2010年3月25日 星期四

[觀點] 雲端運算安全與風險

談到雲端運算,它究竟是一種「技術」或「概念」,到底是「產品」還是「服務」,在搜尋引擎上只要打入關鍵字,就可以看到許多不同的見解與想法。在此我們僅從資訊安全的角度,來探討雲端運算可能帶來的資安問題或風險,提供給資訊管理人員作為參考。

雲端運算(cloud computing)從2008年開始就是一個熱門的話題,對於雲端運算的應用,無論是應用程式服務、資安服務或資料儲存等,各家都有不同的說法與見解,但從資安的觀點來看,仍有一些地方值得企業審慎注意,以免落入新資訊科技運用的迷思。

首先,讓我們回憶一下,在還沒有所謂的雲端運算之前,企業對於資訊的處理與運作的方式是什麼?一般普遍性的作法是,企業需要自行添購或開發商務運作所需要的軟體和硬體,並且建置專屬的資訊機房和網路環境,然後由內部的資訊人員來執行維運等相關工作。

對大多數的企業而言,隨著營運規模的擴展,為了要增加資訊服務的穩定與效率,在資訊科技的費用支出相對也會節節升高,尤其是面對如今愈來愈複雜的網路環境與技術,再加上好的資訊人才難尋,和營運相關的資訊問題解決能力也需要時間培養,種種問題都讓企業主傷透腦筋,而「雲端運算」的出現,彷彿就像是在烏雲之中露出了一道曙光。

雲端運算的資安服務

究竟什麼是雲端運算,Gartner定義它是一種嶄新且具延展性的運算方法,可以將計算、儲存等資訊科技的運用,透過網路以服務方式提供給外部客戶使用。而維基百科則說,「雲端運算是一種基於網際網路的運算新方式,透過網際網路上的服務為個人和企業使用者提供所需即取的運算。」

目前,雲端運算具備三大運算架構與服務模式,包括了基礎架構即服務(Infrastructure as a Service,IaaS)、平台即服務(Platform as a Service,PaaS)及軟體即服務(Software as a Service,SaaS)等,當然還有人提供許多不同的服務。

各種雲端服務雖然眾說紛紜,但有三樣東西卻是它的必要組成,分別是:網路、運算、服務。換句話說,透過網路連線,由遠端所提供的強大運算和服務,讓企業可藉此改變以往的資訊處理方式,除了可提高作業效率,進而節省成本支出之外,同時更獲得資訊科技的創新應用。

對於資安廠商而言,除了銷售傳統的資安軟硬體設備,若是還能藉由雲端運算的協助加持,提供更多的資安加值應用服務,那是再好也不過了。根據個人的觀察,目前資安廠商運用雲端運算來提供的資安服務,大致有下列幾種:
  • 病毒防護 – 讓防毒軟體的使用者,能夠即時回傳電腦上可疑的病毒相關資訊,就能在防毒業者的雲端上比對病毒特徵,不需要再等到防毒軟體更新病毒碼,就可有效防止病毒的感染。
  • 網址過濾 – 面對日益增加的惡意網站,可協助企業透過雲端進行網址黑名單的比對,透過即時更新的惡意網頁資料庫,可以提高攔截的效率。
  • 郵件過濾 – 配合傳統的垃圾郵件過濾機制,比對垃圾郵件如來源IP、信件標頭等資訊,同時也可結合防毒功能,即時掃瞄郵件的附件是否安全。
  • 身分識別 – 企業可透過雲端進行使用者身分認證,作到單一登入功能,讓使用者可在任何地點登入使用各項應用服務,解決使用者的授權問題。
至於業者宣稱雲端運算可為企業帶來的好處,則有以下幾點:
  1. 降低營運成本 – 企業不需要再花錢去購買軟體和硬體,也不需要資訊人員來開發或維運所需的應用服務,只需透過租賃或使用者付費方式,大幅節省不必要的成本支出。
  2. 提高工作效率 – 隨著網路無所不在的連結性,無論工作者身在何處都可享有相同便捷的應用服務,而且藉由雲端強大的運算能力,可有效解決工作端運算效能不足的問題。
  3. 擴充未來應用 – 雲端運算可讓企業快速部署及應用新科技,無論是應用服務的升級或擴展,在短時間之內就可完成,不必擔心資源耗費的問題。
雲端運算可能的資安風險

根據市場調查機構Gartner的研究顯示,未來以雲端運算方式所提供的安全應用服務,將會對市場造成相當大的衝擊,預估在2013年會比目前再成長三倍。而趨勢科技的調查則指出,雖然業界看好雲端運算在資安上的應用,但是也有61%的企業受訪者表示,除非可以確定應用雲端運算不會產生重大的資安風險,否則目前仍不會急於導入雲端運算的相關應用服務。

從資訊安全的觀點來看,企業在運用新的資訊技術時,對於其隱含的資安風險,當然要做審慎的評估,而個人認為在採用雲端運算服務方面,至少有三個層面需要考量。

首先是網路層面,因為一旦商業運作需要仰賴雲端來進行,那麼網路頻寬的消耗,是否真如業者所言來的那麼節省?會不會拖累了原有網路服務的正常使用?這些都需要實地測試才可得知。另外,網路連線的穩定性也會比以往要求來的更高,因此在網路管理方面,原有的網路設備是否需要擴充?如何進行網路效能的最佳化調校?網路備援的方式?這些可能都會變成隱藏的成本支出。而網路傳輸的安全性當然也要涵蓋其中,若是有敏感資料需要傳輸,那麼是否有相對安全的加密機制和身分認證機制等,都是使用雲端服務時必需的要求。

其次是資料層面,企業要放置什麼資料在雲端上,將會決定所需的安全強度,在採用雲端資料服務的初期,建議企業先以非敏感性的資料為主,藉此來測試評估服務的安全性,而非一開始即將最重要的商業資訊,透過雲端方式來進行運算或儲存,以避免當資訊外洩時可能造成的衝擊。

最後是法規層面,企業要注意雲端服務廠商本身的安全是否值得信賴,是否有可供辨識的安全保證,例如取得政府的許可或國際標準ISO 27001的認證,因為這代表了雲端服務廠商在資料保護、實體安全、應用程式安全、系統可用性、漏洞管理、法規遵循方面是否有一套完善的管理制度,對於資訊安全可提供一定的保障。另外,萬一不幸發生資安問題,在責任歸屬與賠償機制上,就有賴於事先的合約或服務等級協議(SLA),所以在一開始的服務簽定時,企業法務部門的參與協助也是十分重要。

評估企業整體的應用安全

事實上,雲端運算服務除了造福企業之外,對於惡意的駭客而言,也算是一大福音,因為這代表了許多企業更加依賴網路連線,會將重要的資訊透過網路傳輸,並且將商業資料儲存在企業環境之外,如果輕忽了可能的資安風險,就等於增加了駭客入侵的機會。

舉例來說,像是駭客可以利用雲端運算的強大能力來破解使用者帳號、密碼,竊取雲端所儲存的資訊;或是發動分散式阻斷網路攻擊(DDOS),癱瘓雲端網路的運作,也就間接導致重要營運服務的停擺。另外,雲端資安服務機制的有效性,是否一如業者宣稱的可有效攔阻惡意程式入侵,是否會有潛藏的安全漏洞反而受到利用等,這些也都是未來需要關注的地方。

所以,企業在評估導入雲端運算的服務時,建議一開始先從非關鍵性的應用服務開始,而除了尋找可靠的雲端服務供應商之外,也要考慮有沒有其他的替代選擇。否則一旦企業所倚賴的雲端服務受到攻擊而停擺之後,將會對企業造成重大衝擊,例如關鍵資料無法存取、客戶資料外洩、防毒系統失效、惡意程式入侵等等,這些都有賴於事前整體的考量,絕非像是購置單一硬體和軟體一樣,只要輕鬆以對即可完成。(本文刊載於2009年12月號網管人雜誌)

2010年3月17日 星期三

[專題] 資訊安全管理導入實務(五) - 管理階層之承諾與責任

有一些企業與組織,原本興致勃勃想要推動資訊安全管理制度,期望能夠在日常的運作中,避免產生高度的資訊安全風險,進而造成企業資產的損失。但是到了最後,卻往往功虧一簣,主要原因就是管理階層的參與度不足,無法在關鍵時刻發揮起領導決策的效用

在「解碼郭台銘語錄」一書中,鴻海集團董事長郭台銘有這麼一句名言:「沒有管理,只有責任;管理可以訓練,領導沒法訓練。」他認為管理階層一定要在「油鍋裡炸過」,要能夠自己做出決策,以親身經驗才能去領導別人,否則即使有多麼完善的制度或法令去規範也沒用,因為下面的人並不會依照方向和時間來往前走。郭董事長的觀點,一語道破了在資訊安全管理制度之中成敗興廢的關鍵因素,也就是管理階層的親身參與和支持。

企業與組織若想建立一個有效且持續運作的資安管理制度,從一開始的規劃討論與專案啟動,到建立制度並且實施之後的管理審查階段,這些都仰賴管理階層的領導與決策能力,如果管理階層只是像沾沾醫油一樣,那麼這個管理制度註定是會失敗的。

也正因為如此,在ISO 27001標準中的第五章,規範的就是管理階層責任與應有的作為,而第七章則是要求管理階層必須依照所規劃的時程,定期審查組織的ISMS是否如預期般的有效運作,並且要確保可持續地適用於組織現況,同時每一次的審查結果都必須要留下文件化的記錄,以做為日後進行改善之用。

管理階層的承諾

為了要確保管理制度的有效性,ISO 27001標準中要求管理階層必須提供對於ISMS的建立、實施與運作、監督與審查、維持與改進的各項承諾證據,因此,管理階層應有的作為至少包括了:
  • 為組織建立一份資訊安全政策,內容應說明為了達到資訊安全所採取之各項行動,必須依據何種準則或規範來進行。在政策中也需要說明如何去評估組織的資安風險,有哪些必須要遵守的法令法規和合約要求,以及管理階層的責任為何。
  • 制定組織的資訊安全目標,確認達到各項目標的計畫和實施方式,並建立和資訊安全有關的各種角色與責任。例如確保內部員工、外部承包商和第三方的使用者,皆能明瞭其安全責任並符合要求,以降低可能的資訊安全風險。
  • 對內對外傳達所建立的資訊安全政策、目標及法律所規範的組織責任,宣示維護資訊安全的決心,並要求不斷地持續改善可能的資安風險。
  • 提供建立與維持資訊安全管理制度持續運作所需的資源,包括人力、物力和財力等。
  • 在風險評鑑完成之後,決定組織所面臨的資安風險接受準則,要求對於具高風險之資產進行妥善處理,並決定最後可接受的剩餘風險等級。
  • 確保組織依照既定的規劃時程進行內部稽核,依據內部稽核的結果要求進行矯正預防措施,並且實施管理階層審查。
提供運作所需資源

企業或組織欲導入資訊安全管理制度,目前普遍的作法是尋求外部顧問的協助導入,在評估各項文件與實施運作均符合ISO 27001標準的要求之後,再進一步請第三方驗證公司進行稽核,以便取得國際認可的ISO 27001認證。因此,在導入之前,所需成本的預算編列將是第一要務,組織應考慮營運規模的大小、導入的範圍和預計完成的時間來予以評估,而這些也都需要管理階層的參與和核准。

此外,在ISMS的建立、實施與運作、監督與審查、維持與改進的過程中,管理階層的責任是要確保各項資訊安全的作業程序,能夠符合組織營運的要求。換句話說,如果因為資訊安全的考量,所實行的控制措施已妨礙到日常業務的進行,那麼管理階層就必須適時的作出反應,或進行作業程序上的調整。

當然,在導入的過程中,很可能會識別出組織以往未曾發覺的資安風險,這時候進行風險的控管是必要的,而所使用的方式可能是從管理制度面來著手,擬定相關的作業程序,或是透過技術面的管控,藉由購置資安設備來到抵禦資安威脅。這些控制措施的實施是否正確且適當,也需要管理階層定期加以關切,以督導相關人員進行維護與改進。

確保資安認知能力

根據個人的觀察,目前企業或組織中最缺乏的就是熟悉資訊安全的人才,一旦管理階層決定要導入資訊安全管理制度,即刻面臨到的問題就是該由誰來負責執行?雖然我們可以仰賴外部顧問的協助,但若內部人員缺少維護與運作的能力,當合約期滿之後,很可能就會讓整個制度趨於荒廢。

因此,在組成跨部門的資安小組之前,管理階層要決定的就是執行相關工作的人員,到底需要具備什麼樣的能力?最簡單的方法,就是將人員送去參加ISO 27001的各項訓練課程,或是直接聘僱已參與ISO 27001相關課程並通過考試的人員,協助ISMS工作的推動。

為了確保ISMS相關人員的技能,管理階層需要決定教育訓練的實施計畫,並針對不同的角色人員,提供不同的訓練課程。例如主管人員安排參與定期的主管人員資安訓練;一般人員需參與一般人員的資訊安全認知課程;技術人員則參加相關設備的操作訓練或是和駭客攻防有關的技術課程。

當然,這些措施是否有效,也需要管理階層的長期關注,藉由定期審查人員維持教育訓練的記錄,或是已取得之技術證照,可確保所有人員皆認知其負責資安工作的重要性,以及具備所需要之專業技能。

進行管理階層審查

ISO 27001標準中要求,管理階層必須定期審查組織運作中的ISMS,以確保其持續的適用性與有效性。在實務上的做法是至少一年一次定期性的召開管理階層審查會議,根據ISMS運作時所產出的文件記錄,由參與的主管來評鑑ISMS的改善機會和方向。在管理審查程序上,標準要求必須要有9項審查輸入和5項審查輸出,分別說明如下:

審查輸入包括─
(1) 來自於內部和外部稽核的結果記錄
(2) 利害相關團體像是股東、客戶、供應商的意見或所提出之問題
(3) 是否有可以改善資訊安全的產品、技術或作業程序
(4) 已實施的資訊安全控制措施的現況
(5) 各項資訊安全控制措施有效性量測的結果
(6) 先前風險評鑑中尚未處理或忽略的資安風險
(7) 是否有任何影響ISMS運作的因素,例如技術或業務項目變更
(8) 上一次管理階層審查決議需跟進改善的措施
(9) 來自各個階層的管理建議

審查輸出包括─
(1) 如何進行ISMS的有效性改進
(2) 如何更新風險評鑑與進行風險處理
(3) 如何針對影響ISMS運作的因素,進行必要的修正
(4) 適當回應所需的資源需求
(5) 如何改進控制措施的有效性及量測

持續改進管理制度

以上談的都是有關管理階層應有的作為與責任,也反映了管理制度並不只是由高層頒布一些準則規範,就強制要求下面來遵守執行,而是需要由上至下,不斷地溝通討論,實施之後再加以檢討改進。透過這一系列的文章,雖然無法完整敘述整個資訊安全管理制度的全貌,但至少點出了其中的核心價值,希望透過標準這麼好的一項工具,可以讓我們依循並掌握住資安管理的重點。

相信大家都聽過「預防勝於治療」這句話,對於現今事事講究效益與成本的企業而言,能夠預防可能發生的資安風險,絕對比資安問題發生之後,處理與矯正的措施更具成本效益。所以在標準本文的第八章,要求的是ISMS的持續改進與矯正預防措施,提醒我們不要以為進行了風險評鑑,就已經掌握各項可能的風險,而是要不斷地依據組織的運作狀況,注意是否有新的威脅出現,或是因業務變更而產生新的風險,然後及早地加以預防。

萬一真的不幸還是發生資安事件了,也請務必謹記「亡羊補牢」這句話,要積極找出事件發生的根本原因,然後盡快把洞填補起來,以避免問題的再度發生。最後,回應上一期文章提到該由誰來負責進行追蹤確認的改善行動呢?答案當然就是懂得資訊安全,日後必定會晉升管理階層的您。(本文刊載於2009年11月號網管人雜誌)

2010年3月16日 星期二

[專題] 資訊安全管理導入實務(四) - ISMS內部稽核規劃與實施

在了解ISMS的文件化要求之後,接下來要談的就是在管理制度中不可或缺的重要工作,也就是在ISO 27001本文第六章所要求的ISMS內部稽核,在整個稽核過程中,從擬定稽核計畫開始直到稽核結束,事實上,也同樣可以運用PDCA原則來進行。

在您的企業或組織中,好不容易獲得了高階主管的支持,組成了跨部門的資安小組,並依據ISO 27001標準的要求,擬定出資安政策與各項作業規範,建立了文件化的資訊安全管理制度,並要求同仁們配合遵照實施,耗費了這麼多人力物力,突然有一天老闆詢問我們的資安到底做得好不好時,您要如何去展現或證明資訊安全管理制度已被有效地運作與維持呢?

正所謂「口說無憑」,因此您勢必得要拿出些「證據」才行。在資訊安全管理制度中,如果想要判定組織內的資安控制目標、資安控制措施以及實施的過程,是否符合ISO 27001標準的要求,並且如預期般地持續運作與有效維持,那麼定期的執行ISMS內部稽核,並留下相關的稽核報告和記錄,將會是最好的證明方法。

擬定稽核計畫

如果您想要順利完成ISMS內部稽核,以展現出這些日子來資安管理的成效,其實可以秉持之前所提到的PDCA模式來進行。還記得先前提到PDCA是指「計畫—執行—檢核—行動」的過程,因此我們在一開始的稽核計劃階段,首先要確認的是稽核準則和稽核範圍,也就是先去了解我們的稽核依據是什麼,還有稽核範圍到底適不適合。

舉例來說,若是我們實施的是ISO 27001標準的資安稽核,那稽核的依據就是ISO 27001本文和附錄A5~A15控制措施,如果接受驗證的範圍是資訊部門和其負責的機房維運流程,那麼其他和此一維運流程無關的單位,既使發現了不符合標準要求的事項,也不應將它列為此次稽核發現的缺失。

在稽核計畫階段,負責的主導稽核員還需要準備稽核行程表和檢查清單,也要召開稽核前的工作會議,向稽核團隊說明查核的標準、當天的行程及稽核方法。稽核行程表說明了當天的實施流程,因此必須事先傳送給受稽單位並請其確認,而檢查清單則是供稽核小組確認稽核計劃是否有遺漏的地方,通常在檢查清單中的項目至少會包括:
 受稽單位連絡人的姓名、電話
 稽核當天所需的引導人員數量
 稽核當天可作為稽核小組使用的會議室
 受稽單位是否對於稽核人員有健康或特別要求
 稽核時是否需要穿著或配掛特殊裝備
 稽核時需要遵守的現場安全規定
 稽核人員需要簽署的保密切結書


至於內部稽核的實施頻率,一般而言一年執行兩次是適當的,組織也可依照本身業務形態的重要性,來決定是否需要增加稽核的次數,但要注意的是實施頻率若過於頻繁,可能會造成相關業務人員作業的負擔與困擾,因此這點也要審慎加以評估。

建立稽核團隊

實施稽核同樣需要耗費一些人力、物力資源,其中挑選出適當的稽核團隊是成功的必要條件。在挑選人員時我們應事先了解其具有的專業技能,例如應選擇具有網路規劃和防火牆專長的人員去稽查網路的存取安全控制,或是派出熟悉環境安控的人員去稽核實體安全的防護。換句話說,如果稽核人員本身不了解受稽單位的作業事項,很可能會無法察覺潛在的一些不符合標準要求的項目。

此外,有一種狀況是務必要避免的,那就是稽核人員不應當稽核和其本身有關的工作,像是負責網路防火牆管理的人員去負責稽查網路存取安全,那麼這種「球員兼裁判」的行為,將無法達到所設定的稽核目標,同時也使稽核工作失去意義。

所以,一旦建立了稽核團隊之後,在稽核計畫階段就需要收集受稽單位的相關資訊以了解其作業型態,因此和受稽單位保持密切的溝通,提早確認執行稽核的時間,並告知需要準備的事項,這也是稽核團隊應盡的責任,這樣才可以確保稽核過程能夠順暢進行。

執行實地稽核

至於稽核的方法,通常包括了「文件審查」與「實地訪談」,在文件審查階段,主要是了解組織的ISMS相關文件,是否符合ISO 27001標準的文件化要求,並確認管理制度的運作過程中有留下各項記錄,以證明ISMS被有效的實施與進行。

而實地訪談的目的,則是確認相關作業人員,已清楚了解組織的資訊安全政策與目標,並按照所要求的作業規範來執行。對稽核人員來說,稽核的過程就是要能夠去取得「客觀性證據」,也就是依據稽核準則,透過實地訪談觀察到相關的人、事、時、地、物,透過多方面的證據收集,以支持其稽核的發現。

因此,對稽核人員而言,稽核技巧的鍛鍊非常重要,除了本身需要具備客觀性,避免僅從單一事項主觀地去判定問題之外,稽核人員詢問問題的方式也會決定其所收集到證據的完整。以下是稽核人員可運用的實務技巧:
  1. 詢問開放性問題:所謂的開放性問題是指讓受稽人員可明確回答和人、事、時、地、物有關的資訊,例如詢問資訊人員對於使用者的通行碼的安全控制措施有哪些?使用者的存取權限要如何進行申請?多久會進行一次審查?也就是說,稽核人員在訪談時應避免詢問「Yes or No」的問題,像是詢問「是否針對使用者的通行碼進行控管?」「有沒有針對使用者存取權限進行審查?」若是皆採用以上封閉性的問法,所得到的答案往往無法進一步提供更多資訊,也會使稽核人員落入難以判定的情況。
  2. 自行決定抽查樣本:稽核人員在審查相關文件記錄時,要堅持獨立性原則,例如在審查機房人員進出記錄時,應自行決定要抽查的日期,而不是僅參考受稽人員所主動提供的記錄,更不應受到言語左右而忽略應審查的項目,務必要按照事前所擬定的稽核計畫確實的來執行。
  3. 多方收集客觀證據:稽核人員應避免排斥或否定受稽人員的答案,應該多方抽樣或觀察以收集更多的證據。一般而言,受稽單位所提供的相關記錄應至少要有3個月,稽核人員可從不同的時間點或是透過不同的受訪者,來獲得可供判斷的有效資訊。
  4. 發展出稽核軌跡:稽核人員在執行稽核的過程中,所獲得的各項證據都必須要留下記錄,也就是在稽核工作底稿中,需要記載所審查的文件名稱、版本,同時包括訪談對象的職稱、回答的內容等,以作為前後比對與確認證據的關聯性之用,此一記錄更可作為稽查不同項目時,發現潛在因果關係的參考。
  5. 良好的時間管理:稽核的時間是事先排定的,也就是在執行稽核的當天必須按照表定行程來進行,如果時間沒有妥善掌握好的話,將會影響到接下來的稽核項目,很可能就會遺漏應稽查的事項而損及稽核報告的有效性。萬一發生時間延誤的情況,應盡快向稽核團隊尋求支援,以避免引發負面的連鎖效應。
追蹤確認改善

一開始我們即提到,內部稽核可秉持之前所提到的PDCA模式來進行,顯而易見的我們知道在稽核計畫階段是P、實地執行稽核是D,那麼C和A呢?兩者當然也不能遺漏掉,在這裡的C是指在稽核結束之後,當天會連同受稽單位舉行稽核結束會議,在會議中主導稽核員必須報告當天的稽核發現,並說明是否有未達標準要求的不符合事項,同時請受稽單位進行確認,如果對於不符合事項有任何意見,受稽單位也可當場提出討論,會後的決議結果將會作成正式的稽核報告。

所以,稽核工作到此就順利完成了嗎?當然不是,如果在稽核過程中發現了不符合事項,依據ISO 27001標準的要求,還必須進行follow-up活動,也就是受稽單位必須採行改善措施,以使造成不符合事項的原因消失。內部稽核的A即是指最後還要進行追蹤確認的改善行動,這樣才可使組織的資訊安全管理制度更臻至完善。那麼到底該由誰來負起整個改善行動之責呢?且聽下回分解。(本文刊載於2009年10月號網管人雜誌)