2011年6月3日 星期五

[觀點] 解析資訊安全控制措施(三) - 實體與環境安全

之前我們談到了在ISO 27001標準中11個控制領域,關於資產管理和人力資源安全的要求,本文將說明實體與環境安全的控制措施,以協助您掌握其重點並進行適當的控管,以降低組織所面臨的資訊安全風險。

資安業界有一句老話,「安全強度決定於最脆弱的一環」,許多組織對於資訊安全,往往重視的是網路和應用系統的安全和穩定,卻很容易忽略了實體環境的安全控制,而讓惡意人士長驅直入,藉由偷竊取得重要的機密資訊,或破壞資訊設備,使得組織花下重金的網路與系統安全防護百密一疏,造成營運上的衝擊與損失。

回顧以往發生的事件,在2008年時,宜蘭市在同一棟辦公大樓裡的三家保險公司,受到竊賊的侵入,除了造成一般財物損失之外,一共被偷走了二十幾台電腦,裡面存放著估計有上萬筆的保戶個人資料,恐怕已經外洩。2010年在彰化,同樣也是保險公司,一夜之間有四家公司被偷走了9台筆記型電腦,電腦硬碟裡所儲存的保戶個人資料一併不翼而飛,警方更懷疑可能有不法集團鎖定保險公司來下手,目的就是要竊取保險公司的客戶資料。

事實上,不只保險公司,在國內外包括醫院、學校、軍方都曾發生過遺失電腦或隨身碟等設備,造成大量資訊外洩的案例真的是不勝枚舉。對組織而言,隨著個人資料保護法已正式通過,未來在個人資料保護上也務必要更加小心,若是缺少適當的實體安全控管措施而導致個人資料外洩,將會面臨高額的賠償,甚至人員會受到刑責的懲罰。

識別敏感的安全區域

ISO 27001附錄A.9談到的是「實體與環境安全」,又區分為A.9.1安全區域和A.9.2設備安全二大類,在A.9.1中,其目標是要防止針對組織的實體環境和資訊,受到未經授權的存取、傷害與干擾,尤其是關鍵或敏感的資訊處理設備,應該存放在安全區域,識別其可能的安全風險之後,藉由定義安全的邊界、適當的阻隔和進出的控管實施安全的防護,確保不會受到未經授權的存取與損害。

A.9.1安全區域共有六項控制措施,分別說明如下:
  • A.9.1.1 實體安全邊界 – 實體安全邊界是指藉由圍牆、進出大門需要刷卡、或是大門設置接待人員,來保護區域內資訊與資訊處理設備的安全。因此,控管的重點在於,如何讓人可清楚分辨安全的區域與公共區域?所以在區分時,應依照所評估的風險等級來決定所實施的控制措施,例如內部使用的會議室與提供給訪客的休息區,控管的程度一定會不同,不一定都要採用刷卡方式才能進入。在辦公區域的大門,一般都會設有門鎖,或經過保全人員的身分確認才可通行,而公共進出的通道會有明顯的標示說明,在無人的區域則設置防盜系統或監視器等,這些都是可以採行的作法。
  • A.9.1.2 實體進入控制 – 指組織的安全區域中,所有的入口都應有適當的控制措施,確保只有經過授權的人員才可允許進入。一般而言,訪客要進入辦公處所,應該在接待櫃台進行登記,記錄進入和離開的日期和時間,並要求配戴訪客識別證,若是在同一棟大樓裡活動,樓層入口也應有適當的管制,像是刷卡才可進入。若是要進入機房,則需要事先獲得授權並有人員陪同,並告知相關的安全要求和注意事項。
  • A.9.1.3 保護辦公室、房間和設施安全 – 由於辦公處所屬於內部人員的活動區域,因此應符合相關的安全法規與衛生標準,對於重要的資訊處理設備,應避免放在公眾可觸及的地方,像是無線網路基地台等。另外,高階主管辦公室或敏感的資訊機房,也不應該過度標示,避免會引人注意。
  • A.9.1.4 保護來自外部與環境的威脅 – 這項控制措施的重點在於,利用適當的實體防護,以避免外在的環境威脅,如火災、地震、水災等,所以在辦公處所,要避免堆放易燃的物品,消防系統如滅火器等,應放置在容易取得的地點,並有清楚的標示。
  • A.9.1.5 在安全區域工作 – 對於組織所劃分出的安全區域,應制訂在安全區域內的工作規則,並對員工提供適當的說明,依職務所需了解其可以進行的相關活動,例如除非經過授權,才可在安全區域使用照相機、錄音錄影設備等,尤其敏感區域可視需要禁止攜入可拍照的手機等。
  • A.9.1.6 公眾存取、遞送和裝貨區域 – 辦公處所若需要收發或裝卸物品,需設置櫃台收發室來統一收件,不讓外部人員可未經控管而直接進入。相關物品卸載後若需移到使用的地點,也需要經過適當的檢查,例如機房外面可設置廠商設備的檢查區及裝卸區。
確保資訊設備的安全

A.9.2所要求的是設備安全,對組織而言,資產除了本身的購入成本外,最重要的是裡面含的資訊,其價值可能遠超過本身的財務價值,所以設備安全的目標就是要防範資產的遺失、受損、竊盜及危害,以避免造成組織營運活動的中斷,它一共有七項控制措施,說明如下:
  • A.9.2.1 設備的設置與保護 – 資訊相關設備,應適當地進行安置、保護、監控,以降低環境威脅所造成的損害,或是受到未經授權的存取。像是電子產品需要受到良好的環境溫溼度監控,避免在附近飲食等。在實務方面,操作資訊系統時,應有適當的遮蔽,避免敏感資訊的外洩,像是機房就最好不要採用完全透明的玻璃作為隔間來使用。
  • A.9.2.2 支援的公用事物 – 資訊設備依靠的就是電力,所以支援的水電、空調等也需要防護。通常我們在機房都會購置不斷電系統,但要注意的是,若面臨長時間的電力中斷,不斷電系統的應確保足以循序地將重要主機進行關機程序,若要確保能夠持續運作,則要考量是否有另外獨立的備援電力供應站,或是使用燃油發電機來運作。除了電力之外,電信與網路系統也要有備援,以確保在中斷期間的通訊能夠正常運作。
  • A.9.2.3 佈線的安全 – 指傳送資料與電力的纜線應有適當的標示、固定及保護,尤其要避免經過公共區域,設於地下或其他已受到適當防護的管道。另外,電力與網路線也應作適當的阻隔,以避免相互干擾,造成資料傳輸的問題。
  • A.9.2.4 設備維護 – 相關的資訊處理設備應定期自行維護或尋求廠商維護,尤其像是滅火氣體和不斷電系統的電池等,相關的維護都應確保留下適當的記錄,定期的進行追蹤查核,實施維護的外部人員,應事先經過申請核准,在作業時也應有適當的人員陪同進行。
  • A.9.2.5 場所外設備安全 – 組織的資訊設備,若需要攜出辦公場所外使用時,應注意其在不同場所可以面臨的威脅與安全風險。例如筆記型電腦在外部使用時,應注意可能遭竊的問題,避免留置在遠離視線可及之處,在技術方面也可使用硬碟加密,以強化敏感資訊的安全。另外,目前普遍使用的智慧型手機、USB隨身碟等,也應訂有相關的使用辦法,並要求員工務必能夠理解並遵守,以避免資料不當的外洩或遺失。
  • A.9.2.6 設備安全的處置和再利用 – 許多的資訊處理設備,在轉移給其他單位或重新交由其他員工使用時,有版權的應用軟體需要重新整理移除,儲存的資料也要清除。 若是需要汰換的設備,對於硬碟等儲存設備,若是曾經存放過敏感資料的話,建議皆採取實體破壞的方式,以避免資料再次被還原。在實務方面,許多硬體設備最容易被忽略的是韌體中,可能也存有敏感的資訊,切記也要一併的進行清除,避免落入惡意人士的手中。
  • A.9.2.7 資產的調動 – 在資產的使用與調度方面,所有的資訊設備、軟體,相關物品的攜出和攜入都需要事先授權,所以在實務上,組織需要界定什麼時候需要授權,如何進行授權,即使像是設備從機房的A櫃移至B櫃,或從機房暫時搬出,都需要把相關的作業規則訂立清楚,向員工說明相關的作業注意事項,並留下過程的作業記錄。
切莫忽視實體安全的重要性

對企業而言,網路安全當然是非常重要的一環,但它絕對不是資訊安全的全部,許多時候,資訊安全最容易忽略的往往是我們最放心的地方,像是辦公環境和機房等。舉例來說,員工認為辦公處所都是內部人員,所以離開座位時,不會將敏感資料收到抽屜或檔案櫃中,卻忘記了送飲料來的小弟,有可能隨手就把文件或是桌上的隨身碟帶走。

所以,一旦有惡意的人士能夠輕易進行企業環境之中,除了偷竊筆記型電腦之外,要破壞主機、網路、儲存設備等,也是輕而易舉,所造成的損失可能也遠遠超過駭客從網路入侵系統所造成的危害,因此,企業若沒有針對天災和人禍,進行適當的安全防護,在遭遇資安事故時,業務營運將受到重大影響,請管理者務必要有所認知才行。(本文刊載於2011年2月號網管人雜誌)

沒有留言: