觀點

更適性的政府版ISMS 瞄準核心業務系統

2009 / 11 / 10
吳依恂
更適性的政府版ISMS  瞄準核心業務系統

要全盤了解政府資安推動計畫,可從《資安規範整體發展藍圖架構》及《發展藍圖內涵》一窺全貌。(如圖1)接下來,研考會將透過一系列的指引文件,如預定編訂的安全控制措施指引及已完成的Web AP安全指引、E-Mail安全指引、電子資料保護指引、資訊作業委外安全指引等,來執行推動政府ISMS工作,同時將建立政府資安認驗證機制,透過成熟度評鑑方式進行驗證,並推動公務人員資安職能規劃及建立資安能力評量制度。

(圖:吳啟文 009.jpg)
(圖說:行政院資通安全會報通報應變組主任吳啟文)
(圖:IS01.jpg)
(圖說:資安規範整體發展藍圖架構)
(圖:IS02.jpg)
(圖說:發展藍圖內涵-文件發展)

一直以來,研考會的國家資通安全防護管理平台(NSOC平台),都擔任著政府機關資安神經系統的角色,透過部署於機關端的警示系統蒐集資安威脅情報(如中繼站阻擋清單等),據以發展惡意程式偵測規則,並進行監控及發布資安警訊。同時也將中繼站阻擋清單及惡意程式偵測規則部署於GSN(Government Service Network)骨幹網路進行阻擋與偵測,光是去年一整年就阻擋了4,000多萬次政府機關受駭電腦與惡意中繼站連線,並建置網頁瀏覽安全及垃圾郵件過濾系統,垃圾郵件從每日約400萬~500萬封,減量至約100萬封,另瀏覽惡意網頁次數從每月約5,000萬次,降低至約2,000萬次,有效降低公務員上網風險。

政府資安通報應變機制施行4年多以來,吳啟文的感想很多,他認為在中央及地方政府機關的共同努力下,對於落實政府資通安全防護體系,建立資安事件事前安全防護、事中預警應變、事後復原鑑識能力等均有具體進展。惟面對電腦病毒、駭客入侵、個人隱私資料外洩及網路犯罪等各種資安威脅,以及組織型駭客有計畫且針對性攻擊,過去雖推動SOC資安事故訊息分享,並訂定SIDEx訊息交換格式,對於訊息交換項目及內容仍有強化空間。

因此為了提升資安訊息交換與分享,建立資安聯防合作機制,並達早期預警目的,研考會將建立政府資安資訊分享平台(G-ISAC),並與國家通訊傳播委員會(ISP業者主管機關)及教育部(TANET主管機關) 進行資安通報與威脅情資分享,資訊交換文件將會包含資安警訊(如入侵事件、網頁攻擊、資安預警等)、威脅情資(如中繼站、BotNet資訊)、資安事件(如統計資料、資安事件通報)以及請求協助(如請求技術支援、協助事件調查、支援處理情形)。

讓驗證機制更落實  不流於形式 

除了通報應變機制再強化以外,政府機關自身的資安體質自然也需要不斷提升。經過國家資通安全會報針對96、97年A、B級機關應辦事項執行達成率的調查,檢討發現各機關目前所面臨到的一些問題,例如部分機關所導入之ISMS驗證範圍並非核心系統,有些機關為求通過ISMS驗證,會挑些範圍小、簡單的系統,如機房或網站,來通過驗證,不僅成效不顯著且部分機關後續也未能落實持續維護,或各機關依然面對著人力、預算、資安意識不足等問題。並且,目前ISMS驗證較偏重在管理層面的驗證,較缺乏技術性的稽核。

在面對問題、重新審視ISMS本質後,研考會規劃推動政府版之資訊安全管理制度,政府機關專屬的ISMS不僅會參考國家標準(如CNS 27001等),同時還會參考國際相關標準,是針對政府機關特性及業務需要所提出的,好處是可以符合瞭解需求和迅速推動,就像教育部建立的教育體系ISMS機制,以校務行政系統及網路系統為優先推動範圍。當然,我們也關心到,過去若已經通過ISO 27001驗證的機關,正可趁此機會來檢視一下,過去通過驗證的範圍,是否為該機關之核心系統?並且部分B級機關依然存在沒人、沒錢的窘境,如今研考會也打算透過此一驗證規範更加落實資安規範,重新審視且強化技術稽核,並挑選適當的機關協助集體訓練、群體導入,不僅確實檢討可行性也能藉此做出良好示範,以提供尚未導入資安驗證之機關參考。

而將來驗證機構進行驗證的標準,預定將以各參考指引為主,佐以檢查表為輔,各機關可先透過檢查表,自行一一審視各項資安工作是否確實達成。過去參考指引比較像是參考性質的文件,預計往後這些參考文件會更加全面、更加齊全,並且都將會作為一個政府版ISMS驗證通過的指標,成為其中的控制項目,加強其執行力度。
而檢查表的審查,則已經來到ISMS檢查(Check)的階段,在往後的教育訓練裡,這些參考指引及檢查表,也都會是實作的指導範本。最後,在行動(Act)階段,即可透過資安規範來進行驗證,並且做到維持與持續改進ISMS。屆時也將會結合資安規範與參考指引文件以符合資安成熟度評鑑的要求。

在政府版ISMS的執行面上,今年首先進行的主題便著重在於電子郵件安全指引與Web AP安全指引,社交工程以及網站應用程式安全是目前政府機關所面臨最主要的兩大威脅,自是優先處理。其後配合個人資料保護法修正通過,明年預計將會把重心擺在電子資料保護指引和資訊作業委外安全指引。

政府資安認驗證體系架構,大致上可分為三部份:驗證機構、人員驗證、教育訓練。目前驗證機構的認證作業規範仍尚在研擬當中,人員驗證及教育訓練的部份,則留待下期揭曉。

C.I.A、業務原則

分級鑑別需驗證資訊系統


國家資通安全會報正在研擬「資訊系統分類分級與鑑別機制」,預定將資訊系統分為三個安全等級-普(等級1)、中(等級2)、高(等級3),等級越高表示對資安防護需求越高。該機制之目的,在於透過一些程序判別出保護標的,基於風險評估之原則,衡量該系統就資安C.I.A三層面喪失時所可能造成的衝擊,更由於各機關的資源有限,因此自然要挑選出重要、最核心的資訊系統。

資訊系統應先識別資訊類別,其次則是設定其影響構面範疇,來設定其等級,例如說可依資料保護受到損害、影響業務運作、影響法律規章之遵循的程度、人員傷亡、損害組織信譽或其他像是財物損失等6構面,來判定其資訊系統之安全等級。
其次,則會依據資訊系統之業務屬性來檢視等級之合理性,例如關鍵性業務、支援性業務和行政性業務。當然,各機關也要參照本身業務需求去調整、定義業務屬性。

同時,研考會將參考國際相關標準訂定安全控制措施參考指引,以作為不同安全等級資訊系統需具備安全控制項目之參考依據。

法務部資訊處看郵件參考指引
文/張維君
成為研考會郵件安全參考指引的示範導入單位,談到這套指引,陳泉錫處長肯定技服中心顧問在協助社交工程教育訓練方面的成效,對提升使用者辨識社交工程郵件有一定幫助。然而現在實際面臨的問題是,研考會在進行社交工程演練後,會對演練成果採取計點方式,以統計各機關防護績效,這樣做立意雖好,但壓力落在各機關資訊部門身上。

陳泉錫表示,法務部因資訊預算有限,郵件系統無法採取實體隔離方式,因此透過制定行政管理規則要求使用者配合。長久下來,使用者對於社交工程郵件的敏感度確實有提升,但另方面卻也帶來開啟郵件時的心理負擔。陳泉錫建議,應建立一套公務機關使用的政府內網郵件系統,至少使用者在開啟公務往來的郵件時可以較為安心。另一方面,也可降低使用者為了避免被社交工程演練成功轉而使用私人郵件的風險。畢竟,透過私人郵件信箱處理公務,其資料外洩風險可能更高。

現今的社交工程郵件設計越來越狡詐,尤其是針對目標的客製化郵件,即使是訓練有素的資訊人員都可能不慎開啟,何況在各機關實務上,許多使用者,例如法務部地檢署檢察官,其工作環境有特殊需求需要時常開啟各種郵件接收各種訊息,這都需要個案去設計配套措施,而無法一概適用所有的郵件管理辦法。因此,陳泉錫認為,對於端點的防護只能盡可能做到避免被社交工程郵件滲透,但重點是對關鍵的核心系統還是需要透過層層的嚴格保護才行。

圖:陳泉錫
圖說:法務部資訊處處長陳泉錫:社交工程演練立意雖好,但造成使用者心理負擔,應規劃建立封閉型政府內網郵件系統。