2010年12月15日 星期三

[觀點] 個資蒐集、處理、利用之注意事項

在個人資料保護法裡,隱含了二項重要的精神與要求,其中個人隱私維護是首要項目,它是指必須要在個人資料蒐集、處理、利用的過程中確保個人隱私不會受到侵害,其次則是如何善盡個人資料保護的責任,本文將說明相關的注意事項。

2010年11月3日 星期三

[觀點] 制訂個人資料檔案安全維護計畫

之前,我們談到了個人隱私衝擊分析,其主要目的是要了解組織針對個人資料蒐集、處理、利用的現況,能夠幫助我們針對屬於高風險的個人資料,提出適當的保護計畫與安全措施,本文將說明如何制訂個人資料檔案安全維護計畫。

2010年10月17日 星期日

[觀點] 個人隱私衝擊分析(PIA)之介紹

在個資法第一條提到,「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」其中隱私權就是重要的人格權之一,本文將說明何謂個人隱私衝擊分析(PIA)

無論是公務機關或非公務機關的企業、法人和團體,為了因應未來新版個人資料保護法實施之後,針對個人資料保護的種種要求,許多組織已開始著手來準備,如果仔細地去探究個資法所涵蓋的精神與要求,就會發現其關注的焦點有兩個層面:首先是如何維護個人隱私,其次則是如何落實個人資料保護。

基本上,在個人隱私方面,我們可以透過建立個人資料蒐集、處理和利用的注意事項和作業規範,以確保個人隱私不會受到不當揭露;至於在個人資料保護方面,則可以透過資安技術的應用,降低資訊系統在處理個人資料的過程中,可能會受到入侵、竊取、竄改和干擾的風險,並且達到一定的資料存取防護強度。本期我們就先來探討維護個人隱私的一項重要工作,也就是進行個人隱私衝擊分析(Privacy Impact Assessment, PIA)

個人隱私衝擊分析目的

在個人資訊管理標準BS 10012的「4.4 風險評鑑」內容中提到,「組織應實施一項流程以評估和處理個資相關人員的風險程度,這項評估也應包括委由其他組織所進行的個資處理,組織需管理由風險評估過程所識別出的任何風險,以降低不符合政策要求的可能。」

簡單來說,為了避免違反法規和政策的要求,我們應針對個資的蒐集、處理和利用的過程,所牽涉到的人員、技術、作業流程,找出其中可能隱含的資訊安全風險,以避免和個資有關的不當事件發生,這也就是所謂的個人資料風險評鑑,而其使用的風險評鑑方法,稱之為個人隱私衝擊分析(PIA)

因此,個人隱私衝擊分析的目的,就是要協助組織確認在個人資料的蒐集、處理和利用的過程中,相關的資訊系統、控制技術、作業流程和管理政策,是否符合確保個人隱私的基本要求,進行識別並管理其中的風險,以避免不必要的損失和聲譽受損,達成法律法規的要求。

個人隱私衝擊分析方法

有關個人隱私衝擊分析的方法論,各國政府為了因應本身的個資法規要求,所以皆有不同的作法,其中較為知名的分別是由英國的資訊委員會辦公室(Information Commissioner’s Office)所提出的「The ICO PIA handbook」,以及加拿大財政部秘書處(Treasury Board of Canada Secretariat)所提出的「Privacy Impact Assessment Guidelines」。

英國的PIA流程比較完整複雜,它是先以範圍來選擇實施的內容,主要分為全範圍PIA、小範圍PIA、隱私法和其他法規符合確認、個資法法規符合確認等四項,其中全範圍和小範圍PIA的進行再區分為五個階段,分別是:初始階段(Preliminary phase)、準備階段(Preparation phase)、諮詢和分析階段(Consultation and analysis phase)、文件化階段(Documentation phase)、審查與稽核階段(Review and audit phase)

加拿大則是使用比較簡易清楚且近似風險管理的作法,其中包括了計畫、分析和教育訓練活動,主要分為四項流程來進行,但無論是英國還是加拿大,其共同點為皆是採用問卷方式來進行分析。

個人隱私衝擊分析流程

實施個人隱私衝擊分析,能夠有效識別出在其他管理層次下看不到的個資風險,藉由訪談相關人員的過程,可以改善與個資有關的政策、系統設計、採購決策及作業流程。以下以加拿大的PIA作法為例,說明實施個人隱私衝擊分析的流程。

步驟1:專案啟動(Project Initiation)

PIA的第一步是決定要實施的範圍和採用的工具,在初期組織若是對於個人隱私風險還不是那麼清楚,決定是否要實施PIA也還有雜音的時候,建議可以先做一次初始需求評鑑(Preliminary PIA),藉由審查相關的政策和指導原則,以及可使用的資源與技能,並獲得外部像是隱私權、法規和技術等專家的建議之後,再正式的來實施全範圍的PIA

步驟2:資料流分析(Data Flow Analysis)

在這個階段需要去描述和分析組織目前的業務流程架構,以便在工作計畫書中清楚的描述個人資料流的現況。基本上,任何的業務活動都會牽涉到資訊的管理,並且包括四項元素,分別為:資訊收集、交易流程、交易結果和以上三者所留下的記錄。在資料流分析過程中,至少要識別出業務流程主要的元件,例如人員、設備等,以及個人資料如何透過業務流程被蒐集、處理、利用、揭露和保存,建議以清楚易懂的圖形來呈現彼此的關聯,而以表格方式(如表1)來呈現單一資料或群組的現況。

1:個人資料清單

個人隱私分析是要去檢查在個人資料流中,是否適用於個人隱私政策和法規要求,這部份可透過問卷與檢查表的使用,來識別主要的個資風險或是相關的弱點,其結果將作為個人隱私衝擊分析報告的基礎。至於問卷內容則可參考所在地法令或主管機關要求,以設計出可明確分辨現行流程是否符合法令要求的內容,如表2所示,問卷內容包含了一系列問題和是與否的選項,其中「細節描述」的欄位是用來解釋特定的要求符合或不符合的原因,以作為主管機關的參考,而每一階段的最後則提供「討論重點」,以記錄過程中重要的事項。

步驟3:個人隱私分析(Privacy Analysis)

2PIA問卷範例

步驟4:個人隱私衝擊分析報告(Privacy Impact Analysis Report)

藉由上述所採取的步驟,最終將會產生在PIA之中最重要的個人隱私衝擊分析報告,在這份文件中將呈現目前隱含個資風險的結果,也會作為後續決定降低或消除風險的控制措施的重要參考依據,同時它也會是和組織利害關係人溝通的重要工具。

個人資料安全實務建議

整體而言,組織可以藉由導入個人資訊管理制度(PIMS),來達到個資法要求的個人隱私維護和個人資料保護兩個目標,在實務方面建議分為以下三步驟來進行:

第一步,請務必逐條了解法令之要求,並建立個人資料保護所需的基礎知識。實務作法為可邀請和個人資料蒐集、處理和利用有關的各部門相關人員,透過專家講座、教育訓練等方式,來協助員工獲得個資保護所需的認知與技能,並且清楚了解個人職務所扮演的角色和應盡的義務。

第二步,建立組織的個人資料管理制度,可參考BS 10012個人資訊管理系統標準內容,並依據個人資料保護的八大原則,檢視組織目前所蒐集、處理和利用的個資現況,並進行這些活動的風險評鑑,透過個人隱私衝擊分析(PIA)的方法,來評估與個資有關的風險。

第三步,落實個人資料保護機制,可配合管理制度的要求,在作業流程上部署個資或資訊安全防護技術,例如資料加密、身分驗證、資料庫稽核、資料外洩防護(DLP)、網路存取控制(NAC)等方案,協助控管個資處理流程中可能產生的安全風險。(本文刊載於2010年8月號網管人雜誌)

2010年8月31日 星期二

[觀點] 以PCI DSS檢測個資防護安全

最近,許多朋友和我聊到新版個人資料保護法(以下簡稱個資法)的議題,對於法條的內容要求都存有一些疑義,尤其是面對未來可能的罰責,以及針對個資保護實施的應有作為,皆感到茫然而不知所措。

雖然,目前僅通過個資法的母法,施行細則還在修訂之中,預計最快一年至一年半的時間才會公布,但若是等到實施之後才來因應,恐怕為時已晚,因此在新法尚未實施之前,組織的因應做法,建議可分成以下三階段來進行:
  1. 實施教育訓練:組織應邀請所有和個資有關的人員,例如人事、法務、行銷、客服、資訊等單位,進行個資保護教育訓練,實施的內容包括了個資法的法條內容逐一討論,了解個資蒐集、處理、利用應注意事項,以及個資保護的資安控制措施等,讓大家清楚明白法律的要求,才可準備相關的因應作為。
  2. 評估技術防護:組織應執行一次完整的資安體檢,尤其是個資所在的位置,例如實體環境的文件櫃、檔案室、辦公處所、機房等,還有資訊設備像是資料庫、應用系統、儲存媒體及網路設備等,針對個資的存取、傳輸、儲存、銷毀方式,逐一進行清查確認,這方面可參考以下的支付卡行業資料安全標準(PCI DSS)要求來進行。
  3. 導入管理系統:若組織已經導入資訊安全管理系統(ISMS),並且已取得ISO 27001的認證,那麼就可以將個資保護納入現行管理制度的範圍,並針對各項需識別的個人資料,增設個資資產清冊、或是進行個資風險評鑑與處理等。若是沒有導入ISMS的組織,則可以參考之前所提到的BS 10012標準,導入個人資訊管理系統(PIMS),藉由管理系統的文件化與PDCA的持續改善要求,來確保和個資有關的作業流程,均受到妥善的監控與保護。
PCI DSS的資料安全評估

PCI DSS是由American Express、DFS、JCB、MasterCard、Visa等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council所制定,要求所有提供信用卡服務的商店和相關業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準要求的安全控制措施。此一提供給全球產業共同遵守的資料安全標準,雖然是用來保護信用卡持卡人的資料,但其主要目的就是為了要保護個人敏感資訊,以確保交易的安全。因此,對於想要保護個資的企業,若是能夠參考PCI DSS中所明訂的12項要求作為個資保護的安全基礎,並且將這些要求融入和個資安全有關的評估之中,藉由自我檢視這12項要求,將可協助組織了解現有的資料保護安全現況。

要求1:安裝並維護良好的防火牆配置以保護個人資料
首先,組織必須要建立防火牆的安全配置,項目包括防火牆的規劃拓樸圖、防火牆規則的設定說明,以及DMZ區中的安全設定與網段區隔。基本上,除了必要的網路協定之外,其它不必要的網路服務與通訊埠皆不應對外開放,而且只要是儲存含有個人資料的系統,它和公用伺服器之間的任何連線,都要建立防火牆來加以區隔,同時也藉由實施IP偽裝的機制(NAT),來避免內部主機位址暴露在網際網路上,以限制任何儲存敏感資訊的系統可以被外部公開地存取。

要求2:管理密碼和其他安全參數不使用設備出廠的預設值
若是透過外包的設備供應商來安裝各式系統和網路元件,例如防火牆、路由器、無線網路基地台等,應該修改系統管理的預設值,並針對所有的管理連線進行加密,以避免駭客直接以系統預設帳號及密碼,繞過防線直接侵入到系統之中。另外,若是自行開發各項擴充的系統元件,應採取業界建議的安全開發配置標準。

要求3:必須妥善保護所儲存的個人資料
針對組織所儲存的個人資料,業者應該秉持保留最少數據的原則,並且制定一個資料處理與儲存程序來做好個人資料的控管。例如,若需要顯示當事人主要帳戶資料時,應採用前六或後四碼的隱蔽措施,如果需要將主要帳戶資料儲存的話,也需要採取加密方式來確保資料不會任意被讀取。在實施了加密之後,用來加密持卡人的金鑰就成為重要關鍵,所以還要制定金鑰的管理流程和程序,來確保金鑰不會遭到洩露和濫用。

要求4:對透過公共網路所傳送的個人資料進行加密
若是個人資料需要透過公共網路來傳送,務必要採用強度難以破解的加密演算法和安全協定,以避免資料在傳遞的過程中遭到破解與竄改。因此,提供服務的網站必須提供SSL/TLS或IPSec等安全傳輸協定,針對所傳輸的資料進行加密。

要求5:安裝防毒軟體並定期更新主程式和病毒碼
所有和個人資料有關的系統,都應該要安裝防毒軟體,並且經常更新病毒碼,在防毒軟體的選擇上,建議最好同時具備防木馬與間諜程式的偵測功能。另外,更要確保所有的防毒措施都能夠及時更新,並且產生可供日後稽核的事件日誌。

要求6:開發與維護安全的系統和應用程式
網站的主機系統和應用程式,應該在供應商發佈修補檔的一個月內進行安裝更新,管理者可以採用訂閱方式來接收最新發現的安全弱點。若是自行開發的應用程式,應採行業界的最佳實務如Security Development Life Cycle(SDLC),將資訊安全與整個軟體開發生命週期相結合,同時要基於安全的程式編碼原則,以確保所有應用程式不會存在已知的安全弱點,還能抵禦已知的惡意攻擊。如果系統和軟體的配置需要更新或修改的話,也要事先取得管理階層的授權,依照所制定的變更控制程序來進行。

要求7:只有具備業務需求的人才可存取個人資料
在存取控制措施方面,只能允許工作職務上有需要的人員,才能存取電腦上和個人有關資訊,也就是要依據僅知原則(need to know),避免不相干的人員接觸到個人資料,也就是說除非已獲得管理階層授權許可,否則應該拒絕所有的存取行為。

要求8:賦予擁有資訊存取權限的使用者唯一的識別帳號
針對擁有個資存取權限的使用者,必須給予一個唯一的ID,才能允許其存取和個人有關的資料,這樣做的目的在於一旦發生資安事件,才可進行追溯和釐清相關責任。對於採用遠端存取的員工或第三方合作廠商,則採取雙因素身份認證機制,也就是除了使用帳號和密碼來驗證之外,還需要使用如Token、憑證、或生物特徵(指紋)等方式來識別連線的使用者。PCI DSS要求,只要是系統中所需使用的密碼,無論是儲存或傳輸,進行加密是必要的安全措施。

要求9:限制對個人資料的實體存取
針對個人資料的實體存取行為,必須採用監視系統和門禁管理等適當的控制措施,而針對所有包含個資的紙類或電子媒體,都應存放在安全的地點,並採行實體安全保護,無論是內部或外部,含有個人的資料都應該限制發送,而且儲存個資的媒體在離開安全區域之前,也都需要經過管理階層的核准才能放行。一旦含有個資的媒體不再需要保留時,也要按照一定的安全程序進行徹底銷毀。另外, 為確保對所有訪客都能被有效管理,可採用訪客識別證或通行卡,在訪客來訪期間的日誌記錄,至少需要保存三個月以上,以確保訪客的活動能夠被稽核。

要求10:追蹤並監控存取各項網路資源和持卡人資料的過程
對於和個人資料有關的所有存取行為,必須建立一個識別程序,來記錄追蹤存取事件,所記錄的內容應包括使用者ID、事件類型、日期時間、成功或失敗、事件來源、受影響的資料、系統元件或資源的ID或名稱。對於這些事件,管理者應定期進行審查,並且妥善保護稽核軌跡以防止日誌遭到竄改,所有的稽核記錄應至少保持一年。

要求11:定期測試系統安全與程序
針對各項資安控制措施,每年應定期實施測試,以確保控制的有效性,每季也至少進行一次內部和外部的網路弱點掃瞄,尤其是在網路發生重大變更之後也要執行一次。而針對可疑的入侵事件,應建立警示和通報的機制,一旦發現網路或主機遭到入侵,或是關鍵系統或檔案受到非授權的更改,都要能夠及時通報相關的人員。

要求12:建立並維護資訊安全政策
組織應建立、發布、維護和宣導一項資訊安全政策,並確保所有員工和合作夥伴,都能明瞭相關的資訊安全責任。在人員管理方面,對於欲聘雇的員工應進行背景的查核,對新進員工則實施有關資訊安全的認知宣導,使所有員工都能了解保護個資的重要性,藉此將來自內部的資料外洩風險降至最低。如果不幸發生了資料外洩事件,組織應依照事先建立的事件回應計劃來處理,而針對所有合作的供應商,在合約中也應清楚註明各項安全要求。

以上,是PCI DSS對於資料保護的安全要求,組織可藉此來一一加以審查檢視,就可找出目前個資防護的不足之處,然後強化安全控制措施。(本文刊載於2010年7月號網管人雜誌)

2010年7月12日 星期一

[觀點] 面對新版個資法的因應之道

隨著新版個資法正式的三讀通過,對於存在於各行各業且為數眾多的個人資料,總算有了保護的法源依據,對於公務機關和企業組織而言,未來若沒有落實個資保護,很可能就會面臨難以負擔的刑事責任和行政處罰。

延宕多年的電腦處理個人資料保護法修正案,總算在今年4月27日順利三讀通過,除了將名稱正式更改為「個人資料保護法」,在法條內容方面也做了一些修訂。尤其在二讀時,針對新聞報導自由的部份,在過程中引起了社會關注與媒體的討論,因此對於媒體報導的內容,是否需要事先取得當事人的同意,還有在Facebook上面分享拍攝的照片,會不會有洩露個資之虞,也作了適當的澄清,以避免民眾誤觸法網。

個資法修正前後的差異

過去在1995年公佈實施的電腦處理個人資料保護法,主要是參照經濟合作發展組織(OECD)所提出的個人資料保護八大原則,也就是要求限制蒐集、資料正確完整、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等原則,以避免個人人格權受到侵害,或是個資遭到不當利用。

當初,因考慮此法頒布實行之後,將會對民間業者衝擊過大,所以將適用範圍限縮在只經電腦處理的資料,適用行業除了公務機關之外,僅有特定的八大行業(徵信業、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業)受到規範,後來,雖然也陸續透過指定方式,將期貨業、百貨公司、零售業、不動產仲介經紀業、人力銀行等九個行業納入適法範圍,但還是有許多會蒐集、處理、利用個資的企業和團體不在此法律適用範圍內,仍然有不夠完善之處。

新版個資法的修正原則,參照了亞太經濟合作論壇(APEC)隱私保護綱領,將取得個資的事先告知、蒐集限制和預防損害,納入個資保護的規範之內,並且要求各事業主管機關需要負起監督之責,以防範個人資料的不當使用與外洩,其修正重點與前後的主要差異如下:
  1. 資料類型與保護範圍擴大 - 電腦處理個人資料保護法的保護客體為經過電腦處理的資料,新法則擴大為不管是電腦處理或人工紙本的資料,統統都受到法律規範。至於適用的行業,過去只有公務機關及八大行業受到法令要求,新版個資法則包括所有個人、法人團體、一般企業等(第2條),只要擁有個人資料的單位和組織,一律都要遵守個資法的規範。
  2. 刑責加重和罰責提高 - 過去若是發生個資外洩事件,民事損害賠償的總額上限為2千萬元,新法則提高至2億元,若被害人不易或不能證明實際損害的金額時,可以請求法院依照受害的情節以5百元以上2萬元以下來計算(第28條),同時為了方便受害者提出救濟賠償,新法還增加了團體訴訟機制,可透過眾人的力量來集體控訴(第34條)。至於刑事責任方面,若是犯罪人意圖將個資用於營利行為,則可能受到5年以下有期徒刑,併科1百萬元以下罰金,並且被提起公訴(第42條)。
  3. 個資蒐集限制與告知義務 - 新法中要求若是有關醫療、基因、性生活、健康檢查及犯罪前科等特種個資,必須在符合法律明文規定的嚴格要件下,才能進行蒐集、處理和利用(第6條)。未來無論是直接或間接地蒐集個資,都必須要盡到對當事人的告知義務(第8條),也就是要說明蒐集的目的和利用的方式,若是個資遭到不當外洩,資料保有者也必須依法查明後盡快通知當事人,以避免災害的擴大。
  4. 個人隱私與新聞自由的兼顧 - 新法二讀之後,在媒體上引起了一陣抗議波瀾,原因是個資法對於隱私的保護太過,若報導時都要對當事人告知並取得同意,在實務方面將會引起爭議與困難。因此在三讀時,為了基於對新聞自由的尊重,特別說明對於大眾傳播業者在進行新聞報導時,若基於「公益目的」(第9條),則可免為告知當事人,若是和公共利益有關或個資來自於一般可得之來源,也可以進行蒐集或處理。
  5. 網路使用個資行為之澄清 - 民眾在部落格或facebook張貼與他人合影的照片,若是屬於單純個人或是家庭生活的目的,則可適用第51條的排除規定。若是蒐集、分享沒有和其他資料結合而可識別出特定個人的影音資料,只要是基於便利性及合照本身的合法使用目的相當明確,也可排除在法規之外。至於人肉搜索的行為,若是屬於公共利益或取自於一般可得之來源,也屬於個資法主張的合理使用範圍內。
個資法重點條文之解讀

新版個資法全文分為六章共56條條款,第一章為總則(第1~14條),第二章為公務機關對個人資料之蒐集、處理及利用(第15~18條),第三章為非公務機關對個人資料之蒐集、處理及利用(第19~27條),第四章為損害賠償及團體訴訟(第28~40條),第五章為罰則(第41~50條),第六章為附則(第51~56條)。

關於新法修訂的目的,在第一章第一條開宗明義即提到「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」至於個人資料涵蓋的範圍,第二條明確指出個人資料是「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、 指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

其中有關個人之醫療、基因、性生活、健康檢查、犯罪前科等,必須在法律明文規定之下,或是公務機關執法或非公務機關履行法定義務,並有適當的安全保護措施下才可進行,若是公務機關或學術研究機構為了醫療、衛生或犯罪預防的目的,也必須經過一定之程序才能蒐集、處理或利用個人資料作為統計或學術研究之用。

個資法實施之後的衝擊

對公務機關而言,在新版個資法實施之後,有許多和過去不同的要求,包括必須要將個人資料保有的依據和特定目的、檔案名稱和類別、機關名稱和聯絡方式公布在網站上(第17條),換句話說,相關單位如何進行個資的清查和制訂公布的程序,就顯得十分重要。

另外,保有個人資料檔案的公務機關,必須要指定專人來負責個資安全維護事項,以防止個資受到竊取、竄改、毀損或洩漏(第18條),也就是說,這位專人勢必要對資安防護具有相當的專業知識,才足以擔負起個資維護的重責大任,這對於某些資安專才不足的單位,恐怕也需要一番的規劃與考量,才可推派出適當人選。

對於非公務機關來說,尤其是不屬於舊法適用的企業,由於以往從未受到要求,恐怕在個資相關的作業流程和維護方式,往往是聊備一格的,所以特別需要熟悉新法中的種種要求。例如新法中提到,非公務機關利用個資進行首次行銷時,應提供當事人表示拒絕接受行銷之方式,若當事人表示拒絕接受行銷時,就要停止利用其個人資料來進行行銷活動(第20條)

新法第27條則要求,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」也就是說企業必須要制訂「個資安全維護計畫」,並且說明業務終止後個人資料的處理方法。未來若是其事業所屬的主管機關或縣市政府,接受檢舉或認為該企業有違反個資法之虞時,可以依照法定程序派員進行檢查,要求相關人員進行必要的說明配合,並提出已盡到個資保護的相關佐證資料(第22條)。若是有違反個資法行為而遭糾舉且屆期未改正者,將會按次處以2萬元以上,20萬元以下的罰鍰(第48條)。

此外,如果發現企業有違法的情形,將會公布違反人員之姓名和負責人(第25條),若是導致個人資料遭到不法蒐集、處理、利用或其他侵害當事人權利者,還要負起損害賠償責任(第29條)。當然,如果企業能夠自行舉證並證明無故意或過失的責任,則不在此限,但這也就表示,企業若缺少適當的管理制度和表單記錄,要舉證恐怕不是一件容易的事。

請提早因應並做好準備

雖然,目前新版個資法的施行細則尚未完成,還須等待法務部參考多方意見來制訂並進行審查,預估最快也要到明年才會公布實施,因此對於公務機關和一般企業組織,還有一些因應的準備時間,但在此還是要提醒眾多單位主管及企業負責人,個資保護已有如箭在弦上,不得不發,所以提早因應做好準備,才是最佳的應對之道。

如果還不清楚該從何著手,建議先將法條內容瀏覽一遍,明瞭所處單位所受的規範要求,這是初步且必要的工作,然後去清查目前所保有的個資內容與評估其可能的安全風險,接著還需要針對個資蒐集、處理、利用的各個階段,將相關人員應扮演的角色責任明訂清楚,日後一旦施行細則公布之後,就可以參照必要的規範來運作,相信就能大幅降低觸犯法規的風險。(本文刊載於2010年6月號網管人雜誌)

2010年6月29日 星期二

[觀點] 小心殭屍網路對企業造成的衝擊

殭屍網路(Botnet)在資安業界,已經是受到關注與研究的議題之一,對於網路服務業者來說,更是避之唯恐不及的對象,但對於一般企業而言,或許它對自己的危害並沒有十分明顯,也就使得管理人員容易忽略這個可大可小的資安威脅。

過去曾經遇見一位朋友,自認為在他的產業裡,公司只是個毫不起眼的中小企業,並沒有太多商業機密或有價值的資訊值得惡意人士來入侵,因此對於媒體不斷披露的資安事件,往往認為是過於誇大而一笑置之,更不願意花一些時間來檢視組織是否存有資安的問題。

其實以往我也同意,如果組織內並沒有太多具有價值的資訊,的確很少有機會去引來惡意人士的覬覦,因此也會建議中小企業,在做風險評估與風險處理時,不需要花五塊錢去保護只有二塊錢價值的東西。但是,價值這件事其實是很難在當下就立刻判定的,尤其是對於資訊資產,並不能用傳統資產的概念來予以估價,而是必須更深遠地去思考在資安事件的背後,可能對企業造成的衝擊,以及有形與無形的損失。

看出攻擊背後的意義

有一個觀念我們需要轉變,那就是今日許多的資安攻擊事件,主要目的已不單單只是想要取得組織內部的資訊,而是還要將組織當作是一個跳板,作為入侵他人的管道,或是當作散布惡意訊息和發動攻擊的替身。

所謂「道高一尺、魔高一丈」,全球各地的執法機關會利用資訊科技來預防和阻止犯罪,惡意人士也會費盡心思來運用資訊技術,以便隱藏自己的犯罪軌跡,所以現在許多的攻擊行為都是採取分散式,並且採取不易被發覺且成功機會較高的手法來避免遭到追查,這也是今日殭屍網路會受到惡意人士青睞的原因。

殭屍網路的運作機制並不複雜,惡意人士(botherder)可透過木馬程式(bot)來操控組織受感染的殭屍電腦(bot client),這些電腦在平時可能不會有任何攻擊行為,而且透過變形和自我隱藏,也不太會被防毒軟體偵測到。一旦惡意人士想要發動攻擊時,只要下達一個指令給中繼站(command & control server),再透過中繼站來呼叫殭屍電腦,就可組成為數眾多的殭屍網路,針對特定目標發動攻擊。

殭屍網路的攻擊方式,除了最常見的阻斷服務(DoS)之外,也可以利用它們來散布垃圾訊息與郵件(spam),所以今日的企業組織,除了要擔心自己會成為被攻擊的對象之外,更要思考自己是否會成為攻擊別人的犯罪工具與代罪羔羊。

殭屍網路的發展現況

根據CSI電腦安全協會2009年電腦犯罪與安全調查報告顯示,在443位來自美國政府機關、金融、學術、企業、醫療等組織的安全專家,在過去一年所處理的資安事件中,近六成是和惡意程式有關,也有二成是直接和殭屍電腦有關的資安事件,他們預期在2010年的情況將會更加嚴重。至於賽門鐵克的網路安全威脅報告則指出,亞太地區擁有最多殭屍電腦的城市就是台北,數量約有18萬7千台。

其實bot並非天生就是壞人,運用bot概念來進行網路資料的蒐集與搜尋,已是目前相當成熟的應用,只是到了後來,慢慢有人往偏的方向走,像是透過它來進行網路訂票,搶購熱門的運動賽事或演唱會門票,之前再轉手售出來賺取價差,或是利用它來廣泛寄送行銷資訊,形成大量的垃圾郵件而造成資源浪費,則是比較不可取的作法之一。

尤其是垃圾郵件的寄送,目前已經形成了龐大的地下商機,具估計世界上有8成左右的垃圾郵件,都是藉由殭屍網路來發送,雖然各家資安廠商開發出各種不同的郵件過濾機制,主動封鎖主要的垃圾郵件發送網址名稱,但仍無法很有效地減少垃圾郵件的侵襲。

目前殭屍網路已發展出一項更新的技術,稱之為fast-flux,簡單的說,這項技術可以讓殭屍網路的操控者,持續不斷地去註冊和取消節點的網域名稱,使得透過IP網址來封鎖及識別垃圾郵件的方法,已經不再那麼地有效。

fast-flux從2006年出現至今,已成為網址名稱管理單位一個頭痛的問題,除了會影響網址名稱解析服務的運作之外,更讓殭屍網路變得難以偵測,惡意人士甚至把殭屍網路變成一種出租服務,只要願意付出一些費用,就可以利用它來達到非法目的,更讓整個犯罪行為就像船過水無痕一樣難以追查。

認識知名的殭屍家族

談到殭屍網路,許多人以為它只是單一的威脅,事實上殭屍網路是由許多不同功能的惡意程式所組成,其攻擊手法也有一些不同的差異存在,以下為幾個重大且常見的殭屍網路說明:

PushDo
PushDo是全球第二大的垃圾訊息殭屍網路,出現於2007年1月,許多人對它感到陌生的原因是,它善於利用不同的技術來隱藏自己,除了能在世界各地持續不斷地發送垃圾訊息之外,也能利用相同管理來散布惡意程式。當然,阻斷服務攻擊也是它的工作之一,最近的行為特徵則是針對網站發出SSL要求,然後不予以回應,使得原本使用率不高的網站突然流量暴增,進而造成網站無法提供正常的瀏覽服務。

ZeuS(Knebar)
ZeuS是一個老牌的駭客工具包,包括了像是木馬、通訊埠掃瞄等工具,透過不同攻擊工具的運用,讓它不容易被一網打盡而得以存活。目前由ZeuS所組合而成的Knebar殭屍網路,特色是能夠運用多重的中繼站,一旦某個中繼站被封鎖,可以快速地切換到另一個來重新啟動,惡意程式本身也能不斷變種,換句話說,這是一個具有備援機制的殭屍網路,是相當難纏的對手。

Mariposa
Mariposa是西班牙語「蝴蝶」的意思,背後控制它的犯罪集團,曾經讓世界190個國家,超過1300萬台電腦染上惡意程式,透過木馬來竊取包括使用者帳號密碼、信用卡號等有價值的資訊。另外,它也能利用IE瀏覽器的漏洞和USB隨身碟來散布,側錄使用者的登入資訊,再偷偷回傳給中繼站,最後回到犯罪集團的手中。

Waledac
Waledac的專長是發送垃圾郵件,也就是一個典型的spambot,它是由全球數十萬台已被感染的電腦,所串聯起來的殭屍網路,每天可發出高達15億封的郵件。根據微軟hotmail的統計,在短短不到二十天的時間,它就針對hotmail的使用者,發送了大約6.5億封的垃圾郵件,除了浪費使用者的時間之外,許多垃圾郵件也會趁機夾帶惡意程式,伺機進駐到企業內部之中。

Torpig
它最擅長的是收集個人資訊,曾經創下在十天內感染了18萬台電腦,獲取高達70G的使用者資訊,其中包括不同金融機構的帳號、使用者身分資料、信用卡號碼、電子郵件帳號等。Torpig運用了fast-flux技術,使得它的傳播途徑難以完全封鎖,反向追蹤也變得十分困難。

Koobface
Koobface是個不斷進化的殭屍網路,一開始是利用散布惡意聯結,來誘騙使用者下載假的YouTube影片解碼器,藉此來感染使用者的電腦。如今則是搭上facebook的熱潮,它有能力去假造一個facebook使用者帳號,並且通過Gmail的帳號認證,然後建立起個人的檔案頁面,同時加入一些個人檔案和照片,目的是偽裝成一個正常的使用者,再大量去送出交友要求,並在塗鴉牆上張貼惡意的訊息。

如何因應殭屍網路威脅

對於企業來說,要防範殭屍網路的威脅可以從二個層面來看,首先是思考如何避免被害(避免遭到阻斷服務攻擊),其次則是如何避免去危害他人(被感染成為殭屍電腦)。

關於第一個層面,有些廠商會建議添購專門阻擋殭屍網路的高效能網路設備,但是若遇到大量來自世界各地的分散式阻斷攻擊,這時候就需要ISP業者的支援聯防,所以在事前我們應該要做的,就是去了解ISP業者能提供的協助有哪些,包括緊急聯絡方式、處理流程、所需處理時間等,建議在服務合約中就明訂清楚,這對於企業將會是個保障。

至於要如何避免成為殭屍網路的幫手,由於目前殭屍網路惡意程式通常來自於網路下載和電子郵件,所以教育訓練會是一個好的開始,管理人員需要制訂清楚的網路使用政策,並且讓員工明瞭後果的嚴重性,以避免誤入社交工程的陷阱。

當然,光是教育訓練是不夠的,找到對的技術也很重要,建議管理者可評估適合的閘道端網路內容過濾方案,藉由掃瞄網頁內容和郵件附件,在惡意程式還沒有抵達內部之前就加以阻擋,同時也可阻止殭屍網路和中繼站連絡的phone home行為。

最後在管理方面,成立一個資安事件應變小組是有必要的,唯有透過專責人員對於資安問題有更深一層的了解,預先擬定適當的應變措施,才可避免在事件發生時手忙腳亂,導致錯過了最佳的處理時間,進而造成企業更多的損失。(本文刊載於2010年5月號網管人雜誌)

2010年6月25日 星期五

[新聞] 6個確保iPhone資訊安全的小秘訣

最近在捷運上、咖啡館、高鐵站,到處都可以看到有人拿著iPhone用手指邊滑邊偷笑,iPhone的好玩與熱賣,好像已經變成國民機種了,但是它有可能帶來的資訊安全問題,您了解嗎?

如果您擔心iPhone的安全問題,CIO.com在二年前曾發表一篇有關iPhone安全的文章,如今仍然是相當實用,在此分享給同樣擁有iPhone的朋友囉~

密訣1:啟動自動鎖定功能

iPhone最基本的安全功能之一就是「自動鎖定」,可以讓您的iPhone在未使用一段時間之後,將觸控螢幕上鎖,這是預設就會啟動的功能,您可以到「設定」-「一般」-「自動鎖定」這邊自己修改上鎖的時間(1~5分鐘),雖然這還談不上是一項安全的功能,但搭配以下的密碼鎖定功能來使用,就可以強化iPhone的安全。



密訣2:啟動密碼鎖定功能

相信使用iPhone的人,大多都會在iPhone上儲存跟個人有關的資料,包括像是email、通訊錄、親朋好友的照片,以及許多下載的Apps,如果萬一有天不小心遺失了iPhone,您會不會擔心個人隱私會就此曝光呢?

如果是商務人士,建議您可以搭配Apple MobileMe或電信業者的遠端資料刪除服務,但若是一般普羅大眾,其實也有一些簡單的保護措施,像是「密碼鎖定」,它可以讓iPhone在未使用一段時間之後,就會自動上鎖,需要輸入密碼才可使用。

要啟用這項功能,您需要點按「設定」- 「一般」- 「密碼鎖定」,再輸入四位數的密碼,然後您可以選擇需要密碼的時間(一般建議是5分鐘)。請注意,在設定密碼時請勿使用懶人密碼(例如:1234、0000),設定密碼之後也請務必記住或保存好您的密碼。

如果擔心有人會以猜密碼方式進行破解,還可以啟動「清除資料」功能,這樣若是有人連續輸入了10次錯誤的密碼,iPhone上的所有資料將會被清除,以確保個人資料的安全。

或許您會有一個疑問,若是iPhone被小朋友拿去玩而不小心點按,或是朋友惡作劇,故意連續在iPhone上按錯10次密碼,那該怎麼辦?

別擔心,若是按錯了6次密碼之後,iPhone就會鎖定要在1分鐘之後才可再輸入,若還是按錯,則鎖定在5分鐘之後才可再次輸入,以此類推所延長的輸入時間,至少要花1小時以上才會到達錯誤10次。

如果最後慘劇還是發生了,若是您平常使用iTunes和電腦同步,並且有自動備份資料的話,那麼還是可以透過電腦同步將資料還原回來的喔。



密訣3:使用安全的Wi-Fi無線網路

iPhone使用Wi-Fi無線網路,在瀏覽網站和收發e-mail上可說是相當快速方便,但要提醒您的是,若您使用的是家用無線網路基地台,最好啟動WPA的加密功能,然後當您的iPhone要進行Wi-Fi網路連線時,就會出現輸入密碼的要求,在完成輸入之後,您的iPhone就處於加密的連線狀態,可以放心使用各項網路服務了。

另外,為了確保不會不一小心連上了不安全的無線網路,請記得啟動iPhone上「詢問是否加入網路」的設定,請到「設定」-「Wi-Fi」頁面,然後將它啟動,這樣的話,在無線網路連線之前,iPhone都會提醒您,確認之後才會進行連線,當然,若平時不使用時,建議您將Wi-Fi關閉,就會更加安全了。



密訣4:強化存取郵件的安全

如果您在iPhone上使用mail的話,記得啟動SSL加密功能,以確保傳輸時的安全,以使用Gmail為例,你可以到「設定」-「電子郵件/聯絡資訊/行事曆」,然後點選您使用的郵件帳號,接著可以點選「進階」,然後捲動到「使用SSL」將它啟動就可以了。

當然,你也可以透過iPhone上的Safari來存取郵件,請記得確認網址是否有「https」,並出現鎖頭的符號,這樣才是處於安全的SSL連線狀態喔。



密訣5:確認Safari的安全設定

如果您使用iPhone來上網,那麼一般瀏覽網站會遇到的安全問題,像是廣告視窗、詐騙網站,也同樣會發生,因此,請您確認Safari的安全設定是否都有啟動,以保障您上網的安全。

請到iPhone上的「設定」-「Safari」的頁面,確認「詐騙警告」、「阻擋彈出式視窗」等功能是否都有啟動,另外,網站上常用的cookie,是用來記錄您的瀏覽和連線認證等記錄,如果您想進一步確保個人隱私,在「接受Cookie」設定上,您可以選擇「永不接受」,以避免網站在您的手機上儲存Cookie。不過,有些網站若不啟動Cookier功能,可能會造成瀏覽上的問題,請您自行斟酌使用囉。



密訣6:啟動取用限制

如果是公司配發的iPhone(有這麼好的公司嗎?),或是父母給小朋友使用的iPhone,為了避免使用上可能會造成的問題,像是上班都用iPhone在上網、看YouTube、用iTunes傳送音樂、用相機偷拍公司機密等,或是擔心小朋友安裝了其他應用程式,在iPhone上可以設定「啟用取用限制」,以限制一些應用。

請到「設定」-「一般」-「取用限制」,即可在此設定密碼,以允許或限制一些功能的使用。



參考資料:Six Essential Apple iPhone Security Tips

2010年6月24日 星期四

[Q&A] 什麼是 SAS 70?

SAS 70全名為The Statement on Auditing Standards No.70,它是由美國認證會計師協會(AICPA)所發展,並被國際所認可的稽核標準,主要實施對象為金融服務機構和提供資訊服務的組織。透過第三方以SAS70為準則的公正稽核過程,可以驗證受稽核的服務組織已具備並實施有效的內部控制。

SAS70的稽核類型分為兩種:Type I和Type II,兩者皆會產出一份稽核報告。在Type I中,服務組織必須提供內部控制的詳細描述,以供稽核員進行檢查,項目包括:
  1. 組織內部控制環境各層面的描述,這些將影響到組織內部人員,同時也是其他控制措施的基礎。
  2. 風險評鑑的流程,包括如何識別和分析和控制措施有關的風險,說明風險如何被適當地管理。
  3. 說明政策和程序等控制相關活動,可確保管理被真正實施。
  4. 資通訊的交換流程與形式,以及人員在各時間點應盡的責任。
  5. 內部控制目標和相關的控制措施,以及其他組織可能要求的補償性控制措施。
在完成稽核之後,稽核員將針對服務組織提供的內部控制描述,發布一份公正的評估聲明,說明各項控制措施是否已被適當的設計,以達成組織描述的控制目標。

至於Type II的稽核,則不只是採取以上的步驟,在實施Type II的稽核過程中,組織的控制措施將經過六個月(也有可能更長)的測試,以確認其是否真正有效地運作。

因此,Type II的稽核報告中除了包括Type I的評鑑之外,更增加了測試過程的完整描述,以及其最後產生的結果。

參考資料:SAS 70 OVERVIEW

2010年6月23日 星期三

[新聞] 強化 B2B 安全架構的4個層面

在網路世界中,有愈來愈多的商業夥伴,需要透過網路彼此相互連結,並且交換商務資料,因此資訊安全的控管就顯得更加重要。

對B2B業者來說,過去的資料交換介面相當單純,因為不會有太多的設備和應用程式需要聯結溝通,但如今隨著資訊科技的發展,許多重要的應用程式、伺服器和資料庫都需要彼此連結,雖然採用DMZ的佈署方式仍然存在,但卻需要更多有關身分驗證等的安全控制措施。

最近,隨著雲端服務的熱潮,為了控管雲端安全,許多資安技術像是反惡意程式、script分析、url過濾、IPS和web應用層防火牆等,都是許多組織考慮採用的產品,但是針對Web 2.0 App動態產生內容和透過雲端分享的新方法,傳統的資安控制措施不見得是那麼地有效。

針對B2B的資安架構,在CSO Online由Forrester Research分析師Usman Sindhu所發表的一篇文章,針對組織基本的存取控制策略,提到了以下4個層面的安全防護建議:

1. 應用程式存取控制 - 當應用程式和服務存在雲端之上,身分驗證與存取的授權就顯得十分重要,因此透過識別與存取管理(IAM),能夠去定義身分角色、責任和應用程式存取層級,以控管對關鍵資源的存取。

2. 資料存取控制 - 作者將資料存取控制定義為分享給相關團體時應有的授權過程和資料保護,認為相關技術的採用是因為組織想要對資料進行分類、提取、加密、發現,以及控制誰可存取資料,所以除了技術之外,也需要制定一項政策以針對網路不同存取點來實施權限管理。

3. 網路存取控制 - B2B的互動需要仰賴入侵偵測、入侵防禦系統,以及資安事件管理來消除可能的威脅,所以組織整體的存取控制將可用來啟動B2B環境,針對不同的網路層面和交換介面應有的安全措施。

4. 實體存取控制 - 識別證與監視器已成為許多組織基礎的安控措施,而為了達到實體的安全控管,也有組織採用GPS、RFID、感應器、智慧卡等技術,以連結到使用者進行身分識別,因此基於身分識別的控管方法,將成為實體存取控制的新領域。

以上是B2B基礎安全架構的4個層面,作者認為B2B並沒有一項容易實施的資安解決方案,而是需要多種的技術,在不同層面上進行整合的控管,所以組織需要自行去定義需使用的安全技術,以發展出適合的存取控制安全架構。

參考資料:The 4 tiers of a secure B2B framework

2010年6月6日 星期日

[觀點] BS 10012 個人資訊管理標準簡介

隨著新修訂個人資料保護法已經三讀通過,未來無論是政府機構或是民間企業,只要處理和個人資料有關的業務,勢必就要建立一套有效運作的個人資訊保護制度(PIMS),而標準將會是最佳的參考指引。

還記得2008年8月,刑事警察局破獲了兩岸駭客和詐騙集團共同聯手,入侵了中華郵政網路銀行,將數十名客戶的存款盜轉走數百萬元,同時也入侵了健保局、教育部和多家電信業者的資料庫,將所得的個人資訊與購物台刷卡資料,共同整合成一個可供搜尋近五千萬筆個人資料庫的事件,讓人害怕的是幾乎從上到下,由政府官員到一般民眾等皆無一倖免。

每天,我們的資料都在政府或民間企業,像是政府各級單位、水力電力公司、戶役政稅務機關、醫院、學校、警察機關、銀行、保險公司、一般企業、零售業、超市、航空公司、旅行社等之中被蒐集、儲存、傳遞和使用,如果你的個人資訊被不安全地處理而遭到惡意人士的盜用,對個人而言,輕則財物受損,重則造成法律糾紛,個人名譽也將受到不必要的侵害,若洩露個資的單位查證屬實,一旦新修正的個人資料保護法三讀通過,也將面臨鉅額的懲罰性賠償。

個資有價,切莫輕忽

從資訊的生命週期來看,個人資訊的產生、處理、傳遞、儲存、復原、銷毀等過程,都需要有適當的安全管控措施,這部份可以透過管理制度的規範,或是技術性的保護,來防止不當處理個資事件的發生。

因此,組織必須要將個人資訊視為有價值的資產,無論其呈現的形式是什麼(例如紙本、聲音、影像、電子檔案等),都必須評估其可能存在的安全弱點,以及可能面臨的威脅,並且透過風險評鑑的過程,來找出其風險的高低,然後針對無法接受的風險,進行風險處理和後續改善行動。

隨著個資外洩事件不斷發生,目前已有許多政府單位與企業,對於個人資訊保護的問題日漸重視,但是卻往往不知該如何著手,找不到一套可以依循的規範與標準。如今,BS 10012的標準內容,正好可做為組織在建立個人資訊保護機制時的最佳參考,藉由標準所提供的基礎架構(Framework),配合PDCA的管理運作方法,能夠透過建立系統化的個人資訊管理制度,來達到保護個資的目的,更可進一步符合個資法規的要求。

重要的資料保護原則

談到資料保護,英國在1998年即制訂了資料保護法案(Data Protection Act 1998),並且在2000年3月公布實施,要求資料控管者(data controller)對於個人資料的取得、使用、儲存、揭露等,必須遵守法律的規範與要求。

其中,資料保護法案所要求應遵守的8項資料保護原則,非常適合各組織作為制定個人資料保護的參考,內容說明如下:
  1. 個人資料不可以非法或不公正方式蒐集、處理。
  2. 個人資料應限於以特定目的之方式蒐集、處理。
  3. 個人資料應以充分、相關,而非逾越其原本之目的處理。
  4. 個人資料應求準確,並在必要時及時更新。
  5. 個人資料之保存,不得超過其原定目的之保存期限。
  6. 個人資料之處理,應依照當事人之權限及法令規範。
  7. 組織應採取適當的資料保護技術和措施,防止個人資料遺失或毀壞。
  8. 個人資料不得轉移到歐洲經濟區以外的國家或地區。
綜合以上原則所述,組織在蒐集、處理、使用、儲存個人資料時,必須合乎公平正義原則,並依照當初的目的,採取適當的安全保護措施,以確保個人資料的正確與完整。為了使企業能有效保護個人資料,同時符合法規的要求,BSI英國標準協會在2009年5月31日公布了個人資訊管理系統(personal information management system;PIMS)標準,提供個人資訊管理的基礎架構,以作為組織在落實個人資訊保護時的參考。

BS 10012的基礎架構

BS 10012的全名為「資料保護─個人資訊管理系統之要求(Data protection–Specification for a personal information management system)」,其中BS指的是英國標準,後面則為標準編號,至於系統指的是文件化的管理制度,它是由工業、政府、學術、教育、消費者等各界專家代表所共同發展,因此適用於任何組織和公私領域,讓組織的管理階層可以依循參考,亦能作為有效的個資法規內外部的評鑑標準。

BS 10012內容共有7章,第0~2章為標準介紹、適用範圍與名詞定義之說明,第3~6章則為個人資訊管理制度的架構要求,其主要目標說明如下。

計畫與建立PIMS
本章的目標是要規劃建立個人資訊管理制度,以提供符合資料保護法規要求的方向和實務上的良好做法。因此在一開始,組織必須定義個人資訊管理的範圍和目標,並判斷內部有哪些資料屬於個人資訊,以便制訂適合組織運作的個人資訊管理政策。

此一政策必須由資深管理小組(可能包括董事會成員、執行長、資深工作者和組織合作夥伴)來發布,並負起維護和更新之責,在政策中要清楚地讓組織成員了解個資保護的重要性,以及個資處理的原則,要求必須共同遵守,並且融入組織的文化之中,以達成個資保護的目標。

實施與運作PIMS
本章內容是實施與運作個人資訊管理制度的要求,也是標準中內容最多的一章,其目標包括要確保組織已指派適當的負責人選,以便推動並執行個人資訊管理制度,因此需要明確說明資深管理小組成員的工作角色與職責,並且清楚定義其每天的工作任務。

另外,凡是組織內和個人資訊處理有關的單位或部門,也必須推派適當的代表,因為只有實際處理個資的同仁,才明白個資中的機密性與敏感性,透過各個單位負責代表的協助,才可實際進行個人資訊的風險評鑑,以評估目前組織所擁有及處理個人資訊的風險等級。

本章的重點還包括要求組織應對員工實施教育訓練,並確保個人資訊被公平且合法的處理使用,也就是要求從個人資訊生命週期的一開始到最終的銷毀階段,整個過程中是否遵守適當的處理作業流程,是否尊重個人資料所有人的權力,以及採取適當的資訊安全控制措施。

監督與審查PIMS
本章的內容是要求個人資訊管理制度應實施適當的監控與審查,因此組織必須制定稽核計畫,選擇合適的稽核人員依照政策與管理要求,定期地實施內部稽核,以確認管理制度能夠有效地運作。

除了內部稽核之外,組織還必須定期實施管理階層的審查會議,了解個資處理的過程是否有任何的變動,同時也要審查稽核之後的結果,以及是否曾經發生和個資有關的資安事件,以掌握組織個資處理的現況,並適當修訂現行的個人資訊管理政策內容。

維持與改善PIMS
本章的內容是維持與改進個人資訊管理制度,目標是改進整個制度實施的效率及有效性,因此要求從兩個方向來改善。首先是組織應針對可能違反法規的事件,在事先實施預防的行動,並評估可能造成的問題來決定與實施必要的預防措施;其次則是針對管理階層審查的結果,針對不符合政策與標準要求的事項,進行矯正的行動,以求將個資受到不當處理的風險降至最低。

保護個資,刻不容緩

未來隨著新版個人資料保護法頒布實施之後,對於擁有和處理個人資訊的各行各業來說,最大的改變會是什麼?個人認為是組織必須建立一個新觀念,那就是「個人資料是有價的」,再也不能像過去一樣被任意的處理和交換,無論是蒐集、處理、利用都必須要合乎法律規定,如果組織沒有建立有效的個人資訊管理制度,那麼很可能就會不小心觸法而蒙受不必要的損失。

因此,萬一組織仍舊忽視個人資訊的保護,而無法安全妥善地進行處理,根據目前正在修訂中的個資法草案,未來若發生個資外洩事件,當民眾進行受害索賠之時,並不需要負舉證之責。也就是說,洩露個資的單位,必須證明自己無故意或過失責任,才能免於賠償,所以如果沒有文件化的作業流程與記錄,要提出舉證恐怕相當困難,對此管理者請務必要三思才行。(本文刊載於2010年4月號網管人雜誌)

2010年5月27日 星期四

[觀點] 談醫療資訊的安全防護

對於現今的醫療業者而言,資訊系統的應用已扮演了非常重要的角色,除了能提供有效率與高品質的醫療服務之外,也提供了更多生命安全的保障,因此,如何確保醫療資訊的安全,已成為醫療業者無法忽視的重要課題。

在2009年3月,香港聯合醫院一位醫師,遺失了存有47名病患個人資料的隨身碟,引起了相關單位的重視;2009年5月,美國加洲柏克萊醫療中心的資料庫,遭到駭客入侵,竊取了相當於身分證字號的社會安全卡號和健保資訊,估計有近16萬人受到影響;2009年11月,台大醫院發生了近年來第2次的電腦當機事件,造成掛號、病歷查詢和領藥系統的失效,影響上千名病患的就醫權益,幸好未造成延誤就醫而影響生命安全的事件發生。

今日醫療業者所面臨的挑戰,包括了就醫品質、病患照護、病患安全及法規要求等各個層面,而透過了醫療資訊科技的運用,可有效協助業者因應各項問題,像是就醫資訊提供、網路掛號、遠端醫療、電子病歷等,除了可以降低醫療疏失的發生機率,也能同時降低營運的成本,並提升民眾就醫時的滿意度。

近年來,隨著醫療資訊安全和個人隱私的保障要求,行政院衛生署在2003年6月啟用了醫事憑證IC卡,藉由其提供的資料加密和簽章機制,可確保醫療資訊的機密性、完整性和不可否認性,避免醫療資訊遭受不當的竄改和偽冒。

另外,在政府對於電子病歷的強力推動之下,在已制定的「醫療機構電子病歷製作及管理辦法」中,亦明定電子病歷僅能開放給經過認證與授權的人員使用,對於資料的內容只能以附加方式處理,而不得任意直接修改或刪除已確認之病歷資料,同時也必須結合電子簽章之技術,以達到可確認原製作之醫療單位與醫事人員的身分,供後續的追蹤查核之用。

醫療資訊安全的目標

資訊科技的應用如同水能載舟、亦能覆舟一般,如果資訊的傳遞未受到良好的防護,或是忽略了處理資訊等相關系統的可用性,就可能導致一連串的問題發生,其中,尤以醫療資訊的外洩影響層面最廣,目前,一般民眾的醫療資訊內容包括:
  • 基本資料 - 包括姓名、性別、出生日期、身分證字號、通訊地址、電話、病歷號碼等。
  • 就醫記錄 - 看診科別、掛號日期、診治醫生等。
  • 醫囑事項 - 診斷記錄、用藥明細、病況摘要、治療方式等。
  • 檢驗報告 - 檢查項目與報告、病理檢驗報告等。
  • 護理記錄 - 住院記錄、給藥過程記錄等。
目前,大多數的醫療院所仍以紙本方式保存醫療資訊居多,而未來隨著電子病歷的推動,一旦資訊轉變成為電子化的狀態,就會具備更容易傳遞、複製、修改等電子化資料的特性,所以如何去確保資訊的安全就顯得更加重要,相信沒有一個人會願意自己的醫療資訊被任意查閱且曝光。

因此,對於醫療業者而言,保護醫療資訊安全的主要目標就是為了:
  1. 保護病患醫療資訊 - 醫療資訊為重要的個人隱私,如果遭到不當洩漏,除了會影響病患的身心、名譽和權益之外,更有可能為其家屬造成傷害,因此必須加以妥善的保護。
  2. 減少醫療過程疏失 - 醫療資訊的正確與完整性,涉及病患的生命安全,如果醫療資訊受到不當竄改,或是因人為疏失造成資訊錯誤,將會導致像是用藥失誤、診斷錯誤等重大醫療事件發生,所以唯有確保醫療資訊的安全,才能適供適當且正確的醫療服務。
  3. 確保醫療服務持續提供 - 持續為民眾提供適當的醫療服務,是穩定國家與社會發展的重要力量,如果醫療服務因為資訊系統受到資安事件的影響而停擺,可能會引發社會大眾的恐慌,進而引發更多的社會問題,因此應由政府予以監督及協助。
醫療資訊的安全原則

就個人的觀察,針對醫療業的資安威脅來源,和多數的組織並無太多的差異,主要仍是來自於天災、人為與技術失效的事故。在天災方面,由於醫療院所負有眾多生命的安全保證,因此在火災、風災、地震方面多半已有良好的應對措施,需要加強的是人員的訓練與定期的災難演練。

至於人為事故方面,因為醫療業需要保護的資訊本身,比一般企業的資訊來得敏感,因此需要所有醫護人員都具備基本的資安意識,以保障病患的醫療隱私,所以在作業程序上,可依照衛生署「醫療資訊安全與隱私保護指導綱領草案」中的指導原則來進行,簡要說明如下:
  1. 最小需求與合理範圍之最大安全原則 – 若醫療機構或醫事人員需要蒐集、使用或揭露病患的醫療資訊時,醫事人員必須盡可能地降低其範圍,也就是說,只收集必要且合理的資訊即可,並且必須盡最大努力去保護醫療資訊的安全。
  2. 直接取得和不可揭露原則 – 醫療機構或醫事人員需要蒐集醫療資訊時,必須直接向病患或法定代理人詢問,避免由他人轉述病患的隱私。若未經病患的同意,也不得洩露和個人有關的醫療資訊。
  3. 尊重及告知原則 – 醫療機構或醫事人員必須獲得病人或其法定代理人的同意,在自願的情形下才可蒐集、使用或揭露其醫療資訊。
  4. 公平正義原則 – 病患的醫療資訊不可透過非法或不公正的方式蒐集、使用或揭露。
  5. 符合法令法規原則 – 醫療機構或醫事人員對於醫療資訊的使用,必須要符合現行法令的要求,以避免觸犯法規。
  6. 病患權利和公共利益保障原則 – 病患對於存放在醫療機構的個人醫療資訊享有一定之權利,醫療機構或醫事人員使用醫療資訊時,應以保障生命權和公共利益為原則。
醫療業的資安防護策略

根據過往的經驗,醫療資訊可能面臨的資安威脅,主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等,因此在基礎的防護作法方面,建議採取以下的控制措施:
  • 建置安全的網路 - 部署防火牆和入侵偵測系統,內部進行網段區隔等。
  • 保護醫療資訊傳輸 – 遠端醫療資訊的傳送,應透過VPN加密方式進行,若提供醫事人員無線網路的使用,也應啟動WPA加密機制等。
  • 弱點管理機制 – 針對醫事人員使用之個人電腦,應透過中央控管之防毒系統,統一派送更新病毒碼,針對作業系統所發布的弱點,也應及時或定期更新,以避免讓惡意人士有入侵的可趁之機。
  • 身分認證機制 – 可利用醫事人員憑證或自行建置之身分認證系統,進行醫療資訊的存取控制。
  • 監督審查與事件管理 – 進行日誌(Log)集中保存,並且檢視追蹤可疑的事件。
至於整體的資安防護策略,目前已有醫療院所導入ISO 27001資訊安全管理系統,這是相當值得鼓勵的地方,顯示醫療院所的管理階層,已經體認到資訊安全對於營運的重要性。因此在管理方面,除了可藉重ISO 27001的控制要求,最重要的是醫療業者需要自行評估目前所面臨的風險為何,必須要將重點放在保護每天產生與傳遞的醫療資訊上。舉例來說,如果醫療院所還是以傳統的紙本病歷居多,那麼在病歷室的門禁管理、病歷查詢的權限控管、病歷資料的傳遞儲存與銷毀等方面,就會是資安管理的重點。

其次,則是思考如何避免因為資訊系統的故障等資安事件的發生,所導致的醫療服務與營運中斷,換句話說,對於資安事件的應變與危機處理,如果能夠及早準備並定期進行演練,將可大幅減少醫療服務中斷對於民眾和醫療院所的衝擊,對管理階層來說,其效益除了能降低營運損失,更可維護醫院聲譽。

最後,雖然國內仍缺少如美國保障醫療隱私的HIPAA(Health Insurance Portability and Accountability Act)法案,但未來必須符合資訊相關法令法規的要求(例如個人資料保護法),將會是醫療業者應盡的責任。如果能夠及早從管理制度開始著手,透過醫療資訊標準作業流程的建立,讓醫事人員皆能體認保護醫療資訊安全的重要,相信就能為民眾帶來更完善的醫療品質,以及更讓人安心的就醫服務,也不愧對濟世救人的天職。(本文刊載於2010年3月號網管人雜誌)

2010年5月14日 星期五

[觀點] 網路購物業的資安防護策略

隨著各種網路購物的詐騙與惡意攻擊行為仍層出不窮,網路購物業者如果缺少適當的防護對策,本文可作為管理人員與資訊人員的參考。

根據資策會產業情報研究所(MIC)的調查顯示,由於2009年發生多起的網路購物資安事件,如何去確保交易資料的安全性,已成為台灣網友認為網路購物需要改進的前三大項目之一。目前,已有83%的業者提供了簡易的線上交易付款機制,也有將近九成的業者認同保護網路購物交易安全是吸引消費者的重要判斷依據,並且將有助於銷售業績的提升。

不過,截至目前為止,由網路購物所引發的資安事件依舊層出不窮,例如2009年年底有消費者在購物網站消費之後,隨即接到詐騙集團的電話,因此懷疑業者將消費購物時所填的個人資料外洩。而某網路書店業者,繼前年發生六千多筆的會員資料外洩之後,也再次發生消費者在購書之後兩週內,接到詐騙集團電話要求至ATM取消分期手續,因此而損失三萬元存款的事件,讓人質疑業者內部的資料控管仍存有很大的漏洞。

針對網路購物的安全,MIC更進一步指出,網路購物業者必須將「交易安全」視為重要的營運議題,因為日後在消費者期待交易安全將有所改善的情況之下,網路購物的交易安全也將愈來愈受到重視。

網路購物面臨的資安威脅

記得從2007年開始,在全球各地都發生了網站資料外洩事件,其中以網路購物業的災情最為嚴重,以當時台灣的前十大網路購物業者來說,有一半都傳出因為消費者的個人資料外洩,而導致一連串的網路詐騙行為發生。根據刑事警察局的統計,光是2007年1~8月所累計的詐騙金額,就超過了三億一千萬,受騙的人數也將近一萬人,其中大多數都是因為網路購物的個人帳號與交易資料外洩所引起。

目前,網路購物業者所面臨的資安威脅,最常見的有下列幾項:
  1. 阻斷服務攻擊 – 惡意人士透過已受到木馬程式控制的電腦所形成的殭屍網路(BotNet),在很短的時間內針對購物網站發送大量連線封包,使得網站伺服器無法處理同時湧入的連線要求,造成交易服務的中斷,消費者無法連上網站進行購物。
  2. 惡意程式攻擊 – 如果網站業者缺乏資訊安全防護機制,很容易就會被惡意入士在網頁中植入惡意連結,使得瀏覽網站的消費者會自動下載執行病毒和木馬等惡意程式,造成個人隱私資訊包括登入帳號、密碼、信用卡號等被竊取外洩。
  3. 偽冒攻擊 – 惡意人士以網路釣魚的手法,假冒網路購物業者對其會員發送偽造的郵件,藉此騙取會員的帳號資料以行詐騙。另外,惡意人士也會利用竊取的信用卡資料進行購物消費,使業者無法收取款項而蒙受損失。
  4. 連線竊聽 – 如果購物網站業者未使用像是SSL的安全機制網路連線,當消費者在不安全的網路環境中進行購物,惡意人士可伺機竊聽網路交易的封包,進而獲得雙方交易的資訊。
  5. 人員破壞 – 若業者內部員工未經適當的篩選與管理,並且缺少適當的資訊存取控制措施,惡意員工可能會盜賣客戶資料,或是針對系統進行破壞,進而影響網站所提供的購物服務。
  6. 系統入侵 – 惡意人士可能利用網路或主機系統的安全漏洞,透過駭客手法入侵系統,藉由提高其帳號權限,可進一步取得敏感的資訊,或是針對系統埋藏後門,以便進行更多的破壞。
針對購物流程加強防護

對業者而言,如果發生了資安事件,單一的交易損失或許不大,但是當事件經由媒體的報導之後,若讓消費者產生了疑慮,勢必對業者的商譽造成更大的衝擊,可能更讓許多人因此而不願意在該網站上購物,後續的損失可說是難以估計。

針對網路購物的安全,國際信用卡發卡組織VISA的調查指出,有六成的消費者是透過網站是否有良好的安全系統、業者是否願意免費退貨、是否提供消費者信用卡不被盜刷的保障,作為判斷網路購物是否安全的依據。而消費者進行網路購物時最怕碰到的三件事,首先是業者不當使用消費者的個人資料,其次是將消費者的個人資料和信用卡號外洩,最後則是業者受到未經授權的駭客入侵。所以,為了確保營運與獲利,業者應重視網路購物的安全,以保障消費者的權益與信心。

那麼,業者到底該如何保護網路購物的安全呢?最簡單的方式是,我們可以從網路購物的流程,來一一探討並預防可能會發生的資安問題。現今一般的網路購物流程為,消費者在瀏覽器上輸入網址或點選連結之後進入購物網站,然後選擇想要購買的物品,接著需填寫個人資料並進行付款,若是以信用卡進行線上交易,則由業者的系統連結銀行線上交易系統完成付款,最後業者再依照購物明細寄送商品給消費者,讓購物得以順利完成。

從以上的購物過程中,我們就可以從幾個方向來著手,首先,為了確保消費者連線至網站的過程中,資料不會遭到竊聽,因此業者應採用128位元以上的SSL連線加密機制,以確保資料傳送的安全。接著,消費者在網站上所填寫的資料,除了必要的會員資訊之外,業者不應保留消費者的信用卡號等資料,若是有特殊狀況需要保留者,則應事先對消費者說明,並且將敏感資料進行加密,同時進行資料存取的權限管控。

此外,如果購物網站提供了線上刷卡機制,建議應進一步和信用卡公司合作,啟用個人密碼驗證服務,讓使用者在購物時,除了填寫信用卡號之外,還需要輸入個人密碼,以確認的確是由持卡人進行消費,或是也可以利用手機簡訊發送一次性密碼至持卡人手機,要求持卡人輸入簡訊中之密碼,以確認為本人進行消費。

在消費者完成信用卡付款之後,業者就會進入貨品遞送的服務流程,若是外包給第三方的物流業者協助進行,那麼在購物資料的保護上面就要注意,基本上,應該讓物流業者只能獲得購物者的姓名、地址、連絡電話,其他包括購買物品名稱、價格、購買日期、總金額等資料皆應保密,因為這些資料並不會影響貨品的遞送,也就不需要交給物流公司,否則反而會增加個人資料外洩,受到詐騙集團利用的風險。

定期檢視並改善安全措施

關於網路購物的資訊安全,站在業者的角度來看,個人認為主要有三大影響要素,分別是「人員」、「資訊」和「技術」。人員面是指內部人員的作業疏失或擅自揭露客戶資料;資訊面則包括網站未使用加密機制、網頁內容受到惡意竄改;技術面則為網路遭受阻斷服務攻擊、網站應用程式有安全漏洞、網站伺服器缺少安全防護等。只要其中有任何一項因素沒有加以注意,那麼業者很容易就會發生資安事件而登上媒體版面。

因此,建議業者利用以上提到的安全檢視方法,先從作業流程來著手,找出可能的安全問題,以及是否存在安全漏洞。當然,各家業者的作業方式都不會相同,也就需要由業者本身針對既定的作業流程中,可能會觸及到敏感資訊的人事物,一一地作安全的清查與確認。如果流程方面沒問題了,再針對人員的訓練、資訊的保護、技術的加強,來進一步提升資安的防護。

所以,網路購物業者的資安防護策略到底是什麼?簡單的說,就是要找出網路購物流程中,可能存在的安全弱點,以及會利用弱點而造成傷害的威脅,然後實施對應的控制方法來減少弱點並降低威脅,將資安風險降到可接受的程度。最後還要注意在這個過程之中,千萬不要忽略了內部人員的安全訓練,資料的傳遞保護,以及資安技術的防護,如果能夠確實控管資安風險的話,相信對於網路購物業者,將會創造更多商機,同時建立起消費者的信心與口碑。(本文刊載於2010年2月號網管人雜誌)

2010年5月7日 星期五

[觀點] 勇敢迎接2010資安新挑戰

2010年已過了一半,對於資安工作而言,計劃、執行、檢核、改善是一個循環的管理過程,在這個過程之中,企業必須先有穩健的基礎,才能因應處理不斷產生的新挑戰。

回顧2009年,世界各地和資訊安全有關的事件,在媒體上的報導是從未間斷過,無論是個人資料外洩、殭屍網路(Botnet)、垃圾郵件、惡意網站、網路釣魚、拍賣詐騙等,受害者不計其數,對於國家和社會都有著一定程度的影響。

根據各家資安業者的預測,在2010年主要的資安威脅,大致有以下幾種:
  1. 殭屍網路持續肆虐:Botnet木馬程式在網路上不斷散布,難以根治並且潛伏在使用者的電腦之中,待有心人士一聲令下,即可發動大規模的網路阻斷服務攻擊。
  2. 雲端運算的風險增加:雲端運算需要依靠網路連線來進行,隨著各種雲端應用服務的增加,惡意攻擊者可能會入侵操控雲端連線,或是破壞雲端資料儲存中心,造成雲端應用服務的中斷。
  3. 社交網路成為資料盜竊工具:隨著Facebook等社交網站的盛行,使用者在社交網路中所揭露的資料,很可能被收集起來另做他用,惡意人士可藉此來冒用身分,和同一社交圈的人士溝通交流,以騙取更多有用的資訊。
  4. 區域性與特定目標攻擊升溫:全球性的病毒感染機會將降低,但隨之而來的卻是區域性的攻擊增加,惡意人士將鎖定特定企業或對象,以目標式的攻擊來獲取其不當利益。
  5. 惡意程式的變形攻擊:惡意程式的變化速度加快,只需幾小時就可衍生出其他的變種,這也代表傳統防毒程式依賴更新病毒碼的防護能力將大幅降低,若是使用者在網路上瀏覽已遭植入惡意連結的網站,很容易就會自動下載並感染到惡意程式。
  6. 網路釣魚的機會增加:ICANN網際網路網域名稱與位域管理機構已開放國際網域名稱的註冊,也就是說網域名稱之中可使用非拉丁語系的字元,所以惡意人士可以使用看起來相似或無法分辨的網域名稱來製作陷阱,讓使用者一時無法察覺而受害。
資安沒有魔法,只有基本功

面對不斷變化的資安威脅,身為網路管理者的你,究竟該如何因應呢?在此借用一句企業管理上的名言:「No magic, only basic.」是的,資安工作真的「沒有魔法,只有基本功!」個人相信沒有一個業者敢銷售給你一套資安產品解決方案,然後告訴你從此可高枕無憂,再也不會發生任何資安事件。

所以在新的一年,想要降低企業的資安風險,最好的方式就是回歸基本,確實將基礎的資安工作做好,才能有餘力去應對更新的資安威脅。針對基礎的資安防護工作,以下幾項重點可作為在執行資安工作時的參考。

預防來自內部的人員攻擊

一般而言,小型企業發生內部人員攻擊的比例不高,原因是同事之間彼此都已相當熟悉,所以較少發生有人假冒身份進入工作區域,並趁機竊取敏感資訊的事件。但是對於員工人數與部門數量較多的中大型企業而言,仍要注意防範可能的人員弊端。

建議防治的方式為進行敏感資料的存取控管,依照不同的職務身份賦予適當的權限,避免所有權限都集中在一人之手。另外,也要盡量減少可能受到利用的安全弱點,例如實施網段區隔,讓研發單位和人事單位的網段和一般員工分開,以避免透過網路存取到敏感資訊,以及在機房實施門禁管制等。還有,應教育員工不可分享或洩露個人所使用之密碼,離開座位時將工作文件放置在上鎖之抽屜中,個人電腦要啟動已設定密碼之螢幕保護程式,並且禁止訪客進入工作區域,這些都是基本且必要的防護措施。

減少可能的網路安全弱點

在企業環境中,可能有為數眾多的網路路由器、交換器、防火牆等網路設備,許多設備在出廠時預設會開啟許多功能,甚至強調不需要更動組態即可上線使用,這種方便往往會造成安全上的漏洞。

建議網管人員應在設備上線之前去檢視其組態是否安全,例如預設的管理帳號與密碼是否已更改,未使用的功能模組是否關閉,不需要啟動的連接埠是否關閉等,以確保不會受到惡意人士的利用。在設定管理者密碼時,也要注意密碼的長度與強度,更要避免所有設備皆使用相同的管理密碼,以避免整個防線一次就潰堤。

如果是網路環境相當複雜的企業,建議定期進行網路弱點掃瞄或是滲透測試,以找出可能隱藏的安全漏洞,若網管人員熟悉一些檢測工具像是Nessus或Nmap,可以藉此來產出網路弱點的報告,如果缺少適當的人員可執行,也可以委由外部廠商和顧問,協助執行並提供可行的消除弱點安全建議。

清查行動裝置的安全性

若企業有許多行動工作者,經常需要在外使用筆記型電腦進行作業,在新的一年正好可進行健康檢查,確認作業系統的更新檔是否已安裝、防毒軟體版本是否過舊、病毒碼是否每天進行更新、個人防火牆組態是否正常、是否設定開機密碼、機密檔案是否加密等。

如果行動裝置的數量過多,建議可透過群組原則的設定,強制使用者電腦在登入企業網路時必須更新系統和病毒碼,並且也要讓使用者可任意關閉防毒軟體的功能失效,以避免在外時有意或無意將安全軟體關閉,讓惡意程式有機可趁。

另外,針對行動工作者應定期進行教育訓練,宣導應注意的安全事項,例如使用無線網路時,勿選用來路不明的基地台,最好選用具有加密或認證機制的無線網路服務提供商;若需要傳輸敏感資訊時應使用虛擬私人網路(VPN);在外使用筆記型電腦和USB隨身碟,應小心防護避免遺失或使用檔案加密機制等,以減少可能的安全風險。

檢測網站應用程式的安全

目前,網站受到入侵並放置惡意程式連結的事件已時有所聞,因此歲末年終針對現有網站進行安全清查是必要的,基本上建議可以從兩方面來著手,首先是網站伺服器本身的強化,確認作業系統已安裝必要的修補檔、伺服器軟體已進行更新、未使用的連接埠及服務皆已關閉等。其次則是針對網站應用程式進行檢測,可利用弱點掃瞄工具或是原始碼檢測來進行,確保針對常見的網站攻擊手法像是SQL Injection等已具有免疫能力。

如果是提供電子商務服務的業者,更要確認連線加密機制與身份認證機制是否完善,以保護線上交易資料的安全,必要的話,則建議安裝網站應用層防火牆,透過更深一層的封包檢測機制,來避免非正常交易的事件發生,更可同時抵禦常見的網路應用層的攻擊。

避免網路惡意程式的入侵

過去這一年,除了許多受到入侵而挾帶惡意程式的政府、教育和企業網站,再加上即時通訊和社交網站的大受歡迎,大幅提高了使用者感染惡意程式像是木馬、病毒、間諜軟體的風險,為了避免員工使用企業網路瀏覽非工作所需的網站,建議採取管理面與技術面雙管其下的作法。

在管理方面,可制訂並頒布網路的使用政策,清楚說明員工應避免的網路使用行為和違反時的處置辦法,先勸導再懲處會是比較容易令人接受的方式。至於技術方面,則是可以採取將不適當的網站加入黑名單來阻擋連線,或是採用網頁內容過濾方案,透過彈性化的設定來因應不同工作者的需求,並且可及時更新網站黑名單以阻擋新的惡意網站。

建立應變機制,有備而無患

許多企業在資安事件發生時,往往會顯得手忙腳亂,以檔案損毀為例,企業或許平常已有資料備份,但是當災難發生時,資料備份放置於何處?哪些資料該優先復原?復原的步驟如何進行?這些問題往往詢問起來,都找不到一個適切且完整的答案,最主要的原因就是企業缺少了災難應變機制,也就是在平時並沒有準備好有效的災難復原或營運持續計畫。

在駭客技術不斷翻新的今天,我們無法預測將會遭受何種攻擊,但是我們知道哪些是企業重要的營運服務和關鍵資料,因此針對重要的營運資訊,無論是存放在資料庫中,還是在老闆的電腦硬碟裡,針對資訊處理的過程和所使用的設備,都應該思考需要預先採取何種防護,如果連這一點思考都沒有的話,你的企業很可能就是下一位資安事件的受害者。(本文刊載於2010年1月號網管人雜誌)

2010年3月25日 星期四

[觀點] 雲端運算安全與風險

談到雲端運算,它究竟是一種「技術」或「概念」,到底是「產品」還是「服務」,在搜尋引擎上只要打入關鍵字,就可以看到許多不同的見解與想法。在此我們僅從資訊安全的角度,來探討雲端運算可能帶來的資安問題或風險,提供給資訊管理人員作為參考。

雲端運算(cloud computing)從2008年開始就是一個熱門的話題,對於雲端運算的應用,無論是應用程式服務、資安服務或資料儲存等,各家都有不同的說法與見解,但從資安的觀點來看,仍有一些地方值得企業審慎注意,以免落入新資訊科技運用的迷思。

首先,讓我們回憶一下,在還沒有所謂的雲端運算之前,企業對於資訊的處理與運作的方式是什麼?一般普遍性的作法是,企業需要自行添購或開發商務運作所需要的軟體和硬體,並且建置專屬的資訊機房和網路環境,然後由內部的資訊人員來執行維運等相關工作。

對大多數的企業而言,隨著營運規模的擴展,為了要增加資訊服務的穩定與效率,在資訊科技的費用支出相對也會節節升高,尤其是面對如今愈來愈複雜的網路環境與技術,再加上好的資訊人才難尋,和營運相關的資訊問題解決能力也需要時間培養,種種問題都讓企業主傷透腦筋,而「雲端運算」的出現,彷彿就像是在烏雲之中露出了一道曙光。

雲端運算的資安服務

究竟什麼是雲端運算,Gartner定義它是一種嶄新且具延展性的運算方法,可以將計算、儲存等資訊科技的運用,透過網路以服務方式提供給外部客戶使用。而維基百科則說,「雲端運算是一種基於網際網路的運算新方式,透過網際網路上的服務為個人和企業使用者提供所需即取的運算。」

目前,雲端運算具備三大運算架構與服務模式,包括了基礎架構即服務(Infrastructure as a Service,IaaS)、平台即服務(Platform as a Service,PaaS)及軟體即服務(Software as a Service,SaaS)等,當然還有人提供許多不同的服務。

各種雲端服務雖然眾說紛紜,但有三樣東西卻是它的必要組成,分別是:網路、運算、服務。換句話說,透過網路連線,由遠端所提供的強大運算和服務,讓企業可藉此改變以往的資訊處理方式,除了可提高作業效率,進而節省成本支出之外,同時更獲得資訊科技的創新應用。

對於資安廠商而言,除了銷售傳統的資安軟硬體設備,若是還能藉由雲端運算的協助加持,提供更多的資安加值應用服務,那是再好也不過了。根據個人的觀察,目前資安廠商運用雲端運算來提供的資安服務,大致有下列幾種:
  • 病毒防護 – 讓防毒軟體的使用者,能夠即時回傳電腦上可疑的病毒相關資訊,就能在防毒業者的雲端上比對病毒特徵,不需要再等到防毒軟體更新病毒碼,就可有效防止病毒的感染。
  • 網址過濾 – 面對日益增加的惡意網站,可協助企業透過雲端進行網址黑名單的比對,透過即時更新的惡意網頁資料庫,可以提高攔截的效率。
  • 郵件過濾 – 配合傳統的垃圾郵件過濾機制,比對垃圾郵件如來源IP、信件標頭等資訊,同時也可結合防毒功能,即時掃瞄郵件的附件是否安全。
  • 身分識別 – 企業可透過雲端進行使用者身分認證,作到單一登入功能,讓使用者可在任何地點登入使用各項應用服務,解決使用者的授權問題。
至於業者宣稱雲端運算可為企業帶來的好處,則有以下幾點:
  1. 降低營運成本 – 企業不需要再花錢去購買軟體和硬體,也不需要資訊人員來開發或維運所需的應用服務,只需透過租賃或使用者付費方式,大幅節省不必要的成本支出。
  2. 提高工作效率 – 隨著網路無所不在的連結性,無論工作者身在何處都可享有相同便捷的應用服務,而且藉由雲端強大的運算能力,可有效解決工作端運算效能不足的問題。
  3. 擴充未來應用 – 雲端運算可讓企業快速部署及應用新科技,無論是應用服務的升級或擴展,在短時間之內就可完成,不必擔心資源耗費的問題。
雲端運算可能的資安風險

根據市場調查機構Gartner的研究顯示,未來以雲端運算方式所提供的安全應用服務,將會對市場造成相當大的衝擊,預估在2013年會比目前再成長三倍。而趨勢科技的調查則指出,雖然業界看好雲端運算在資安上的應用,但是也有61%的企業受訪者表示,除非可以確定應用雲端運算不會產生重大的資安風險,否則目前仍不會急於導入雲端運算的相關應用服務。

從資訊安全的觀點來看,企業在運用新的資訊技術時,對於其隱含的資安風險,當然要做審慎的評估,而個人認為在採用雲端運算服務方面,至少有三個層面需要考量。

首先是網路層面,因為一旦商業運作需要仰賴雲端來進行,那麼網路頻寬的消耗,是否真如業者所言來的那麼節省?會不會拖累了原有網路服務的正常使用?這些都需要實地測試才可得知。另外,網路連線的穩定性也會比以往要求來的更高,因此在網路管理方面,原有的網路設備是否需要擴充?如何進行網路效能的最佳化調校?網路備援的方式?這些可能都會變成隱藏的成本支出。而網路傳輸的安全性當然也要涵蓋其中,若是有敏感資料需要傳輸,那麼是否有相對安全的加密機制和身分認證機制等,都是使用雲端服務時必需的要求。

其次是資料層面,企業要放置什麼資料在雲端上,將會決定所需的安全強度,在採用雲端資料服務的初期,建議企業先以非敏感性的資料為主,藉此來測試評估服務的安全性,而非一開始即將最重要的商業資訊,透過雲端方式來進行運算或儲存,以避免當資訊外洩時可能造成的衝擊。

最後是法規層面,企業要注意雲端服務廠商本身的安全是否值得信賴,是否有可供辨識的安全保證,例如取得政府的許可或國際標準ISO 27001的認證,因為這代表了雲端服務廠商在資料保護、實體安全、應用程式安全、系統可用性、漏洞管理、法規遵循方面是否有一套完善的管理制度,對於資訊安全可提供一定的保障。另外,萬一不幸發生資安問題,在責任歸屬與賠償機制上,就有賴於事先的合約或服務等級協議(SLA),所以在一開始的服務簽定時,企業法務部門的參與協助也是十分重要。

評估企業整體的應用安全

事實上,雲端運算服務除了造福企業之外,對於惡意的駭客而言,也算是一大福音,因為這代表了許多企業更加依賴網路連線,會將重要的資訊透過網路傳輸,並且將商業資料儲存在企業環境之外,如果輕忽了可能的資安風險,就等於增加了駭客入侵的機會。

舉例來說,像是駭客可以利用雲端運算的強大能力來破解使用者帳號、密碼,竊取雲端所儲存的資訊;或是發動分散式阻斷網路攻擊(DDOS),癱瘓雲端網路的運作,也就間接導致重要營運服務的停擺。另外,雲端資安服務機制的有效性,是否一如業者宣稱的可有效攔阻惡意程式入侵,是否會有潛藏的安全漏洞反而受到利用等,這些也都是未來需要關注的地方。

所以,企業在評估導入雲端運算的服務時,建議一開始先從非關鍵性的應用服務開始,而除了尋找可靠的雲端服務供應商之外,也要考慮有沒有其他的替代選擇。否則一旦企業所倚賴的雲端服務受到攻擊而停擺之後,將會對企業造成重大衝擊,例如關鍵資料無法存取、客戶資料外洩、防毒系統失效、惡意程式入侵等等,這些都有賴於事前整體的考量,絕非像是購置單一硬體和軟體一樣,只要輕鬆以對即可完成。(本文刊載於2009年12月號網管人雜誌)

2010年3月17日 星期三

[專題] 資訊安全管理導入實務(五) - 管理階層之承諾與責任

有一些企業與組織,原本興致勃勃想要推動資訊安全管理制度,期望能夠在日常的運作中,避免產生高度的資訊安全風險,進而造成企業資產的損失。但是到了最後,卻往往功虧一簣,主要原因就是管理階層的參與度不足,無法在關鍵時刻發揮起領導決策的效用

在「解碼郭台銘語錄」一書中,鴻海集團董事長郭台銘有這麼一句名言:「沒有管理,只有責任;管理可以訓練,領導沒法訓練。」他認為管理階層一定要在「油鍋裡炸過」,要能夠自己做出決策,以親身經驗才能去領導別人,否則即使有多麼完善的制度或法令去規範也沒用,因為下面的人並不會依照方向和時間來往前走。郭董事長的觀點,一語道破了在資訊安全管理制度之中成敗興廢的關鍵因素,也就是管理階層的親身參與和支持。

企業與組織若想建立一個有效且持續運作的資安管理制度,從一開始的規劃討論與專案啟動,到建立制度並且實施之後的管理審查階段,這些都仰賴管理階層的領導與決策能力,如果管理階層只是像沾沾醫油一樣,那麼這個管理制度註定是會失敗的。

也正因為如此,在ISO 27001標準中的第五章,規範的就是管理階層責任與應有的作為,而第七章則是要求管理階層必須依照所規劃的時程,定期審查組織的ISMS是否如預期般的有效運作,並且要確保可持續地適用於組織現況,同時每一次的審查結果都必須要留下文件化的記錄,以做為日後進行改善之用。

管理階層的承諾

為了要確保管理制度的有效性,ISO 27001標準中要求管理階層必須提供對於ISMS的建立、實施與運作、監督與審查、維持與改進的各項承諾證據,因此,管理階層應有的作為至少包括了:
  • 為組織建立一份資訊安全政策,內容應說明為了達到資訊安全所採取之各項行動,必須依據何種準則或規範來進行。在政策中也需要說明如何去評估組織的資安風險,有哪些必須要遵守的法令法規和合約要求,以及管理階層的責任為何。
  • 制定組織的資訊安全目標,確認達到各項目標的計畫和實施方式,並建立和資訊安全有關的各種角色與責任。例如確保內部員工、外部承包商和第三方的使用者,皆能明瞭其安全責任並符合要求,以降低可能的資訊安全風險。
  • 對內對外傳達所建立的資訊安全政策、目標及法律所規範的組織責任,宣示維護資訊安全的決心,並要求不斷地持續改善可能的資安風險。
  • 提供建立與維持資訊安全管理制度持續運作所需的資源,包括人力、物力和財力等。
  • 在風險評鑑完成之後,決定組織所面臨的資安風險接受準則,要求對於具高風險之資產進行妥善處理,並決定最後可接受的剩餘風險等級。
  • 確保組織依照既定的規劃時程進行內部稽核,依據內部稽核的結果要求進行矯正預防措施,並且實施管理階層審查。
提供運作所需資源

企業或組織欲導入資訊安全管理制度,目前普遍的作法是尋求外部顧問的協助導入,在評估各項文件與實施運作均符合ISO 27001標準的要求之後,再進一步請第三方驗證公司進行稽核,以便取得國際認可的ISO 27001認證。因此,在導入之前,所需成本的預算編列將是第一要務,組織應考慮營運規模的大小、導入的範圍和預計完成的時間來予以評估,而這些也都需要管理階層的參與和核准。

此外,在ISMS的建立、實施與運作、監督與審查、維持與改進的過程中,管理階層的責任是要確保各項資訊安全的作業程序,能夠符合組織營運的要求。換句話說,如果因為資訊安全的考量,所實行的控制措施已妨礙到日常業務的進行,那麼管理階層就必須適時的作出反應,或進行作業程序上的調整。

當然,在導入的過程中,很可能會識別出組織以往未曾發覺的資安風險,這時候進行風險的控管是必要的,而所使用的方式可能是從管理制度面來著手,擬定相關的作業程序,或是透過技術面的管控,藉由購置資安設備來到抵禦資安威脅。這些控制措施的實施是否正確且適當,也需要管理階層定期加以關切,以督導相關人員進行維護與改進。

確保資安認知能力

根據個人的觀察,目前企業或組織中最缺乏的就是熟悉資訊安全的人才,一旦管理階層決定要導入資訊安全管理制度,即刻面臨到的問題就是該由誰來負責執行?雖然我們可以仰賴外部顧問的協助,但若內部人員缺少維護與運作的能力,當合約期滿之後,很可能就會讓整個制度趨於荒廢。

因此,在組成跨部門的資安小組之前,管理階層要決定的就是執行相關工作的人員,到底需要具備什麼樣的能力?最簡單的方法,就是將人員送去參加ISO 27001的各項訓練課程,或是直接聘僱已參與ISO 27001相關課程並通過考試的人員,協助ISMS工作的推動。

為了確保ISMS相關人員的技能,管理階層需要決定教育訓練的實施計畫,並針對不同的角色人員,提供不同的訓練課程。例如主管人員安排參與定期的主管人員資安訓練;一般人員需參與一般人員的資訊安全認知課程;技術人員則參加相關設備的操作訓練或是和駭客攻防有關的技術課程。

當然,這些措施是否有效,也需要管理階層的長期關注,藉由定期審查人員維持教育訓練的記錄,或是已取得之技術證照,可確保所有人員皆認知其負責資安工作的重要性,以及具備所需要之專業技能。

進行管理階層審查

ISO 27001標準中要求,管理階層必須定期審查組織運作中的ISMS,以確保其持續的適用性與有效性。在實務上的做法是至少一年一次定期性的召開管理階層審查會議,根據ISMS運作時所產出的文件記錄,由參與的主管來評鑑ISMS的改善機會和方向。在管理審查程序上,標準要求必須要有9項審查輸入和5項審查輸出,分別說明如下:

審查輸入包括─
(1) 來自於內部和外部稽核的結果記錄
(2) 利害相關團體像是股東、客戶、供應商的意見或所提出之問題
(3) 是否有可以改善資訊安全的產品、技術或作業程序
(4) 已實施的資訊安全控制措施的現況
(5) 各項資訊安全控制措施有效性量測的結果
(6) 先前風險評鑑中尚未處理或忽略的資安風險
(7) 是否有任何影響ISMS運作的因素,例如技術或業務項目變更
(8) 上一次管理階層審查決議需跟進改善的措施
(9) 來自各個階層的管理建議

審查輸出包括─
(1) 如何進行ISMS的有效性改進
(2) 如何更新風險評鑑與進行風險處理
(3) 如何針對影響ISMS運作的因素,進行必要的修正
(4) 適當回應所需的資源需求
(5) 如何改進控制措施的有效性及量測

持續改進管理制度

以上談的都是有關管理階層應有的作為與責任,也反映了管理制度並不只是由高層頒布一些準則規範,就強制要求下面來遵守執行,而是需要由上至下,不斷地溝通討論,實施之後再加以檢討改進。透過這一系列的文章,雖然無法完整敘述整個資訊安全管理制度的全貌,但至少點出了其中的核心價值,希望透過標準這麼好的一項工具,可以讓我們依循並掌握住資安管理的重點。

相信大家都聽過「預防勝於治療」這句話,對於現今事事講究效益與成本的企業而言,能夠預防可能發生的資安風險,絕對比資安問題發生之後,處理與矯正的措施更具成本效益。所以在標準本文的第八章,要求的是ISMS的持續改進與矯正預防措施,提醒我們不要以為進行了風險評鑑,就已經掌握各項可能的風險,而是要不斷地依據組織的運作狀況,注意是否有新的威脅出現,或是因業務變更而產生新的風險,然後及早地加以預防。

萬一真的不幸還是發生資安事件了,也請務必謹記「亡羊補牢」這句話,要積極找出事件發生的根本原因,然後盡快把洞填補起來,以避免問題的再度發生。最後,回應上一期文章提到該由誰來負責進行追蹤確認的改善行動呢?答案當然就是懂得資訊安全,日後必定會晉升管理階層的您。(本文刊載於2009年11月號網管人雜誌)

2010年3月16日 星期二

[專題] 資訊安全管理導入實務(四) - ISMS內部稽核規劃與實施

在了解ISMS的文件化要求之後,接下來要談的就是在管理制度中不可或缺的重要工作,也就是在ISO 27001本文第六章所要求的ISMS內部稽核,在整個稽核過程中,從擬定稽核計畫開始直到稽核結束,事實上,也同樣可以運用PDCA原則來進行。

在您的企業或組織中,好不容易獲得了高階主管的支持,組成了跨部門的資安小組,並依據ISO 27001標準的要求,擬定出資安政策與各項作業規範,建立了文件化的資訊安全管理制度,並要求同仁們配合遵照實施,耗費了這麼多人力物力,突然有一天老闆詢問我們的資安到底做得好不好時,您要如何去展現或證明資訊安全管理制度已被有效地運作與維持呢?

正所謂「口說無憑」,因此您勢必得要拿出些「證據」才行。在資訊安全管理制度中,如果想要判定組織內的資安控制目標、資安控制措施以及實施的過程,是否符合ISO 27001標準的要求,並且如預期般地持續運作與有效維持,那麼定期的執行ISMS內部稽核,並留下相關的稽核報告和記錄,將會是最好的證明方法。

擬定稽核計畫

如果您想要順利完成ISMS內部稽核,以展現出這些日子來資安管理的成效,其實可以秉持之前所提到的PDCA模式來進行。還記得先前提到PDCA是指「計畫—執行—檢核—行動」的過程,因此我們在一開始的稽核計劃階段,首先要確認的是稽核準則和稽核範圍,也就是先去了解我們的稽核依據是什麼,還有稽核範圍到底適不適合。

舉例來說,若是我們實施的是ISO 27001標準的資安稽核,那稽核的依據就是ISO 27001本文和附錄A5~A15控制措施,如果接受驗證的範圍是資訊部門和其負責的機房維運流程,那麼其他和此一維運流程無關的單位,既使發現了不符合標準要求的事項,也不應將它列為此次稽核發現的缺失。

在稽核計畫階段,負責的主導稽核員還需要準備稽核行程表和檢查清單,也要召開稽核前的工作會議,向稽核團隊說明查核的標準、當天的行程及稽核方法。稽核行程表說明了當天的實施流程,因此必須事先傳送給受稽單位並請其確認,而檢查清單則是供稽核小組確認稽核計劃是否有遺漏的地方,通常在檢查清單中的項目至少會包括:
 受稽單位連絡人的姓名、電話
 稽核當天所需的引導人員數量
 稽核當天可作為稽核小組使用的會議室
 受稽單位是否對於稽核人員有健康或特別要求
 稽核時是否需要穿著或配掛特殊裝備
 稽核時需要遵守的現場安全規定
 稽核人員需要簽署的保密切結書


至於內部稽核的實施頻率,一般而言一年執行兩次是適當的,組織也可依照本身業務形態的重要性,來決定是否需要增加稽核的次數,但要注意的是實施頻率若過於頻繁,可能會造成相關業務人員作業的負擔與困擾,因此這點也要審慎加以評估。

建立稽核團隊

實施稽核同樣需要耗費一些人力、物力資源,其中挑選出適當的稽核團隊是成功的必要條件。在挑選人員時我們應事先了解其具有的專業技能,例如應選擇具有網路規劃和防火牆專長的人員去稽查網路的存取安全控制,或是派出熟悉環境安控的人員去稽核實體安全的防護。換句話說,如果稽核人員本身不了解受稽單位的作業事項,很可能會無法察覺潛在的一些不符合標準要求的項目。

此外,有一種狀況是務必要避免的,那就是稽核人員不應當稽核和其本身有關的工作,像是負責網路防火牆管理的人員去負責稽查網路存取安全,那麼這種「球員兼裁判」的行為,將無法達到所設定的稽核目標,同時也使稽核工作失去意義。

所以,一旦建立了稽核團隊之後,在稽核計畫階段就需要收集受稽單位的相關資訊以了解其作業型態,因此和受稽單位保持密切的溝通,提早確認執行稽核的時間,並告知需要準備的事項,這也是稽核團隊應盡的責任,這樣才可以確保稽核過程能夠順暢進行。

執行實地稽核

至於稽核的方法,通常包括了「文件審查」與「實地訪談」,在文件審查階段,主要是了解組織的ISMS相關文件,是否符合ISO 27001標準的文件化要求,並確認管理制度的運作過程中有留下各項記錄,以證明ISMS被有效的實施與進行。

而實地訪談的目的,則是確認相關作業人員,已清楚了解組織的資訊安全政策與目標,並按照所要求的作業規範來執行。對稽核人員來說,稽核的過程就是要能夠去取得「客觀性證據」,也就是依據稽核準則,透過實地訪談觀察到相關的人、事、時、地、物,透過多方面的證據收集,以支持其稽核的發現。

因此,對稽核人員而言,稽核技巧的鍛鍊非常重要,除了本身需要具備客觀性,避免僅從單一事項主觀地去判定問題之外,稽核人員詢問問題的方式也會決定其所收集到證據的完整。以下是稽核人員可運用的實務技巧:
  1. 詢問開放性問題:所謂的開放性問題是指讓受稽人員可明確回答和人、事、時、地、物有關的資訊,例如詢問資訊人員對於使用者的通行碼的安全控制措施有哪些?使用者的存取權限要如何進行申請?多久會進行一次審查?也就是說,稽核人員在訪談時應避免詢問「Yes or No」的問題,像是詢問「是否針對使用者的通行碼進行控管?」「有沒有針對使用者存取權限進行審查?」若是皆採用以上封閉性的問法,所得到的答案往往無法進一步提供更多資訊,也會使稽核人員落入難以判定的情況。
  2. 自行決定抽查樣本:稽核人員在審查相關文件記錄時,要堅持獨立性原則,例如在審查機房人員進出記錄時,應自行決定要抽查的日期,而不是僅參考受稽人員所主動提供的記錄,更不應受到言語左右而忽略應審查的項目,務必要按照事前所擬定的稽核計畫確實的來執行。
  3. 多方收集客觀證據:稽核人員應避免排斥或否定受稽人員的答案,應該多方抽樣或觀察以收集更多的證據。一般而言,受稽單位所提供的相關記錄應至少要有3個月,稽核人員可從不同的時間點或是透過不同的受訪者,來獲得可供判斷的有效資訊。
  4. 發展出稽核軌跡:稽核人員在執行稽核的過程中,所獲得的各項證據都必須要留下記錄,也就是在稽核工作底稿中,需要記載所審查的文件名稱、版本,同時包括訪談對象的職稱、回答的內容等,以作為前後比對與確認證據的關聯性之用,此一記錄更可作為稽查不同項目時,發現潛在因果關係的參考。
  5. 良好的時間管理:稽核的時間是事先排定的,也就是在執行稽核的當天必須按照表定行程來進行,如果時間沒有妥善掌握好的話,將會影響到接下來的稽核項目,很可能就會遺漏應稽查的事項而損及稽核報告的有效性。萬一發生時間延誤的情況,應盡快向稽核團隊尋求支援,以避免引發負面的連鎖效應。
追蹤確認改善

一開始我們即提到,內部稽核可秉持之前所提到的PDCA模式來進行,顯而易見的我們知道在稽核計畫階段是P、實地執行稽核是D,那麼C和A呢?兩者當然也不能遺漏掉,在這裡的C是指在稽核結束之後,當天會連同受稽單位舉行稽核結束會議,在會議中主導稽核員必須報告當天的稽核發現,並說明是否有未達標準要求的不符合事項,同時請受稽單位進行確認,如果對於不符合事項有任何意見,受稽單位也可當場提出討論,會後的決議結果將會作成正式的稽核報告。

所以,稽核工作到此就順利完成了嗎?當然不是,如果在稽核過程中發現了不符合事項,依據ISO 27001標準的要求,還必須進行follow-up活動,也就是受稽單位必須採行改善措施,以使造成不符合事項的原因消失。內部稽核的A即是指最後還要進行追蹤確認的改善行動,這樣才可使組織的資訊安全管理制度更臻至完善。那麼到底該由誰來負起整個改善行動之責呢?且聽下回分解。(本文刊載於2009年10月號網管人雜誌)

2010年2月24日 星期三

[專題] 資訊安全管理導入實務(三) - ISO 27001的文件化要求

在上一篇,已說明了ISO 27001標準中有關「實施與運作ISMS」、「監督與審查ISMS」,以及「維持與改進ISMS」的作法,並且提到People(人員)、Process(流程)和Product(產品)是資訊安全管理的基礎,如果要將此三者在組織中予以串聯落實,那麼撰寫明確並可供參考的文件就顯得十分重要。

在ISO 27001標準中,開宗明義即提到它的適用範圍涵蓋了各種形式的組織,包括商業團體、政府單位和非營利機構等,標準中規定應在組織整體的營運活動和其所面臨的各種風險中,建立、實施與運作、監督與審查、維持與改進「已文件化」的資訊安全管理系統要求。有關ISO 27001標準的文件化要求,主要是在4.3條文中說明,其所謂的文件化,除了政策的宣示、制訂作業程序規範及表單之外,還包括了管理階層針對資訊安全相關活動,進行各項決策所產生的記錄。

標準要求留下記錄的目的,是為了確保組織所實施的各項資安控制措施,都可以進行追溯,以便了解管理階層是在什麼時間點做出什麼樣的決定。因此,管理階層的各項決策記錄,應該是會不斷重覆產生的,透過這些決策記錄,就可以顯現出管理階層的作為,是不是依據風險評鑑的結果作出適當的風險處理,而不是僅憑個人臆測所作出的指示行動,也更能了解其資安作為是否符合組織的資訊安全政策,並且和組織的整體風險具有明確的關聯性。

ISO 27001要求的文件

組織在導入ISO 27001標準的過程中,需要產出的文件至少包括:
  • 資訊安全政策:在標準本文的4.2.1(b)中提到,組織應依其營運型態、所在位置、資產及技術等各項特性,來制定其ISMS政策,在政策中需要陳述確保資訊安全的目的為何,以及有關資訊安全的行動準則與目標。一般而言,資訊安全的目標不會脫離確保資訊的機密性、完整性和可用性,但是為達到以上的資訊安全目標,在資安政策中應定義出可量化的指標,例如可歸責於資訊單位的駭客入侵和資料外洩事件,經外部通知後尚未處理的事件目標值為0;或是重要應用系統的可用率應高於99%等。另外,組織應考量本身適用的法令法規要求,以及合約規範的內容,在資安政策中說明應有的資訊安全義務,還有管理階層本身應盡的責任,使其在執行管理工作時能有明確的依據。
  • 支援ISMS的各項程序書:為了符合ISO 27001的要求,組織需要加強資訊安全的控管,也就必須建立起各種不同的標準作業程序。常見的作業程序有資訊資產管理程序、網路安全管理程序、資訊存取控制程序、實體安全管理程序、資訊安全事件管理程序和資訊作業委外管理程序等。
  • 風險評鑑方法論:關於風險評鑑的方法,通常會寫在風險評鑑與管理程序之中,說明組織是如何去識別威脅與弱點所產生的風險,以及風險值的評價與計算方式,並定義出可接受的風險等級。風險評鑑方法最重要的就是必須能夠產生可比較和可重複的結果,也就是說,同樣的風險評鑑方法應該能反覆實施,而其所產生的結果可以用來相互比較,以了解組織前後所面臨的風險現況。
  • 風險評鑑報告:在風險評鑑報告中,必須記載此次風險評鑑的範圍和執行風險評鑑的時間,並且說明風險評鑑作業的執行方式與流程,若是首次執行風險評鑑作業,一開始需進行的是資訊資產的識別與盤點,若是重新進行風險評鑑的話,則是要確認組織是否有新增或是異動的資產,並給予適當的資產價值。至於風險的分析,則是要確認是否有新的威脅與弱點產生,並且判斷每一項資訊資產中,威脅利用弱點而產生風險的可能性。最後則是要說明本次風險評鑑的結果,有哪些資訊資產的風險值在可接受的風險之上,以列表方式把它呈現出來。
  • 風險處理計劃:根據風險評鑑報告的結果,組織必須針對風險過高的資訊資產,決定所要採取的風險處理方式。一般而言,最常採取的作法就是降低風險,因此需要提出改善的作為或是控制方法。在風險處理計畫中,除了說明以上的處理方式外,最重要的是要指定一位負責人或負責單位,並註明預定完成處理的日期,以及預期將獲得的改善效益,也就是說明將如何去降低資訊資產的風險值。
  • 控制措施的有效性量測:組織所採取用來降低風險的控制措施是否有效,不是自己說了就算數,而是必須有一套客觀的量測方法,以證明所面臨的風險已經被有效的控制住。針對有效性量測,在ISO 27001標準中著墨的並不多,它提到組織需要確保有效規劃、運作和控制其安全過程,並描述如何去量測控制措施的有效性。在4.2.3條文中則指出,量測控制措施的有效性,目的就是要能證明組織已符合ISMS的各項要求,因此,組織所選擇採用的控制措施,每一項都要說明其量測的方法和量測的指標,並且記錄其量測的結果,以便稽核人員在審查時能夠一目瞭然,判斷選擇用來降低風險的控制措施是否適當。
  • 適用性聲明書:適用性聲明是用來陳述在資訊安全管理的過程中,組織依據風險評鑑的結果,決定選擇適用或不適用的ISO 27001附錄A控制措施。ISO 27001標準中所提到的133項資訊安全控制措施,並非每一項都要求強制實行,而是可依照組織實際的運作狀況和評鑑後的風險來自行決定。只不過,如果控制措施適用的話,必須指出其參考的文件為何,不適用的話,則要說明其理由。舉例來說,例如A.9.1.2實體進入控制措施,其採用的理由是為了確保只有經過授權的人,才能進入如機房等敏感實體區域,所以制訂了人員出入管制規範,而這項控制措施所參考的文件,則是實體安全管理程序和機房管理作業要點,讓相關人員可依照文件中的要求規範來遵照執行。
文件管制防護與作法

在ISO 27001標準中的各項作業程序文件,可說是整個資訊安全管理制度運作的骨架,因此在4.3.2文件管制的條文中,提到這些所需的文件應受到適當的保護與管制,其要求的作法如下:
  1. 在文件發行之前,必須要有管理階層的核准,以確保文件內容的正確與適用性。
  2. 如果因組織變動或作業流程的更改,在必要的時候,ISMS文件可以進行修訂與內容更新,但是必須經過管理階層的重新審查與核准後,才可頒布使用。
  3. 文件如果經過變更或修訂,應該採取適當的標示,例如註明文件名稱、文件編號與版次,並且在變更記錄中記載修訂的內容摘要、頁數、發布日期、修訂日期及修訂人員。
  4. 文件必須確保其內容易於識別和閱讀,並且要讓需要使用的人員能夠隨時取得,使用到最新版本的文件。
  5. 文件的分發必須進行管制,依照不同文件的敏感等級,提供給授權的人員使用,並且依照其所要求的資料交換作法,進行傳送和儲存。
  6. 文件若需要作廢時,應依據作廢流程確實執行,以避免作廢的文件遭到誤用,在特定的情況下,如果需要保留作廢的文件,也應該要有清楚的標示。
記錄管理要求與維持

除了各項文件需要受到適當控管之外,在ISO 27001標準4.3.3記錄管制的條文中,要求各項記錄應加以保護與管制,尤其是在法律或合約中有明訂要求保存的,更應該要有良好的控管。因此,在ISMS運作的過程中,所產生的各項活動記錄,也應該要被適當的保存,以作為管理制度有效運作的證據。所謂的記錄,包括像是機房人員的進出記錄、敏感資訊的存取記錄和資訊安全稽核報告等,都應保持容易閱讀、識別和檢索,並有適當的儲存方法與保存期限,而無論是文件或是記錄,都可採取紙本或電子形式,儲存於受到良好防護的實體,例如檔案室或硬碟、磁帶之中。

至於本文一開始所提到的「已文件化」程序,乃是指組織有一建立、文件化、實作和維持的程序,因此針對各項ISMS需要的文件與運作記錄,每個組織可能會有不同的文件化程度,但是在文件與記錄的管制要求上,兩者並無差別。所以,組織若想要維持一個有效且持續運作的資訊安全管理制度,那麼在文件與記錄的管理方面,勢必得要建立起符合標準要求的作業規範。(本文刊載於2009年9月號網管人雜誌)

2010年2月8日 星期一

[專題] 資訊安全管理導入實務(二) - 實施與維護資訊安全管理系統

在上一篇,介紹了目前廣泛被認可的資訊安全管理標準ISO 27001,可以作為企業建立資訊安全管理制度(ISMS)的參考規範,並且說明了支持管理制度運作的PDCA架構和「建立ISMS」條文的內涵,本篇將繼續說明標準中有關「實施與運作ISMS」、「監督與審查ISMS」,以及「維持與改進ISMS」的作法。

資訊安全是一個管理過程,在建立資安管理制度的過程中,主要會牽涉到三個P,分別是People (人員)、Process (流程)和Product (產品),而在此三者之中,又以人員可說是管理制度成敗的首要關鍵。因此,在企業建立資安管理制度的初期,要如何找到對的人來執行,也就是如何成立一個資安管理推動小組,驅動企業成員的參與,將是首要的任務,接下來才是去思考如何建立起安全的作業流程,然後在作業流程的各個階段,導入適當的資安技術產品,以作為資訊安全的控制措施。

就目前個人所觀察到的現況,大多數企業對於資訊安全的管理,主要仍是落在導入產品的這一部份,所採取的作法也偏重在頭痛醫頭、腳痛醫腳,缺少一個有效完善的資安對應策略。相關人員對於資訊安全的概念,也是來自於銷售資安產品的廠商,往往會受限於只從技術的觀點出發,而忽略了管理的要求,以為添購了市面上最流行的產品之後,就可以解決所面臨的資安問題,但是事實上,資料外洩或是不當的入侵事件,在企業內仍舊是層出不窮。

實施與運作資安管理制度

在上回所談到建立ISMS的過程中,我們必須界定能夠識別企業風險的風險評鑑方法,並且運用此一方法去識別企業各項具有價值的資產,評估資產本身所具有的弱點,以及所面臨的威脅是否會利用這些弱點,可能對企業造成機密性、完整性和可用性的衝擊,然後再針對分析和評估各項風險的結果,依據所計算出的風險值大小和風險等級,決定要如何進行風險處理,也就是要選擇實施哪些資安控管措施。至於這些控管措施的作法,可能是透過建立標準作業流程來因應,或是添購產品以技術方法加以解決。

在ISO 27001標準4.2.2「實施與運作ISMS」條文中提到,我們要去建立一個風險處理計畫,評估企業現有的環境、資源和責任,然後制定出風險處理的優先次序。在風險處理計畫中,人員的調派和責任的配置相當重要,針對各項想要處理的風險,我們必須指定一位負責人,並說明要採取何種方式去降低此項風險及處理時間,如果是導入產品,就要擬定導入產品的時程,以及預估其可達到的控制成效。

其中特別要注意的是,在產品還無法負起資安防護的工作之前,必須選擇短期的對應措施。舉例來說,若企業所分析出的風險是敏感作業區域缺少門禁管制,採取的風險處理方法為添購門禁刷卡系統,但是預估要三個月才能建置完成,那麼在這三個月之內,缺少門禁管制的風險依舊是存在的,我們必須要實施短期的控制措施,先行控制這項風險,具體作法像是可調派警衛執行定點監控,檢查出入人員識別證等,以避免可能的資安事件發生。

到了運作ISMS的階段,企業必須要能確保所選擇的控制措施是有效的,換句話說,可以透過量測的方式,來評估控制方法的有效性。俗話說:「預防勝於治療」,所以在量測指標的設定上,我們應以設定偵測性指標為主,而避免把發生資安事故的次數作為量測的指標。例如在資料安全性的量測方面,我們可以用人員違反作業規範的次數來進行評量,而不是以發生資料外洩事件的件數作為量測的指標。

監督與審查資安管理制度

為了確保資安管理制度能夠有效運作,企業必須要有適當的監督方法,像是剛才提到可以設定量測性指標作為控制措施是否有效的衡量依據,因此,若想要去進行量測,就要事先擬定出可行的監督審查程序。在ISO 27001標準4.2.3的條文中提到,我們要能立即識別出可能危害資訊安全的事故發生,也要能夠判定所選擇的控制措施,都能如預期般地順暢運作執行。所以針對每項控制措施,就要在監督程序書中說明我們多久會進行一次有效性量測?如何去判定此項控制措施是否有效?多久會進行一次管理階層的審查?並且還要將安全稽核、發生的資安事故、有效性量測的結果,以及利害關係人所提出的建議,一併納入考量。

對企業而言,想要了解制度是否有效的執行,最常採取的作法就是定期實施內部稽核。所謂的內部稽核是指由企業內獨立的公正單位,像是稽核室人員,依照企業本身所遵守的標準、制度和法規,事先擬定查核項目,然後進行實地訪查和抽樣,以了解管理制度是否如文件中制定的要求來進行。在稽核的過程中,若有各項符合或不符合事項的發現,都要留下包括人、時、地、事、物的完整記錄,以作為未來管理階層審查時的輸入參考,藉此才能提出未來的改善目標和計畫。

維持與改進資安管理制度

企業透過定期實施的資安稽核,就可以了解目前資安管理制度的執行現況,從中發現人員、作業流程和產品技術是否有不足或是需要加強改進的地方。因此,在標準4.2.4「維持與改進ISMS」條文中提到,企業需要定期實施各項ISMS之改進,並依據所發現的不符合事項,進行適當的矯正和預防措施,像是作業文件的修訂、實施人員的教育訓練、加強技術性的弱點防護等,目的就是要達到預期的改善目標,並且確認各項資安控管措施是有效的,才能將可能的資安風險降至最低。

在ISO 27001標準的4.2條文之中,關於建立ISMS的篇幅較大,敘述也較為詳盡,這部份是企業一開始最用心且投入較多的地方,反觀維持與改進ISMS的內容,它說明應執行的事項並不多,也是整個管理制度中,很容易忽視或執行不夠徹底的地方。記得在西遊記裡有句諺語說:「起頭容易結梢難」,意思是指事情的開頭容易,但是要有令人滿意的結果卻很難。所以在此要提醒各位,可別忘了要確保資安管理制度可以有效地運作,就必須要持續PDCA的管理模式,例如維持與改進ISMS是屬於A的階段,若是沒有確實的執行,要再次銜接到下一循環的P就會有困難,可能會導致整個管理制度難以持續有效地運作下去。

熟悉標準將可事半功倍

所謂的管理制度,往往是說來容易做來難,以ISO 27001為例,在這薄薄數十頁的標準內容中,其實有著相當博大精深的內涵,要能夠完全理解它並不容易,但參照標準的好處是,可以快速地掌握各項資安管理制度的重點,然後再依據組織的現況和資源來予以彈性的運用。

至於本文一開始提到的三個P,則是執行資安管理的基礎,同時三者也是不可偏廢的,換句話說,想要只依靠單一要素來達到有效的資安管理,可說是難上加難,唯有融合專家智慧所凝聚出的標準規範,再讓上述三者能夠相輔相成,這樣才可達到事半功倍的效果,對於有心想落實資訊安全的企業,標準才會變身成為一項切實可用的神兵利器,而不只是所謂的紙上談兵,下一篇,將會說明ISO 27001針對管理制度的各項文件化要求。(本文刊載於2009年8月號網管人雜誌)

2010年2月1日 星期一

[專題] 資訊安全管理導入實務(一) - ISO 27001資訊安全管理系統簡介

推動資訊安全工作,主要涵蓋的層面包括人員、作業流程和資訊技術,要如何將此三者串連起來,最好的方式就是建置一套適合組織的資訊安全管理制度。目前,實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範,接下來的文章,將會說明如何協助組織導入符合標準要求的資訊安全管理制度。

一談到資訊安全,大多數人的直覺反應就是在抵擋駭客入侵,但事實上,這只是其中的一小部分而已。過去,許多企業組織對於資訊安全的投入,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體和入侵偵測系統等,希望藉由安裝資安軟、硬體設備來加強網路安全,以抵擋來自企業外部的各種資訊安全威脅。

可是,僅僅做好網路安全防護,並無法有效地解決各種資訊安全問題的發生,因為還有兩項大原則必須要同時兼顧到,那就是人員與作業流程。因此,確保組織資訊安全的最佳方式是從管理層面來著手,藉由建立一套完整的資訊安全管理系統(Information Security Management Systems, ISMS),才能有效防範資訊安全事件的發生,但是資訊人員們可千萬別誤會,這裡的「系統」指的並不是架設一台伺服器或是開發某個應用系統,它背後代表的意義,其實是要建立可以持續運作的資訊安全管理制度。

資訊安全管理標準簡介

目前,ISO 27000系列是國際上受到認可的資訊安全管理標準,其中在2005年通過的ISO 27001標準,它是規範建立、實施資訊安全管理系統的方式,以及落實文件化的要求,可以確保資訊安全管理制度,在組織內部能夠有效的運作,同時它也可以作為資訊安全管理系統的驗證標準。截至2009年6月為止,在全球已經有超過5600個組織通過驗證,台灣也有321個組織(包括公民營單位)取得ISO 27001證書,僅次於日本、印度、英國,位居全球第4位。

至於ISO 27002則是資訊安全管理作業要點,內容涵蓋了11個章節以及133個安全控制措施,提供很多實務上能夠運用的做法,可作為建立一個標準的資訊安全管理系統的參考。如果管理人員想要協助組織建立資訊安全管理制度,卻不知應該要如何著手時,就可以參照這個標準的內容來進行。

在ISO 27001標準中的要求,都是屬於一般性且可廣泛應用的,也就是說,它適用於任何型式的組織,而不受限於規模大小和營業性質。因此,只要是有心想要加強資訊安全的企業或政府單位,都可以藉由參考ISO 27001中的規範,自行選擇符合組織需求的資訊安全控制措施,來達成一定水準的資安防護能力。

管理制度的運作架構

在資訊安全管理系統的運作上,ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下,建立、實施、運作、監控、審查,並且維持和改進一個已經有文件化的管理制度,如果要確保它可長可久,就必須要運用PDCA(Plan-Do-Check-Act)過程導向模式,作為整體管理制度運作的基礎。

所謂的PDCA是指「計劃-執行-檢核-行動」的過程,在一開始的計劃階段,組織必須要建立符合營運目標的ISMS政策,它定義了組織實施ISMS的範圍,並說明資訊安全的目標、需要透過哪些指標去衡量成效,以及管理階層應該擔負的責任。因此,資訊安全政策也可視為管理階層對於資訊安全的宣誓與支持,唯有如此,到了執行的階段,我們才可依照此一政策來逐步推動各項資安的控制措施,並且建立相關的作業程序。

在依照計劃並且執行之後,要如何得知實施的成效呢?這時候就要進入檢核的階段,針對ISMS政策、控制目標及實行的過程,依照政策中所設定的指標去分析、評量實施的成果與績效,然後再將此一結果回報給管理階層作為審查之用。最後,再依據審查的結果,若是發現執行過程中有一些不符合的事項,就要透過實際行動來進行改善,也就是採取相對應的矯正和預防措施,來持續改進ISMS的整體運作。

ISO 27001標準條文內容

ISO 27001標準條文一共分為8個章節以及附錄,其中第1到3章,說明了ISMS的適用範圍、所引用的其他標準,以及相關名詞的解釋。ISO 27001條文的重點主要是落在第4到8章和附錄A,分別是「資訊安全管理系統」、「管理階層責任」、「ISMS內部稽核」、「ISMS之管理階層審查」、「ISMS之改進」,以及附錄A的控制目標與控制措施。其中特別要注意的,就是在這5個章節之中,涵蓋了資訊安全管理制度的建立運作與文件記錄管制、風險評鑑、管理責任、內部稽核和持續改善等要求,如果組織有任何一項不符合,就表示此一管理制度是無效的,也就無法通過ISO 27001標準的驗證,所以務必要了解條款背後所代表的執行意義。

為了滿足以上所提到的PDCA架構,在ISO 27001標準條文中,也是基於此一運作模式來設計,以第4章為例,4.2.1是「建立ISMS」、4.2.2為「實施與運作ISMS」、4.2.3是「監督與審查ISMS」、4.2.4則是「維持與改進ISMS」,剛好就對應了從計畫建立(P)、實施運作(D)、監督審查(C)及維持改善(A)的四個循環過程,換句話說,只要組織能夠持續PDCA的管理模式,就可以確保資訊安全管理制度可以有效地運作。

以下就先簡要說明4.2.1「建立ISMS」條文的內涵:
  1. 定義ISMS範圍 - 在此條文中,要求組織首先要依據營運、組織、所在位置、資產和技術等特性,定義出資訊安全應受到適當控管的範圍。我們可以依照組織本身的特性,以部門、系統、業務項目或實體環境來定義所要實施控管的範圍,舉銀行業為例,我們可以選擇銀行資訊部門作為導入ISMS的範圍,也可以將信用卡這項業務服務相關的部門、人員、流程或是信用卡服務中心所在地點作為實施範圍。在實務上,當組織在定義範圍的時候,請僅記一項原則,就是務必要把核心的業務納進來,因為別忘了我們一開始即提到,資訊安全的目標要與營運目標一致,如果不針對主要業務來進行資安控管,實施起來就不具有意義了。
  2. 界定ISMS政策 - 在制定政策的時候,我們需要考量組織營運與相關法規的要求,還有合約中所制定的資訊安全責任,例如法律要求必須要保障個人隱私、保護重大營運資訊,或是合約中要求必須保護客戶資料等,這些都是我們設定資安目標時的重要依據與參考。另外,在ISMS政策中,我們也要建立可以用來評估風險的準則,並且要能符合組織的整體風險管理策略。
  3. 界定風險評鑑作法 - 風險評鑑有各種不同的方法論,讀者可參閱網管人二月和三月號中有關資安風險管理的說明,自行發展出可以識別組織風險的方法,並定出風險可以接受的等級。標準之中對於風險評鑑方法的要求,在於風險評鑑後所產出的結果,必須是可比較且可再產生的,換句話說,風險評鑑的方法,必須能夠重複使用,而且在不同時期進行的風險評鑑,其結果皆可用來相互比較分析,以作為風險處理與改善的方向。
  4. 管理階層審查 - 標準中提到在風險處理之後,所殘留下來的剩餘風險,必須要取得管理階層的授權與核可,整個風險處理過程才算完成。
  5. 擬定適用性聲明書 - 所謂的適用性聲明是指針對資安風險所選擇的控制目標與措施,組織必須要說明其選擇的理由,另外,在標準中所排除的控制項目,也必須要提出合理的解釋。適用性聲明的主要目的,是為了要確保不會有存在於組織中的資安風險,受到忽略而缺少適當的控管。
資訊安全是一個管理過程

資訊安全是一個管理過程,而不是一項技術導入過程,在ISO 27002標準中提到,「資訊安全是為了有效保護資訊不會受到各種威脅,實施各項適當的控制措施,以使企業能夠持續營運,將可能受到的損失降至最低,並獲得最大商機。」所以,維護資訊安全並不單只是資訊人員的責任,而是必須提高層級由企業組織的管理階層做出承諾,要求成為所有人員必須遵守的規範,也唯有人員都具備了資訊安全的警覺與防護意識,才能降低資安事件發生的可能。(本文刊載於2009年7月號網管人雜誌)

2010年1月26日 星期二

[觀點] 防範網路大軍的惡意入侵

資安的防禦工作和攻擊手法比較起來,事實上難度更高,也很難全面地加以兼顧。在網路攻擊氾濫的今天,網管人員只要稍有鬆懈,很容易就會受到來自四面八方的惡意入侵,一旦使用者電腦或服務主機受到操控成為跳板,隨之而來的就是更多令人頭痛的問題。

相信大多數六年級生和更年長的朋友,都曾經歷過殭屍電影的熱潮,在電影中道長只要憑藉手中的符咒,一一黏貼在殭屍的頭上,然後一搖手中的法鈴,就能操控所有殭屍行走跳躍的方向。在這個網路盛行的年代,也有所謂的殭屍網路(Botnet)出現,它是指一群受害者的電腦受到操控,成為受人擺佈的「殭屍」,可以被惡意人士利用來發動大規模的網路攻擊,或是從事散布垃圾郵件或病毒的惡意行為,而且這些攻擊往往難以追查到幕後的真正控制者。

為什麼電腦會變成「殭屍」?可能的原因有很多,但比較顯而易見的原因則有二個,一是管理人員平時未做好管理工作,讓電腦缺少適當的防禦機制,例如未安裝防毒軟體、未修補作業系統漏洞等,造成使用者的電腦具有容易入侵的弱點,進而感染了木馬或病毒等惡意程式。另外一個原因則是使用者本身缺少了資安意識,喜歡點選開啟來路不明的電子郵件或檔案,或是濫用電腦去下載非法軟體,導致電腦很快就變成殭屍大軍中的一員。

殭屍網路危害的情況

過去,殭屍網路大多被用來作為癱瘓他人網站的利器,只要透過同一時間操控大量的殭屍電腦,發動分散式的阻斷服務攻擊,往往就會造成企業的網站難以招架而停擺,網管人員也很難在短時間內就能找出攻擊的源頭並加以阻擋。殭屍網路也能被用來作為發送垃圾郵件的工具,藉由不斷轉換不同的受害電腦當做發信主機,就可使得過濾郵件黑名單的功能容易因此失效。

隨著網路廣告服務的盛行,殭屍網路更被用來和地下經濟做結合,利用操控分散在各地的電腦,針對特定線上廣告進行點擊,就可以獲得廣告的收入,此一類型的手法,被稱之為「點擊詐欺」。換句話說,殭屍們已不再像以往只具有單一功用,而是會隨著情境設定的轉移,即可成為駭客們手中操弄的不同角色,而探究其目的,多數都是為了獲得不法利益才來進行。

如今,殭屍的行為模式也變得更加有組織,除了以廣告點擊方式來獲利外,目前最新的手法是可以竄改Google的搜尋結果,以假的廣告連結來加以替代,每當不知情的使用者一點擊,也就成為幫忙駭客賺錢的工具之一。殭屍網路還能夠幫助駭客蒐集各項有價值的資訊,例如個人電腦上的使用者身份資料、帳號密碼,以及信用卡號等,根據加州大學的研究人員指出,在短短十天內,殭屍網路即有能力獲得高達70G的使用者資訊,藉此可獲得高遠數百萬美元的不法利益。

至於目前很流行的社交網路,使用者若一不小心,也很容易成為殭屍網路中的一份子。根據希臘Foundation for Research and Technology機構的研究顯示,只要透過在社交網路上的應用程式,分享圖片給使用者瀏覽,透過此應用程式中所隱藏的框架,就可以驅使使用者的電腦向特定的主機傳送網路流量,除了可用來當作實行阻斷攻擊的跳板,還能夠竊取其他使用者帳號並散播惡意程式。

從殭屍網路到鬼網間諜

除了殭屍網路之外,如今更出現了一個新名詞,叫做「鬼網」。根據加拿大的研究人員指出,在最近兩年之內,包括台灣等世界共103個國家,有1295台政府和民間企業組織的電腦,都曾經遭到間諜滲透,一旦這些電腦被植入了惡意軟體,駭客就能在遠端監控使用者的行為,還能夠開啟電腦上的網路攝影機,監視四周的環境動態,許多包括國家級的機密文件,恐怕也已經遭到竊取。

以往要滲透他人的電腦,往往會採取網路釣魚等社交工程手法,透過發送內含惡意軟體或惡意連結的郵件來引誘使用者上鉤。但是研究人員表示,鬼網的運作主要是有系統地針對特定目標,以便可獲得一開始即鎖定的機密資訊,而且它極有可能是透過國家的力量發起,儼然成為一種新型態的資訊戰爭。

這樣的手法,是否也會被運用在商業環境中,仍有待觀察。但依照以往經驗,商場如戰場,各種商業間諜的案例仍然層出不窮,相信只要是有利可圖,惡意人士應不會輕易放過這塊大餅,所以相對的,這也是給企業的一道警訊,在未來的商業競爭中,很可能也會面臨這種非法的手段,是否該及早作好準備,也考驗著企業經營階層的反應能力。

網路威脅的應對之道

一開始即提到,防禦這件事在資安工作中,可能遠比入侵他人的難度要高出許多,所以企業要如何因應,在千頭萬緒中究竟該如何做起?個人的建議是盡量以簡御繁,先從簡單能做的著手,也就是先回頭檢視企業現有的環境,擬定防禦策略,並及時修補可能的安全漏洞。

因此,企業可以從管理面開始,首先擬定網路的安全政策與規範,不過在擬定之前,需要全面檢視現有的網路架構,建議可以由外向內,一層一層地確認目前的安全設備,是否已處於正確位置並發揮作用,同時也要進行服務主機的強化,然後再到使用者端進行弱點補強。網管人員可以進行的工作,包括:
  1. 檢測防火牆的存取政策是否適當,是否開放了企業不允許的網路服務和通訊埠,當需要變更存取政策時,應依照企業擬定的變更管理程序來進行。
  2. 檢視入侵偵測防禦系統的特徵比對是否能持續更新,並確認封包本身的檢測深度是否合理有效,同時可評估是否進一步與網路安全設備連動,以進行聯合防禦。
  3. 檢視相關的網路設備所使用的作業系統和韌體是否為新版,以避免可能存在的安全漏洞,必要時可請設備廠商協助予以更新。
  4. 確認網路設備的管理帳號和密碼,是否有一定的控管程序,避免使用預設的管理帳號,並要求密碼具備一定的強度(例如大小寫數字混合,長度8碼以上)。
  5. 定期檢視網路設備的活動監控記錄,並進行網路設備的效能評估,以確保相關設備不會因特定連線或流量的增加,導致無法負荷而停擺。
  6. 確保網路防禦機制能夠持續運作,因此適時的備份與回復演練是絕對必要的,當大量的網路攻擊和新攻擊手法出現時,若能和外部資安專家或維護廠商在平時就建立良好的聯繫管道,在戰時就能適時的尋求外部支援。
總結

網路安全的攻防之間,似乎是一項永無止盡的工作,但是藉由基礎防禦機制的強化,就能獲得相對的安全保障。當然,在此也要提醒網管人員,千萬別一昧地追求技術上的控制,而忽略了適時的管理手法反而簡單有效。所以在使用者方面,除了透過技術機制協助使用者更新防毒軟體及病毒碼,修補作業系統的安全漏洞之外,更需要讓使用者具備一定的資安認知,包括了社交工程的防範、電子郵件的應用安全、上網瀏覽的安全注意事項等,因為使用者的教育訓練,往往就是有效且成本最低的防禦策略,可藉此來大幅降低日常作業所面臨的資安風險。(本文刊載於2009年6月號網管人雜誌)

2010年1月22日 星期五

[觀點] 談即時通訊的安全管理

即時通訊軟體對愛用網路的現代人而言,已是除了手機之外最常用來和親朋好友溝通的工具,隨著即時通訊的功能愈來愈強,資安問題就更加不能忽略,在用與不用之間到底該如何取捨呢?

早在十多年前,當聽到電腦發出一聲「喔喔~」的時候,就知道週遭有人正在使用ICQ在聊天,ICQ作為即時通訊的開創者,在當時掀起了一股熱潮,讓許多身處在世界各地的朋友,能夠打破時空的距離,即時地傳遞彼此的訊息。

雖然在一開始,ICQ主要作為個人聊天用途,但因為簡單易用的介面,以及可顯示目前的使用狀態(如離開、忙碌、離線),也深獲知識工作者的好評,紛紛利用它作為商業溝通和客戶服務的工具。不過,隨著MSN、Yahoo Messenger和QQ的興起,ICQ在華人的世界裡已逐漸被遺忘,這些新一代即時通訊軟體的出現,雖然有著更為華麗的介面和表情符號、聲音影像的傳輸功能,但也帶來更多令人意想不到的問題。

即時通訊的資安事件

在2001年,從第一隻即時通訊病毒WORM_MENGER.A開始,即時通訊也成為病毒作者和駭客們另一個練功的好地方,它充分利用了人們的好奇心,以及對於即時通訊名單上都是好友們的信賴,透過傳送網址連結與分享的檔案,就讓整個的惡意感染行為如滾雪球般地不斷擴大。

到了2005年,還是有資安專家不斷呼籲提供即時通訊軟體的廠商,必須要跟上駭客的腳步,迅速地修補安全漏洞,以避免災害持續擴大。此外,在2007年則是有某位台灣女大學生,在網路上購買拍賣物品,並利用MSN messenger和位於中國上海的賣家連繫,後來該賣家以網路拍賣所使用的台灣帳戶被停用,要求女大學生協助以其名義申請新帳戶,女大學生竟將提款卡以快遞送到大陸,接著就被利用成為販賣盜版光碟的人頭帳戶。即時通訊的方便性竟也成為詐騙集團,用來作為跨國跨區域的新興犯罪工具。

即時通訊的潛在風險

即時通訊讓訊息的傳遞更加方便快速,因此對商業運作的好處包括了:可跨越地理區域的限制,減少長途電話的使用;可多人即時進行會議,以節省公司的差旅費;可直接分享傳送檔案,還可用清晰的語音和影像視訊對談等等。對員工的好處,則是能夠同時與多人對談並即時回應,可即時在線上解答顧客問題,不再需要等待電子郵件的回覆,可大幅提高工作效率。

不過,對資訊管理人員來說,即時通訊軟體會不會產生資安問題,該如何去管理可能的風險?是否應該如同管理其他服務,像是電子郵件、網站安全等等一樣來加以重視?才是另一個令人頭痛的問題。

目前,即時通訊會產生的資安問題,大致有以下幾種:
  • 惡意程式感染 - 歹徒製作專門針對即時通訊的惡意程式,一旦使用者中毒之後,即會隨機且大量散布惡意檔案(如病毒、木馬),造成大規模的感染,並干擾網路的運作。
  • 散布垃圾訊息 - 即時通訊的使用者在中毒之後,多半會在不知情的情況下,被利用來散布惡意連結,導致親朋好友們一併受害。
  • 竊取不當資訊 - 供公眾使用的即時通訊是開放的,容易遭到竊聽,另外所洐生出的網路釣魚手法,會利用各種名義來騙取使用者帳號和密碼,假冒身分而造成更多社會問題。
  • 成為洩密管道 - 除了包括對話中談及的個人隱私和商業資訊,有可能遭到截取之外,另外傳送檔案的功能,也可能被惡意的員工,用來傳送違反企業安全政策的內部機密檔案。
從角色和範圍進行管理

如果即時通訊的威脅,已經足以影響企業日常的營運活動時,那麼為了確保不會造成業務的中斷,強制禁止即時通訊軟體的使用,可算是一項釜底抽薪的做法,但這也很可能引起原本使用者的反彈,這個時候究竟該禁或不禁,就演變成為管理階層的兩難。

從資安的角度而言,到底該全面禁止或全面開放,是有一些討論空間的,尤其是與其完全禁止,改為採取替代辦法來有限度地開放,也是管理決策上面的一個選項,在決策之前,建議管理人員可以思考的方向有:
  1. 定義使用者的角色 - 在企業組織中,到底誰需要使用即時通訊軟體?要用來做什麼?這將是決定是否開放或禁止的首要考量,一旦角色清楚了,就可以思考該如何來管理。舉例來說,某線上購物公司,不允許一般人員在公司使用即時軟體,而是僅開放給客服人員利用它來進行客戶服務,所以針對客服人員,都會進行適當的教育訓練,以了解使用時的相關規範。
  2. 定義合理使用的範圍 - 定義在哪些地方可使用?使用的方式為何?清楚的定義企業對於即時通訊控管的方式與目的,可讓使用者明白為何要禁止或限制即時通訊的使用。實務上即有企業認為在內部開放使用即時通訊風險太高,所以採取技術方式全面封鎖,僅開放在外部的出差人員可以使用。
  3. 使用責任與隱私保護 - 在使用責任方面,企業宜明訂適當的獎懲方式,以公告向員工告知違反規定時的懲處辦法。如果企業已針對即時通訊內容進行監看與記錄,也應公開向員工說明企業監看的方式,例如是否進行關鍵字過濾或內容的側錄,以尊重員工的個人隱私權。
  4. 平台與技術的採用 - 企業要直接選用已供公眾使用的即時通訊軟體,還是另外建置商業用的即時通訊方案,應在事先評估目前的運用與管理需求為何,並檢視其與現有環境的相容性,以判斷導入後是否會產生可能的安全弱點。
技術控管與教育並重

在選擇相關技術方案時,資訊管理人員首先應考量的是,到底要控管哪些即時通訊軟體?是否可自訂控管的方式?如果允許即時通訊軟體進行檔案傳輸,是否可提供惡意程式如病毒、木馬的掃瞄機制?另外,在針對傳輸內容方面,也可考慮增加關鍵字的比對和垃圾訊息的過濾,尤其是當企業選用的是供公眾使用的即時通訊平台,員工登入的是位於外部的伺服器,相關資訊也會經由外部來傳送,是否有可能會遭到外部竊聽,是必須考量的風險之一。

一個兼顧安全的即時通訊方案,至少要提供適當的記錄,例如使用者登入、登出的時間,傳送訊息的對象、傳送檔案的名稱等,以便未來相關事件的查核。在進行訊息內容過濾時,也要提供簡單易懂的控管介面,以方便設定允許傳輸檔案的類型和內容過濾條件(關鍵字包括內部使用、帳號密碼、信用卡號碼、身分證字號)等。當然,還要盡量不影響既有的網路架構,以免因為部署了即時通訊管理方案之後,反而產生其他問題。

至於在員工的安全意識方面,除了透過文件化說明使用規範之外,也可利用技術方式,在員工每次登入即時通訊軟體時,警示員工需注意的安全使用規定,以預防資安事件的發生。其他可向員工宣導的安全觀念還有:「不要輕易點選來路不明的連結」、「不要在即時通訊談論敏感資訊」、「不要使用自動登入功能」、「不使用時請務必要登出」、「不要使用第三方的網頁版即時通訊軟體」、「不要接收不明格式的檔案」、「不要使用來路不明的外掛程式」等。

管理要因時制宜

在企業內部要落實即時通訊的有效管理,是一個很大的課題,有許多層面的兼顧,都必須要因人、因時、因地來制宜,很難有一套一體適用的辦法。不過,透過重點的把握,可以協助管理人員快速建立可行的管理方式。

即時通訊的安全管理重點,在管理面包括了制定安全管理政策、文件化方式的使用辦法、兼顧隱私權的監控機制,以及違反時的懲處原則;至於在技術面則包括選擇適當的平台與監控技術,以識別合法的使用者、防堵惡意程式的入侵、防止未經授權的檔案傳輸等,最後若再配合適當的稽核機制,定期的審查記錄與持續改善,要維持管理的有效運作相信是指日可待的。(本文刊載於2009年5月號網管人雜誌)

2010年1月20日 星期三

[觀點] 綠色資安新主張 節能省碳愛地球

繼「Green IT」之後,「Green Security」是一項更新的議題,許多企業已經藉由建置綠色機房來降低營運成本,並且贏得環保的好名聲。事實上,資安工作同樣也能幫助環境綠化,也能為環保盡一份心力。

在電影「不願面對的真相」中,美國前副總統高爾用他的熱忱,不斷在世界各地到處奔走,希望透過最簡單易懂的演講,提醒世人注意今日全球暖化的現象,已經是一個不亞於恐怖行動的全球性危機,如果沒有及早因應的話,將會帶來一連串的災難,更會威脅到地球所有生物的生存。他更提醒各國政府必須要有所作為,同時強調「這是道德問題,而不是政治議題」。

過去,許多人對於環境保護的議題,往往都視而不見,可能的原因是由於它並沒有立即性的危害,所以一旦大家體會不到,就不太會想要去重視它。但是現在隨著冬天不冷、夏天超熱,全球的平均氣溫正以有史以來最快的速度不斷升高,暴風雨和颶風的威力也變得愈來愈強,大自然已經用它的種種現象,不斷向人類來反映,如果再不珍惜地球這個共有的環境,人類最終將會自取滅亡。

正視全球暖化危機

根據科學家的預測,如果沒有降低溫室氣體的排放量,全球暖化的程度仍會繼續惡化,在本世紀末平均氣溫將會再上升3到9度,一旦溫度上升造成冰山融解,許多臨海的國家恐怕會遭到海水吞噬,而台灣正是處於這種處境的高危險群。

在英國和歐洲,已經有許多商品會在上面標示它在製造、生產及運送過程中,所產生的溫室氣體數量,稱之為碳足跡(Carbon footprint)。碳足跡的多寡,可以用來計算人類在日常生活之中,各項活動對於環境所造成的影響,所以具有環保意識的政府和企業會鼓勵民眾,盡量選購低碳足跡的商品,以減少二氧化碳氣體的排放量。

另外,歐盟委員會也要求各成員國需制定「限用有害物質(RoHS)」的法規,來限制在電子產品中使用鉛或其他有害物質,以維護環境的安全與人類的健康,同時更促進報廢電子產品的回收處理,也要讓它合乎環保的要求。

或許我們並不是所謂的環保人士,但身為資訊人員的我們,還是可以有些行動與作為,來協助拯救我們共有的地球。像是近來熱門的「Green IT」,就是透過省電型的伺服器、刀鋒伺服器、虛擬化主機、電源和空調管理,來打造出一個節能的「綠色機房」,盡可能的降低運作時的能源消耗。

打造企業綠色資安

而資安工作呢?有沒有可能在落實資安的同時,同時也能為綠色環保盡一些心力?事實上,在國外已有一些資安專家,提出了所謂「Green Security」的概念,提醒企業在執行資安工作時,也能同時做好環保的工作。

目前,資訊安全已是現今企業重要的工作之一,為了確保內部重要資訊像是商業機密、客戶資料、財務報告等,不會遭到未經授權的存取與洩露,企業往往建置了資訊控管的辦法,從一開始的資料分級分類、資料的存取流程,到資料的歸檔和最後的廢棄銷毀,這一連串的資訊處理過程,又可稱之為資訊生命週期(Information lifecycle)。

無論資訊存在的形式是紙本或電子檔,不同的資料類別皆有不同的處置方式,如果是事涉敏感的資料,一旦走到最後一步需要銷毀時,那麼就一定要採取安全的方法來加以處理,以免洩露了不當訊息。

如果想要為環保盡一分心力,則可以融合資安與環保的做法來執行,例如可以透過網路加密通道,進行遠端系統的維護,並且建置安全的視訊會議,以減少人員的出差,節省交通工具的油耗與廢氣排放。另外,以下還有結合資安概念的一些應用,可提供給有心執行的企業作為參考。

正確使用列印設備 - 減少紙張浪費,避免資料外洩
企業對於廢棄紙本資料的處理,一般都會使用碎紙機,碎完之後的紙屑,可採取外包處理,藉由合格的廠商與安全的作業流程,將機密資料予以銷毀。不過,為了環保,應盡可能減少列印量,例如可透過列印程序的管控,要求人員必須輸入密碼後才可列印,將可避免不小心列印出來之後,未經銷毀程序而導致資料外洩。

另外,企業若是導入了資訊安全管理制度,將會增加許多政策、作業程序與工作表單,如果還是採取傳統紙本方式控管,將會消耗大量的紙張,建議企業可以進行文件的電子化管理,以節省紙張的浪費。

下班後要求電腦關機 - 減少電力損耗,避免駭客入侵
桌上型電腦的耗電量較高,如果使用者貪圖一時方便在下班之後仍開著,將造成無謂的電力損耗,目前,透過一些工具軟體的幫助,可以偵測出在下班之後依舊開著的電腦。

事實上,除了省電之外,許多企業為了資安的理由,都會強制要求使用者的電腦進行系統更新,一般的作法是透過登入Windows網域時,以Script方式彈跳訊息來通知使用者,或是透過群組原則的設定,讓使用者登入之後,就立即進行系統更新。如果使用者的電腦一直開著,很可能因為長期沒有登入,系統未更新修補程式,而產生資安上面的漏洞,很容易就會成為駭客或惡意程式入侵的對象。

資訊設備回收再利用 - 減少環境污染,兼顧資料安全
在電腦零組件中,含有一些重金屬物質,若隨意棄置將會造成環境上的污染,因此企業應經過適當的報廢程序,將舊電腦回收再利用。但是基於資安的理由,在儲存媒體上的處理應注意小心,像是曾經存放過敏感資料的硬碟,應予以重覆抹寫或消磁處理,或者也可針對硬碟進行實體破壞之後,再予以回收。

採購符合環保節能的設備 - 降低能源消耗,易於風險管理
從資安的觀點而言,在企業中有一些服務是需要全天候運作的,像是垃圾郵件過濾系統、防火牆、防毒牆、入侵偵測系統等。如果在效能上可以符合企業需求的話,以虛擬伺服器來替代實體的伺服器,改為採取虛擬化方式來運作,將可大幅減少能源的消耗。另外,建議企業應採購符合環保標章的設備,以電腦螢幕來說,應選擇具有環保標章或符合TCO、能源之星的產品,而網路設備,也應採購符合RoHS(有害物質限用)標準的產品。

至於這些設備的採購,可以併入一般資安法規的符合性稽查之中,藉由審查硬體設備是否合乎環保法規的標準,可確保只有環保產品才會受到企業採用,而且一旦所有設備都經過了審查,並且留下了文件化的記錄,將可確保企業不會使用一些具有潛在弱點的設備,進而導致資安上的風險。

環境保護,人人有責

藉由以上方法的運用,除了可讓企業降低日常營運可能面臨的資安風險之外,更可同時達到環保的功效,透過將環保要求與企業政策及作業流程相結合,將可減少不必要的能源損失,並且減輕對地球的危害。

所以,在不影響企業營運之前提下,能夠多為環保盡一份心,事實上也是盡到了社會責任,建議企業應仔細思考應該如何做好「綠色資安」工作,為後代子孫保留更多自然資源與美好環境。(本文刊載於2009年4月號網管人雜誌)

2010年1月13日 星期三

[觀點] 從境管當機事件談資安風險管理(下)

上一次我們談到了風險管理的基本概念和過程,藉由識別資產的價值,並進行可能存在的威脅與弱點分析,以便計算出所面臨的風險值。在了解企業現有的資安風險之後,接下來將說明應對風險的處理方法。

在生活之中,每個人遇到意外的發生,都會有不同的應對方法。舉例來說,如果你的錢包掉了,除了現金沒了之外,錢包內的信用卡、身份證件也跟著一併遺失,這時候你會怎麼辦?相信大多數人的做法是,趕快打電話給銀行,先暫停信用卡的使用,然後登報將身份證件聲明作廢,重新到相關單位申請新的證件。那麼損失的現金呢?我想大概就只能摸摸鼻子,當作破財消災了。

不過,錢包就只會掉這一次嗎?如果萬一下次又掉了,或是被小偷扒走,那麼就只能再重頭來過,又心痛一次嗎?面對這種會造成財物損失的風險,難道沒有比較好的應對方法?事實上辦法是有的,而且還有很多種,端看你如何選擇。

像是有人會在錢包裡不放證件,或是不帶現金,只放一張額度最低的信用卡或提款卡;有人甚至出門不帶皮夾,而把現金放在口袋,證件放在另一邊,來避免雞蛋放在同一籠子裡的風險;還有比較極端的是,有人乾脆身上就不帶錢包了,反正和親友出去,若需花費,則請他人先代為付帳,日後再還即可。

風險處理的原則

以上提到的種種作法,其實目的只有一個,就是去「降低你不想要的事件發生的可能性,以及萬一它真的不幸發生了,如何將可能造成的損失減至最低」,而這也就是風險處理的基本原則。所以在生活之中,我們可能會直接選擇自己簡單易用,或是自認為有效的方法,不過,若是回歸到企業要處理資安的風險,還有幾項重點是必須要去考量的。

首先要考量的就是,採用這些風險處理的方法,必須要評估所耗費的成本是否合理,並且能夠讓企業老闆接受。記得某位資安的前輩曾叮嚀:「千萬不要花五塊錢,去保護只有三塊錢價值的東西,這往往只會吃力不討好。」

所以,若是為了防護某項價值並不高的資訊,而大肆添購眾多資安設備,要求做到高可用性,甚至於還做了異地備援,這樣的用心,恐怕只會被當成濫用企業資源而已,想必是一點功勞都沒有。

再來,請考量風險處理的作法是否會引起其他更大的風險。例如,企業為防止員工設定太過簡單的懶人密碼,使得駭客能夠輕易破解而竊取企業資訊,所以要求員工必須每個月更改一次密碼,長度必須英文數字大小寫混合十二碼以上,並且前十次不能相同。

上述這種作法,雖然可大幅提升密碼被破解的困難度,但相對的也會造成員工不容易去記憶密碼的困擾,而且如此一來,員工就很可能會將每次變更後的密碼寫下,甚至於可能直接就以便利貼貼在螢幕或鍵盤旁邊,這樣反而讓經過座位的所有人都可看到密碼,造成更大的風險。

所以,企業在要求做好資訊安全的同時,也務必去思考可能因為人性所產生的問題,千萬別忘了資安工作,其實大多時候都是在處理「人」的工作。

最後,應適時地評估風險處理作法的有效性。所謂有效性的評估,對管理人員來說是有難度的,因此,建議可採取適當的稽核方法,以確認相關人員是否依照企業制定的政策、流程、作業標準來執行工作,並且在稽核的過程中,以相關記錄的抽查並配合口頭的詢問,來確認工作人員是否達到「說、寫、做」一致。

以防火牆稽核而言,可以檢視其防火牆政策設置是否適當、政策的變更是否經過授權、如何進行政策變更、變更之後是否留下記錄等等;另外,也可詢問防火牆管理人員,是否定期審查設備所產生的Log檔,以及發生異常事件時,要如何進行處理與通報。至於稽核的執行,可由內部的稽核人員,或是委由外部的資安專家來進行,建議每季或每半年執行一次,並且召開管理審查會議,以檢討是否有缺失,以及如何進行維護與改進。

風險處理的方法

至於風險處理的過程,基本上可分為避免風險、降低風險、轉移風險和接受風險四個方向來進行,以下為各項方法的簡要說明。

避免風險
在資訊安全的範圍裡,想要完全避免所有風險是很困難的。以境管局提供的服務為例,它必須要透過資訊系統和網路連線來進行,因此,資訊系統本身即有其作業上的風險,像是硬體設備損壞、人員操作失誤、軟體臭蟲等等,而網路連線亦存在包括網路連線中斷、駭客入侵攻擊等風險,所以若想要完全避免風險,除非捨棄資訊系統與網路的使用,但如此一來,恐怕就只能以人工來處理,但可別忘了,人工處理除了沒有效率之外,同樣也有其作業風險。

降低風險
正因為風險很難完全加以避免,所以管理人員通常可運用的就是降低風險的作法,也就是選擇適當的資安控制措施。例如企業擔心病毒入侵,所以會在電腦中安裝防毒軟體,這是一種降低病毒爆發風險的控制措施;境管局擔心系統會因硬體損壞而失效,所以建置了備援系統,希望在系統失效時,能接替原系統來執行工作,這也是一種降低風險的控制措施。只是這些控制措施是否合宜,能否有效降低所面臨的風險,必須參考剛才已提過的風險處理原則。

轉移風險
有一些風險,像是地震、火災和水災,它發生的機會可能不多,但是一旦發生時卻會造成嚴重的傷害,雖然平常也可採取降低風險的作法,但是往往花費很高,效果也不顯著,這時候,建議最好的處理方法就是轉移風險。舉例來說,企業若將最重要的營運資訊,放置在公司內部的機房,雖然機房已針對地震、火災和水災,作了適當的規劃防護,但是依然難防大樓遭到火災的侵襲,因此,若能再加保火險,即可補償災害發生時造成的損失。另外,若資料可委外備份到專業的資料中心,藉由資料中心提供更完善的防護,來確保資訊存放的安全,這也是轉移風險的另一種應對之道。

接受風險
如果有些風險所造成的損失不大,對企業營運的影響也很低,那麼與其花費金錢購置資安設備來加以防護,不如選擇接受風險,其實也是可以採行的辦法。當然,每個企業對於風險的接受度不同,這就有賴於先前是否做好風險的分析與評估,在事先計算出各項資產的風險值,即可依據各項風險等級來判斷是否為可接受的風險。在此還要提醒大家,接受風險不代表就不必去管它了,可別忽略了風險的高低,有可能隨著外在環境或人為因素而變動,因此仍要定期的審查,尤其是針對資產價值較高,造成企業衝擊較大的項目。

總結

以上針對資安風險管理,僅以簡單淺顯的例子來予以介紹,希望透過識別資產、風險分析、風險評估與風險處理的過程,以達到管理風險的目的。事實上,風險管理在各個產業都有很多不同的應用,若是針對資訊安全與IT系統,建議你可以進一步參考由美國國家標準和技術研究院(NIST)所發布的「SP800-30 Risk Management Guide for Information Technology Systems」,或是最新發布的「ISO/IEC 27005:2008資訊安全風險管理」國際標準,對於風險管理在IT的應用都有很深的著墨,建議你不妨有空仔細研讀。

最後,個人還想藉此強調一個觀念,就是資訊安全絕不只是架構防火牆、安裝防毒軟體,或是以技術對抗駭客入侵而已,其實它更像是一個全面的管理過程,在這個過程之中,將會牽涉到企業流程、組織管理、作業程序等等,所以資訊安全不會只是一個人或一群人的工作,而是企業由上到下都必須有共同的認知來確切執行,這樣才能確保企業不會因發生資訊安全事件,而導致營運中斷或聲譽受損,才有實現企業永續經營的一天。(本文刊載於2009年3月號網管人雜誌)