https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

從金融資安事件談BS7799之應用

2004 / 02 / 09
從金融資安事件談BS7799之應用

文/蒲樹盛


近年來全球資訊安全事件不斷,其中與金融活動相關之資訊犯罪案例及手法不斷增加翻新。金融服務產業包括銀行保險相關行業,與國家安全、發展及社會安定息息相關,與人民生活更是密不可分。為保護資訊相關資產,確保營運持續,金融機構及其高層主管負有實施有效控制資訊安全之系統的責任。
運用國際資安管理手法,增強改善國內金融業之資安環境
對於資訊相關資產,須保護避免其遭有意或無意之揭露、竄改、仿製、複製及損毀。對可信賴資訊形式中之資產,金融機構有必要就其轉移提供保護。企業對電腦化資訊系統的依賴越來越高,金融業務與資訊科技已不可分離。


而絕大部份造成資訊安全事件的原因都不是專業技術的層面,而是在管理面上出現的漏洞所導致。不可否認的是,蓄意犯罪者的專業及投入程度是高於我們一般的從業人員,尤其在資訊安全事件方面;有鑑於此,我們必需有一套能在組織中展開的資訊安全管理機制,藉由組織內人員的知識及警覺來形成資訊安全的防護網,使有心人士不易得逞,適度提高犯罪的成本或難度,這也就是某種程度的資訊安全防護!


如何運用國際資安管理手法來增強或改善國內金融業之資安環境呢?目前全球普遍採用由BSI(英國標準協會)制定之BS7799資訊安全管理系統(Information Security Management System,簡稱ISMS),作為企業建置資安體系之管理標準。ISMS BS7799資訊安全管理系統係運用一套有系統之方法,對敏感/機密資訊資產進行管理,以維護資訊安全。BS7799資訊安全管理系統中絕大部份著重的是在於管理面的要求,此系統提醒在建構及管理整個系統面時所必需留意且不可忽略的層面,並藉由審查機制、事件的回饋及內部稽核來預防資訊安全事件的或是降低損失的風險。目前我國政府機構及企業也對此資訊安全管理系統展現高度重視並積極導入。


金融業及相關服務之資訊安全管理系統標準

(1) ISO 17799-1:2000/BS 7799-1:2002 Code of practice for information security management 資訊安全管理作業要點- 分為10部分, 共有36個控制目標及127個控制措施。

(2) BS7799-2:2002 Specification for information security management systems 資訊安全管理系統要求。

(3) ISO/TR13569 :1997 Banking and related financial services – Information security guidelines 銀 行 及 相 關 金 融 服 務 業-資訊安全指引(屬第三類技術報告,由ISO技術委員會「ISO/TC68銀行、債券及他項金融服務」及下屬委員會「SC2資訊安全防護管理及一般銀行運作」編製而成)。


 
BS 7799 發展現況

截至2003年12月止,台灣獲得BS7799驗證通過之組織中;銀行業佔22%,壽險業佔22%。


目前所有通過BS7799驗證組織中,政府部門約佔22%,但由於在行政院國家資通安全會報積極推動資訊安全行動下,預計2004年,將會有較多政府部門通過驗證;其中,將包括數個與人民關係密切之金融交易系統通過,對確保社會安定及保障人民權益方面,將有顯著幫助!

個案分析-應用BS7799檢視金融資安事件
近來,台灣發生許多金融相關資訊安全事件,例如:銀行遭盜領案 - 側錄金融卡盜領現金、網路銀行網頁洩露用戶個人資料,謹就其中個案對照應用BS 7799資訊安全管理系統標準,分析該組織資訊安全系統可能的弱點及未來改善方向。

 
銀行遭盜領案 - 側錄金融卡盜領現金

犯罪方法:盜領集團在無人銀行之入口處私設讀卡裝置(當使用者刷卡進入時側錄使用者金融卡資料),並於ATM附近加裝針孔攝影機,拍攝並盜取使用者密碼。於製作偽卡後,利用連續假日進行ATM盜領活動!

 
經應用BS7799標準後,發現至少有下列BS7799要求未採取足夠控制措施或未落實執行(茲列出BS7799要求之相關條款編號及內容):


A7.1 安全區域

1. 應避免營運場所及資訊遭未經授權之存取、損害及干擾。

2. 關鍵或敏感的營運資訊處理設施應放在安全區域, 由明確的安全邊界、適當的安全屏障及進出控制措施加以保護。應使這些設備免受未經授權之存取、損害或干擾。

3. 應監督並清查安全區域的訪客, 並記錄他們進入和離開安全區域的日期和時間, 只有屬特定的、權責的目的才能獲准進入, 而且還要告知該區域的安全要求和緊急程序的說明。

4. 存取敏感資訊和資訊處理設施的行為應加以控制, 並限於經過授權的人。所有進出的稽核存底(audit trail)應安全地維持。



A7.1.4 在安全區域內工作

1. 為加強安全區域的安全性, 可能需要額外的控制措施和指導原則, 包括針對安全區域內工作的人員或第三方的控制措施, 以及在安全區域第三方人員的各項活動。

2. 基於安全理由和避免惡意行為發生, 安全區域內不得進行未經監管的工作。

3. 無人使用的安全區域應予上鎖並定期檢查。

4. 只有在需要時才能允許第三方的支援服務人員進入安全區域或使用敏感資訊處理設施, 而且該存取行為應該經過授權並監視, 安全界限內各個安全要求不同的區域間, 可能需額外的屏障及邊界來控制實體存取。

5. 除非經授權, 否則不允許使用拍照、錄影、錄音和其他記錄性設備。



A7.2.1 設備安置及保護

1. 應該注重設備應被安置或保護,以降低來自環境威脅和危害的風險,並減少未經授權存取的機會,應考慮下列控制措施。

2. 可能需要特殊的控制。

3. 制措施來保護設備免遭危害或未經授權之存取,並保護支援性設施,例如電源供應和電纜基礎架構。

4. 處理敏感資料的資訊處理和儲存設施的擺放位置,應降低在使用過程中被漏看忽略的風險。

5. 應採用控制措施以降低潛在威脅的風險,包括:竊盜。

6. 應監視環境條件會對資訊處理設施的作業產生負面影響。



A8.1.3 事件管理程序(以本案而言,當行員發現異常提領時,或民眾反映遭盜領時,或保全人員發現設備遭破壞或改裝時…,皆應啟動事件管理程序)組織應建立事件管理責任及程序, 以確保能對安全事件作出迅速、有效且有條理的回應。


 
A8.1.4 職責區隔

1. 職責區隔是降低意外或蓄意誤用系統風險的一種方法。為減少未經授權的修改或誤用資訊、服務的機會, 應考慮把特定職責或責任領域的管理或執行加以區隔。

2. 小規模的組織可能認為這種控制方法難以達成, 但應該儘可能以實際的方法應用此一原則。若難以區隔, 應考慮其他控制措施, 例如監視活動、稽核存底和監督等。安全稽核保持獨立是非常重要的。



應小心不能讓單獨個人在其個人責任範圍內犯法卻無法發覺。事件的啟動與授權必須分離。


A8.4.3 錯誤事件登錄錯誤

應予通報並採取矯正措施, 使用者通報關於資訊處理或通訊系統的錯誤問題應予登錄, 錯誤通報之處理應有明確的規則, 包括:


(a) 審查錯誤日誌, 以確保錯誤已經圓滿解決;

(b) 審查矯正措施, 以確保沒有違反控制措施, 並且所採取的措施有完全的授權。



A8.7.7 其它資訊交換形式

應制訂程序和控制措施, 以保護利用語音、傳真和影像通訊設施進行的資訊交換作業, 若使用這些設施時缺乏認知、政策或程序, 可能使資訊遭受危害, 例如在公共場所使用行動電話時被偷聽、答錄機被偷聽、未經授權存取撥入語音信箱、或使用傳真設備時意外誤傳他人等。


A9.3 使用者責任

避免未經授權的使用者存取。授權使用者的合作對有效的安全是重要的。


應讓使用者瞭解自己對維護有效存取控制措施的責任, 特別是有關通行碼的使用以及使用者設備的安全。


A9.3.1 通行碼之使用

使用者在選擇和使用通行碼時應遵守良好的安全實務規範。


通行碼是確認使用者身分的方法, 因此據以建立資訊處理設施或服務的存取權限。建議所有使用者必須:


 (a) 維持通行碼的機密性。

 (b) 避免將通行碼寫在紙上, 除非能以安全的方式存放。

 (c) 只要有跡象顯示系統或通行碼可能遭受危害, 就應立即更改通行碼。

 (d) 選用較嚴謹的通行碼, 最少要有六個字元:



(1) 容易記。

(2) 不要使用讓他人可以輕易猜出或取得的個人資訊當作通行碼( 如姓名、電話號碼、生日等等) 。

(3) 不要使用連續的相同字元,不要全部使用數字,也不要全部使用字母。



 (e) 定期更改通行碼, 或根據存取次數更改通行碼(特權帳號的通行碼更改頻率應該比普通通行碼更頻繁),並避免重複使用或循環使用舊通行碼。

 (f) 首次登錄時應立即更改臨時通行碼。

 (g) 不要在任何自動登入作業內內含通行碼, 如儲存在巨集或功能鍵中。

 (h) 不要與他人共用個人的使用者通行碼。



A9.3.2 無人看管之資訊

使用者應確保對無人看管的設備有適當的保護。


A9.7 監控系統之存取與使用:偵測未經授權的活動。

系統應予監視以偵策違反存取控制政策的情形,並記錄可監視的事件,以便出現安全事件時提供證據之用。監視系統可檢查所採用控制措施的有效性,並確認是否符合存取政策模式。


A9.7.1 事件記錄

應產生可記錄異常事件和其他安全相關事件的稽核日誌,並保留至規定時間,以有助於存取控制措施監視及未來的調查。


A9.7.2 監控系統之使用



A9.7.2.1 監控程序與風險範圍

應建立監控資訊處理設施之使用程序, 這類程序是必須的, 以確保使用者僅執行明確授權的活動。


A9.7.2.2 風險因素

應定期審查監控活動的結果。


A9.7.2.3 日誌和審查事件

日誌的審查包括瞭解系統面臨的威脅, 以及這些威脅出現的方式, 發生安全事件時可能需要進一步調查的事件。

 
本案例結論:

整體而言,本案應可加強以下方向之改善:


 1. 無人銀行(含ATM區域)之安全區域防護:

* 定期巡查可疑之人物及行動

* 確實監控攝影並詳細察看(如歹徒私自架設竊盜裝置或私接線路時,應可察覺異常行為)。

* 確實檢查裝置是否運作正常(門禁開關、讀卡機、攝影機、纜線外觀、ATM…。)

 2. 每日監控/異常報表之確實查核:

* 設定異常狀況之報表產生或警示機制(如每日異常提領:以金融卡巨額提領/轉帳、連續數日提領、違反客戶過去習慣、多次密碼錯誤或多地連續提領等…)。若相關行員能及時發現異常,進行確認或加以監控,定可防範犯罪擴大或及時破獲犯罪者。

 3. 加強事件反應及管理能力:

* 緊急應變程序之建立

* 定期演練及教育訓練(往往缺乏演練而導致事件發生後之延誤處理)

* 員工之安全教育及緊急應變訓練

* 建立事件管理程序(事件之定義、啟動程序、處理及改善確認…。)

* 改善作業流程,嚴防不必要之資訊傳遞或揭露(如客戶之基本資料及密碼)

 4. 加強使用者正確使用及良好操作之觀念:

* 定期更換密碼

* 刷卡時注意讀卡裝置有無異常(如:私接或側錄…)

* 操作過程防範被竊取或監視(如:輸入密碼時用手遮掩…)

* 妥善保存資訊之措施

* 加強對使用者教育有關銀行業普遍使用之安全機制說明

 5. 強化委外管理:

* 委外廠商之評選(如:建立信賴評級,適時公告劣質安全廠商)

* 有效具體之安全要求規範(如:具體有效之合約規定,而非形式大於實質之籠統安全條約)

6. 加強犯罪偵防及立法:

* 嚴格偵防人頭帳戶


結論與建議
生活於資訊科技年代,我們都能在通訊、商業活動、教育及娛樂方面享受到前所未有的方便。然而,這種方便加上應用資訊科技的人數迅速增長,為社會上每個人帶來了資訊安全上一個值得關注的新領域。


本文應用ISMS BS7799標準,針對日前金融資訊安全事件作出分析,以探討台灣金融業對資訊安全管理系統之應用情況,及未來發展及加強方向。分析結果發現,目前金融資訊安全事件,多為人員未落實資訊安全控制措施、缺乏資訊安全觀念、管理系統缺乏安全機制及監控回報機制所造成。最後我們將提出改善建議和一些預防方法,作為未來改善資訊安全之參考。


加強全面資訊安全意識(Awareness)及教育訓練

從各種資安事件中發現,多數組織在安全技術上著力較深,較缺乏全面安全管理概念,尤其是人員的觀念及習慣,而這些管理漏洞,便給了犯罪威脅機會。安全意識教育必須全面涵蓋:包括一般使用者、系統使用者/系統管理者、行政管理層、稽核人員、委外廠商及客戶端之資安意識。


欲建立一個令人信任(Trustiness)之組織及系統,必須兼顧各方面之均衡資安發展(如圖二),否則任何威脅均將利用最弱之環節,造成組織之傷害,降低客戶信心!

 
在使用者方面,網路虛擬世界中,為了保護自己,個人亦應注意下列事項:


1. 請務必妥善保管個人身份證字號及簽入密碼,不要隨意洩漏他人。勿將個人的任何密碼告知他人,並不定期變更密碼。

2. 請勿將密碼設定為生日、電話、身分證字號或具規則性排列的數字。不要隨意將帳戶資料或個人資料(如提款卡卡號,信用卡卡號,生日等)告知他人。

3. 使用公開場所的電腦時,請注意不要被週遭他人窺伺,並不要讓瀏覽器儲存簽入帳號,密碼,或其他帳務資料。

4. 請勿使用公共場合電腦進行網路銀行交易以防資料外洩。

5. 電腦瀏覽器設定:使用者端瀏覽器具有密碼記憶功能,為保障您的權益,如發現瀏覽器自動記您的密碼,請依下列說明進行設定。 (Internet Explorer 5.0)
清除密碼:工具 → INTERNET 選項 → 內容 → 自動完成 → 清除密碼 → 確定。
取消自動記憶功能:工具 → INTERNET 選項 → 內容 → 自動完成 → 使用 [自動完成] → 表單上的使用者名稱和密碼「不要打勾」 → 確定。


 
加強管理高層對資安重視之承諾

目前多數組織之資安組織位階過低,無法有效執行資安工作推動(如目前許多組織都將資安工作委由資訊相關部門負責,然而,位階過低常成為推動不易成功之關鍵因素)。若加上缺乏組織高層之實質參與或承諾,極易造成空有推動資訊安全之名,而無收到資訊安全成效之實!

 
加強資訊安全機制及監控回報程序

因應電子資料交換及電子商務型態日益頻繁,加強建置資訊安全機制(電子商務資安工具)已屬基礎交易環境建設。


電子商務資安機制:為保障企業及顧客的利益,應建立並使用相關資安工具。如:


1. SSL(Secure Socket Layer):對交易中的資訊進行加密及認證,以防止封包竊聽

2. SET(Secure Electronic Transaction):處理有關否認性、認證、授權、以及確認以MASTER及VISA Card等銀行信用卡付款的問題

3. 金鑰管理系統基礎建設:金鑰管理系統提供一個安全可靠的環境以進行電子交易,其主要組成部分包括金鑰密碼保護、憑證的管理和提供密碼服務的外部供應商



日常確實執行監控,當發生任何異常或警訊時,即依定期演練之事件處理程序迅速回報處理。

 
落實資訊安全控制措施

依個案分析結果發現,許多漏洞皆由於安控措施未落實執行所致。基本上,若能參照BS7799及金融機構自我要求落實人員實施及持續監控,並不斷加強系統弱點,則資安事件自然遠離,必然可達成安全目標,使組織永續經營!


安全的目的是為塑造使用環境的可信賴性,保護組織資訊資產,提供永續服務,而如何恰如其分仍是尚待琢磨的領域。在競爭全球化的趨勢下,希望藉由BSI及國內相關資訊安全協(學)會等資安組織之推廣,配合政府資安政策,共同提供完整專業之國際標準訓練,提昇我國資訊安全水準,強化國際競爭力!


(本文作者為BSI英國標準協會 大中國區訓練經理 / BS7799 主導稽核員 & 資深講師)