上一期談到了ISO 27001中有關存取控制的營運要求,組織需要建立存取控制的政策和使用者的存取管理,包括像是註冊要求、密碼管理和確保無人看管設備的安全責任等,接下來將說明和網路、作業系統、應用系統的存取控制要求。
在A.11「存取控制」的要求中,第四個控制項目為A.11.4「網路存取控制」,其目標是要確保組織所提供或使用的網路服務,避免受到任何未經授權的存取,因此需要採取一些控管作法,來確保網路本身和使用者在利用時,不會發生安全上的問題,危害到組織的整體營運。
網路存取控制的要求
在這個控制項目中,共有七項要求的控制措施,包括了需要制訂適當的網路服務政策、對使用者和相關設備能予以適當的鑑別,以及針對作業系統、應用系統和行動運算的存取,也能實施必要的安全管控,各項控制措施的重點和實務作法,說明如下:
A.11.4.1 網路服務的使用政策
這項控制措施是要求組織制訂一項有關網路服務和使用的政策,讓使用者只能使用已取得授權才可存取的服務,因此在這項政策中需要說明有哪些網路服務是允許使用者來存取的?申請使用和授權的程序為何?可允許使用和存取的方式?以及所採取保護網路連線和服務的安全管理機制。
舉例來說,某企業提供員工使用內部電子郵件的服務,所以在電子郵件的使用政策中,即說明了使用者可以透過其員工編號進行申請(線上或表單方式),經主管核准之後即可使用Outlook等郵件應用程式來存取。若使用者需要透過外部網路來使用郵件服務的話,需要透過虛擬私有網路(VPN),經過身分驗證之後,才可連結內部網路並存取郵件服務。
A.11.4.2 外部連線的使用者鑑別
這項控制措施是要求當使用者需要從外部網路連回使用相關服務時,需要採用適當的鑑別方法,確認使用者的身分以便進行存取控管。在實務方面,最常見的作法是採用VPN方式,以使用者帳號、密碼進行身分驗證之後,建立安全加密的通道,才允許其使用網路服務。
組織若允許使用者透過外部連線來存取內部的服務,也等於是對外開啟了一條通道,為了降低來自外部入侵的風險,同時強化網路連線的安全性,有些組織會配合使用Token、憑證或一次性密碼(OTP),來進行身分識別,同時採取加密方式,確保連線過程不會受到外部的干擾和竊聽。
A.11.4.3 網路設備鑑別
組織若想要限制來自特定地點或設備的網路連線,最好的方式是採取自動設備的識別方法,以鑑別連線的設備是合法且經過授權的裝置。實務上最容易採取的方式,是識別網路設備的MAC address和網路IP,尤其是目前普遍使用的無線網路,相關行動設備皆建議採取此種方式來進行識別,若再配合使用者的身分鑑別,則可以大幅提高其安全性,避免受到惡意人士採用偽冒身分的攻擊。
A.11.4.4 遠端診斷與組態埠保護
現今組織的資訊設備或系統,大都需要支援廠商定期的協助與維護,因此許多網路設備和電腦主機,也都設定組態埠並提供遠端診斷服務,如果其開放的組態埠沒有實施任何安全防護,就容易受到外來的入侵和未授權的存取,所以這項控制措施就是要求針對提供遠端診斷和組態埠,實施適當的安全防護,在實體上面,可以採取上鎖和移除的方式來進行,若是邏輯上的話,則是透過作業程序,要求需要事先申請並確認身分之後,才可開放使用,在診斷完成之後,也可適時關閉相關的組態埠和服務。
A.11.4.5 網路區隔
在組織之中,隨著規模的擴大以及資訊服務的增加,網路環境也顯得愈來愈複雜,若沒有實施良好的管理,資訊的傳遞、儲存、使用可能會危及本身的機密性、完整性和可用性。因此,這項控制措施是要求將資訊服務、使用者群組所使用的網路,進行適當的區隔,以避免敏感性資訊受到不當的存取。
在實務方面,最常見的作法是採取虛擬網段(VLAN)的方式進行,透過網路交換器、路由器、防火牆等設備,依照不同網域的安全要求來加以分割,以確保網路流量的區隔和安全邊界的劃分。要注意的是,區隔應依照資訊的價值、機密等級和群組重要性來進行,以避免某一區域網路中斷時,對營運造成不必要的衝擊。
A.11.4.6 網路連線控制
對許多組織而言,若使用者無法上網的話,可能當天的業務營運就會受到影響;但有另一種觀點認為,若開放使用者任意上網的話,也會造成工作力的大幅降低。因此若撇開資安的問題不談,組織對於網路連線這件事,本來就該給予關注和管理,在本項控制措施中,提到針對跨越組織邊界和共享的網路,需要依照所制定的存取控制政策和營運要求,適當地限制使用者上網的能力。
在實務方面,可以採取閘道端(Gateway)的網路設備,來過濾使用者的網路流量,藉此來限制其可使用的網路服務,例如即時通訊、檔案傳輸(FTP)、遠端登入(Telnet),以及近年來流行的P2P檔案分享等,以避免不必要的資安問題發生。
A.11.4.7 網路路由控制
網際網路的優勢在於其無遠弗屆的資訊傳遞,以及快速方便的連線傳輸,對一般使用者而言,在遠端的這朵雲中,資訊的傳輸路徑是開放且難以選擇的,也會有許多安全風險隱身其中。但對企業來說,為了確保資訊傳輸的安全,需要採取一些技術來進行強化,這項控制措施即是要求針對網路連線,需要實施適當的路徑選擇控制。在實務方面,可以透過NAT機制來限制電腦的連線與資訊流,也可採用代理伺服器(Proxy)來確認連線來源與目的的位址,藉此避免違反組織既定的安全存取政策。
作業系統的存取控制
針對作業系統安全控管方面,在A.11.5「作業系統存取控制」的控制項目中,目標是要防止作業系統受到未經授權的存取,在這個項目中共有六項控制措施,分別說明如下:
A.11.5.1 安全的登入程序
針對作業系統的使用,需要避免不必要的非法存取機會,因此這項控制措施是要求在登入的過程之中,只揭露和系統有關的最少資訊。實務方面,在登入畫面中,僅提示必要的登入訊息,不提供額外的像是預設帳號或密碼的提示。若登入錯誤,也不明確指出是哪一部分的資料錯誤,同時限制系統登入錯誤的次數,若超過的話,將予以延遲或鎖定登入帳號,並保留各項登入的記錄。
A.11.5.2 使用者識別與鑑別
在A.11.2.1中要求使用者需要正式註冊,並賦予其唯一的帳號識別碼(ID),本項控制措施即是要求使用者只能使用其個人帳號,並採取鑑別技術以識別其符合所宣稱的身分,實務方面,也可透過使用者的識別碼來記錄或追蹤其相關的使用行為。
A.11.5.3 密碼管理系統
使用者若選擇了不夠強固的密碼,就容易受到外來的破解和冒用,這項控制措施是要求需透過系統來管理密碼,以符合嚴謹度的要求。舉例來說,在系統上可要求使用者必須使用一定長度(6碼)以上、英文大小寫與數字混合的密碼;在首次登入時,要求需要更改其臨時性或預設的密碼;在密碼使用一定時間(三個月)之後,要求使用者重新設定其密碼等。
A.11.5.4 系統公用程式的使用
作業系統除了可安裝應用軟體之外,本身也提供了許多公用程式如系統管理工具等,由於這些工具往往可更改系統的組態,產生資訊安全上的風險,所以這項控制措施要求嚴格限制能夠跨越系統和既有應用等公用程式的使用。實務上最好的作法是在一般使用者的電腦上移除這些工具,系統管理人員也需要經過授權才可使用公用程式,並且保留變更記錄。
A.11.5.5 會談期逾時
為了避免資訊系統受到不必要的冒用,以及來自網路阻斷服務的攻擊,這項控制措施要求在超過閒置的時間之後,關閉不動作的會談期(session),建議的作法為在系統閒置一段時間之後,即自動清除螢幕內容,或是自動關閉應用程式或網路連線,尤其是來自外部的連線與服務要求。
A.11.5.6 連線時間的限制
對於高風險或是敏感性的系統,這項控制措施要求需要限制其可供連線的時間,以加強其安全性,例如有些組織會限制重要系統僅在上班時間開放服務。
應用系統存取與行動控管
在A.11.6「應用系統與資訊存取控制」的控制項目中,目標是要防止存在於應用系統中的資訊受到不當存取。在這個項目中共有二項控制措施,A.11.6.1「資訊存取限制」是要求需要依照所制定的存取控制政策,只有符合擁有存取權限的人員才可存取系統。A.11.6.2「敏感性系統隔離」則是要求敏感性的系統要有專屬的作業環境,以避免其他未經授權的人員可以操作使用。
在A.11.7「行動運算與遠距工作」的控制項目中,目標是要確保在組織以外,相對保護較弱的工作環境,其資安風險能夠受到適當的控管。在這個項目中共有二項控制措施,A.11.7.1「行動運算與通訊」是要求針對行動運算的設施要採取適當的安全控管,例如筆記型電腦等行動裝置採取加密機制,並避免留置在無人看管的地點。A.11.7.2「遠距工作」則是要求針對遠距工作,需要制訂相關政策、工作計劃和程序,例如需要考量遠地工作的實體安全、所使用網路的安全要求、是否安裝防毒軟體和防火牆等。
存取控制可降低資安風險
之前提到在規劃資訊安全管理的策略時,建議可依照「PPT」的思考架構來進行,對於網路、作業系統、應用系統的存取控制要求方面,同樣也是要涵蓋人員(People)、流程(Process)、技術(Technology)。對許多資訊人員而言,網路管理、作業系統及應用系統的維護,已是日常不可或缺的工作之一,而「存取控制」更是各項系統所必要的安全控制措施,希望透過連續二篇文章的說明,可協助您制訂組織的良好存取控制政策,並了解適當可行的存取控制方法。(本文刊載於2011年7月號網管人雜誌)
[參考資料]
1. ISO/IEC 27001:2005
2. ISO/IEC 27002:2005
2011年10月20日 星期四
訂閱:
張貼留言 (Atom)
5 則留言:
hi, 拜讀您一系列ISO 27001的法規介紹, 深入淺出的文字說明著實讓小弟獲益不少, 果然理論尚須佐以實務經驗, 不知道針對附錄A.10.3-A.10.8的控制要項, 您是否有意願補完呢? thx
Hello~您好~
呵~感謝您的回覆,我還以為沒有人在看,所以不會被發現少了一篇,如果這些文章對您有幫助的話,我很樂意分享給您~
您謙虛了!對自行準備證照的我們來說,文章中的 "目標要求" 與 "實務作法" 甚為重要,前者釐清相似性條文實則不同的ISMS要求內容,後者極具參考價值。如果可能,在您時間允許下,是否考慮將附錄A.12-A.15撰文分享呢,謝謝^^
抱歉,想請教您,既然ISO 27001中的附錄A中的管制目標與控管項目被視為條文4.2.1(g)的一部分,實務上在執行主導稽核時,何種情況需具體寫出附錄A? 可用4.2.1(g)一言以蔽之嗎? 又是否針對稽核表的 缺失等級 或 建議事項 有所不同呢? 謝謝您的答覆。
Hello~關於您提到的問題,回覆如下:
1. 後續的內容我會陸續分享,您也可以直接參閱網管人雜誌的內容,這個月剛好就把A.15給講完了。
2. 在稽核時,本文4~8章和附錄A的133項控制措施都是必要的審查項目,不過,附錄A的某些項目是可以排除的,但必須將原因寫在適用性聲明中。舉個例子,像A.10.9.2是線上交易的控制要求,如果貴公司並沒有提供線上交易服務的話,那麼就可以在適用性聲明中以未提供線上交易服務,作為不實施這項控制措施的理由囉~
張貼留言