2011年11月9日 星期三

[觀點] 解析資訊安全控制措施(五) - 通訊與作業的安全管理(中)

之前已針對ISO 27001中有關通訊與作業安全的控制措施,談到了監控資訊作業的相關活動和第三方的服務管理,本篇將繼續說明在此控制項目中的其他要求,以及在實務方面可以應用的管控作法。
註:上篇及下篇請參考之前發佈的內容。


過去,只要談到資訊安全防護,大多數人員直接聯想到的就是網路安全,認為需要在組織中部署防火牆和入侵偵測系統等產品,以防止來自網路的入侵和攻擊。雖然,這樣的認知是有點偏於狹隘的,但也突顯出網路安全其實就是組織在資安方面最為關注的地方,也願意將可運用的資源投入在網路安全上。

不過,網路安全除了導入技術面的資安產品之外,最重要的還是需要配合管理面的要求來進行,原因是技術性的作法,通常是為了要在問題發生時進行損害防阻,避免資訊資產受到損失,而管理面則是為了要防範問題於未然,事先透過作業流程的監控與設計,來降低其中潛藏的資安風險,因此,兩者在強化資安防護方面,肯定是相輔相成且缺一不可的。

在ISO 27001附錄A.10中,提到的是「通訊與作業管理」的要求, 之前已說明了A.10.1「作業程序與責任」和A.10.2「第三方服務交付管理」,接下來就繼續探討其他的控制項目。

系統的規劃與管理

在組織之中,有些資安事故的發生原因,是來自於許多系統的上線啟用,沒有事先作好良好的規劃與測試,導致影響系統的正常運作。因此,在A.10.3「系統規劃與驗收」的控制項目中,一共有兩項控制措施,要求系統需要預先作好規劃與準備,確保有足夠的容量與資源,可以讓系統正常的運作,目標是要盡可能使系統運作失常或錯誤的風險,降到最低的地步。依序說明如下:

A.10.3.1 容量管理
以硬體伺服器為例,幾乎都有提供管理介面可監看系統的運作情況,包括CPU、記憶體、網路流量、硬碟空間等。因此,管理人員需要預作規劃,評估未來可能成長的資料量,來添購所需的儲存媒體和設備,以避免因為容量不足的問題,導致系統服務的中斷。

A.10.3.2 系統驗收
組織在啟用新系統之前,需要明確界定其驗收準則,包括版本、啟動程序、復原措施、操作訓練等。在實務方面,每當有新的資訊系統要加入既有的環境時,管理人員需要先問問自己,對於安全的要求是什麼?有沒有可能會因為新系統的上線,而影響到原本的運作環境。舉例來說,像是建置了視訊會議和網路電話系統,會不會導致頻寬不足;加入了數位監視系統,存放大量影像檔案,有沒有可能會導致儲存空間不足,這些都需要事前進行完整的檢測和評估才行。

目前,對於資訊系統最常見的外來威脅,就是惡意碼和行動碼,所謂的惡意碼是指一些的惡意程式包括病毒、木馬、蠕蟲、間諜程式等,其主要的感染來源,來自於網路下載和行動裝置像是USB隨身碟的使用,所以我們需要一些適當的防護措施。

在A.10.4「防範惡意碼與行動碼」的控制項目中,包括了二項控制措施,目標是要確保軟體與資訊本身的完整性,避免受到惡意程式的感染,分別說明如下:

A.10.4.1 對抗惡意碼的控制措施
組織需要針對惡意碼實施偵測、預防和修復的控制措施,實務上最容易的作法,就是在系統上安裝防毒軟體,並定期更新病毒碼,以確保防毒軟體能夠有效運作。此外,在政策方面,可制定正式政策要求使用者不可任意自網路上下載未經授權的軟體並進行安裝,並實施教育訓練讓使用者有足夠的認知,可避免來自網路和電子郵件等惡意程式的入侵。

A.10.4.2 對抗行動碼的控制措施
除了惡意碼之外,行動碼也是另一項普遍的威脅,它是指可以跨不同平台設備使用的程式,像是ActiveX、Java、Flash等,實務上最常使用的管制方式是提高瀏覽器的安全等級,以避免使用者直接執行了有害的惡意程式。

隨著儲存設備的容量愈來愈大,有許多重要的資訊也會存放其中,一旦因為儲存設備的損毀,連帶也會使得上面的資料也消失無蹤,因此,事前的備份,將可確保資料的完整性與可用性。

在A.10.5「備份」的控制項目中,目標是要維持資訊和資訊處理設施的完整性和可用性,其控制措施包括:

A.10.5.1 資訊備份
通常,我們除了要備份一般的系統檔案和資料之外,許多的應用程式和軟體,也同樣需要進行備份,並且定期進行復原測試,以確保應用程式皆可正常執行。在實務方面,我們需要針對資料本身不同的屬性,定義出不同的備份方式,例如完整備份、增量備份、差異備份等,也需要考量備份的頻率,像是每年、每月、每週、每日等,確保資料有多重的防護。當然,若有足夠的資源,採取異地備份將使資料擁有更高的保障,但這時就要確認異地是否可實施同等級的資安控制措施。

網路服務的安全監控

許多組織除了應用網路在日常作業上,也提供了許多對外的網路服務,在資訊的傳遞方面,更需要去考慮相關的安全問題。在A.10.6「網路安全管理」的控制項目中,目標是要確保對於網路的應用與相關支援的基礎設備之保護,其控制措施說明如下:

A.10.6.1 網路控制措施
這裡的網路控制措施,是要確保所使用的系統和應用程式的安全,實務上使用的資安設備,包括了防火牆、入侵偵測系統、VPN等,以保護連線服務不會受到惡意的入侵和存取。

A.10.6.2 網路服務的安全
若組織使用了相關網路服務,就需要去識別它的安全等級、使用程序及管理要求,常見的服務像是email、FTP等,都需要識別其安全等級,以採取相對應的控管方法,包括申請使用程序、連線方式、身分識別及所採取的加密措施等。

只要是在上面可以記載、儲存資訊的物品,都可稱之為資訊媒體,包括了紙本的文件,電腦的硬體如磁碟、磁帶、光碟、隨身碟等,一旦這些媒體需要使用、傳遞、交換、汰除等,都需要適當的控管,以確保資訊不會受到未經授權的存取。

在A.10.7「媒體處置」的控制項目中,目標是要確保資訊媒體不會受到未經授權的揭露、竄改、移除及破壞,導致危害到組織業務活動的進行。它一共有四項控制措施,說明如下:

A.10.7.1 可移除式媒體的管理
若組織內部允許使用可移除式媒體,就需要訂立相關的管理辦法,例如如何申請使用、允許使用的設備類型、可使用的時間等。

A.10.7.2 媒體的報廢
當儲存過資料的媒體不再使用時,需要依照一定的安全程序進行報廢。例如紙本文件可以燒毀或碎毀,硬碟可使用消磁、低階格式化和實體破壞等方式,確保資料不會被復原。實務方面要提醒的是,報廢的過程都應保留文件記錄,以便進行追蹤確認。

A.10.7.3 資訊處置程序
在組織之中,只要有和營運活動相關或敏感性的資訊需要處理,就應該建立它的處理和儲存程序,以確保資訊不會受到不當的揭露和誤用。實務方面,應依照所定義的資訊等級和類別,實施對應的處理辦法。例如這些資料在傳輸時是否需要加密?郵遞時是否需指定專人來處理?

A.10.7.4 系統文件的安全
組織內部在和系統有關的說明文件上,可能會含有一些敏感的資訊,像是系統配置和連線使用的帳號密碼等,這些都需要受到適當的防護。

在組織內部之間,經常有很多資訊需要傳遞和交換,甚至和外部的商業夥伴或供應商,也會有資訊交換的情況發生,在A.10.8「資訊交換」的控制項目中,目標是要確保組織之間的資訊交換,都是基於正式的政策來進行,並且遵循相關的法律要求,其控制措施說明如下:

A.10.8.1 資訊交換政策和程序
組織的資訊交換,都需要依照所定義的管道和方式來進行,在實務方面,管理人員需要評估組織中有哪些資料可以進行交換?交換的方式和程序為何?如果是透過系統直接進行交換的話,如何進行適當的管控?建議透過文件化的方式,讓相關人員可以清楚的了解與遵循。

A.10.8.2 交換協議
組織若需要與外部單位交換資料,事前就應明定相關的交換協議,例如在資料交換協議中,清楚說明資料的交換處理方式,以及發生資安事件時,如何進行處置,責任如何歸屬等。

A.10.8.3 運送中的實體媒體
對於含有敏感資訊的媒體,在進行運送時需要依照安全程序來進行,例如運送人員的身分確認、運送過程的記錄、所使用的運送方式等。實務上要小心的是,快遞公司使用何種容器來運送,是否有可能會在運送途中造成資料毀損,應該在事前就進行確認。

A.10.8.4 電子傳訊
目前普遍使用的電子傳訊方式,像是電子郵件、即時通訊軟體等,組織應如何進行控管?控管的方式要回歸到風險評鑑的結果,依照其風險的高低來實施。

A.10.8.5 營運資訊系統
組織在資料交換的對象方面,若是營運資訊系統,該如何進行控制?如何識別?這些包括了行政系統、會計系統、ERP等,應正式制訂資訊交換的政策和程序。

資料交換的前提就是授權

組織在資訊傳遞和交換的控管重點在於,是否都制訂了相對應的安全政策和作業程序,從最普遍的電子郵件、資料備份、USB隨身碟的使用,到營運系統如ERP的資料交換等,只要牽涉到了資料交換,都要確認是否經過授權、傳輸管道是否安全,以及是否留下相關記錄,這些都是確保資訊安全的根本,下一期將會說明A.10其餘的控制項目。(本文刊載於2011年4月號網管人雜誌)

[參考資料]
1. ISO/IEC 27001:2005
2. ISO/IEC 27002:2005

沒有留言: