觀點

歐巴馬資安大體檢 透過稽核找出政府系統漏洞

2009 / 07 / 15
編輯部
歐巴馬資安大體檢 透過稽核找出政府系統漏洞
美國針對幾個政府機構的資安問題進行揭露與要求改善,希藉此強化網際國土安全。

外電報導

  根據國外媒體報導,美國總統歐巴馬在2月10日下令全面檢討美國網路與資訊系統安全,以確保政府的資訊科技系統免受安全與經濟威脅,同時也兌現他的競選承諾,「我們必須預防恐怖分子或間諜入侵國家安全網絡,我們必須要針對任何網路攻擊建立識別、隔離、應變需要的能力,而且要制定新的安全要求,包含網路安全、電力、水資源、空中交通管制與經濟市場等關鍵基礎設施。」

  歐巴馬已將網路安全威脅視作與核武攻擊或生物攻擊相同的嚴重威脅,因此他任命了Melissa Hathaway作為白宮網際空間安全主任,也就是最高的網安官員(Top Cyber-Security Official),帶領為期2個月的資安總體檢。Hathaway之前擔任國家情報總監(DNI),負責協調網路監督工作。即日起立即執行為期60天的政府網路安全稽核審查計畫,目標為建立確保美國政府資訊系統的安全相關資源是充足的、經過有效的整合,並且能夠有效地協調政府與民間資源,以維護資訊系統安全地運作。

資安稽核為何做

  美國反恐與國土安全負責人John Brennan說:「國家安全與經濟的正常發展,仰賴網路國土的安全、穩定和完整,不論是政府和民間皆如是。」華盛頓智庫戰略與國際問題研究中心(CSIS)主任James Lewis也認為這是經過認真思考後最好的解決方案。

  此舉應與競選期間經常遭受駭客入侵有關,加上歐巴馬本身對於網路科技的熟悉,因此身邊幕僚也就自然地完成了這一次的建議,包含未來實施的Cyber Storm 3網路安全演練都很有可能親自督軍並且擴大演練範圍。

  無獨有偶在白宮發佈此訊息隔天,聯邦航空管理部(FAA, Federal Aviation Administration)就承認其內部電腦系統遭到駭客存取超過4.5萬名的員工與退休人員資料,資料內容包含社會安全號碼,經過調查表示在受害主機上面有48個機敏檔案中,確定有2個檔案遭到不當的存取。

  歐巴馬對於資安的魄力與決心,讓美國政府單位更勇於將問題揭露出來,重點在於解決問題,而不只是「喬」問題而已。同時,美國國家資安中心(NCSC, National Cyber Security Center )主任Rod Beckstrom也表示,政府將招募民間電腦安全專家協助美國政府完成此一任
務。

  為什麼要有資訊稽核呢?透過這個方法可以達到什麼效果?這是一般人對於此一行動的疑問。甚至有人提到我國每年也都有做資訊安全攻防演練以及資訊稽核,我們比美國還要嚴格先進。

  但如果我們從執行層級及正式組織的行政架構來看,不論是在規模與嚴謹度,都是無法相比的。

  對於這次美國的資安稽核執行方式,除了有來自於最高管理機構的授權與帶頭,統合其國內之政府機構人才與資源,透過分工與分層負責,輔以民間資源的參與,最重要的是有足夠的經費(其實不用花多少錢),當然在技術與程序上可能有需要強化的部分,這也是為什麼要招募民間資安專家輔佐團隊的原因,大部分的資安稽核方式與一般稽核無異,核心觀念與做法是相同的,但是不同的是對於資安環境、技術演進的熟悉度,才能夠看到問題、知道哪邊可能會有問題,以便於確實找出問題、矯正問題。

依稽核報告 改善資安問題

  預期本次資安稽核應該會包含政府機構與資訊系統的內外部程序、系統環境、人員等,從網路邊界安全到內部安全、內部程序到人員資安意識強化,當然會出現一套標準化的作業程序與工具輔助,大家可以拭目以待。今年1月美國的政府責任辦公室(GAO, Government Accountability Office),發佈的一份稽核報告,針對幾個政府機構的資安問題進行揭露與要求改善。

  GAO類似於我國行政院主計處與研考會之綜合體,一般接觸到的就是他對於政府單位的稽核報告,本次報告算是GAO對於資安問題集大成的一篇稽核報告,是GAO對金融犯罪執法網(FinCEN,Financial Crimes Enforcement Network)及中文可譯為國庫溝通系統(TCS, Treasury Communications System)與內地稅務局(IRS, Internal Revenue Service)等單位進行資安稽核後所提出的報告。其內容大致為FinCEN、TCS及IRS,雖然有做到基本的資安防護機制,但是在許多面向上還是流於表面,沒有真正找出問題、解決問題,這與歐巴馬本次資安稽核的強硬度是否有關連,是不是新政府幕僚看了報告後才知道原來政府機構資安都是玩表面的,所以問題才會不斷發生,加上與現實環境技術面落差過大,因此促使這次歐巴馬的資安大體檢。

  該報告指出,在FinCEN、TCS及IRS部分,對於以下的資安環節有待加強,包含用戶身分鑑別和驗證、授權、加密技術的使用與管理、網路邊界保護、稽核和監控、實體安全。

  其稽核的方法包括評估與驗證密碼設定規範,藉此確定用戶識別與授權是否被強韌的密碼管理保護;檢驗系統存取列表(access list)以了解其授權是否超過工作上最基本的權限要求而授與過多、過大的權限;分析系統與網路組態以確認在這些資料傳輸路徑上的機敏資料有被適當地加密;觀察與驗證實體安全控制可保護電腦設施不被有意或無意的侵入破壞;檢驗備份與復原計畫程序能否保障關鍵系統並確實演練過;調查關鍵的伺服器是否做好更新與修補管理;各種文件是否記錄反映實際的資訊環境變更狀態等。

  此外還有分析關鍵系統風險評鑑是否完整地記錄於文件、檢驗資安計畫是否涵蓋管理面、作業面、技術面的控制項目以及在程序上、實務操作規範能否有效地提供個人資安權責的作業指引、是否提供有效的資安意識強化與訓練,以提升及確認個人在資安權責上的釐清與認知。

  透過本次的資安大體檢,歐巴馬政府期望能畢其功於一役,搞定令人頭痛的資安問題,確保經濟發展不會因此而蒙受損失。

GAO稽核內容偏向於宏觀面與機制面,加上稽核要求看到證據的驗證之後,有提出幾個問題供借鏡:

u 雖有建立對用戶身分識別的政策與實作,但卻非持續一致地落實。

v 缺乏持續針對用戶存取機敏資料之適當授權。

w雖採用加密方法,但是對機敏資料還是沒有提供適切的保護。

x 雖有邊界防護與入侵偵測,但是弱點依舊存在。

y 雖有稽核與監控措施,但總抓不到嚴重的關鍵事件發生。

z 雖有作實體安全門禁,但是管不到攜進出的筆記型電腦。

{ 雖有持續營運計畫,但對於高風險系統之計畫卻未曾完整演練過。

| 雖有組態管理系統與變更控制,但弱點依舊存在。

} 雖有更新管理系統,但是關鍵系統上仍發現有嚴重弱點未修補。