在網路世界中,有愈來愈多的商業夥伴,需要透過網路彼此相互連結,並且交換商務資料,因此資訊安全的控管就顯得更加重要。
對B2B業者來說,過去的資料交換介面相當單純,因為不會有太多的設備和應用程式需要聯結溝通,但如今隨著資訊科技的發展,許多重要的應用程式、伺服器和資料庫都需要彼此連結,雖然採用DMZ的佈署方式仍然存在,但卻需要更多有關身分驗證等的安全控制措施。
最近,隨著雲端服務的熱潮,為了控管雲端安全,許多資安技術像是反惡意程式、script分析、url過濾、IPS和web應用層防火牆等,都是許多組織考慮採用的產品,但是針對Web 2.0 App動態產生內容和透過雲端分享的新方法,傳統的資安控制措施不見得是那麼地有效。
針對B2B的資安架構,在CSO Online由Forrester Research分析師Usman Sindhu所發表的一篇文章,針對組織基本的存取控制策略,提到了以下4個層面的安全防護建議:
1. 應用程式存取控制 - 當應用程式和服務存在雲端之上,身分驗證與存取的授權就顯得十分重要,因此透過識別與存取管理(IAM),能夠去定義身分角色、責任和應用程式存取層級,以控管對關鍵資源的存取。
2. 資料存取控制 - 作者將資料存取控制定義為分享給相關團體時應有的授權過程和資料保護,認為相關技術的採用是因為組織想要對資料進行分類、提取、加密、發現,以及控制誰可存取資料,所以除了技術之外,也需要制定一項政策以針對網路不同存取點來實施權限管理。
3. 網路存取控制 - B2B的互動需要仰賴入侵偵測、入侵防禦系統,以及資安事件管理來消除可能的威脅,所以組織整體的存取控制將可用來啟動B2B環境,針對不同的網路層面和交換介面應有的安全措施。
4. 實體存取控制 - 識別證與監視器已成為許多組織基礎的安控措施,而為了達到實體的安全控管,也有組織採用GPS、RFID、感應器、智慧卡等技術,以連結到使用者進行身分識別,因此基於身分識別的控管方法,將成為實體存取控制的新領域。
以上是B2B基礎安全架構的4個層面,作者認為B2B並沒有一項容易實施的資安解決方案,而是需要多種的技術,在不同層面上進行整合的控管,所以組織需要自行去定義需使用的安全技術,以發展出適合的存取控制安全架構。
參考資料:The 4 tiers of a secure B2B framework
2010年6月23日 星期三
2010年6月6日 星期日
[觀點] BS 10012 個人資訊管理標準簡介
隨著新修訂個人資料保護法已經三讀通過,未來無論是政府機構或是民間企業,只要處理和個人資料有關的業務,勢必就要建立一套有效運作的個人資訊保護制度(PIMS),而標準將會是最佳的參考指引。
還記得2008年8月,刑事警察局破獲了兩岸駭客和詐騙集團共同聯手,入侵了中華郵政網路銀行,將數十名客戶的存款盜轉走數百萬元,同時也入侵了健保局、教育部和多家電信業者的資料庫,將所得的個人資訊與購物台刷卡資料,共同整合成一個可供搜尋近五千萬筆個人資料庫的事件,讓人害怕的是幾乎從上到下,由政府官員到一般民眾等皆無一倖免。
每天,我們的資料都在政府或民間企業,像是政府各級單位、水力電力公司、戶役政稅務機關、醫院、學校、警察機關、銀行、保險公司、一般企業、零售業、超市、航空公司、旅行社等之中被蒐集、儲存、傳遞和使用,如果你的個人資訊被不安全地處理而遭到惡意人士的盜用,對個人而言,輕則財物受損,重則造成法律糾紛,個人名譽也將受到不必要的侵害,若洩露個資的單位查證屬實,一旦新修正的個人資料保護法三讀通過,也將面臨鉅額的懲罰性賠償。
個資有價,切莫輕忽
從資訊的生命週期來看,個人資訊的產生、處理、傳遞、儲存、復原、銷毀等過程,都需要有適當的安全管控措施,這部份可以透過管理制度的規範,或是技術性的保護,來防止不當處理個資事件的發生。
因此,組織必須要將個人資訊視為有價值的資產,無論其呈現的形式是什麼(例如紙本、聲音、影像、電子檔案等),都必須評估其可能存在的安全弱點,以及可能面臨的威脅,並且透過風險評鑑的過程,來找出其風險的高低,然後針對無法接受的風險,進行風險處理和後續改善行動。
隨著個資外洩事件不斷發生,目前已有許多政府單位與企業,對於個人資訊保護的問題日漸重視,但是卻往往不知該如何著手,找不到一套可以依循的規範與標準。如今,BS 10012的標準內容,正好可做為組織在建立個人資訊保護機制時的最佳參考,藉由標準所提供的基礎架構(Framework),配合PDCA的管理運作方法,能夠透過建立系統化的個人資訊管理制度,來達到保護個資的目的,更可進一步符合個資法規的要求。
重要的資料保護原則
談到資料保護,英國在1998年即制訂了資料保護法案(Data Protection Act 1998),並且在2000年3月公布實施,要求資料控管者(data controller)對於個人資料的取得、使用、儲存、揭露等,必須遵守法律的規範與要求。
其中,資料保護法案所要求應遵守的8項資料保護原則,非常適合各組織作為制定個人資料保護的參考,內容說明如下:
還記得2008年8月,刑事警察局破獲了兩岸駭客和詐騙集團共同聯手,入侵了中華郵政網路銀行,將數十名客戶的存款盜轉走數百萬元,同時也入侵了健保局、教育部和多家電信業者的資料庫,將所得的個人資訊與購物台刷卡資料,共同整合成一個可供搜尋近五千萬筆個人資料庫的事件,讓人害怕的是幾乎從上到下,由政府官員到一般民眾等皆無一倖免。
每天,我們的資料都在政府或民間企業,像是政府各級單位、水力電力公司、戶役政稅務機關、醫院、學校、警察機關、銀行、保險公司、一般企業、零售業、超市、航空公司、旅行社等之中被蒐集、儲存、傳遞和使用,如果你的個人資訊被不安全地處理而遭到惡意人士的盜用,對個人而言,輕則財物受損,重則造成法律糾紛,個人名譽也將受到不必要的侵害,若洩露個資的單位查證屬實,一旦新修正的個人資料保護法三讀通過,也將面臨鉅額的懲罰性賠償。
個資有價,切莫輕忽
從資訊的生命週期來看,個人資訊的產生、處理、傳遞、儲存、復原、銷毀等過程,都需要有適當的安全管控措施,這部份可以透過管理制度的規範,或是技術性的保護,來防止不當處理個資事件的發生。
因此,組織必須要將個人資訊視為有價值的資產,無論其呈現的形式是什麼(例如紙本、聲音、影像、電子檔案等),都必須評估其可能存在的安全弱點,以及可能面臨的威脅,並且透過風險評鑑的過程,來找出其風險的高低,然後針對無法接受的風險,進行風險處理和後續改善行動。
隨著個資外洩事件不斷發生,目前已有許多政府單位與企業,對於個人資訊保護的問題日漸重視,但是卻往往不知該如何著手,找不到一套可以依循的規範與標準。如今,BS 10012的標準內容,正好可做為組織在建立個人資訊保護機制時的最佳參考,藉由標準所提供的基礎架構(Framework),配合PDCA的管理運作方法,能夠透過建立系統化的個人資訊管理制度,來達到保護個資的目的,更可進一步符合個資法規的要求。
重要的資料保護原則
談到資料保護,英國在1998年即制訂了資料保護法案(Data Protection Act 1998),並且在2000年3月公布實施,要求資料控管者(data controller)對於個人資料的取得、使用、儲存、揭露等,必須遵守法律的規範與要求。
其中,資料保護法案所要求應遵守的8項資料保護原則,非常適合各組織作為制定個人資料保護的參考,內容說明如下:
- 個人資料不可以非法或不公正方式蒐集、處理。
- 個人資料應限於以特定目的之方式蒐集、處理。
- 個人資料應以充分、相關,而非逾越其原本之目的處理。
- 個人資料應求準確,並在必要時及時更新。
- 個人資料之保存,不得超過其原定目的之保存期限。
- 個人資料之處理,應依照當事人之權限及法令規範。
- 組織應採取適當的資料保護技術和措施,防止個人資料遺失或毀壞。
- 個人資料不得轉移到歐洲經濟區以外的國家或地區。
BS 10012的基礎架構
BS 10012的全名為「資料保護─個人資訊管理系統之要求(Data protection–Specification for a personal information management system)」,其中BS指的是英國標準,後面則為標準編號,至於系統指的是文件化的管理制度,它是由工業、政府、學術、教育、消費者等各界專家代表所共同發展,因此適用於任何組織和公私領域,讓組織的管理階層可以依循參考,亦能作為有效的個資法規內外部的評鑑標準。
BS 10012內容共有7章,第0~2章為標準介紹、適用範圍與名詞定義之說明,第3~6章則為個人資訊管理制度的架構要求,其主要目標說明如下。
計畫與建立PIMS
本章的目標是要規劃建立個人資訊管理制度,以提供符合資料保護法規要求的方向和實務上的良好做法。因此在一開始,組織必須定義個人資訊管理的範圍和目標,並判斷內部有哪些資料屬於個人資訊,以便制訂適合組織運作的個人資訊管理政策。
此一政策必須由資深管理小組(可能包括董事會成員、執行長、資深工作者和組織合作夥伴)來發布,並負起維護和更新之責,在政策中要清楚地讓組織成員了解個資保護的重要性,以及個資處理的原則,要求必須共同遵守,並且融入組織的文化之中,以達成個資保護的目標。
實施與運作PIMS
本章內容是實施與運作個人資訊管理制度的要求,也是標準中內容最多的一章,其目標包括要確保組織已指派適當的負責人選,以便推動並執行個人資訊管理制度,因此需要明確說明資深管理小組成員的工作角色與職責,並且清楚定義其每天的工作任務。
另外,凡是組織內和個人資訊處理有關的單位或部門,也必須推派適當的代表,因為只有實際處理個資的同仁,才明白個資中的機密性與敏感性,透過各個單位負責代表的協助,才可實際進行個人資訊的風險評鑑,以評估目前組織所擁有及處理個人資訊的風險等級。
本章的重點還包括要求組織應對員工實施教育訓練,並確保個人資訊被公平且合法的處理使用,也就是要求從個人資訊生命週期的一開始到最終的銷毀階段,整個過程中是否遵守適當的處理作業流程,是否尊重個人資料所有人的權力,以及採取適當的資訊安全控制措施。
監督與審查PIMS
本章的內容是要求個人資訊管理制度應實施適當的監控與審查,因此組織必須制定稽核計畫,選擇合適的稽核人員依照政策與管理要求,定期地實施內部稽核,以確認管理制度能夠有效地運作。
除了內部稽核之外,組織還必須定期實施管理階層的審查會議,了解個資處理的過程是否有任何的變動,同時也要審查稽核之後的結果,以及是否曾經發生和個資有關的資安事件,以掌握組織個資處理的現況,並適當修訂現行的個人資訊管理政策內容。
維持與改善PIMS
本章的內容是維持與改進個人資訊管理制度,目標是改進整個制度實施的效率及有效性,因此要求從兩個方向來改善。首先是組織應針對可能違反法規的事件,在事先實施預防的行動,並評估可能造成的問題來決定與實施必要的預防措施;其次則是針對管理階層審查的結果,針對不符合政策與標準要求的事項,進行矯正的行動,以求將個資受到不當處理的風險降至最低。
保護個資,刻不容緩
未來隨著新版個人資料保護法頒布實施之後,對於擁有和處理個人資訊的各行各業來說,最大的改變會是什麼?個人認為是組織必須建立一個新觀念,那就是「個人資料是有價的」,再也不能像過去一樣被任意的處理和交換,無論是蒐集、處理、利用都必須要合乎法律規定,如果組織沒有建立有效的個人資訊管理制度,那麼很可能就會不小心觸法而蒙受不必要的損失。
因此,萬一組織仍舊忽視個人資訊的保護,而無法安全妥善地進行處理,根據目前正在修訂中的個資法草案,未來若發生個資外洩事件,當民眾進行受害索賠之時,並不需要負舉證之責。也就是說,洩露個資的單位,必須證明自己無故意或過失責任,才能免於賠償,所以如果沒有文件化的作業流程與記錄,要提出舉證恐怕相當困難,對此管理者請務必要三思才行。(本文刊載於2010年4月號網管人雜誌)
BS 10012的全名為「資料保護─個人資訊管理系統之要求(Data protection–Specification for a personal information management system)」,其中BS指的是英國標準,後面則為標準編號,至於系統指的是文件化的管理制度,它是由工業、政府、學術、教育、消費者等各界專家代表所共同發展,因此適用於任何組織和公私領域,讓組織的管理階層可以依循參考,亦能作為有效的個資法規內外部的評鑑標準。
BS 10012內容共有7章,第0~2章為標準介紹、適用範圍與名詞定義之說明,第3~6章則為個人資訊管理制度的架構要求,其主要目標說明如下。
計畫與建立PIMS
本章的目標是要規劃建立個人資訊管理制度,以提供符合資料保護法規要求的方向和實務上的良好做法。因此在一開始,組織必須定義個人資訊管理的範圍和目標,並判斷內部有哪些資料屬於個人資訊,以便制訂適合組織運作的個人資訊管理政策。
此一政策必須由資深管理小組(可能包括董事會成員、執行長、資深工作者和組織合作夥伴)來發布,並負起維護和更新之責,在政策中要清楚地讓組織成員了解個資保護的重要性,以及個資處理的原則,要求必須共同遵守,並且融入組織的文化之中,以達成個資保護的目標。
實施與運作PIMS
本章內容是實施與運作個人資訊管理制度的要求,也是標準中內容最多的一章,其目標包括要確保組織已指派適當的負責人選,以便推動並執行個人資訊管理制度,因此需要明確說明資深管理小組成員的工作角色與職責,並且清楚定義其每天的工作任務。
另外,凡是組織內和個人資訊處理有關的單位或部門,也必須推派適當的代表,因為只有實際處理個資的同仁,才明白個資中的機密性與敏感性,透過各個單位負責代表的協助,才可實際進行個人資訊的風險評鑑,以評估目前組織所擁有及處理個人資訊的風險等級。
本章的重點還包括要求組織應對員工實施教育訓練,並確保個人資訊被公平且合法的處理使用,也就是要求從個人資訊生命週期的一開始到最終的銷毀階段,整個過程中是否遵守適當的處理作業流程,是否尊重個人資料所有人的權力,以及採取適當的資訊安全控制措施。
監督與審查PIMS
本章的內容是要求個人資訊管理制度應實施適當的監控與審查,因此組織必須制定稽核計畫,選擇合適的稽核人員依照政策與管理要求,定期地實施內部稽核,以確認管理制度能夠有效地運作。
除了內部稽核之外,組織還必須定期實施管理階層的審查會議,了解個資處理的過程是否有任何的變動,同時也要審查稽核之後的結果,以及是否曾經發生和個資有關的資安事件,以掌握組織個資處理的現況,並適當修訂現行的個人資訊管理政策內容。
維持與改善PIMS
本章的內容是維持與改進個人資訊管理制度,目標是改進整個制度實施的效率及有效性,因此要求從兩個方向來改善。首先是組織應針對可能違反法規的事件,在事先實施預防的行動,並評估可能造成的問題來決定與實施必要的預防措施;其次則是針對管理階層審查的結果,針對不符合政策與標準要求的事項,進行矯正的行動,以求將個資受到不當處理的風險降至最低。
保護個資,刻不容緩
未來隨著新版個人資料保護法頒布實施之後,對於擁有和處理個人資訊的各行各業來說,最大的改變會是什麼?個人認為是組織必須建立一個新觀念,那就是「個人資料是有價的」,再也不能像過去一樣被任意的處理和交換,無論是蒐集、處理、利用都必須要合乎法律規定,如果組織沒有建立有效的個人資訊管理制度,那麼很可能就會不小心觸法而蒙受不必要的損失。
因此,萬一組織仍舊忽視個人資訊的保護,而無法安全妥善地進行處理,根據目前正在修訂中的個資法草案,未來若發生個資外洩事件,當民眾進行受害索賠之時,並不需要負舉證之責。也就是說,洩露個資的單位,必須證明自己無故意或過失責任,才能免於賠償,所以如果沒有文件化的作業流程與記錄,要提出舉證恐怕相當困難,對此管理者請務必要三思才行。(本文刊載於2010年4月號網管人雜誌)
2010年5月27日 星期四
[觀點] 談醫療資訊的安全防護
對於現今的醫療業者而言,資訊系統的應用已扮演了非常重要的角色,除了能提供有效率與高品質的醫療服務之外,也提供了更多生命安全的保障,因此,如何確保醫療資訊的安全,已成為醫療業者無法忽視的重要課題。
在2009年3月,香港聯合醫院一位醫師,遺失了存有47名病患個人資料的隨身碟,引起了相關單位的重視;2009年5月,美國加洲柏克萊醫療中心的資料庫,遭到駭客入侵,竊取了相當於身分證字號的社會安全卡號和健保資訊,估計有近16萬人受到影響;2009年11月,台大醫院發生了近年來第2次的電腦當機事件,造成掛號、病歷查詢和領藥系統的失效,影響上千名病患的就醫權益,幸好未造成延誤就醫而影響生命安全的事件發生。
今日醫療業者所面臨的挑戰,包括了就醫品質、病患照護、病患安全及法規要求等各個層面,而透過了醫療資訊科技的運用,可有效協助業者因應各項問題,像是就醫資訊提供、網路掛號、遠端醫療、電子病歷等,除了可以降低醫療疏失的發生機率,也能同時降低營運的成本,並提升民眾就醫時的滿意度。
近年來,隨著醫療資訊安全和個人隱私的保障要求,行政院衛生署在2003年6月啟用了醫事憑證IC卡,藉由其提供的資料加密和簽章機制,可確保醫療資訊的機密性、完整性和不可否認性,避免醫療資訊遭受不當的竄改和偽冒。
另外,在政府對於電子病歷的強力推動之下,在已制定的「醫療機構電子病歷製作及管理辦法」中,亦明定電子病歷僅能開放給經過認證與授權的人員使用,對於資料的內容只能以附加方式處理,而不得任意直接修改或刪除已確認之病歷資料,同時也必須結合電子簽章之技術,以達到可確認原製作之醫療單位與醫事人員的身分,供後續的追蹤查核之用。
醫療資訊安全的目標
資訊科技的應用如同水能載舟、亦能覆舟一般,如果資訊的傳遞未受到良好的防護,或是忽略了處理資訊等相關系統的可用性,就可能導致一連串的問題發生,其中,尤以醫療資訊的外洩影響層面最廣,目前,一般民眾的醫療資訊內容包括:
因此,對於醫療業者而言,保護醫療資訊安全的主要目標就是為了:
就個人的觀察,針對醫療業的資安威脅來源,和多數的組織並無太多的差異,主要仍是來自於天災、人為與技術失效的事故。在天災方面,由於醫療院所負有眾多生命的安全保證,因此在火災、風災、地震方面多半已有良好的應對措施,需要加強的是人員的訓練與定期的災難演練。
至於人為事故方面,因為醫療業需要保護的資訊本身,比一般企業的資訊來得敏感,因此需要所有醫護人員都具備基本的資安意識,以保障病患的醫療隱私,所以在作業程序上,可依照衛生署「醫療資訊安全與隱私保護指導綱領草案」中的指導原則來進行,簡要說明如下:
根據過往的經驗,醫療資訊可能面臨的資安威脅,主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等,因此在基礎的防護作法方面,建議採取以下的控制措施:
其次,則是思考如何避免因為資訊系統的故障等資安事件的發生,所導致的醫療服務與營運中斷,換句話說,對於資安事件的應變與危機處理,如果能夠及早準備並定期進行演練,將可大幅減少醫療服務中斷對於民眾和醫療院所的衝擊,對管理階層來說,其效益除了能降低營運損失,更可維護醫院聲譽。
最後,雖然國內仍缺少如美國保障醫療隱私的HIPAA(Health Insurance Portability and Accountability Act)法案,但未來必須符合資訊相關法令法規的要求(例如個人資料保護法),將會是醫療業者應盡的責任。如果能夠及早從管理制度開始著手,透過醫療資訊標準作業流程的建立,讓醫事人員皆能體認保護醫療資訊安全的重要,相信就能為民眾帶來更完善的醫療品質,以及更讓人安心的就醫服務,也不愧對濟世救人的天職。(本文刊載於2010年3月號網管人雜誌)
在2009年3月,香港聯合醫院一位醫師,遺失了存有47名病患個人資料的隨身碟,引起了相關單位的重視;2009年5月,美國加洲柏克萊醫療中心的資料庫,遭到駭客入侵,竊取了相當於身分證字號的社會安全卡號和健保資訊,估計有近16萬人受到影響;2009年11月,台大醫院發生了近年來第2次的電腦當機事件,造成掛號、病歷查詢和領藥系統的失效,影響上千名病患的就醫權益,幸好未造成延誤就醫而影響生命安全的事件發生。
今日醫療業者所面臨的挑戰,包括了就醫品質、病患照護、病患安全及法規要求等各個層面,而透過了醫療資訊科技的運用,可有效協助業者因應各項問題,像是就醫資訊提供、網路掛號、遠端醫療、電子病歷等,除了可以降低醫療疏失的發生機率,也能同時降低營運的成本,並提升民眾就醫時的滿意度。
近年來,隨著醫療資訊安全和個人隱私的保障要求,行政院衛生署在2003年6月啟用了醫事憑證IC卡,藉由其提供的資料加密和簽章機制,可確保醫療資訊的機密性、完整性和不可否認性,避免醫療資訊遭受不當的竄改和偽冒。
另外,在政府對於電子病歷的強力推動之下,在已制定的「醫療機構電子病歷製作及管理辦法」中,亦明定電子病歷僅能開放給經過認證與授權的人員使用,對於資料的內容只能以附加方式處理,而不得任意直接修改或刪除已確認之病歷資料,同時也必須結合電子簽章之技術,以達到可確認原製作之醫療單位與醫事人員的身分,供後續的追蹤查核之用。
醫療資訊安全的目標
資訊科技的應用如同水能載舟、亦能覆舟一般,如果資訊的傳遞未受到良好的防護,或是忽略了處理資訊等相關系統的可用性,就可能導致一連串的問題發生,其中,尤以醫療資訊的外洩影響層面最廣,目前,一般民眾的醫療資訊內容包括:
- 基本資料 - 包括姓名、性別、出生日期、身分證字號、通訊地址、電話、病歷號碼等。
- 就醫記錄 - 看診科別、掛號日期、診治醫生等。
- 醫囑事項 - 診斷記錄、用藥明細、病況摘要、治療方式等。
- 檢驗報告 - 檢查項目與報告、病理檢驗報告等。
- 護理記錄 - 住院記錄、給藥過程記錄等。
因此,對於醫療業者而言,保護醫療資訊安全的主要目標就是為了:
- 保護病患醫療資訊 - 醫療資訊為重要的個人隱私,如果遭到不當洩漏,除了會影響病患的身心、名譽和權益之外,更有可能為其家屬造成傷害,因此必須加以妥善的保護。
- 減少醫療過程疏失 - 醫療資訊的正確與完整性,涉及病患的生命安全,如果醫療資訊受到不當竄改,或是因人為疏失造成資訊錯誤,將會導致像是用藥失誤、診斷錯誤等重大醫療事件發生,所以唯有確保醫療資訊的安全,才能適供適當且正確的醫療服務。
- 確保醫療服務持續提供 - 持續為民眾提供適當的醫療服務,是穩定國家與社會發展的重要力量,如果醫療服務因為資訊系統受到資安事件的影響而停擺,可能會引發社會大眾的恐慌,進而引發更多的社會問題,因此應由政府予以監督及協助。
就個人的觀察,針對醫療業的資安威脅來源,和多數的組織並無太多的差異,主要仍是來自於天災、人為與技術失效的事故。在天災方面,由於醫療院所負有眾多生命的安全保證,因此在火災、風災、地震方面多半已有良好的應對措施,需要加強的是人員的訓練與定期的災難演練。
至於人為事故方面,因為醫療業需要保護的資訊本身,比一般企業的資訊來得敏感,因此需要所有醫護人員都具備基本的資安意識,以保障病患的醫療隱私,所以在作業程序上,可依照衛生署「醫療資訊安全與隱私保護指導綱領草案」中的指導原則來進行,簡要說明如下:
- 最小需求與合理範圍之最大安全原則 – 若醫療機構或醫事人員需要蒐集、使用或揭露病患的醫療資訊時,醫事人員必須盡可能地降低其範圍,也就是說,只收集必要且合理的資訊即可,並且必須盡最大努力去保護醫療資訊的安全。
- 直接取得和不可揭露原則 – 醫療機構或醫事人員需要蒐集醫療資訊時,必須直接向病患或法定代理人詢問,避免由他人轉述病患的隱私。若未經病患的同意,也不得洩露和個人有關的醫療資訊。
- 尊重及告知原則 – 醫療機構或醫事人員必須獲得病人或其法定代理人的同意,在自願的情形下才可蒐集、使用或揭露其醫療資訊。
- 公平正義原則 – 病患的醫療資訊不可透過非法或不公正的方式蒐集、使用或揭露。
- 符合法令法規原則 – 醫療機構或醫事人員對於醫療資訊的使用,必須要符合現行法令的要求,以避免觸犯法規。
- 病患權利和公共利益保障原則 – 病患對於存放在醫療機構的個人醫療資訊享有一定之權利,醫療機構或醫事人員使用醫療資訊時,應以保障生命權和公共利益為原則。
根據過往的經驗,醫療資訊可能面臨的資安威脅,主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等,因此在基礎的防護作法方面,建議採取以下的控制措施:
- 建置安全的網路 - 部署防火牆和入侵偵測系統,內部進行網段區隔等。
- 保護醫療資訊傳輸 – 遠端醫療資訊的傳送,應透過VPN加密方式進行,若提供醫事人員無線網路的使用,也應啟動WPA加密機制等。
- 弱點管理機制 – 針對醫事人員使用之個人電腦,應透過中央控管之防毒系統,統一派送更新病毒碼,針對作業系統所發布的弱點,也應及時或定期更新,以避免讓惡意人士有入侵的可趁之機。
- 身分認證機制 – 可利用醫事人員憑證或自行建置之身分認證系統,進行醫療資訊的存取控制。
- 監督審查與事件管理 – 進行日誌(Log)集中保存,並且檢視追蹤可疑的事件。
其次,則是思考如何避免因為資訊系統的故障等資安事件的發生,所導致的醫療服務與營運中斷,換句話說,對於資安事件的應變與危機處理,如果能夠及早準備並定期進行演練,將可大幅減少醫療服務中斷對於民眾和醫療院所的衝擊,對管理階層來說,其效益除了能降低營運損失,更可維護醫院聲譽。
最後,雖然國內仍缺少如美國保障醫療隱私的HIPAA(Health Insurance Portability and Accountability Act)法案,但未來必須符合資訊相關法令法規的要求(例如個人資料保護法),將會是醫療業者應盡的責任。如果能夠及早從管理制度開始著手,透過醫療資訊標準作業流程的建立,讓醫事人員皆能體認保護醫療資訊安全的重要,相信就能為民眾帶來更完善的醫療品質,以及更讓人安心的就醫服務,也不愧對濟世救人的天職。(本文刊載於2010年3月號網管人雜誌)
2010年5月14日 星期五
[觀點] 網路購物業的資安防護策略
隨著各種網路購物的詐騙與惡意攻擊行為仍層出不窮,網路購物業者如果缺少適當的防護對策,本文可作為管理人員與資訊人員的參考。
根據資策會產業情報研究所(MIC)的調查顯示,由於2009年發生多起的網路購物資安事件,如何去確保交易資料的安全性,已成為台灣網友認為網路購物需要改進的前三大項目之一。目前,已有83%的業者提供了簡易的線上交易付款機制,也有將近九成的業者認同保護網路購物交易安全是吸引消費者的重要判斷依據,並且將有助於銷售業績的提升。
不過,截至目前為止,由網路購物所引發的資安事件依舊層出不窮,例如2009年年底有消費者在購物網站消費之後,隨即接到詐騙集團的電話,因此懷疑業者將消費購物時所填的個人資料外洩。而某網路書店業者,繼前年發生六千多筆的會員資料外洩之後,也再次發生消費者在購書之後兩週內,接到詐騙集團電話要求至ATM取消分期手續,因此而損失三萬元存款的事件,讓人質疑業者內部的資料控管仍存有很大的漏洞。
針對網路購物的安全,MIC更進一步指出,網路購物業者必須將「交易安全」視為重要的營運議題,因為日後在消費者期待交易安全將有所改善的情況之下,網路購物的交易安全也將愈來愈受到重視。
網路購物面臨的資安威脅
記得從2007年開始,在全球各地都發生了網站資料外洩事件,其中以網路購物業的災情最為嚴重,以當時台灣的前十大網路購物業者來說,有一半都傳出因為消費者的個人資料外洩,而導致一連串的網路詐騙行為發生。根據刑事警察局的統計,光是2007年1~8月所累計的詐騙金額,就超過了三億一千萬,受騙的人數也將近一萬人,其中大多數都是因為網路購物的個人帳號與交易資料外洩所引起。
目前,網路購物業者所面臨的資安威脅,最常見的有下列幾項:
對業者而言,如果發生了資安事件,單一的交易損失或許不大,但是當事件經由媒體的報導之後,若讓消費者產生了疑慮,勢必對業者的商譽造成更大的衝擊,可能更讓許多人因此而不願意在該網站上購物,後續的損失可說是難以估計。
針對網路購物的安全,國際信用卡發卡組織VISA的調查指出,有六成的消費者是透過網站是否有良好的安全系統、業者是否願意免費退貨、是否提供消費者信用卡不被盜刷的保障,作為判斷網路購物是否安全的依據。而消費者進行網路購物時最怕碰到的三件事,首先是業者不當使用消費者的個人資料,其次是將消費者的個人資料和信用卡號外洩,最後則是業者受到未經授權的駭客入侵。所以,為了確保營運與獲利,業者應重視網路購物的安全,以保障消費者的權益與信心。
那麼,業者到底該如何保護網路購物的安全呢?最簡單的方式是,我們可以從網路購物的流程,來一一探討並預防可能會發生的資安問題。現今一般的網路購物流程為,消費者在瀏覽器上輸入網址或點選連結之後進入購物網站,然後選擇想要購買的物品,接著需填寫個人資料並進行付款,若是以信用卡進行線上交易,則由業者的系統連結銀行線上交易系統完成付款,最後業者再依照購物明細寄送商品給消費者,讓購物得以順利完成。
從以上的購物過程中,我們就可以從幾個方向來著手,首先,為了確保消費者連線至網站的過程中,資料不會遭到竊聽,因此業者應採用128位元以上的SSL連線加密機制,以確保資料傳送的安全。接著,消費者在網站上所填寫的資料,除了必要的會員資訊之外,業者不應保留消費者的信用卡號等資料,若是有特殊狀況需要保留者,則應事先對消費者說明,並且將敏感資料進行加密,同時進行資料存取的權限管控。
此外,如果購物網站提供了線上刷卡機制,建議應進一步和信用卡公司合作,啟用個人密碼驗證服務,讓使用者在購物時,除了填寫信用卡號之外,還需要輸入個人密碼,以確認的確是由持卡人進行消費,或是也可以利用手機簡訊發送一次性密碼至持卡人手機,要求持卡人輸入簡訊中之密碼,以確認為本人進行消費。
在消費者完成信用卡付款之後,業者就會進入貨品遞送的服務流程,若是外包給第三方的物流業者協助進行,那麼在購物資料的保護上面就要注意,基本上,應該讓物流業者只能獲得購物者的姓名、地址、連絡電話,其他包括購買物品名稱、價格、購買日期、總金額等資料皆應保密,因為這些資料並不會影響貨品的遞送,也就不需要交給物流公司,否則反而會增加個人資料外洩,受到詐騙集團利用的風險。
定期檢視並改善安全措施
關於網路購物的資訊安全,站在業者的角度來看,個人認為主要有三大影響要素,分別是「人員」、「資訊」和「技術」。人員面是指內部人員的作業疏失或擅自揭露客戶資料;資訊面則包括網站未使用加密機制、網頁內容受到惡意竄改;技術面則為網路遭受阻斷服務攻擊、網站應用程式有安全漏洞、網站伺服器缺少安全防護等。只要其中有任何一項因素沒有加以注意,那麼業者很容易就會發生資安事件而登上媒體版面。
因此,建議業者利用以上提到的安全檢視方法,先從作業流程來著手,找出可能的安全問題,以及是否存在安全漏洞。當然,各家業者的作業方式都不會相同,也就需要由業者本身針對既定的作業流程中,可能會觸及到敏感資訊的人事物,一一地作安全的清查與確認。如果流程方面沒問題了,再針對人員的訓練、資訊的保護、技術的加強,來進一步提升資安的防護。
所以,網路購物業者的資安防護策略到底是什麼?簡單的說,就是要找出網路購物流程中,可能存在的安全弱點,以及會利用弱點而造成傷害的威脅,然後實施對應的控制方法來減少弱點並降低威脅,將資安風險降到可接受的程度。最後還要注意在這個過程之中,千萬不要忽略了內部人員的安全訓練,資料的傳遞保護,以及資安技術的防護,如果能夠確實控管資安風險的話,相信對於網路購物業者,將會創造更多商機,同時建立起消費者的信心與口碑。(本文刊載於2010年2月號網管人雜誌)
根據資策會產業情報研究所(MIC)的調查顯示,由於2009年發生多起的網路購物資安事件,如何去確保交易資料的安全性,已成為台灣網友認為網路購物需要改進的前三大項目之一。目前,已有83%的業者提供了簡易的線上交易付款機制,也有將近九成的業者認同保護網路購物交易安全是吸引消費者的重要判斷依據,並且將有助於銷售業績的提升。
不過,截至目前為止,由網路購物所引發的資安事件依舊層出不窮,例如2009年年底有消費者在購物網站消費之後,隨即接到詐騙集團的電話,因此懷疑業者將消費購物時所填的個人資料外洩。而某網路書店業者,繼前年發生六千多筆的會員資料外洩之後,也再次發生消費者在購書之後兩週內,接到詐騙集團電話要求至ATM取消分期手續,因此而損失三萬元存款的事件,讓人質疑業者內部的資料控管仍存有很大的漏洞。
針對網路購物的安全,MIC更進一步指出,網路購物業者必須將「交易安全」視為重要的營運議題,因為日後在消費者期待交易安全將有所改善的情況之下,網路購物的交易安全也將愈來愈受到重視。
網路購物面臨的資安威脅
記得從2007年開始,在全球各地都發生了網站資料外洩事件,其中以網路購物業的災情最為嚴重,以當時台灣的前十大網路購物業者來說,有一半都傳出因為消費者的個人資料外洩,而導致一連串的網路詐騙行為發生。根據刑事警察局的統計,光是2007年1~8月所累計的詐騙金額,就超過了三億一千萬,受騙的人數也將近一萬人,其中大多數都是因為網路購物的個人帳號與交易資料外洩所引起。
目前,網路購物業者所面臨的資安威脅,最常見的有下列幾項:
- 阻斷服務攻擊 – 惡意人士透過已受到木馬程式控制的電腦所形成的殭屍網路(BotNet),在很短的時間內針對購物網站發送大量連線封包,使得網站伺服器無法處理同時湧入的連線要求,造成交易服務的中斷,消費者無法連上網站進行購物。
- 惡意程式攻擊 – 如果網站業者缺乏資訊安全防護機制,很容易就會被惡意入士在網頁中植入惡意連結,使得瀏覽網站的消費者會自動下載執行病毒和木馬等惡意程式,造成個人隱私資訊包括登入帳號、密碼、信用卡號等被竊取外洩。
- 偽冒攻擊 – 惡意人士以網路釣魚的手法,假冒網路購物業者對其會員發送偽造的郵件,藉此騙取會員的帳號資料以行詐騙。另外,惡意人士也會利用竊取的信用卡資料進行購物消費,使業者無法收取款項而蒙受損失。
- 連線竊聽 – 如果購物網站業者未使用像是SSL的安全機制網路連線,當消費者在不安全的網路環境中進行購物,惡意人士可伺機竊聽網路交易的封包,進而獲得雙方交易的資訊。
- 人員破壞 – 若業者內部員工未經適當的篩選與管理,並且缺少適當的資訊存取控制措施,惡意員工可能會盜賣客戶資料,或是針對系統進行破壞,進而影響網站所提供的購物服務。
- 系統入侵 – 惡意人士可能利用網路或主機系統的安全漏洞,透過駭客手法入侵系統,藉由提高其帳號權限,可進一步取得敏感的資訊,或是針對系統埋藏後門,以便進行更多的破壞。
對業者而言,如果發生了資安事件,單一的交易損失或許不大,但是當事件經由媒體的報導之後,若讓消費者產生了疑慮,勢必對業者的商譽造成更大的衝擊,可能更讓許多人因此而不願意在該網站上購物,後續的損失可說是難以估計。
針對網路購物的安全,國際信用卡發卡組織VISA的調查指出,有六成的消費者是透過網站是否有良好的安全系統、業者是否願意免費退貨、是否提供消費者信用卡不被盜刷的保障,作為判斷網路購物是否安全的依據。而消費者進行網路購物時最怕碰到的三件事,首先是業者不當使用消費者的個人資料,其次是將消費者的個人資料和信用卡號外洩,最後則是業者受到未經授權的駭客入侵。所以,為了確保營運與獲利,業者應重視網路購物的安全,以保障消費者的權益與信心。
那麼,業者到底該如何保護網路購物的安全呢?最簡單的方式是,我們可以從網路購物的流程,來一一探討並預防可能會發生的資安問題。現今一般的網路購物流程為,消費者在瀏覽器上輸入網址或點選連結之後進入購物網站,然後選擇想要購買的物品,接著需填寫個人資料並進行付款,若是以信用卡進行線上交易,則由業者的系統連結銀行線上交易系統完成付款,最後業者再依照購物明細寄送商品給消費者,讓購物得以順利完成。
從以上的購物過程中,我們就可以從幾個方向來著手,首先,為了確保消費者連線至網站的過程中,資料不會遭到竊聽,因此業者應採用128位元以上的SSL連線加密機制,以確保資料傳送的安全。接著,消費者在網站上所填寫的資料,除了必要的會員資訊之外,業者不應保留消費者的信用卡號等資料,若是有特殊狀況需要保留者,則應事先對消費者說明,並且將敏感資料進行加密,同時進行資料存取的權限管控。
此外,如果購物網站提供了線上刷卡機制,建議應進一步和信用卡公司合作,啟用個人密碼驗證服務,讓使用者在購物時,除了填寫信用卡號之外,還需要輸入個人密碼,以確認的確是由持卡人進行消費,或是也可以利用手機簡訊發送一次性密碼至持卡人手機,要求持卡人輸入簡訊中之密碼,以確認為本人進行消費。
在消費者完成信用卡付款之後,業者就會進入貨品遞送的服務流程,若是外包給第三方的物流業者協助進行,那麼在購物資料的保護上面就要注意,基本上,應該讓物流業者只能獲得購物者的姓名、地址、連絡電話,其他包括購買物品名稱、價格、購買日期、總金額等資料皆應保密,因為這些資料並不會影響貨品的遞送,也就不需要交給物流公司,否則反而會增加個人資料外洩,受到詐騙集團利用的風險。
定期檢視並改善安全措施
關於網路購物的資訊安全,站在業者的角度來看,個人認為主要有三大影響要素,分別是「人員」、「資訊」和「技術」。人員面是指內部人員的作業疏失或擅自揭露客戶資料;資訊面則包括網站未使用加密機制、網頁內容受到惡意竄改;技術面則為網路遭受阻斷服務攻擊、網站應用程式有安全漏洞、網站伺服器缺少安全防護等。只要其中有任何一項因素沒有加以注意,那麼業者很容易就會發生資安事件而登上媒體版面。
因此,建議業者利用以上提到的安全檢視方法,先從作業流程來著手,找出可能的安全問題,以及是否存在安全漏洞。當然,各家業者的作業方式都不會相同,也就需要由業者本身針對既定的作業流程中,可能會觸及到敏感資訊的人事物,一一地作安全的清查與確認。如果流程方面沒問題了,再針對人員的訓練、資訊的保護、技術的加強,來進一步提升資安的防護。
所以,網路購物業者的資安防護策略到底是什麼?簡單的說,就是要找出網路購物流程中,可能存在的安全弱點,以及會利用弱點而造成傷害的威脅,然後實施對應的控制方法來減少弱點並降低威脅,將資安風險降到可接受的程度。最後還要注意在這個過程之中,千萬不要忽略了內部人員的安全訓練,資料的傳遞保護,以及資安技術的防護,如果能夠確實控管資安風險的話,相信對於網路購物業者,將會創造更多商機,同時建立起消費者的信心與口碑。(本文刊載於2010年2月號網管人雜誌)
2010年5月7日 星期五
[觀點] 勇敢迎接2010資安新挑戰
2010年已過了一半,對於資安工作而言,計劃、執行、檢核、改善是一個循環的管理過程,在這個過程之中,企業必須先有穩健的基礎,才能因應處理不斷產生的新挑戰。
回顧2009年,世界各地和資訊安全有關的事件,在媒體上的報導是從未間斷過,無論是個人資料外洩、殭屍網路(Botnet)、垃圾郵件、惡意網站、網路釣魚、拍賣詐騙等,受害者不計其數,對於國家和社會都有著一定程度的影響。
根據各家資安業者的預測,在2010年主要的資安威脅,大致有以下幾種:
面對不斷變化的資安威脅,身為網路管理者的你,究竟該如何因應呢?在此借用一句企業管理上的名言:「No magic, only basic.」是的,資安工作真的「沒有魔法,只有基本功!」個人相信沒有一個業者敢銷售給你一套資安產品解決方案,然後告訴你從此可高枕無憂,再也不會發生任何資安事件。
所以在新的一年,想要降低企業的資安風險,最好的方式就是回歸基本,確實將基礎的資安工作做好,才能有餘力去應對更新的資安威脅。針對基礎的資安防護工作,以下幾項重點可作為在執行資安工作時的參考。
預防來自內部的人員攻擊
一般而言,小型企業發生內部人員攻擊的比例不高,原因是同事之間彼此都已相當熟悉,所以較少發生有人假冒身份進入工作區域,並趁機竊取敏感資訊的事件。但是對於員工人數與部門數量較多的中大型企業而言,仍要注意防範可能的人員弊端。
建議防治的方式為進行敏感資料的存取控管,依照不同的職務身份賦予適當的權限,避免所有權限都集中在一人之手。另外,也要盡量減少可能受到利用的安全弱點,例如實施網段區隔,讓研發單位和人事單位的網段和一般員工分開,以避免透過網路存取到敏感資訊,以及在機房實施門禁管制等。還有,應教育員工不可分享或洩露個人所使用之密碼,離開座位時將工作文件放置在上鎖之抽屜中,個人電腦要啟動已設定密碼之螢幕保護程式,並且禁止訪客進入工作區域,這些都是基本且必要的防護措施。
減少可能的網路安全弱點
在企業環境中,可能有為數眾多的網路路由器、交換器、防火牆等網路設備,許多設備在出廠時預設會開啟許多功能,甚至強調不需要更動組態即可上線使用,這種方便往往會造成安全上的漏洞。
建議網管人員應在設備上線之前去檢視其組態是否安全,例如預設的管理帳號與密碼是否已更改,未使用的功能模組是否關閉,不需要啟動的連接埠是否關閉等,以確保不會受到惡意人士的利用。在設定管理者密碼時,也要注意密碼的長度與強度,更要避免所有設備皆使用相同的管理密碼,以避免整個防線一次就潰堤。
如果是網路環境相當複雜的企業,建議定期進行網路弱點掃瞄或是滲透測試,以找出可能隱藏的安全漏洞,若網管人員熟悉一些檢測工具像是Nessus或Nmap,可以藉此來產出網路弱點的報告,如果缺少適當的人員可執行,也可以委由外部廠商和顧問,協助執行並提供可行的消除弱點安全建議。
清查行動裝置的安全性
若企業有許多行動工作者,經常需要在外使用筆記型電腦進行作業,在新的一年正好可進行健康檢查,確認作業系統的更新檔是否已安裝、防毒軟體版本是否過舊、病毒碼是否每天進行更新、個人防火牆組態是否正常、是否設定開機密碼、機密檔案是否加密等。
如果行動裝置的數量過多,建議可透過群組原則的設定,強制使用者電腦在登入企業網路時必須更新系統和病毒碼,並且也要讓使用者可任意關閉防毒軟體的功能失效,以避免在外時有意或無意將安全軟體關閉,讓惡意程式有機可趁。
另外,針對行動工作者應定期進行教育訓練,宣導應注意的安全事項,例如使用無線網路時,勿選用來路不明的基地台,最好選用具有加密或認證機制的無線網路服務提供商;若需要傳輸敏感資訊時應使用虛擬私人網路(VPN);在外使用筆記型電腦和USB隨身碟,應小心防護避免遺失或使用檔案加密機制等,以減少可能的安全風險。
檢測網站應用程式的安全
目前,網站受到入侵並放置惡意程式連結的事件已時有所聞,因此歲末年終針對現有網站進行安全清查是必要的,基本上建議可以從兩方面來著手,首先是網站伺服器本身的強化,確認作業系統已安裝必要的修補檔、伺服器軟體已進行更新、未使用的連接埠及服務皆已關閉等。其次則是針對網站應用程式進行檢測,可利用弱點掃瞄工具或是原始碼檢測來進行,確保針對常見的網站攻擊手法像是SQL Injection等已具有免疫能力。
如果是提供電子商務服務的業者,更要確認連線加密機制與身份認證機制是否完善,以保護線上交易資料的安全,必要的話,則建議安裝網站應用層防火牆,透過更深一層的封包檢測機制,來避免非正常交易的事件發生,更可同時抵禦常見的網路應用層的攻擊。
避免網路惡意程式的入侵
過去這一年,除了許多受到入侵而挾帶惡意程式的政府、教育和企業網站,再加上即時通訊和社交網站的大受歡迎,大幅提高了使用者感染惡意程式像是木馬、病毒、間諜軟體的風險,為了避免員工使用企業網路瀏覽非工作所需的網站,建議採取管理面與技術面雙管其下的作法。
在管理方面,可制訂並頒布網路的使用政策,清楚說明員工應避免的網路使用行為和違反時的處置辦法,先勸導再懲處會是比較容易令人接受的方式。至於技術方面,則是可以採取將不適當的網站加入黑名單來阻擋連線,或是採用網頁內容過濾方案,透過彈性化的設定來因應不同工作者的需求,並且可及時更新網站黑名單以阻擋新的惡意網站。
建立應變機制,有備而無患
許多企業在資安事件發生時,往往會顯得手忙腳亂,以檔案損毀為例,企業或許平常已有資料備份,但是當災難發生時,資料備份放置於何處?哪些資料該優先復原?復原的步驟如何進行?這些問題往往詢問起來,都找不到一個適切且完整的答案,最主要的原因就是企業缺少了災難應變機制,也就是在平時並沒有準備好有效的災難復原或營運持續計畫。
在駭客技術不斷翻新的今天,我們無法預測將會遭受何種攻擊,但是我們知道哪些是企業重要的營運服務和關鍵資料,因此針對重要的營運資訊,無論是存放在資料庫中,還是在老闆的電腦硬碟裡,針對資訊處理的過程和所使用的設備,都應該思考需要預先採取何種防護,如果連這一點思考都沒有的話,你的企業很可能就是下一位資安事件的受害者。(本文刊載於2010年1月號網管人雜誌)
回顧2009年,世界各地和資訊安全有關的事件,在媒體上的報導是從未間斷過,無論是個人資料外洩、殭屍網路(Botnet)、垃圾郵件、惡意網站、網路釣魚、拍賣詐騙等,受害者不計其數,對於國家和社會都有著一定程度的影響。
根據各家資安業者的預測,在2010年主要的資安威脅,大致有以下幾種:
- 殭屍網路持續肆虐:Botnet木馬程式在網路上不斷散布,難以根治並且潛伏在使用者的電腦之中,待有心人士一聲令下,即可發動大規模的網路阻斷服務攻擊。
- 雲端運算的風險增加:雲端運算需要依靠網路連線來進行,隨著各種雲端應用服務的增加,惡意攻擊者可能會入侵操控雲端連線,或是破壞雲端資料儲存中心,造成雲端應用服務的中斷。
- 社交網路成為資料盜竊工具:隨著Facebook等社交網站的盛行,使用者在社交網路中所揭露的資料,很可能被收集起來另做他用,惡意人士可藉此來冒用身分,和同一社交圈的人士溝通交流,以騙取更多有用的資訊。
- 區域性與特定目標攻擊升溫:全球性的病毒感染機會將降低,但隨之而來的卻是區域性的攻擊增加,惡意人士將鎖定特定企業或對象,以目標式的攻擊來獲取其不當利益。
- 惡意程式的變形攻擊:惡意程式的變化速度加快,只需幾小時就可衍生出其他的變種,這也代表傳統防毒程式依賴更新病毒碼的防護能力將大幅降低,若是使用者在網路上瀏覽已遭植入惡意連結的網站,很容易就會自動下載並感染到惡意程式。
- 網路釣魚的機會增加:ICANN網際網路網域名稱與位域管理機構已開放國際網域名稱的註冊,也就是說網域名稱之中可使用非拉丁語系的字元,所以惡意人士可以使用看起來相似或無法分辨的網域名稱來製作陷阱,讓使用者一時無法察覺而受害。
面對不斷變化的資安威脅,身為網路管理者的你,究竟該如何因應呢?在此借用一句企業管理上的名言:「No magic, only basic.」是的,資安工作真的「沒有魔法,只有基本功!」個人相信沒有一個業者敢銷售給你一套資安產品解決方案,然後告訴你從此可高枕無憂,再也不會發生任何資安事件。
所以在新的一年,想要降低企業的資安風險,最好的方式就是回歸基本,確實將基礎的資安工作做好,才能有餘力去應對更新的資安威脅。針對基礎的資安防護工作,以下幾項重點可作為在執行資安工作時的參考。
預防來自內部的人員攻擊
一般而言,小型企業發生內部人員攻擊的比例不高,原因是同事之間彼此都已相當熟悉,所以較少發生有人假冒身份進入工作區域,並趁機竊取敏感資訊的事件。但是對於員工人數與部門數量較多的中大型企業而言,仍要注意防範可能的人員弊端。
建議防治的方式為進行敏感資料的存取控管,依照不同的職務身份賦予適當的權限,避免所有權限都集中在一人之手。另外,也要盡量減少可能受到利用的安全弱點,例如實施網段區隔,讓研發單位和人事單位的網段和一般員工分開,以避免透過網路存取到敏感資訊,以及在機房實施門禁管制等。還有,應教育員工不可分享或洩露個人所使用之密碼,離開座位時將工作文件放置在上鎖之抽屜中,個人電腦要啟動已設定密碼之螢幕保護程式,並且禁止訪客進入工作區域,這些都是基本且必要的防護措施。
減少可能的網路安全弱點
在企業環境中,可能有為數眾多的網路路由器、交換器、防火牆等網路設備,許多設備在出廠時預設會開啟許多功能,甚至強調不需要更動組態即可上線使用,這種方便往往會造成安全上的漏洞。
建議網管人員應在設備上線之前去檢視其組態是否安全,例如預設的管理帳號與密碼是否已更改,未使用的功能模組是否關閉,不需要啟動的連接埠是否關閉等,以確保不會受到惡意人士的利用。在設定管理者密碼時,也要注意密碼的長度與強度,更要避免所有設備皆使用相同的管理密碼,以避免整個防線一次就潰堤。
如果是網路環境相當複雜的企業,建議定期進行網路弱點掃瞄或是滲透測試,以找出可能隱藏的安全漏洞,若網管人員熟悉一些檢測工具像是Nessus或Nmap,可以藉此來產出網路弱點的報告,如果缺少適當的人員可執行,也可以委由外部廠商和顧問,協助執行並提供可行的消除弱點安全建議。
清查行動裝置的安全性
若企業有許多行動工作者,經常需要在外使用筆記型電腦進行作業,在新的一年正好可進行健康檢查,確認作業系統的更新檔是否已安裝、防毒軟體版本是否過舊、病毒碼是否每天進行更新、個人防火牆組態是否正常、是否設定開機密碼、機密檔案是否加密等。
如果行動裝置的數量過多,建議可透過群組原則的設定,強制使用者電腦在登入企業網路時必須更新系統和病毒碼,並且也要讓使用者可任意關閉防毒軟體的功能失效,以避免在外時有意或無意將安全軟體關閉,讓惡意程式有機可趁。
另外,針對行動工作者應定期進行教育訓練,宣導應注意的安全事項,例如使用無線網路時,勿選用來路不明的基地台,最好選用具有加密或認證機制的無線網路服務提供商;若需要傳輸敏感資訊時應使用虛擬私人網路(VPN);在外使用筆記型電腦和USB隨身碟,應小心防護避免遺失或使用檔案加密機制等,以減少可能的安全風險。
檢測網站應用程式的安全
目前,網站受到入侵並放置惡意程式連結的事件已時有所聞,因此歲末年終針對現有網站進行安全清查是必要的,基本上建議可以從兩方面來著手,首先是網站伺服器本身的強化,確認作業系統已安裝必要的修補檔、伺服器軟體已進行更新、未使用的連接埠及服務皆已關閉等。其次則是針對網站應用程式進行檢測,可利用弱點掃瞄工具或是原始碼檢測來進行,確保針對常見的網站攻擊手法像是SQL Injection等已具有免疫能力。
如果是提供電子商務服務的業者,更要確認連線加密機制與身份認證機制是否完善,以保護線上交易資料的安全,必要的話,則建議安裝網站應用層防火牆,透過更深一層的封包檢測機制,來避免非正常交易的事件發生,更可同時抵禦常見的網路應用層的攻擊。
避免網路惡意程式的入侵
過去這一年,除了許多受到入侵而挾帶惡意程式的政府、教育和企業網站,再加上即時通訊和社交網站的大受歡迎,大幅提高了使用者感染惡意程式像是木馬、病毒、間諜軟體的風險,為了避免員工使用企業網路瀏覽非工作所需的網站,建議採取管理面與技術面雙管其下的作法。
在管理方面,可制訂並頒布網路的使用政策,清楚說明員工應避免的網路使用行為和違反時的處置辦法,先勸導再懲處會是比較容易令人接受的方式。至於技術方面,則是可以採取將不適當的網站加入黑名單來阻擋連線,或是採用網頁內容過濾方案,透過彈性化的設定來因應不同工作者的需求,並且可及時更新網站黑名單以阻擋新的惡意網站。
建立應變機制,有備而無患
許多企業在資安事件發生時,往往會顯得手忙腳亂,以檔案損毀為例,企業或許平常已有資料備份,但是當災難發生時,資料備份放置於何處?哪些資料該優先復原?復原的步驟如何進行?這些問題往往詢問起來,都找不到一個適切且完整的答案,最主要的原因就是企業缺少了災難應變機制,也就是在平時並沒有準備好有效的災難復原或營運持續計畫。
在駭客技術不斷翻新的今天,我們無法預測將會遭受何種攻擊,但是我們知道哪些是企業重要的營運服務和關鍵資料,因此針對重要的營運資訊,無論是存放在資料庫中,還是在老闆的電腦硬碟裡,針對資訊處理的過程和所使用的設備,都應該思考需要預先採取何種防護,如果連這一點思考都沒有的話,你的企業很可能就是下一位資安事件的受害者。(本文刊載於2010年1月號網管人雜誌)
訂閱:
文章 (Atom)
