2010年1月26日 星期二

[觀點] 防範網路大軍的惡意入侵

資安的防禦工作和攻擊手法比較起來,事實上難度更高,也很難全面地加以兼顧。在網路攻擊氾濫的今天,網管人員只要稍有鬆懈,很容易就會受到來自四面八方的惡意入侵,一旦使用者電腦或服務主機受到操控成為跳板,隨之而來的就是更多令人頭痛的問題。

相信大多數六年級生和更年長的朋友,都曾經歷過殭屍電影的熱潮,在電影中道長只要憑藉手中的符咒,一一黏貼在殭屍的頭上,然後一搖手中的法鈴,就能操控所有殭屍行走跳躍的方向。在這個網路盛行的年代,也有所謂的殭屍網路(Botnet)出現,它是指一群受害者的電腦受到操控,成為受人擺佈的「殭屍」,可以被惡意人士利用來發動大規模的網路攻擊,或是從事散布垃圾郵件或病毒的惡意行為,而且這些攻擊往往難以追查到幕後的真正控制者。

為什麼電腦會變成「殭屍」?可能的原因有很多,但比較顯而易見的原因則有二個,一是管理人員平時未做好管理工作,讓電腦缺少適當的防禦機制,例如未安裝防毒軟體、未修補作業系統漏洞等,造成使用者的電腦具有容易入侵的弱點,進而感染了木馬或病毒等惡意程式。另外一個原因則是使用者本身缺少了資安意識,喜歡點選開啟來路不明的電子郵件或檔案,或是濫用電腦去下載非法軟體,導致電腦很快就變成殭屍大軍中的一員。

殭屍網路危害的情況

過去,殭屍網路大多被用來作為癱瘓他人網站的利器,只要透過同一時間操控大量的殭屍電腦,發動分散式的阻斷服務攻擊,往往就會造成企業的網站難以招架而停擺,網管人員也很難在短時間內就能找出攻擊的源頭並加以阻擋。殭屍網路也能被用來作為發送垃圾郵件的工具,藉由不斷轉換不同的受害電腦當做發信主機,就可使得過濾郵件黑名單的功能容易因此失效。

隨著網路廣告服務的盛行,殭屍網路更被用來和地下經濟做結合,利用操控分散在各地的電腦,針對特定線上廣告進行點擊,就可以獲得廣告的收入,此一類型的手法,被稱之為「點擊詐欺」。換句話說,殭屍們已不再像以往只具有單一功用,而是會隨著情境設定的轉移,即可成為駭客們手中操弄的不同角色,而探究其目的,多數都是為了獲得不法利益才來進行。

如今,殭屍的行為模式也變得更加有組織,除了以廣告點擊方式來獲利外,目前最新的手法是可以竄改Google的搜尋結果,以假的廣告連結來加以替代,每當不知情的使用者一點擊,也就成為幫忙駭客賺錢的工具之一。殭屍網路還能夠幫助駭客蒐集各項有價值的資訊,例如個人電腦上的使用者身份資料、帳號密碼,以及信用卡號等,根據加州大學的研究人員指出,在短短十天內,殭屍網路即有能力獲得高達70G的使用者資訊,藉此可獲得高遠數百萬美元的不法利益。

至於目前很流行的社交網路,使用者若一不小心,也很容易成為殭屍網路中的一份子。根據希臘Foundation for Research and Technology機構的研究顯示,只要透過在社交網路上的應用程式,分享圖片給使用者瀏覽,透過此應用程式中所隱藏的框架,就可以驅使使用者的電腦向特定的主機傳送網路流量,除了可用來當作實行阻斷攻擊的跳板,還能夠竊取其他使用者帳號並散播惡意程式。

從殭屍網路到鬼網間諜

除了殭屍網路之外,如今更出現了一個新名詞,叫做「鬼網」。根據加拿大的研究人員指出,在最近兩年之內,包括台灣等世界共103個國家,有1295台政府和民間企業組織的電腦,都曾經遭到間諜滲透,一旦這些電腦被植入了惡意軟體,駭客就能在遠端監控使用者的行為,還能夠開啟電腦上的網路攝影機,監視四周的環境動態,許多包括國家級的機密文件,恐怕也已經遭到竊取。

以往要滲透他人的電腦,往往會採取網路釣魚等社交工程手法,透過發送內含惡意軟體或惡意連結的郵件來引誘使用者上鉤。但是研究人員表示,鬼網的運作主要是有系統地針對特定目標,以便可獲得一開始即鎖定的機密資訊,而且它極有可能是透過國家的力量發起,儼然成為一種新型態的資訊戰爭。

這樣的手法,是否也會被運用在商業環境中,仍有待觀察。但依照以往經驗,商場如戰場,各種商業間諜的案例仍然層出不窮,相信只要是有利可圖,惡意人士應不會輕易放過這塊大餅,所以相對的,這也是給企業的一道警訊,在未來的商業競爭中,很可能也會面臨這種非法的手段,是否該及早作好準備,也考驗著企業經營階層的反應能力。

網路威脅的應對之道

一開始即提到,防禦這件事在資安工作中,可能遠比入侵他人的難度要高出許多,所以企業要如何因應,在千頭萬緒中究竟該如何做起?個人的建議是盡量以簡御繁,先從簡單能做的著手,也就是先回頭檢視企業現有的環境,擬定防禦策略,並及時修補可能的安全漏洞。

因此,企業可以從管理面開始,首先擬定網路的安全政策與規範,不過在擬定之前,需要全面檢視現有的網路架構,建議可以由外向內,一層一層地確認目前的安全設備,是否已處於正確位置並發揮作用,同時也要進行服務主機的強化,然後再到使用者端進行弱點補強。網管人員可以進行的工作,包括:
  1. 檢測防火牆的存取政策是否適當,是否開放了企業不允許的網路服務和通訊埠,當需要變更存取政策時,應依照企業擬定的變更管理程序來進行。
  2. 檢視入侵偵測防禦系統的特徵比對是否能持續更新,並確認封包本身的檢測深度是否合理有效,同時可評估是否進一步與網路安全設備連動,以進行聯合防禦。
  3. 檢視相關的網路設備所使用的作業系統和韌體是否為新版,以避免可能存在的安全漏洞,必要時可請設備廠商協助予以更新。
  4. 確認網路設備的管理帳號和密碼,是否有一定的控管程序,避免使用預設的管理帳號,並要求密碼具備一定的強度(例如大小寫數字混合,長度8碼以上)。
  5. 定期檢視網路設備的活動監控記錄,並進行網路設備的效能評估,以確保相關設備不會因特定連線或流量的增加,導致無法負荷而停擺。
  6. 確保網路防禦機制能夠持續運作,因此適時的備份與回復演練是絕對必要的,當大量的網路攻擊和新攻擊手法出現時,若能和外部資安專家或維護廠商在平時就建立良好的聯繫管道,在戰時就能適時的尋求外部支援。
總結

網路安全的攻防之間,似乎是一項永無止盡的工作,但是藉由基礎防禦機制的強化,就能獲得相對的安全保障。當然,在此也要提醒網管人員,千萬別一昧地追求技術上的控制,而忽略了適時的管理手法反而簡單有效。所以在使用者方面,除了透過技術機制協助使用者更新防毒軟體及病毒碼,修補作業系統的安全漏洞之外,更需要讓使用者具備一定的資安認知,包括了社交工程的防範、電子郵件的應用安全、上網瀏覽的安全注意事項等,因為使用者的教育訓練,往往就是有效且成本最低的防禦策略,可藉此來大幅降低日常作業所面臨的資安風險。(本文刊載於2009年6月號網管人雜誌)

2010年1月22日 星期五

[觀點] 談即時通訊的安全管理

即時通訊軟體對愛用網路的現代人而言,已是除了手機之外最常用來和親朋好友溝通的工具,隨著即時通訊的功能愈來愈強,資安問題就更加不能忽略,在用與不用之間到底該如何取捨呢?

早在十多年前,當聽到電腦發出一聲「喔喔~」的時候,就知道週遭有人正在使用ICQ在聊天,ICQ作為即時通訊的開創者,在當時掀起了一股熱潮,讓許多身處在世界各地的朋友,能夠打破時空的距離,即時地傳遞彼此的訊息。

雖然在一開始,ICQ主要作為個人聊天用途,但因為簡單易用的介面,以及可顯示目前的使用狀態(如離開、忙碌、離線),也深獲知識工作者的好評,紛紛利用它作為商業溝通和客戶服務的工具。不過,隨著MSN、Yahoo Messenger和QQ的興起,ICQ在華人的世界裡已逐漸被遺忘,這些新一代即時通訊軟體的出現,雖然有著更為華麗的介面和表情符號、聲音影像的傳輸功能,但也帶來更多令人意想不到的問題。

即時通訊的資安事件

在2001年,從第一隻即時通訊病毒WORM_MENGER.A開始,即時通訊也成為病毒作者和駭客們另一個練功的好地方,它充分利用了人們的好奇心,以及對於即時通訊名單上都是好友們的信賴,透過傳送網址連結與分享的檔案,就讓整個的惡意感染行為如滾雪球般地不斷擴大。

到了2005年,還是有資安專家不斷呼籲提供即時通訊軟體的廠商,必須要跟上駭客的腳步,迅速地修補安全漏洞,以避免災害持續擴大。此外,在2007年則是有某位台灣女大學生,在網路上購買拍賣物品,並利用MSN messenger和位於中國上海的賣家連繫,後來該賣家以網路拍賣所使用的台灣帳戶被停用,要求女大學生協助以其名義申請新帳戶,女大學生竟將提款卡以快遞送到大陸,接著就被利用成為販賣盜版光碟的人頭帳戶。即時通訊的方便性竟也成為詐騙集團,用來作為跨國跨區域的新興犯罪工具。

即時通訊的潛在風險

即時通訊讓訊息的傳遞更加方便快速,因此對商業運作的好處包括了:可跨越地理區域的限制,減少長途電話的使用;可多人即時進行會議,以節省公司的差旅費;可直接分享傳送檔案,還可用清晰的語音和影像視訊對談等等。對員工的好處,則是能夠同時與多人對談並即時回應,可即時在線上解答顧客問題,不再需要等待電子郵件的回覆,可大幅提高工作效率。

不過,對資訊管理人員來說,即時通訊軟體會不會產生資安問題,該如何去管理可能的風險?是否應該如同管理其他服務,像是電子郵件、網站安全等等一樣來加以重視?才是另一個令人頭痛的問題。

目前,即時通訊會產生的資安問題,大致有以下幾種:
  • 惡意程式感染 - 歹徒製作專門針對即時通訊的惡意程式,一旦使用者中毒之後,即會隨機且大量散布惡意檔案(如病毒、木馬),造成大規模的感染,並干擾網路的運作。
  • 散布垃圾訊息 - 即時通訊的使用者在中毒之後,多半會在不知情的情況下,被利用來散布惡意連結,導致親朋好友們一併受害。
  • 竊取不當資訊 - 供公眾使用的即時通訊是開放的,容易遭到竊聽,另外所洐生出的網路釣魚手法,會利用各種名義來騙取使用者帳號和密碼,假冒身分而造成更多社會問題。
  • 成為洩密管道 - 除了包括對話中談及的個人隱私和商業資訊,有可能遭到截取之外,另外傳送檔案的功能,也可能被惡意的員工,用來傳送違反企業安全政策的內部機密檔案。
從角色和範圍進行管理

如果即時通訊的威脅,已經足以影響企業日常的營運活動時,那麼為了確保不會造成業務的中斷,強制禁止即時通訊軟體的使用,可算是一項釜底抽薪的做法,但這也很可能引起原本使用者的反彈,這個時候究竟該禁或不禁,就演變成為管理階層的兩難。

從資安的角度而言,到底該全面禁止或全面開放,是有一些討論空間的,尤其是與其完全禁止,改為採取替代辦法來有限度地開放,也是管理決策上面的一個選項,在決策之前,建議管理人員可以思考的方向有:
  1. 定義使用者的角色 - 在企業組織中,到底誰需要使用即時通訊軟體?要用來做什麼?這將是決定是否開放或禁止的首要考量,一旦角色清楚了,就可以思考該如何來管理。舉例來說,某線上購物公司,不允許一般人員在公司使用即時軟體,而是僅開放給客服人員利用它來進行客戶服務,所以針對客服人員,都會進行適當的教育訓練,以了解使用時的相關規範。
  2. 定義合理使用的範圍 - 定義在哪些地方可使用?使用的方式為何?清楚的定義企業對於即時通訊控管的方式與目的,可讓使用者明白為何要禁止或限制即時通訊的使用。實務上即有企業認為在內部開放使用即時通訊風險太高,所以採取技術方式全面封鎖,僅開放在外部的出差人員可以使用。
  3. 使用責任與隱私保護 - 在使用責任方面,企業宜明訂適當的獎懲方式,以公告向員工告知違反規定時的懲處辦法。如果企業已針對即時通訊內容進行監看與記錄,也應公開向員工說明企業監看的方式,例如是否進行關鍵字過濾或內容的側錄,以尊重員工的個人隱私權。
  4. 平台與技術的採用 - 企業要直接選用已供公眾使用的即時通訊軟體,還是另外建置商業用的即時通訊方案,應在事先評估目前的運用與管理需求為何,並檢視其與現有環境的相容性,以判斷導入後是否會產生可能的安全弱點。
技術控管與教育並重

在選擇相關技術方案時,資訊管理人員首先應考量的是,到底要控管哪些即時通訊軟體?是否可自訂控管的方式?如果允許即時通訊軟體進行檔案傳輸,是否可提供惡意程式如病毒、木馬的掃瞄機制?另外,在針對傳輸內容方面,也可考慮增加關鍵字的比對和垃圾訊息的過濾,尤其是當企業選用的是供公眾使用的即時通訊平台,員工登入的是位於外部的伺服器,相關資訊也會經由外部來傳送,是否有可能會遭到外部竊聽,是必須考量的風險之一。

一個兼顧安全的即時通訊方案,至少要提供適當的記錄,例如使用者登入、登出的時間,傳送訊息的對象、傳送檔案的名稱等,以便未來相關事件的查核。在進行訊息內容過濾時,也要提供簡單易懂的控管介面,以方便設定允許傳輸檔案的類型和內容過濾條件(關鍵字包括內部使用、帳號密碼、信用卡號碼、身分證字號)等。當然,還要盡量不影響既有的網路架構,以免因為部署了即時通訊管理方案之後,反而產生其他問題。

至於在員工的安全意識方面,除了透過文件化說明使用規範之外,也可利用技術方式,在員工每次登入即時通訊軟體時,警示員工需注意的安全使用規定,以預防資安事件的發生。其他可向員工宣導的安全觀念還有:「不要輕易點選來路不明的連結」、「不要在即時通訊談論敏感資訊」、「不要使用自動登入功能」、「不使用時請務必要登出」、「不要使用第三方的網頁版即時通訊軟體」、「不要接收不明格式的檔案」、「不要使用來路不明的外掛程式」等。

管理要因時制宜

在企業內部要落實即時通訊的有效管理,是一個很大的課題,有許多層面的兼顧,都必須要因人、因時、因地來制宜,很難有一套一體適用的辦法。不過,透過重點的把握,可以協助管理人員快速建立可行的管理方式。

即時通訊的安全管理重點,在管理面包括了制定安全管理政策、文件化方式的使用辦法、兼顧隱私權的監控機制,以及違反時的懲處原則;至於在技術面則包括選擇適當的平台與監控技術,以識別合法的使用者、防堵惡意程式的入侵、防止未經授權的檔案傳輸等,最後若再配合適當的稽核機制,定期的審查記錄與持續改善,要維持管理的有效運作相信是指日可待的。(本文刊載於2009年5月號網管人雜誌)

2010年1月20日 星期三

[觀點] 綠色資安新主張 節能省碳愛地球

繼「Green IT」之後,「Green Security」是一項更新的議題,許多企業已經藉由建置綠色機房來降低營運成本,並且贏得環保的好名聲。事實上,資安工作同樣也能幫助環境綠化,也能為環保盡一份心力。

在電影「不願面對的真相」中,美國前副總統高爾用他的熱忱,不斷在世界各地到處奔走,希望透過最簡單易懂的演講,提醒世人注意今日全球暖化的現象,已經是一個不亞於恐怖行動的全球性危機,如果沒有及早因應的話,將會帶來一連串的災難,更會威脅到地球所有生物的生存。他更提醒各國政府必須要有所作為,同時強調「這是道德問題,而不是政治議題」。

過去,許多人對於環境保護的議題,往往都視而不見,可能的原因是由於它並沒有立即性的危害,所以一旦大家體會不到,就不太會想要去重視它。但是現在隨著冬天不冷、夏天超熱,全球的平均氣溫正以有史以來最快的速度不斷升高,暴風雨和颶風的威力也變得愈來愈強,大自然已經用它的種種現象,不斷向人類來反映,如果再不珍惜地球這個共有的環境,人類最終將會自取滅亡。

正視全球暖化危機

根據科學家的預測,如果沒有降低溫室氣體的排放量,全球暖化的程度仍會繼續惡化,在本世紀末平均氣溫將會再上升3到9度,一旦溫度上升造成冰山融解,許多臨海的國家恐怕會遭到海水吞噬,而台灣正是處於這種處境的高危險群。

在英國和歐洲,已經有許多商品會在上面標示它在製造、生產及運送過程中,所產生的溫室氣體數量,稱之為碳足跡(Carbon footprint)。碳足跡的多寡,可以用來計算人類在日常生活之中,各項活動對於環境所造成的影響,所以具有環保意識的政府和企業會鼓勵民眾,盡量選購低碳足跡的商品,以減少二氧化碳氣體的排放量。

另外,歐盟委員會也要求各成員國需制定「限用有害物質(RoHS)」的法規,來限制在電子產品中使用鉛或其他有害物質,以維護環境的安全與人類的健康,同時更促進報廢電子產品的回收處理,也要讓它合乎環保的要求。

或許我們並不是所謂的環保人士,但身為資訊人員的我們,還是可以有些行動與作為,來協助拯救我們共有的地球。像是近來熱門的「Green IT」,就是透過省電型的伺服器、刀鋒伺服器、虛擬化主機、電源和空調管理,來打造出一個節能的「綠色機房」,盡可能的降低運作時的能源消耗。

打造企業綠色資安

而資安工作呢?有沒有可能在落實資安的同時,同時也能為綠色環保盡一些心力?事實上,在國外已有一些資安專家,提出了所謂「Green Security」的概念,提醒企業在執行資安工作時,也能同時做好環保的工作。

目前,資訊安全已是現今企業重要的工作之一,為了確保內部重要資訊像是商業機密、客戶資料、財務報告等,不會遭到未經授權的存取與洩露,企業往往建置了資訊控管的辦法,從一開始的資料分級分類、資料的存取流程,到資料的歸檔和最後的廢棄銷毀,這一連串的資訊處理過程,又可稱之為資訊生命週期(Information lifecycle)。

無論資訊存在的形式是紙本或電子檔,不同的資料類別皆有不同的處置方式,如果是事涉敏感的資料,一旦走到最後一步需要銷毀時,那麼就一定要採取安全的方法來加以處理,以免洩露了不當訊息。

如果想要為環保盡一分心力,則可以融合資安與環保的做法來執行,例如可以透過網路加密通道,進行遠端系統的維護,並且建置安全的視訊會議,以減少人員的出差,節省交通工具的油耗與廢氣排放。另外,以下還有結合資安概念的一些應用,可提供給有心執行的企業作為參考。

正確使用列印設備 - 減少紙張浪費,避免資料外洩
企業對於廢棄紙本資料的處理,一般都會使用碎紙機,碎完之後的紙屑,可採取外包處理,藉由合格的廠商與安全的作業流程,將機密資料予以銷毀。不過,為了環保,應盡可能減少列印量,例如可透過列印程序的管控,要求人員必須輸入密碼後才可列印,將可避免不小心列印出來之後,未經銷毀程序而導致資料外洩。

另外,企業若是導入了資訊安全管理制度,將會增加許多政策、作業程序與工作表單,如果還是採取傳統紙本方式控管,將會消耗大量的紙張,建議企業可以進行文件的電子化管理,以節省紙張的浪費。

下班後要求電腦關機 - 減少電力損耗,避免駭客入侵
桌上型電腦的耗電量較高,如果使用者貪圖一時方便在下班之後仍開著,將造成無謂的電力損耗,目前,透過一些工具軟體的幫助,可以偵測出在下班之後依舊開著的電腦。

事實上,除了省電之外,許多企業為了資安的理由,都會強制要求使用者的電腦進行系統更新,一般的作法是透過登入Windows網域時,以Script方式彈跳訊息來通知使用者,或是透過群組原則的設定,讓使用者登入之後,就立即進行系統更新。如果使用者的電腦一直開著,很可能因為長期沒有登入,系統未更新修補程式,而產生資安上面的漏洞,很容易就會成為駭客或惡意程式入侵的對象。

資訊設備回收再利用 - 減少環境污染,兼顧資料安全
在電腦零組件中,含有一些重金屬物質,若隨意棄置將會造成環境上的污染,因此企業應經過適當的報廢程序,將舊電腦回收再利用。但是基於資安的理由,在儲存媒體上的處理應注意小心,像是曾經存放過敏感資料的硬碟,應予以重覆抹寫或消磁處理,或者也可針對硬碟進行實體破壞之後,再予以回收。

採購符合環保節能的設備 - 降低能源消耗,易於風險管理
從資安的觀點而言,在企業中有一些服務是需要全天候運作的,像是垃圾郵件過濾系統、防火牆、防毒牆、入侵偵測系統等。如果在效能上可以符合企業需求的話,以虛擬伺服器來替代實體的伺服器,改為採取虛擬化方式來運作,將可大幅減少能源的消耗。另外,建議企業應採購符合環保標章的設備,以電腦螢幕來說,應選擇具有環保標章或符合TCO、能源之星的產品,而網路設備,也應採購符合RoHS(有害物質限用)標準的產品。

至於這些設備的採購,可以併入一般資安法規的符合性稽查之中,藉由審查硬體設備是否合乎環保法規的標準,可確保只有環保產品才會受到企業採用,而且一旦所有設備都經過了審查,並且留下了文件化的記錄,將可確保企業不會使用一些具有潛在弱點的設備,進而導致資安上的風險。

環境保護,人人有責

藉由以上方法的運用,除了可讓企業降低日常營運可能面臨的資安風險之外,更可同時達到環保的功效,透過將環保要求與企業政策及作業流程相結合,將可減少不必要的能源損失,並且減輕對地球的危害。

所以,在不影響企業營運之前提下,能夠多為環保盡一份心,事實上也是盡到了社會責任,建議企業應仔細思考應該如何做好「綠色資安」工作,為後代子孫保留更多自然資源與美好環境。(本文刊載於2009年4月號網管人雜誌)

2010年1月13日 星期三

[觀點] 從境管當機事件談資安風險管理(下)

上一次我們談到了風險管理的基本概念和過程,藉由識別資產的價值,並進行可能存在的威脅與弱點分析,以便計算出所面臨的風險值。在了解企業現有的資安風險之後,接下來將說明應對風險的處理方法。

在生活之中,每個人遇到意外的發生,都會有不同的應對方法。舉例來說,如果你的錢包掉了,除了現金沒了之外,錢包內的信用卡、身份證件也跟著一併遺失,這時候你會怎麼辦?相信大多數人的做法是,趕快打電話給銀行,先暫停信用卡的使用,然後登報將身份證件聲明作廢,重新到相關單位申請新的證件。那麼損失的現金呢?我想大概就只能摸摸鼻子,當作破財消災了。

不過,錢包就只會掉這一次嗎?如果萬一下次又掉了,或是被小偷扒走,那麼就只能再重頭來過,又心痛一次嗎?面對這種會造成財物損失的風險,難道沒有比較好的應對方法?事實上辦法是有的,而且還有很多種,端看你如何選擇。

像是有人會在錢包裡不放證件,或是不帶現金,只放一張額度最低的信用卡或提款卡;有人甚至出門不帶皮夾,而把現金放在口袋,證件放在另一邊,來避免雞蛋放在同一籠子裡的風險;還有比較極端的是,有人乾脆身上就不帶錢包了,反正和親友出去,若需花費,則請他人先代為付帳,日後再還即可。

風險處理的原則

以上提到的種種作法,其實目的只有一個,就是去「降低你不想要的事件發生的可能性,以及萬一它真的不幸發生了,如何將可能造成的損失減至最低」,而這也就是風險處理的基本原則。所以在生活之中,我們可能會直接選擇自己簡單易用,或是自認為有效的方法,不過,若是回歸到企業要處理資安的風險,還有幾項重點是必須要去考量的。

首先要考量的就是,採用這些風險處理的方法,必須要評估所耗費的成本是否合理,並且能夠讓企業老闆接受。記得某位資安的前輩曾叮嚀:「千萬不要花五塊錢,去保護只有三塊錢價值的東西,這往往只會吃力不討好。」

所以,若是為了防護某項價值並不高的資訊,而大肆添購眾多資安設備,要求做到高可用性,甚至於還做了異地備援,這樣的用心,恐怕只會被當成濫用企業資源而已,想必是一點功勞都沒有。

再來,請考量風險處理的作法是否會引起其他更大的風險。例如,企業為防止員工設定太過簡單的懶人密碼,使得駭客能夠輕易破解而竊取企業資訊,所以要求員工必須每個月更改一次密碼,長度必須英文數字大小寫混合十二碼以上,並且前十次不能相同。

上述這種作法,雖然可大幅提升密碼被破解的困難度,但相對的也會造成員工不容易去記憶密碼的困擾,而且如此一來,員工就很可能會將每次變更後的密碼寫下,甚至於可能直接就以便利貼貼在螢幕或鍵盤旁邊,這樣反而讓經過座位的所有人都可看到密碼,造成更大的風險。

所以,企業在要求做好資訊安全的同時,也務必去思考可能因為人性所產生的問題,千萬別忘了資安工作,其實大多時候都是在處理「人」的工作。

最後,應適時地評估風險處理作法的有效性。所謂有效性的評估,對管理人員來說是有難度的,因此,建議可採取適當的稽核方法,以確認相關人員是否依照企業制定的政策、流程、作業標準來執行工作,並且在稽核的過程中,以相關記錄的抽查並配合口頭的詢問,來確認工作人員是否達到「說、寫、做」一致。

以防火牆稽核而言,可以檢視其防火牆政策設置是否適當、政策的變更是否經過授權、如何進行政策變更、變更之後是否留下記錄等等;另外,也可詢問防火牆管理人員,是否定期審查設備所產生的Log檔,以及發生異常事件時,要如何進行處理與通報。至於稽核的執行,可由內部的稽核人員,或是委由外部的資安專家來進行,建議每季或每半年執行一次,並且召開管理審查會議,以檢討是否有缺失,以及如何進行維護與改進。

風險處理的方法

至於風險處理的過程,基本上可分為避免風險、降低風險、轉移風險和接受風險四個方向來進行,以下為各項方法的簡要說明。

避免風險
在資訊安全的範圍裡,想要完全避免所有風險是很困難的。以境管局提供的服務為例,它必須要透過資訊系統和網路連線來進行,因此,資訊系統本身即有其作業上的風險,像是硬體設備損壞、人員操作失誤、軟體臭蟲等等,而網路連線亦存在包括網路連線中斷、駭客入侵攻擊等風險,所以若想要完全避免風險,除非捨棄資訊系統與網路的使用,但如此一來,恐怕就只能以人工來處理,但可別忘了,人工處理除了沒有效率之外,同樣也有其作業風險。

降低風險
正因為風險很難完全加以避免,所以管理人員通常可運用的就是降低風險的作法,也就是選擇適當的資安控制措施。例如企業擔心病毒入侵,所以會在電腦中安裝防毒軟體,這是一種降低病毒爆發風險的控制措施;境管局擔心系統會因硬體損壞而失效,所以建置了備援系統,希望在系統失效時,能接替原系統來執行工作,這也是一種降低風險的控制措施。只是這些控制措施是否合宜,能否有效降低所面臨的風險,必須參考剛才已提過的風險處理原則。

轉移風險
有一些風險,像是地震、火災和水災,它發生的機會可能不多,但是一旦發生時卻會造成嚴重的傷害,雖然平常也可採取降低風險的作法,但是往往花費很高,效果也不顯著,這時候,建議最好的處理方法就是轉移風險。舉例來說,企業若將最重要的營運資訊,放置在公司內部的機房,雖然機房已針對地震、火災和水災,作了適當的規劃防護,但是依然難防大樓遭到火災的侵襲,因此,若能再加保火險,即可補償災害發生時造成的損失。另外,若資料可委外備份到專業的資料中心,藉由資料中心提供更完善的防護,來確保資訊存放的安全,這也是轉移風險的另一種應對之道。

接受風險
如果有些風險所造成的損失不大,對企業營運的影響也很低,那麼與其花費金錢購置資安設備來加以防護,不如選擇接受風險,其實也是可以採行的辦法。當然,每個企業對於風險的接受度不同,這就有賴於先前是否做好風險的分析與評估,在事先計算出各項資產的風險值,即可依據各項風險等級來判斷是否為可接受的風險。在此還要提醒大家,接受風險不代表就不必去管它了,可別忽略了風險的高低,有可能隨著外在環境或人為因素而變動,因此仍要定期的審查,尤其是針對資產價值較高,造成企業衝擊較大的項目。

總結

以上針對資安風險管理,僅以簡單淺顯的例子來予以介紹,希望透過識別資產、風險分析、風險評估與風險處理的過程,以達到管理風險的目的。事實上,風險管理在各個產業都有很多不同的應用,若是針對資訊安全與IT系統,建議你可以進一步參考由美國國家標準和技術研究院(NIST)所發布的「SP800-30 Risk Management Guide for Information Technology Systems」,或是最新發布的「ISO/IEC 27005:2008資訊安全風險管理」國際標準,對於風險管理在IT的應用都有很深的著墨,建議你不妨有空仔細研讀。

最後,個人還想藉此強調一個觀念,就是資訊安全絕不只是架構防火牆、安裝防毒軟體,或是以技術對抗駭客入侵而已,其實它更像是一個全面的管理過程,在這個過程之中,將會牽涉到企業流程、組織管理、作業程序等等,所以資訊安全不會只是一個人或一群人的工作,而是企業由上到下都必須有共同的認知來確切執行,這樣才能確保企業不會因發生資訊安全事件,而導致營運中斷或聲譽受損,才有實現企業永續經營的一天。(本文刊載於2009年3月號網管人雜誌)