場上具一定的口碑名聲,擁有專業的人才與技術團隊,才可確保所提供的服務品質。
  2. 專業認證 - 選擇資安委外服務業者,應選擇通過政府認可或國際標準如ISO 27001驗證通過的公司,才能有效確保在資外服務作業時的資訊保密相關工作。
  3. 技術完整 - 資安工作層面廣泛,更牽涉到一定的專業技術,以及所採用的工具產品,企業可要求相關的資安產品均為知名品牌,並且要求服務業者需出示產品的原廠許可,或要求技術人員具備原廠所頒發的專業證照。
資安服務業者的機會與挑戰

依據個人的觀察,台灣的資安委外服務市場雖然一直存在,但卻沒有呈現大幅度的成長,推測其可能原因在於市場的實際需求並沒有很迫切,尤其是缺少國內相關資安法規的要求。尤其對業者而言,除了建置資訊安全監控中心(SOC),提供資安事件管理服務外,其他的資安服務並沒有一個很完整的方案。

不過,資安服務仍然存在著可運作的機會,首先,許多國內的中小型企業,在資安人力方面嚴重不足,加上資訊安全涵蓋的層面非常廣,從管理制度的建置到技術面的佈署支援,單一企業組織很難完全靠一己之力來完成,勢必要尋求資安服務業者的協助。其次,目前許多企業對於資訊安全應變能力仍然不夠,尤其是在事件處理方面,會是資安服務業者能夠施力的地方,像是目前的SOC資安監控服務,在找出可疑事件的人、時、地、事之後,後續事件處理該交由「誰來做」、「怎麼做」,是否有完善的事件處理流程或是標準作業程序(SOP),將是未來資安服務業者可以思考的方向。

至於資安服務業者所面臨的挑戰,主要有以下三個:

第一,企業對於服務業者的信任度不足,一旦資安服務牽涉到企業的業務關鍵活動,在委外方面就會有很多層層的考量與要求,這方面需要花很多時間來協調溝通,讓企業能夠認同並對業者產生信任,才能夠接受所提供的服務。

第二,所謂的服務品質本身不易量測,雖然彼此可以簽署服務水準協定,依照協定的內容來執行,但是委外服務的品質,也牽涉到業者願意且能夠付出的人力物力成本,因此如何去量測有效的服務品質,提出適當的證明,將會是業者的一大挑戰。

第三,服務有價的觀念不足,也是推展資安委外服務的一大障礙。根據個人的觀察與經驗,目前在台灣市場,多半企業比較能夠接受的模式還是以購買資安產品附加資安服務的方式,比較不會考慮純粹購買所謂的「專業資安服務」;但是在國外,對於付費接受專業服務的觀念卻是相當普遍,這是國內外存在的一個很大差異性,更是資安服務的業者會碰到的實際問題,這方面可能還有待時間來蘊釀,才能進一步讓企業能夠認同服務價值並接受服務。

制定法規以推動資安委外服務

資安是需要長期推動的一項工作,個人認為法令的制定與相關產業規範要求,以及資安種子人才的培育,對於資安服務產業的發展將會有更好的影響。舉例來說,國外有許多像是沙賓法案、GLBA法案、HIPPA法案等法令,除了要求金融、政府、醫療和一般企業要更加重視資訊的安全之外,也間接促進了資安服務業者在法規遵循的技術能力改進和服務專業度,所以也才會有整個資安市場被重視的變化,進而帶動資安產業的蓬勃發展,只要政府推動適合國內的資安法規,業者便可依照法令規範來建立服務的SOP,推展各項協助企業的資安服務。

此外,對一個產業或企業而言,人才、技術與資金是推動資訊安全不可或缺的要素。目前,資安人才的獲得是一個很大的問題,像是國內各大專院校幾乎沒有和資訊安全相關的科系,即使有相關的資安學程,這些人員在畢業之後,還是需要2~3年實際的市場經驗才會逐漸成熟,如果一般的資訊人員甚至是資訊主管都沒有資安觀念的話,台灣的資安市場要發展也很困難,所以提升整體的資安意識也是目前迫不及待的重要工作。

最後,呼籲政府單位應該結合民間資安業者的力量,以有計畫的組織、具體扶植資安業者的作為,以及共同舉辦一些大型的資安宣導活動等,來引起社會大眾的重視與注意,企業才能選擇國內真正專業和成熟的資安業者,一起來為資訊安全工作努力推動和發聲,如此也可間接提升台灣在國際社會的資安貢獻度與國家競爭力。(本文刊載於2008工商時報電子資訊工業年鑑)

<參考資料>
1. 資策會資訊市場情報中心─資訊安全市場發展趨勢前瞻
2. 政府資訊作業委外安全參考指引

2009年12月3日 星期四

[專題] 網站面臨資安威脅的因應與挑戰

隨著Web 2.0的時代的來臨,許多網站都提供了更豐富多樣的互動式功能,像是部落格、討論區、留言板、影音播放,還有應用最新AJAX技術和Flash的即時動態網頁等,在這些功能的背後,最大的功臣來自於網站伺服主機與應用程式之間的相互運作,這也是提供使用者各項應用服務的重要關鍵。

一旦應用服務如果運作得宜,網站可以吸引大量人潮、激發商機,更達到傳播資訊的主要目的,但是萬一在網站主機與應用程式上出現了漏洞,又被惡意人士發現並加以利用,相對就會造成非常嚴重的問題,因為此時損害的將不只是網站經營管理者,廣大的一般網路使用者也都會深受其害。

近年來,網站惡意入侵事件不斷增加,日前歐洲即爆發大規模的網站遭到駭客入侵事件,根據資安業者的統計,當時受到影響的網站將近有一萬個左右;而根據Google的調查指出,全球平均每10個網站,就有一個網站曾經被入侵,台灣已知至少也有984個網站已遭到惡意的駭客入侵,還被評為全球惡意活動密度第二高的地區。

這些被入侵的網站,在網頁上多半被植入了惡意程式碼,使得上去瀏覽網頁的民眾,在無法察覺的情況下就被植入了木馬程式,更進一步造成個人的帳號與密碼等隱私資料外洩。

網站攻擊手法的演變

早期網站所面臨的攻擊威脅,大都是以針對網站伺服器的蠕蟲病毒和阻斷服務手法為主,像是聞名一時的Code Red紅色警戒病毒,它會自動去搜尋具有相同弱點的微軟IIS Server,找到之後就馬上進行感染動作並且植入木馬,受感染者也會繼續去攻擊別人,這種一傳十、十傳百的傳播特性,在很短的時間之內就造成了網路世界嚴重的災情。

然而,在大多數企業已佈署網路防火牆與入侵偵測系統,加上作業系統業者不斷推出安全修補檔之後,抵擋此一類型的攻擊行為的能力已經大幅提升。不過,隨著攻擊手法不斷的演進,單單依靠網路防火牆與入侵偵測系統等設備,已抵擋不了今日針對網路應用程式的攻擊,因為這一類型的攻擊,是採用合法的網路通訊協定與連接埠,經由防火牆所認可的正常連線管道進入網站,一般防火牆並無法辨識出所經過的網路流量內容,更別談可以看出其中是否夾帶著惡意的攻擊指令。

以往駭客入侵網站之後,最常使用的手法是採取置換網頁的方式,來顯示出其高超的入侵技巧,並未帶著強烈的破壞意圖,可是現在的惡意駭客,已經不再以此作為滿足,而是為了獲得更多的金錢利益,透過植入惡意程式的方法,讓瀏覽網站的使用者在不知情的狀況下安裝了木馬程式,進而去竊取個人隱私資料或是控制使用者電腦,以作為其他攻擊的跳板之用。

另外,針對提供網路應用服務的網站,像是網路銀行或具會員功能的網站等,多半則是遭受到所謂的「網路應用層攻擊」,也就是惡意駭客透過正常瀏覽網頁的連線方式,但是卻附加了惡意指令或參數,利用作業系統或是程式撰寫上的漏洞,來達成其入侵攻擊的目的。例如SQL Injection和Cross Site Scripting (XSS)等,一直都維持在最常見的十大網站攻擊手法的排名之內,這一類型的攻擊能夠成功,最主要的原因是來自於當初程式設計者,並沒有做好安全程式碼的檢測動作。

埋藏惡意威脅的正牌網站

過去,許多惡意人士常會利用大量散發的假冒銀行電子郵件,要求使用者點選信中的連結,連上冒牌的網站來更改帳號與密碼,藉此來騙取使用者的帳戶資料,使用者會不小心掉入這種網路釣魚的陷阱,通常是因為歹徒利用和正牌網站相近的網址,以及偽造一模一樣的網頁外觀,來讓使用者深信不疑,再加上信中所強調更改帳號與密碼的重要性,更讓使用者一時不察而點選連結,連至惡意駭客所建立的冒牌網站,落入詐騙的陷阱之內。

不過,目前新的駭客手法,已不再只是被動地等待使用者點選連結,而是直接入侵正牌的網站,在網頁中植入惡意的程式碼,當使用者一連上網站,惡意程式碼就會自動執行,然後下載木馬程式安裝至使用者的電腦中,這整個過程可說是神不知鬼不覺,這些木馬程式一旦啟動之後,就會偷偷記錄使用者的各項資料,像是信用卡號、線上遊戲帳號和密碼等,然後再回傳給散佈木馬程式的惡意駭客。

當正牌網站被植入了惡意程式,間接造成使用者受害,到底誰該負責任呢?對於網站經營者而言,由於表面上看不出有任何的損害,所以有許多經營者就加以漠視,也不願採取任何修正行動,進而造成更多人受害。但是對網路使用者來說,連結網站只是為了上去瀏覽網頁資訊,若因為經營者的疏忽而讓電腦被偷偷安裝了木馬、病毒等惡意程式,並且造成了個人的權益受損,這種情況一旦發生,相信是誰都無法接受的。

雖然目前國內仍沒有法令明訂因網頁被植入惡意程式,若造成了使用者的損失,網站經營者必須對使用者負起相關的賠償責任,但可以肯定的是,網站經營者務必要善盡管理維護之責,因為一旦被公佈成為惡意網站,就會損及企業或是組織的聲譽,更何況一昧的忽視只會讓更多的人受害,這也絕對違反企業組織的營運目標與政策。

管理不當是容易受駭的原因

網站容易遭受惡意駭客攻擊利用的原因,除了因為網頁伺服器本身所存在的軟體漏洞之外,絕大多數都是來自於管理不當,歸結出的主要原因如下:
  • 主機系統設定不當 - 系統管理人員直接使用預設的目錄路徑,或是採用太簡單或是預設的管理密碼,另外就是檔案的存取權限設定錯誤,使得歹徒有機可趁。
  • 系統漏洞未更新修補 - 由於系統管理人員疏忽,在作業系統業者發佈修正檔案之後,並沒有經常地更新系統修補檔,使得網站主機一直存在著既有的漏洞,讓惡意人士不費吹灰之力,即可透過破損的門窗而擅自登堂入室。
  • 應用程式碼撰寫不當 - 許多網站的應用程式,在開發時並未經過安全性的原始碼檢測,即正式啟用上線,因此一些常見的程式漏洞,像是未限制可輸入的字串,或是未檢查輸入的內容,都讓惡意駭客得以利用這項弱點,而順利執行惡意程式指令,取得網站資料庫的各項資料。
除了管理面的問題之外,目前網站也可能因為遭受零時差攻擊(Zero-Day Attack)而受害,所謂零時差攻擊是指一些已遭揭露的系統漏洞,在業者卻尚未推出修補程式的這段空窗期,惡意駭客即利用此項弱點來進行網站入侵,像是之前微軟的Windows動態游標(.ani)漏洞,即造成許多知名的電視台、大學、政府機構等,紛紛遭受攻擊而被植入病毒等惡意程式。

如何進行網站安全強化

想要降低網站遭受攻擊與植入惡意程式的風險,我們可以採取一些適當的安全控制措施,以避免可能遭受的惡意攻擊,例如:
  1. 導入應用程式安全開發流程(Security Development Life Cycle) - 建議程式開發人員,在應用程式開發初期即導入安全開發流程,從一開始的規劃、需求分析、系統設計、程式軟體到完成測試,務必做到安全性的要求,而不僅僅是應用程式的功能要求而已。過去,由於程式撰寫人員多數缺少安全的概念,所以導致程式出現安全上的漏洞,若藉由導入安全的開發流程,在各個階段都以安全作為驗證的要求,並且在應用程式正式上線前,再透過第三方的工具,來進行黑箱(Black box)與白箱(White box)的安全性測試,即可有效確保應用程式的安全。這裡所指的黑箱測試是使用Web應用程式掃瞄工具,模擬各種駭客可能的攻擊手法,來找出存在的安全性弱點,而白箱測試則是採取分析原始碼(Code review)的方式,來檢驗程式是否有撰寫上的問題。
  2. 建置網頁竄改即時還原機制 - 惡意駭客在入侵網站之後,會擅自修改網頁以插入一段惡意的程式碼,若企業或組織擁有網頁即時復原機制,可在網頁遭修改的第一時間內,將原始網頁還原回去,並且透過email或簡訊等方式,通知管理者網頁已經遭到更改,管理者便可以盡快地來予以處理。不過,網頁即時還原機制是治標不治本的工具,只能協助管理者針對事件即時反應,並無法根絕網站漏洞問題,管理者仍必須仔細檢驗並加強各項安全機制。
  3. 建置網路應用層防火牆:如果電子商務是企業的營運重心,那麼建置網路應用層防火層會是最好的選擇,因為它與一般的網路防火牆不同,可以針對網頁存取的流量進行深度檢測,也能夠即時阻擋隱含的惡意指令。另外,網路應用層防火牆還可以隱藏網站的敏感資訊,並且保護使用者輸入的個人隱私資訊,像是信用卡號和身份證字號等,對於每日有大量網頁存取連線,以及提供金融交易服務的企業組織,網路應用層防火牆除了可以發揮安全功能之外,對於高流量的網頁存取連線,也有加速以及負載平衡的功用。
  4. 建立資訊安全稽核機制:在應用程式上線提供網路服務之後,仍需要定期進行弱點掃瞄,並且針對已知的弱點進行修補動作,若企業或組織已在閘道端佈署了網路應用層防火牆,應針對所有的網路連線流量加以檢查監控,並且保存可疑的攻擊記錄,確保惡意攻擊能夠被阻檔,也可做為調整防禦對策與存取控製清單(Web ACL)的參考。在了解針對應用服務的攻擊風險之後,企業或組織也需要適時地調整資訊安全政策,定期分析各項記錄檔並進行資安稽核,以確保漏洞皆已被修補,降低可能遭受攻擊的風險。
總結

過去,大家都以為只有上一些非法網站像是賭博色情,或是下載安裝非法軟體,才有可能被植入木馬、病毒等惡意程式;如今,很可能只要上網查詢目前正在上映的電影,看看熱門的體育影片,或是瀏覽週末假日想要去旅遊的網頁資料,就有可能成為下一位受害者。

因此值得注意的是,這些埋藏著危險威脅因子的網站,已不再是以往被視為危險性較高的賭博或色情網站,而是一般使用者都會經常上去瀏覽,像是電影、音樂、汽車、旅遊和飯店網站,還有許多商業、媒體和學術機構網頁等。

換句話說,今日網站所面臨的各項威脅,已是所有網站經營者都需要去重視的課題,因為當網站本身未做好安全防護,受害的將不只是經營者的商譽與民眾的信心,如果網站本身還牽涉到金融與電子商務的交易,一旦出了差錯,企業還必須要承擔巨額的賠償與復原成本,更會成為一項重大的營運損失。

所以,與其在網站被入侵之後再來忙著亡羊補牢,倒不如事先未雨綢繆,確實做好各項網站安全防護工作,以降低資安問題發生的風險。(本文刊載於2007工商時報電子資訊工業年鑑)