企業資安需求─2011資安地圖 使用說明

資安地圖的架構主要分作：資安需求總表、資安優先建議。
資安需求總表將以資安威脅分類作為縱軸，對照至相關控制措施及產品方案，而資安優先建議則向下深入至產業需求面，探討政府、金融、高科技製造業、醫療、電子商務、中小企業、教育單位等產業最常見的資安威脅，及建議措施。以下針對資安需求總表作說明－ 

資安需求總表使用說明  

首先從資訊風險分類來看，共有C、I、A、L－Confidentiality（機密性）、Integrity（完整性）、Availability（可用性）以及法規遵循幾個主要因素，從資訊風險可對應到不同的威脅，可能的威脅有資料外洩、外部入侵、電腦硬體毀損等疑慮，為了避免這些威脅，運用不同的控制措施來解決，在這之中我們透過關聯線來了解，哪些控制措施可以解決哪些威脅，而這些控制措施又可藉由橫軸不同的產品服務解決方案來實現。

並且，在這些產品解決方案當中，我們又將之分為第一道和第二道防禦，第一道防禦可以說是資安工作中，一般來說會優先完成的基礎資安工作，第二道則為更進階的資安工作。

解決方案策略規劃

在C.I.A三項資訊風險當中，我們又特別關注到資料的機密性，要解除資料外洩風險的控制措施有非常多種。而根據研究機構Aberdeen Group的調查《Putiing the P to DLP》顯示，一些在防制資料外洩方面較為優秀的組織，通常都會同時建置多種控制措施，內容涵蓋主動到被動以及預防型的控制措施，大致可分做三個類型，以便於讀者做策略規劃： 
- 主動型防禦產品：可依政策執行允許或禁止、隔離功能，有時甚至可以因使用者的條件而調整。 
- 被動型防禦產品：這類產品相對應於主動型產品，主要像是Log記錄或是稽核，以及被動的警告管理者或終端使用者採取修正動作。 
- 預防型防禦產品：事先佈署安全的檔案傳輸、加密，或是持續性的控管，像是權限控管、數位資料的銷毀等。

控制措施

而針對一些較有疑義的控制措施選項，我們在這也稍作說明－ 

- 資料存取傳輸監控：

每個權限都有各自可允許存取的資料，因此傳輸監控的措施就是要看這些資料是否有在不被允許的情況下，被透過第三媒介物，例如透過Storage傳出，這可與權限控管一併歸劃考量。 

- 系統稽核日誌雙重備份：

稽核日誌記錄的細節比一般日誌多，一般日誌就比方像是syslog，但稽核日誌會增加像是使用者登入、登出時間以及位置這些資訊。較為嚴謹的是雙重備份，指的是一份資料on site和兩份off site，一份放在系統內，一份備出來放在硬碟，另外一份則同步到遠端的稽核伺服器，因為在系統內的資料，可能會因為操作不當導致Event Log錯亂，所以必須定期備份出來放在硬碟內，但硬碟內的Log也可能因駭客入侵後，將入侵記錄一併消除。除了外患以外，內賊亦有可能是有權限的使用者，在監守自盜後亦可把Log抹滅。

所以較嚴謹的作法就是備份這第三份，也是最重要的同步至遠端的另一台防護層級較高的伺服器，這部份的權限也可以提高到更高層級，主要是提供歸檔、稽核使用，同時也可以避免因實體物件遭破壞之後，導致資訊無法取回的問題。目前大部分的使用者因為成本考量，多半只做到一次的備份或者甚至無備份。 

- 監控特權系統帳號存取行為： 

倘若特權帳號登入系統做壞事，在Log來不及同步出去前，馬上把相關的Log清掉，如此一來便無從查證起，所以針對特權帳號再進行稽核是有其必要的。一般的狀況裡，帳號稽核僅是在系統內依照Event Log或其他Log資訊做稽核，卻遺漏掉，憤怒的員工可能是最大的資安威脅，所以在規劃上並不常包含這塊。 

- 強制存取路徑：

讓在權限控管內的帳號僅能查看其所屬的資料。

持續性控制措施－ 

而有些控制措施被列為「健康檢查」，由於必須持續性的去實行，可以在過程中發現系統問題並加以修正，調整企業整體資安體質。例如：
定期檢視Log、定期系統弱點掃描、標準化系統（主機／網路）安全組態設定覆核、教育訓練、ISO 27001、ISO 2000、定期滲透測試等。有些可以自行完成，而大部分可能需要廠商提供專業的資安服務。

標準化系統（主機／網路）安全組態設定覆核：

這可以說是一個環境安全設定的標準化流程，先針對企業整體IT環境設計一套安全設定的SOP，再依照計畫執行，而由於IT環境會隨時間變動，之後需運用相關的管理軟體來進行調整。

滲透測試： 

當產品上線時需要做一次完整的滲透測試，將真正發現且存在的問題排除解決，因此在此表格中「滲透測試」為一解決方案。但之後，產品的伺服器會更新、網路會調整，可能在這樣的歷程中又會出現漏洞，所以控制措施當中「定期的滲透測試」就是要控制這些威脅。

◎資安需求總表請至 資安二手市集 下載

◎相關系列文章：

企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多

企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效

企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要

企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險

企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料

企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站

企業資安需求(七) 學術機構-校園好多洞　最少應好好遵循ISMS和加密