在2009年年初,桃園機場的境管電腦發生了當機事件,使得證照查驗工作必須採用人工方式進行,造成入出境的旅客大排長龍而抱怨連連。以往雖然也有類似情況發生,所幸資訊人員都能在很短的時間內搶修完成,讓服務可以迅速地恢復運作。但是,此次當機事件卻牽連甚廣,使得整個境管電腦系統停擺長達36個小時,更讓8名受到列管的人士得以入出境闖關成功。
此次當機事件,根據官方的聲明指出,主要發生原因是由於硬體過於老舊,導致硬碟與主機板發生故障,進而使得境管系統停擺。但是,在事件引起軒然大波之後,各家媒體和網友卻抱持著不同的看法,歸結起來大致可分為以下幾項原因:
- 硬體設備老舊未更新
- 相關人員應變力不足
- 備援與復原機制不足
- 缺少標準處理作業流程
風險管理基本概念
風險是什麼?簡單的說,就是「你不想要發生的事件,當它發生的可能性和所造成的影響程度之組合。」舉生活中的風險為例,像是每年可能會發生兩次,當颱風來襲時會使住家所在的區域停電;或是一年左右會發生一次,因為路上的釘子刺破了輪胎,造成車子無法繼續行駛。若是以IT的例子來說,常見的風險則有每年大約發生一次,因為硬碟故障而造成檔案損毀;或是每半年可能發生一次電腦病毒造成系統當機等。
風險的存在與否,主要是視資產所處的環境及活動,要去考量它的嚴重性以及發生的機率,像以上這些事件所產生的風險,都會造成一些問題發生,假如沒有適當的因應作法,可能會讓事態擴大而產生更大的衝擊,所以若想要避免或是降低更多問題的產生,就必須要採取一些對應的風險控制措施,而這也就是風險管理過程中重要的工作之一。
風險管理的過程
風險管理的第一步,就是要先了解會產生風險的對象到底是誰?對企業而言,「風險來自於有價值的資產,所以必須要去識別企業內的重要資產有哪些,還有其所面臨的威脅與弱點是什麼,以便鑑別出各項風險組合。」
以這次當機事件為例,它的資產至少包括了系統維護人員、運行系統的電腦主機、系統應用程式、儲存設備、備援系統等;可能的威脅則包括像是設備自然損耗和人員作業疏失;弱點則可能有維護支援服務不足、人員缺乏訓練、缺少應變程序等,如果以上這些資產的威脅和弱點同時發生的話,就會影響到所提供服務的正常運作。
因此,在了解風險的組成至少包括資產、威脅和弱點等三項要素之後,關於風險管理的過程,則可分為「識別資產」、「風險分析」、「風險評估」和「風險處理」等四個步驟來進行,以下是各項步驟的簡要說明。
識別資產
在資訊安全的範圍裡,我們所要探討的資產以資訊資產為主,也就是和資訊有關且彼此影響的事物。資產的種類通常可分為:
- 人員 - 可分為內部和資訊作業有關的人員,例如管理階層人員、系統開發人員、系統維護人員、資訊處理人員、網管人員等;或是外部的約聘人員和承包商。
- 文件 - 可分為紙本文件和電子文件,例如系統文件、使用手冊、網路拓樸圖、各式表單、合約、日誌、客戶資料等。
- 軟體 - 資訊系統運作所需的套裝軟體,包括作業系統、資料庫、一般應用軟體、防毒軟體等,或是內部自行開發的應用軟體等。
- 硬體 - 指存放、處理或支援資訊系統運作的硬體設備,例如個人電腦主機、伺服器、筆記型電腦、路由器、交換器、不斷電系統等。
- 實體環境 - 指處理資訊所在的地點及建築物,例如機房、網管中心、備援中心、資訊作業中心等。
- 服務 - 指對外連結或區域互動的網路,例如ADSL網路、光纖網路、數據專線、無線網路等;或是電力、水力等公共支援服務。
在識別和資訊有關的資產並進行分類之後,接下來就要分析這些資產所面臨的威脅與弱點。所謂威脅是指會對資產造成損害的事物,可分為自然因素與人為因素。自然因素是指來自於天災或是設備的自然損耗,人為因素則包括有意破壞和無意的作業疏忽,目前常見的威脅包括:火災、水災、颱風、地震、電力中斷、駭客入侵、內部人員不當操作、人員惡意竊取、人員惡意破壞等。
至於弱點則是指存在於資訊資產本身,容易被威脅利用而造成損害的地方,要注意的是,「弱點本身並不會直接造成資產的損失,必須要伴隨著威脅一併發生,才會產生資安風險。」目前在資訊系統中常見的弱點有:作業系統未更新、病毒碼過期、缺少身份驗證、缺少存取權限控管、使用未加密的網路、人員缺少訓練、設備缺少維護等。
風險評估
在一一識別出資產所面臨的威脅與弱點之後,接下來就要進行風險評估,也就是計算出風險值,並依照風險值的高低來加以排序。當然,風險高的項目,一定是要優先去處理的。
至於風險的計算方式有很多種,礙於篇幅無法做詳盡的說明,在此僅提出一個最簡便的方法,可做為風險評估時的參考,應用時可依所處環境與管理要求來自行定義評價方式,本方法的計算公式如下:
風險 = 資產價值 x 威脅機率 x 弱點等級
關於資產價值可參考表一的說明,可分別依照資產的機密性、完整性與可用性的要求來給予評價,再取其平均值或是最大值;至於威脅發生的可能性,可用「每年發生一次」、「半年發生一次」、「每季發生一次」、「每月發生一次以上」等類別,分別給予1~4的評價;而弱點的等級,則可以區分為「很難被利用」、「難以被利用」、「容易被利用」、「很容易被利用」,同樣給予1~4的評價。
表一:資產評價說明
評價 | 機密性 | 完整性 | 可用性 |
1 | 公開,可對外界公布 | 資訊被竄改後對資產無害 | 資訊需要使用時,在24小時內需提供 |
2 | 一般,公司內部使用 | 資訊被竄改後對資產輕微損害 | 資訊需要使用時,在8小時內需提供 |
3 | 敏感,相關職務需要才能得知 | 資訊被竄改後對資產中度損害 | 資訊需要使用時,在4小時內需提供 |
4 | 機密,僅少數特定人士得知 | 資訊被竄改後對資產嚴重損害 | 資訊需要使用時,在2小時內需提供 |
在完成了資產、威脅與弱點評價之後,就可計算出各項資產現有的風險值,並可依風險值的高低,賦予風險等級,例如風險等級A為48~64、風險等級B為32~47、風險等級C為16~31、風險等級D為1~15。最後,企業的管理階層則要決定能夠接受的風險等級,假設為D的話,那麼只要是屬於風險等級ABC的資產,都是我們必須要去做風險處理的對象。表二是一個虛擬範例,僅供參考。
表二:各項資產之風險等級
資產類別 | 資產 | 威脅項目 | 弱點項目 | 資產價值 | 威脅機率 | 弱點等級 | 風險值 | 風險 |
人員 | 資料備份人員 | 作業疏失 | 訓練不足 | 4 | 2 | 4 | 32 | B |
軟體 | 網站伺服器 | 駭客攻擊 | 未更新修補檔 | 3 | 4 | 4 | 48 | A |
硬體 | 網域伺服器 | 硬體故障 | 監控不周 | 3 | 2 | 3 | 18 | C |
--- | --- | --- | --- | -- | -- | -- | -- | -- |
小結
風險管理是一個持續性的過程,舉凡企業內部的組織變更、作業流程改變、資訊資產的變更,或是有重大的資安事件發生之後,都必須要重新進行風險分析和風險評估,以期能夠識別新的風險,才可及早採取適當的風險控制措施,降低可能的資安事件發生,下一次將會為你說明風險處理的相關做法。(本文刊載於2009年2月號網管人雜誌)