政府資安大檢測　你準備好了嗎？

文／鄭進興　陳嘉玫　陳年興（本文作者任職於台灣電腦網路危機處暨協調中心TWCERT/CC）


隨著政府推動「e化台灣」、「e化政府」等計劃，許多政府單位的資訊都是透過資訊網路來發佈、交換或儲存，這些資訊一部分是公開資訊，提供使用者更便捷的服務，使政府行政更具效率，但是也有一部分可能包含著機密資訊、個人隱私資料、甚至是國防軍事機密部署等。由於資訊網路本身的弱點，使得一些機密的、敏感性的資訊可能洩漏或資訊網路系統遭受入侵破壞，有鑑於此，行政院於九十年元月通過「建立我國通資訊基礎建設安全機制計畫」，成立「國家資通安全會報」並設立「國家資通安全應變中心」、「國家資通安全資訊中心」與「國家資通安全技術服務中心」來推動相關的電腦網路犯罪、危機的防範與防護相關工作。
政府資安大檢測
「國家資通安全會報」執行長蔡清彥政務委員指出，「國家資通安全會報」工作組已於90、91年建立國家資通安全基本防護能力，接下來的工作重點為建立資安防護體系、檢驗資安應變能力及健全資安發展環境，細部再分由17項作業項目來執行，如資安訪視與稽核服務、資安管理制度推動、推廣與教育訓練、建立資安監控中心預警及通告機制作業等。其中包含92年12月底前完成異地備援系統，93年6月通過BS7799國際資安認證，93年12月底前建置完成資安監控中心預警制度等。建構有效的國家資安防護體系，才能防止重要政府機關及民生重要資安體系遭人滲透及破壞，或是在遭破壞後能即時復原，快速恢復正常運作。


「國家資通安全會報」更進一步將各地3713個政府單位依國防、行政、學術、四大類事業體（經濟、交通、財政、衛生）劃分，並且就每項縱向屬性類別下再區分「Ａ級」－『重要核心單位』、「Ｂ級」－『核心單位』、「Ｃ級」－『重要單位』及「Ｄ級」－『一般單位』等四個不同橫向等級單位。並給予不同的資安服務與要求。並預計今年五月招募具有駭客能力的網路高手對於包含了總統府、行政院、調查局、現有的核一、二、三電廠、民航局航管單位以及過去曾遭突破的銀行、金資等肩負國家形象、或儲存有重要行政、金融資料的「Ａ級」、「Ｂ級」單位進行駭客攻擊演練，以特定時間、無預警的方式，隨機對525個「Ａ級」、「Ｂ級」單位進行測試，測試該單位機關對於資訊安全防護能力。


這項計劃的公文目前大概都已送達各單位，列名A、B級的單位人員，有的已經在平常作了周全的準備，有的則是戰戰兢兢深怕有所疏忽，再加上礙於經費、設備或人員的不足，深怕一個萬一，資訊安全防護做得不夠完善，而在攻防演習時，被入侵或攻陷，造成單位的困擾等。本文就攻防演習時，面對駭客入侵提供資訊安全防範的思考方向、做法及建議。


駭客入侵步驟
首先我們來探討駭客入侵時，可能會進行的行為，透過駭客的角度來修正安全上的漏洞及執行適當的防護措施。駭客入侵的行為可以簡單的分成五個階段：列舉、入侵、權限提昇、資料竊取或破壞系統、毀滅蹤跡及安裝後門。


列舉階段


駭客想要入侵您的資訊系統前，必定會先查看您有什麼樣的資訊系統環境，包含掃描您的機器，掌握你是使用哪一類型的作業系統、提供了哪些服務及網路的拓樸等。利用這些收集的資訊進行下一階段的入侵準備工作，例如：知道使用哪一類的作業系統就可以找到該作業系統有哪些弱點，這些弱點可以提供駭客入侵的管道。然而，當駭客進行掃描時，在您的系統中可能會留有一些蛛絲馬跡可循，例如，非正常的連線紀錄等，可以警示我們有不良意圖的入侵者進行攻擊準備。


入侵階段


使用列舉階段所得的資訊進行入侵的動作，例如：利用IIS弱點取得入侵的管道，可能取得較高的系統管理者權限或是僅只有取得一般使用者的權限。當駭客取得系統上使用者權限時，就能利用它來進行資料竊取或是進一步用來提昇到更高系統權限。當駭客已經進行到這個階段時，系統防護的工作就必須依靠系統管理者使用適當有效的稽核工具對於異常情況進行監測，以及在事先做好對於資訊系統安全的規劃設計或資訊安全政策執行的落實。


權限提昇


當駭客攻進系統，並且取得一般使用權限時，下一步驟就是提昇權限，以取得更多的系統控制權，並且為毀滅蹤跡及安裝後門程式做準備。此一階段通常隨著入侵階段一起發生，當駭客取得系統控制權後就可以完全控制整個系統，並進行他所想要做的任何事情。就像上一個步驟所描述的方法，要避免駭客完全的入侵，除了技術層面對於系統或是網路安全設備良好的設定外，管理層面的資訊安全規劃及政策落實執行與稽核是非常重要的工作。


資料竊取或破壞系統


駭客入侵的目的可能是為了要竊取機密或有價值的資料，或許有些單位認為我們單位並沒有這一方面顧慮，但是所謂資料的價值是指資料或資訊的有用性而言，舉例來說，「道路位置圖」對於一般民眾可能不是什麼有用的資訊，但對於建設公司而言，可以使用「道路位置圖」來發展或是購買未來有潛力的土地。由此得知，當資訊洩漏出去時，或許對於一些人來說是無用的，但對於某些人卻是有利可圖的，更別說當軍事部署圖或是未來重大建設藍圖、計劃洩漏時所產生的後果了。想要防止這樣的事件發生，除了平時對於使用者資訊安全觀念的建立外，亦可利用加解密軟體來進行相關資訊的保護。這些技術並不困難，但往往是沒有去管理與確實執行，例如：MS-Office內建就有文件加密的功能等。雖然這不是最安全的做法，但是卻是資訊安全防護最簡單有效的做法之一。


毀滅蹤跡及安裝後門

當駭客取得系統管理者權限時，就能夠將入侵的軌跡紀錄檔清除，毀滅入侵的蹤跡，並且安裝後門程式，預留下次侵入的管道，此時要偵測駭客的存在變得更加困難，就只能靠著系統外部的流量監測或是安全的工具程式來加以檢驗系統上是否有駭客蹤跡的存在，由於駭客已經取得系統的權限，所以稽核紀錄檔案也不可信，此一階段若不能把握將駭客所安裝的後門程式或惡意程式清除就只有將系統重新安裝一途了。


除了上面所提的入侵步驟外，非法入侵者最常使用的方法就是進行實體的入侵、破壞、竊盜或是社交工程，由於政府機關單位開放對外服務民眾，因此也給予非法入侵者魚目混珠的機會，能順利進入政府機關單位中，如果該政府機關單位對於實體設備沒有嚴格的管制機制，讓不法份子有了可趁之機，將實體設備偷竊破壞或執行安裝後門程式等，危及單位組織的資訊安全。再者，可能利用人性的弱點進行社交工程，假冒系統維護理者套取使用者密碼或假冒廠商套取系統權限的密碼等。防範的方法除了良好的資訊安全政策外，對於單位內部人員的教育訓練亦是重要的防範方法之一。


資訊安全防護的思考方向
知道了駭客如何進行入侵或攻擊的動作，現在我們來看看如何防範駭客入侵與保護資訊網路系統安全。本文提出「視、析、評、求、教、防」資訊安全防護的思考方向及建議如下：


視


檢視也。資訊安全防護時，首先要進行單位、組織環境的檢視，檢視目前的資訊系統情況，並思考哪些是單位、組織中可能被入侵的弱點，檢視可從實體環境、資訊系統環境著手思考、進行。實體環境有兩方面，一為實體設備的安全，資訊設備所在的位置是否有足夠的空調、消防設備、不斷電系統等，除了確保系統運作正常無誤外還應考量備份系統的環境安全等因素，二為實體管制方面，對於存取實體設備的控管、設備機房的出入管制保護等因素。
資訊系統環境的檢視包含系統環境與使用的軟體系統、應用軟體兩部分，系統環境指的是網路的閘道、伺服器的系統設定等，我們可以從網路的介面來檢視外來入侵者可能的入侵途徑，尋找單位組織中對外連線的伺服器或是介面，當介面越少時，表示您能更有效率地控管內部的網路，舉例來說，單位、組織中對外連線單純只採用T1線路連接網際網路，比單位、組織內部中除T1線路連接網際網路外，還有內部使用者使用其他線路(例如 ADSL )連接網際網路來的安全許多，因為對外連線的閘道介面越多，表示駭客有越多路徑可以進入您的內部網路，除非安全政策及控管完整否則被駭客入侵的機會將大幅提高，所以我們可以從網路的介面來檢視、思考如何來制定相關的安全政策。伺服器的系統設定方面則是檢視伺服器所使用的作業系統是否有相關的系統漏洞被發現，及非必要的服務是否開啟等，找出伺服器的系統的相關弱點，以進行修補或防護工作。


使用的系統軟體、應用軟體檢視有二個主要目的，一為找出目前賴以作業的資訊系統是否具有安全弱點，進而造成資訊洩漏或是被駭客利用來進行系統的入侵，舉例來說，警政單位普遍存在著對外發布訊息的網路公佈欄系統，若其存在有弱點，則駭客可以藉由其散發假消息，造成警政單位的信譽損失或民眾的恐慌，駭客利用公文系統傳遞的漏洞將公文竄改，造成行政程序的錯誤等。二為檢視單位組織中是否使用非法或從網路上下載來歷不明的軟體使用等情事，以避免內部使用者自行敞開大門歡迎駭客的到來。透過檢視來查看目前單位、組織中所面臨的弱點與威脅。同時也為下一階段的防護工作進行準備。


析


弱點分析也。弱點分析要借重上一步驟所完成的事項來進行，當完成檢視單位、組織實體環境、資訊系統環境後，對於檢視的結果與所發現的弱點進行分析並且找出相關的安全防護與解決方案，舉例來說，當您完成檢視實體環境後發現對於設備機房的進出並無實際的管制，大家都可以隨時進出，此時您可能要考慮在設備機房中加裝門禁系統或是訂定管制辦法等方案；當您檢視完使用的系統軟體、應用軟體後發現用於單位中的網頁伺服器主機所使用的作業系統已有好久沒有修補相關的修正檔時，您可能要考慮進行安裝安全性修補程式等。


進行弱點分析基本上是可以藉助一些工具軟體，例如，使用Nessus掃瞄工具來幫助進行弱點檢測分析的工作，或是委託外部相關網路安全公司，進行專業性的檢測與分析建議。目前，台灣電腦網路危機處理暨協調中心（TWCERT/CC，http://www.cert.org.tw）自行開發了網路安全檢測系統(Security Auditing System ，SAS)，提供會員線上自我進行安全檢測，以了解網路相關的伺服器系統是否存在弱點，及提供弱點修正建議，檢測報告更以中文方式呈現，協助單位、組織能快速進行弱點分析工作。


評

評估也。透過檢視找出相關的弱點，再經由弱點分析尋找弱點的解決方案後，接著就是利用單位組織所擁有的資源，評估選擇適當可行的安全弱點解決方案。由於資源有限，所以僅能選擇最優先的安全弱點解決方案，再考慮其他較不耗資源的解決方案，除此之外，最重要的是要對於未來的資訊安全做長期規劃，例如，資訊安全政策，相關設備的採購與建置等，依照時程逐步實現有效的資訊安全防護計劃，避免來自駭客、病毒、網蟲的攻擊等威脅。


求


尋求外援也。在有限資源下，組織或許面臨著網路安全人才、設備的不足等問題，值得欣慰的是目前有關網路安全的問題已受到大家的重視，從政府成立國家資通安全會報，設立技術服務中心（ICST）提供政府單位資通安全服務，及民間網路安全服務公司也逐漸發展起來。而TWCERT/CC自民國八十七年九月正式成立以來，為了防止電腦網路安全危機事件的發生，積極的幫助國內各單位處理電腦網路安全的相關入侵事件、協助系統管理者診斷電腦網路安全漏洞、提供電腦網路安全資源與工具、及舉辦網路安全之教育訓練與宣導活動等，不斷積極強化組織功能及網路安全服務的提昇。目前，TWCERT/CC亦已

結語
鑒於國內從政府機構機關單位到民間產業、組織等對於資訊網路安全的日益重視，顯示國內透過資訊網路提供各項資訊服務的過程中，已逐漸地兼顧資訊網路的便利性及安全性的兩大特點。也唯有在安全無虞的資訊網路環境中，才會有更多的服務願意藉由網路提供，使用者也才願意在網路上進行各項資訊交換、交易活動，創造及實現豐富的網路社會環境。政府部門率先進行全面的e化，以提高行政效率及服務的效能，更進一步有系統的建設e 化的社會與國家，建造一個具國際競爭優勢及能提昇全民的福祉的環境。然而這些政策及計畫的推動不光只有政府機關組織參與，應該還包含了民間產業、企業組織、乃至於個人，大家共同協力合作才得以完成。


「資安攻防模擬演練」只是計劃中的一部分，但它在建立安全無虞的網路環境中，卻扮演著一個重要的過程與角色，協助我們思考整體的資訊安全防護體系是否仍有未盡完善考慮之處，同時也檢驗我們的資訊網路系統在被入侵、攻擊破壞後的應變及復原計劃是否確實可行。本文僅提供給予相關單位、組織在進行資訊安全防護時思考方向及建議，以協助打造一個安全的網路環境，共同維護台灣地區網路的安全性。