觀點

企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多

2012 / 05 / 25
張維君
企業資安需求(一)  政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多

政府部門依業務領域的不同,有不同比重的資安威脅須面對。公共事業服務單位,系統的可用性、穩定度相當重要,例如民生關鍵基礎建設,包括交通、水力、電力等,一旦營運中斷都將造成嚴重影響;而橫跨中央及地方的一般政府機構,擁有大量民眾個資的包括戶役政、地政、財稅、勞健保等單位,更是個資保護的重點單位;至於負責掌管政策的中央主管機關,則需注意單位內公務員個資安全。

 

威脅與控制措施

最大威脅:委外專案出包 接手廠商不上手

每隔一陣子就有民眾個資,或公務員個資外洩事件躍上新聞版面,有時是被搜尋引擎耙出,有時甚至是大剌剌地張貼在網站上。究其原因,主要是政府資訊系統大都是委外開發,礙於政府採購的標案制度,若原開發廠商第二年度未能得標,換人接手時,資安威脅就大幅上升。一旦過了系統保固期,承接的廠商沒有系統原始碼,這時若有新的漏洞產生,在沒有修補能力下只能靠被動防禦。此類問題常發上在大型專案中所附的小型系統,例如在人事差勤系統專案中,廠商附贈的單一登入入口平台,或是某些業務核心系統做了前台便民服務的查詢介面,都常常有此類狀況發生。部分單位已意識到此問題,會在招標文件「需求建議計畫書」中要求,廠商附贈的系統必須提供原始碼,或要求承接的得標廠商必須全權負責上線中系統的安全。

網路威脅方面,多數政府部門由於已實施滲透測試等資安服務,所以外部攻擊的威脅已降低,目前最大問題就是內部端點電腦被植入木馬之後,所造成更全面的淪陷,如果被滲透的又是系統管理者帳號,很有可能所有或部分該單位的帳號都被撈光。

建議控制措施:LM/網路使用者身份識別控管+資料庫存取稽核 +WAF+端點DLP+ISMS

對於網頁安全威脅所造成的個資外洩問題,許多政府部門的資訊系統都存在歷史包袱,少數有預算的重點單位可以打掉重做,重新做好原始碼保存管理。而資訊安全等級A、B級有建置資安監控中心(SOC)者,也可把網頁應用防火牆(WAF)透過委外監控服務方式涵括進去。至於預算有限,但擁有大量民眾個資的C、D等級如戶政/地政事務所、警察局等,則建議將資料檔案集中管理,強化主機防護,做好日誌管理(LM)、帳號管控等,同時建議也導入資訊安全管理系統(ISMS)。

集中式日誌管理,是作為日後提交舉證資料不可或缺的解決方案,同時也是追查資安事件源頭的工具。若要追查是誰將資料外洩,可透過LM,並將DHCP伺服器的日誌一起收納比對。但如果是固定IP,則可透過IP管理軟體搭配與AD整合的交換器來做網路使用者身份識別控管。然而將來若要提交資料,不能只有系統帳號登入的日誌,也要有核心系統資料庫存取的日誌,預算有限的單位可以自己寫程式解決,預算充裕的單位則可考慮資料庫行為監控管理(DAM),這適合擁有大量民眾個資,且常成為駭客目標的A+級機構。此外也可透過資料庫加密產品來強化存有大量個資的資料庫。LM屬於事後處理的解決方案,如果要做到事前的阻擋,DLP方案則是首選。

優先順序:核心流程納入ISMS、防火牆/DMZ主機日誌集中管理

除了WAF已有單位透過SOC來做之外,LM也已陸續出現在招標文件中,包括要做「防火牆、DMZ主機日誌的原始資料查詢」。至於DLP,由於導入有一定門檻,且一套完整DLP所費不貲,如果希望達到最佳投資效益,專家建議應該先做好資料的分級分類,如此才能分階段,從擁有最多敏感個資的單位開始佈建。過去雖然許多A、B級已建置ISMS但導入範圍可能太小,此次個資分級分類則務必要涵括到業務核心流程。接著,在工具選擇方面,如果單位內已有資產管理軟體或郵件閘道過濾系統等有部分防制資料外洩功能的產品,則建議先從IT管理流程機制面著手,藉由規劃一套管理流程將這些設備的政策設定與調整做制度化,接下來再評估是否還有不足之處需要透過DLP來解決。

必須同步進行的是關於核心系統的存取行為記錄,這部份攸關系統需要改寫,也是一大工程,應及早安排規劃。

 

問題:資安問題背後的原因:專業素質、人力配置、心態問題、主管不重視

政府機關資料外洩,問題往往出自管理制度、作業流程上的疏失,以及人的問題,技術並非主要原因。應加強對業務單位承辦人的教育訓練,以及透過流程制度讓資訊部門扮演好把關角色。如業務單位的資訊採購案必須讓資訊部門會簽,協同驗收等。

進一步探究造成此管理流程問題的根源,則在於人。資訊部門在政府機關屬於幕僚單位,位階不高,業務單位若不配合,若又無高階主管支持很容易發生問題。其次,人力不足。儘管表面上看來資訊預算已逐年增加,但背後卻隱藏另一問題,尤其當民國100年正式實施組織改造、資訊改造計畫後,C、D級單位的資訊業務被併到A、B級來,但若無相關配套措施,將引發更多問題。另外,還有任用資格的問題,許多資訊單位的人事任用其實存在弊端。

然而另一問題是,受限於採購法,政府機關能否找到好的資安廠商來提供服務,存在太多變化因素,由其與業務承辦人的做事心態,決定採取何種招標方式有很大關係。此外,如上所述,許多第二年得標的廠商,承接了先前留下來的系統,有道德良知的會建置WAF等設備做防禦,也有些只是做做弱點掃描等表面工夫交差了事,此時有賴承辦人員具備足夠能力做專業上的監督判斷。

儘管多數政府資訊專案都委外建置,政府資訊人員本身仍應有一定的專業IT管理能力與知識,有基本的資安管理技術至少可解決一大部分問題。例如最基本的帳號密碼管理,對於使用者設定的密碼至少應做到比對字典檔,或者對於駭客第一線碰到的防火牆或IPS等設備的管理密碼也至少應做不同設定。

 

政府單位安全小提醒
1. 個人資料分級分類,ISMS驗證範圍應涵蓋業務端流程。
2. 凡委外開發的網頁應用系統,應要求廠商必須提供原始碼,或要求得標廠商須負責上線中系統的安全防禦措施。
3. 有建置SOC的單位,可把網頁應用防火牆透過委外監控服務項目涵括進去。
4. 進行網路使用者身分識別控管,並針對核心系統的存取行為做好日誌管理。
5. 對於現有防制資料外洩功能的產品,規劃一套機制管理相關設備的政策設定與調整。
6. 加強對業務單位承辦人教育訓練。

 

 

◎資安需求總表請至 資安二手市集 下載

◎相關系列文章:

企業資安需求─2011資安地圖 使用說明

企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效

企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要

企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險

企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料

企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站

企業資安需求(七) 學術機構-校園好多洞 最少應好好遵循ISMS和加密