隨著網路應用的蓬勃發展,電子商務已經是一種普遍的業務營運型態,尤其是線上購物更是百家爭鳴的市場,根據資策會的調查顯示,台灣在電子商務的B2C市場規模,在2009年即突破新台幣2000億元,預估至2015年台灣電子商務整體的市場規模將超過1兆元。
由於市場前景如此的樂觀,也讓主管機關相當地憂心,因為隨著資安問題所導致的個人資料外洩,使得網路詐騙的事件更加風行,所以經濟部也主動進行電子商務交易安全的相關計劃,希望藉由導入網路平台的安全機制、身分驗證、資料加密、安全付款和個資保護等控制措施,來強化電子商務活動的整體安全機制。
在ISO 27001附錄A.10「通訊與作業管理」的要求中,A.10.9「電子商務服務」的目標,就是要確保電子商務服務的安全性和使用方面的安全。A.10.10「監控」則是希望針對未經授權的資訊處理活動,能夠實施有效的偵測機制,以降低可能的資訊安全風險。
電子商務服務的安全與要求
許多導入ISO 27001資安管理標準的組織,因為本身並未提供網路交易(例如醫院和政府單位),所以會將電子商務和線上交易的控制措施排除,但要提醒的是,雖然沒有交易的行為,但組織往往會在網路上提供與使用者互動或資料查詢的功能,因此也別忘了需要加強身分驗證與傳輸資料防護的機制。至於組織若是提供了電子商務服務,就必須要確保其交易過程的安全,並且實施適當的安全機制。在A.10.9條款中包括了三項控制措施,依序說明如下:
A.10.9.1 電子商務
這項控制措施的目的是要保護所有透過公眾網路,進行電子商務活動的相關資訊,都能受到適切的保護,以避免造成資料外洩、詐欺、交易契約爭議等事件的發生,在實務方面需要考量的重點有:
- 身分驗證機制 – 電子商務在進行交易時要如何適當鑑別使用者的身分與網站的真實性?在使用者方面,目前最常見的作法為採取會員機制,透過認證信或手機簡訊等方式來確認有效的申請,之後再憑會員帳號密碼來登入網站進行交易,有些網站甚至還提供Token,要求使用一次性密碼,以確保密碼不會受到盜用。至於網站本身則是可採取憑證方式,讓使用者能夠辨識其為合法的網站,或是導入網站身分識別標章讓消費者得以識別。
- 交易資料安全 – 組織必須確保在交易過程中,所產生的所有資料的機密性和完整性,包括訂單資訊、付款資訊、寄送地址等,對於客戶資料的存取方面也要有完整的授權流程,以避免資料受到不當的存取與利用。
- 付款資訊查證 – 若消費者可採取線上付款,組織應有適當的機制來進行確認,以避免詐欺行為的發生。目前在金流方面可結合第三方像是銀行或信用卡公司的支援,選擇最適合的方式來進行付款結算,並避免付款資訊的遺失和重複。
這項控制措施是要確保交易雙方的通訊管道是安全的,防止因為不當的傳輸路徑、資訊受到未經授權的竄改、資訊受到不當的揭露和複製等情況發生。所以在線上交易方面,在連線過程中可採用SSL加密機制或其他的加密通訊管道,使用安全的通訊協定,以避免交易資訊會受到來自其他公眾網路的存取。
A.10.9.3 公眾可用的資訊
許多組織都擁有對外公開並且可傳遞訊息的網站,這些公用資訊(例如公司財務報告)雖然沒有機密性的問題,但是卻有完整性需要維持,以避免受到未經授權的修改,而影響組織營運和市場機制的運作。因此,組織提供給公眾可用的公開資訊,需要有適當的授權流程,資訊本身也要有適當防護以避免受到不當的竄改,同時也要符合當地法令法規的要求,像是和個人有關的敏感資訊,就不適合在公開的網站上公布。
資訊系統的監控與記錄
在A.10.10「監控」的控制項目中,目標是要確保組織中若是有未經授權的資訊處理行為,可以被有效的識別並記錄下來,尤其是可能造成資訊系統問題的資安事故,透過監控的過程,能夠掌握其所造成的衝擊和影響,以便快速進行因應。在這個項目中共有六項控制措施,分別說明如下:
A.10.10.1 稽核存錄
在組織之中,無論是資訊系統、資安設備、資料庫或應用程式等,每天都可能會產生大量的系統日誌(log),這項控制措施的目的就是要保留使用者的活動記錄、異常事件的告警等,以便可以用來找出事件可能的發生原因,甚至還原事件發生的過程。所以相關的日誌記錄必須要保存適當的一段時間,至於應該保留的事項,建議包括:
- 事件發生的日期、時間。
- 所使用的帳號和使用行為如登入和登出等。
- 系統存取成功或失敗的記錄。
- 系統組態的變更項目和範圍。
- 系統工具程式的使用情況。
- 所存取的檔案類型和方式。
- 網路IP和使用的通訊協定。
- 系統異常事件的告警等。
組織若想要掌控資訊系統的運作,就必須要建立有效的監控程序,所以這項控制措施的目的就是要讓組織決定各項系統所要求的監控等級、明白需要監控哪些行為、是否定期進行系統日誌的審查等。監控的過程中,應確保相關活動符合法律的要求,同時注意不會侵犯到個人的隱私,建議實施監控的項目包括了系統的存取行為、系統管理維護的特權作業,以及系統所發出的告警等。
監控的實施也應考量到可用的資源,以避免影響系統的正常存取,並且是依照組織風險評鑑的結果,才來決定所實施監控的等級。實務方面最容易發生的是監控都落在和系統效能有關的項目,卻忽略了可能面臨的威脅,例如系統管理者的不當存取或錯誤操作,反而是受到遺漏的地方。
A.10.10.3 日誌資訊的保護
組織所保存的日誌資訊,未來可作為非法行為的調查,以及還原事件的全貌之用,因此,為了要確保相關記錄的完整性,就必須要防止它不會受到未經授權的存取和竄改。實務的上作法是可以將日誌傳送到另一台受到不同權限等級控管的儲存設備,並且進行加密或產生Hash碼,可在日後進行資訊完整性的比對,或是燒錄成光碟,存放在受到安全控管之處。
由於日誌可能會因為組織資訊系統過於龐大和複雜,導致有大量的資訊需要保存,同時在調閱審查方面也會產生困難,所以也可以選擇適當的工具或設備,來協助進行log的儲存、歸檔和關聯性比對。此外,傳輸和儲存日誌的設備也需要受到良好的防護,以避免儲存媒體受到竊取或損壞,同時日誌傳輸也應採取加密的管道進行。
A.10.10.4 管理者與操作者日誌
在日誌管理方面,許多組織會很積極地去記錄使用者的日常使用行為,深怕使用者的不當行為將會損害到資訊系統的運作,卻忘了往往擁有更大權限的管理人員,其不當的操作可能造成更大的危害。本項控制措施的目的,就是要確保包括管理者與操作者的活動,都需要留下適當的記錄,尤其是涉及資訊系統的組態變更、重要資訊的刪除與修改、網路安全設備的操作設定等。
A.10.10.5 失誤存錄
在10.10.2中提到由系統主動發出的告警,必須要有適當的記錄,目的就是希望所發現的異常情況,都需要採取對應的處理措施。所以只要是和系統通報有關的錯誤,都需要進行審查,以預防可能的重大問題發生,換句話說,若資訊設備含有錯誤告警的功能,若評估其不會影響系統的運作,就需要將它啟動才行。
A.10.10.6 鐘訊同步
為了確保日誌記錄的有效性,正確的時間設定是非常重要的一環,唯有各項系統的時間維持一致,才能去作分析與追蹤。所以這項控制措施要求,在組織中所有和資訊處理活動有關的資訊系統時間,都應該要維持一致,實務上可採行的最簡單方法,就是使用NTP的通訊協定和國際標準時間或當地的標準時間伺服器進行同步對時,確保有共同的準確時間來源。
總結
A.10「通訊與作業管理」是ISO 27001標準中擁有最多控制措施的項目,也就表示在資訊安全管理工作中,這是我們絕對無法忽視的地方,其重點包括了組織是否制訂了相關的作業流程與操作程序、第三方服務的管理、如何進行系統的規劃驗收、防範可能的惡意威脅、網路設施保護與服務安全、資訊的備份與交換,以及本文所提到的電子商務、系統監控和記錄留存,這些都是需要我們一一去檢視與管控的地方,希望連續三篇文章的簡要說明,可協助您了解組織有關通訊與作業的安全管理。(本文刊載於2011年5月號網管人雜誌)
<參考資料>
1. ISO/IEC 27001:2005
2. ISO/IEC 27002:2005
沒有留言:
張貼留言