由於網路之普及與系統程式功能的日益強大,帶給使用者許多效益,但是伴隨而來之網路攻擊的情境亦更形嚴竣,各種攻擊手法充斥著資訊社會,這些攻擊不僅會導致資安事件或毀損資訊系統,甚至癱瘓整個網路。一般而言,大部分之網路攻擊均是利用資訊系統或應用程式的不良組態及未修補之弱點的脆弱性遂行其攻擊。
美國為面對此問題,根基於1998年之第63號總統決策令,2002年公布的數位安全研究與發展法(CSRDA),於2002年至2007年在電腦與網路研究計畫面向分別撥款美金4,600萬元、3,500萬元、5,200萬元與6,000萬元做為資訊安全組態查檢表(NCP)等科技專案並成立電腦與網路安全研究中心等各個面向的法源,歷程如表1。
資訊技術安全組態簡介
國家查檢表計畫(NCP),是由美國國家標準與技術研究院(NIST)
所提出,目的是為使用國家脆弱性資料庫(NVD)產品(Product),
以促進安全組態查檢表(Security Configuration Checklists)的發展
及普及。安全組態查檢表可使組織及個人更加確信IT產品之安
全性並減少遭受攻擊的可能,安全組態查檢表是一系列於特定
的操作環境中的設定指令,且查檢表能由組織進行調整,以滿
足其特定的運作與安全需求。
查檢表一般是由IT供應商針對其產品所產生,但也能由其他組
織(如學術、金融以及政府機關)產生,使用已規範且標準化的
查檢表能顯著減少資訊產品的弱點。
使用安全組態查檢表的原因,是因為對使用者的電腦而言,許
多威脅是藉由遠距網路服務,經由網站、電子信件和受感染的
程式來散佈惡意程式碼,但因資訊產品對於一般社會大眾而言
過於廣泛,且具有限制性的安全組態控制設定在初始時並沒有
被啟用,所以很多剛開箱的資訊產品就擁有立即的弱點。除此
之外,許多資訊產品的安全設定對有經驗的系統管理者而言尚
是一項複雜、辛苦並耗時的工作,更何況對一般大眾?安全組
態查檢表是一個簡單、基本卻有效的工具,組織應針對操作系
統及應用系統使用查檢表,以減少攻擊者可利用的弱點數目,
並減少帶來的衝擊。
沒有任何查檢表可以使資訊系統達到100%的安全,使用查檢表
的同時,不能停止安全維護的持續進行,如更新檔的安裝。使
用查檢表最主要的效用是強化資訊系統對軟體缺點的預防,與
減少資訊系統可能被攻擊的數量,以提高資訊技術產品的安全
等級,及防範來自未來可能的威脅。而使用查檢表可為組織以
及個人所帶來的優勢如下:提供基礎的安全基準以防範來自本
地和遠端的惡意威脅;評鑑與驗證安全組態控制系統,是否符
合FISMA與其他規範(HIPAA、ISO/IEC 27002、PCI DSS等)要
求,藉以暸解因錯誤的配置而導致的弱點暴露;降低研究和開
發IT產品之時間;允許小型組織運用外部資源,以落實所建議
的安全組態設定;降低因公開性系統的危害而導致大眾失去信
心或造成阻礙的可能。
而美國國家查檢表計畫的目標包括:提供正式的框架給予供應
商與其他稽核之查檢表開發者,以促進相關產品的開發與分
享;對開發者提供輔導,協助其於一致之運作環境下產生標準
且高品質的稽核表;提供更有效之查檢表文件以協助開發者與
使用者;鼓勵IT產品供應商與協力廠商開發查檢表,並以其做
為進行產品組態設定的基礎;提供流程化的作業過程;提供簡
單易使用之查檢表查詢的知識庫;提供標準化的查檢表內容;
鼓勵使用自動化查檢表應用系統。
安全組態查檢表定義
安全組態查檢表可能包含下列:(1) 自動配置的組態文件,與各種安全設定之驗證(如可執行文件,安全範本修改設定、SCAP及Script)。(2) 人工設定的操作說明。(3) 設備安裝方式之建議,與設備設定的說明文件。(4) 政策性文件,提出了針對審核、驗證機制(例如密碼),與周邊安全的指導方針。
查檢表也包含了改善資訊產品之安全性管理實務。通常,成功的攻擊來自於脆弱的管理實務,就像是沒有定期更換通行碼或是定期安裝更新檔等。系統管理者或使用者遵照查檢表中的指令去設定產品或系統,以達到安全的基本水準,或是驗證產品已設定完成。此外系統管理者應修改查檢表,以與自身的安全政策相結合。
設備與軟體安全查檢表可能包含:(1) 主操作系統。(2) 常見的桌面應用程式如E-mail、瀏覽器等。(3) 基礎設備如防火牆、虛擬私密網路、閘道器、無線網路與通訊系統。(4) 應用系統如DNS、DHCP、Web Server等。(5) 其他的網路通訊設備如手機設備、掃描器、印表機和傳真機。
不同的資訊產品有不同之查檢表,如路由器、資料庫都擁有其專屬的查檢表。而查檢表依據不同自動化程度可分為下述兩種:
(1) 自動化:使用一種或多種工具自動產生查檢表,其格式是由
XML寫成並藉由特殊工具讀取XML內容以進行確認系統設
定,如SCAP是查檢表內容之標準規範。
(2) 非自動化:由人工執行,說明管理者之安全操作程序與驗證
安全設定的方法。
查檢表操作環境:
資訊技術安全查檢表之使用分成下列不同的環境:
3.3.1獨立環境(Standalone Environment):
可能為小型的辦公室或是個人工作室,擁有設備如筆記型電腦、手機裝置與個人家用電腦或是遠距設備如通訊系統等。對獨立環境而言,其查檢表應該簡單易懂且容易實作,獨立環境的主要威脅為外部攻擊,而且獨立環境的設備通常缺乏限制性的安全政策,透過惡意的網路服務或是程式下載,其影響包含資訊系統或是資料之可用性、完整性、以及機密性。
之建議如下:
(1) 使用小型硬體防火牆應用系統,阻絕來自網際網路的連結與過濾流量。
(2) 使用個人電腦上防火牆產品。
(3) 應用系統以及操作系統應規劃之更新批次檔。
(4) 透過網站與郵件設定過濾及封阻可能懷有惡意之訊息以及流量。
(5) 關閉非必要的應用服務。
(6) 對無線網路進行加密。
(7) 有限制性的對系統與使用者連結至本地區域網路。
(8) 有限制性的使用者權限。
(9) 有限制性的分享資源。
(10) 備份以及回復程序。
(11) 建立實體資訊安全程序。
3.3.2已管理的環境(Managed Environment):
已管理的環境包含中大型企業、大型政府機構或組織需要管理通訊系統與遠距辦公室之組織。來自遠距與本地端的威脅對系統及應用系統具有顯著影響,已管理的環境通常在網際網路上具有高度識別性、永久性之系統、好記的IP位置以及空間名稱。大部分已管理網路的系統藉由防火牆保護直接暴露於網際網路,但入侵者卻利用內部網路進行滲透入侵,如病毒以及網蟲在短時間內藉由同質性網路進行散佈,因為已管理的環境中有著為數眾多的使用者,所以來自內部的威脅大於獨立環境。
已管理的環境通常具有較好的控制,如控制企業對外的網路流量。並實作許多不同層次之防護(如防火牆、防毒伺服器、電子信件過濾等)以提供系統更高的保護。在已管理之環境,系統通常易受到本地與遠端的攻擊影響,本地端之攻擊如未經驗證使用其他使用者的工作平台,造成對資料之可用性、完整性以及機密性的影響。遠端威脅不只來自外部,也可能來自本地端使用者透過組織網路攻擊其他系統。大部分之安全漏洞來自於遠端威脅,懷有惡意的有效載荷藉由如病毒及網蟲透過信件或是被感染的網站進行傳送。懷有惡意之有效載荷以及網路應用程式攻擊可能影響系統的可用性、完整性以及機密性。
NCP之建議如下:
(1) 藉由內部防火牆區分不同的內部網路。
(2) 集中控管本地使用者搜尋限制。
(3) 集中控管安全相關應用系統。
(4) 自動安裝與升級系統與應用系統的批次檔。
(5) 限制連結至印表機與其它裝置權限。
(6) 集中監控。
(7) 集中備份與還原。
3.3.3客制化環境:
(1) 特定安全限制功能之客制化環境(SSLF, Specialized Security-Limited Functionality Custom Environment):一種具高度限制性與安全性之環境,如對外網站、E-mail、DNS server或是其他公開系統或是包含機密的資訊如個人資料、醫療資料、財務資訊或是重要控制功能如交通、帳務等。一個SSLF可能是其他環境之子環境,因為系統位於SSLF環境具有高度的攻擊與資料外漏的風險,所以安全性優先於功能性,如三台放置組織員工資料的電腦可能就會是已管理環境中的SSLF或是一台筆記型電腦對一個行動工作者而言就是SSLF環境。也可能獨立於其他環境之外。
(2)早期環境(Legacy Environments):舊環境包含了舊系統或是應用系統,使用較舊或是較不安全之通訊機制與其他系統進行通訊。或是非早期的系統在早期環境執行,必須降低安全之限制性才能與早期系統或應用程式進行聯繫。早期環境可能是其他環境中的一個子環境。
(3)聯邦桌面核心組態(Federal Desktop Core Configuration Environments):一個FDCC環境包含系統,必須使用OMB規定的安全配置而被稱為FDCC環境,截至2008年9月,FDCC安全組態設定僅限於微軟Windows XP專業版Service Pack 2和Microsoft Windows Vista企業版。FDCC查檢表是對主要系統應用自動化工具,最推薦的方式是依據Microsoft Group Policy Objects (GPO)進行政策的管理。在佈署至操作環境前,組織應對查檢表進行完整測試,因為FDCC的設定如加密方法的選擇和無線服務都可能會影響到系統功能。FDCC查檢表是對主要管理環境進行佈署,其他如系統安全技術實務與威脅防護均屬FDCC的環境。
資訊安全查檢表:
資訊技術安全查核表之使用與產生流程如圖1與圖2所示。
1 決定需求:
組織通常在實際進行選擇與購買特定之資訊產品前,必須先進行需求分析。該分析包括確認組織的需求(哪些產品)及產品的安全需求(例如,相關的安全政策)。
需求設定可分為以下三步驟:
(1) 定義功能需求:哪些產品必須定義功能需求?預先確認終端使用者之需求,應用適當的安全解決方案並確認該系統滿足其功能需求。
(2) 定義威脅及弱點:確認可能的威脅來源,並考慮資訊產品與系統可用性以及威脅來源可能的弱點。
(3) 定義安全需求:哪種控制可以降低與消滅對產品或系統之威脅及弱點的可能性,由此前提下,組織能選擇最滿足其需求的資訊產品。
2 查檢表之更新與檢索:
決定需求後,使用者可連結至NIST的查檢表儲存庫
(http://checklists.nist.gov/),依照資訊產品種類以及製造商進行相
關檢索,依照檢索結果,呈現該查檢表的延伸內容讓使用者決
定該查檢表是否適合其需求。另外查檢表可分為四個層級,如
表2所示:
3 審閱、調適、測試與文件化:
使用者應下載並仔細審閱查檢表文件,因為查檢表不一定與使用者之特殊需求符合,確認使用查檢表後可能會對組織原先政策與實務所造成的影響。當查檢表無法符合組織特定之需要與需求時,組織應調整查檢表以符合自身政策、規則以及命令。
任何查檢表的修改都皆應予以文件化,並回饋給NIST與其開發商,這些回饋對於開發商是相當重要的,可促使其開發出更加良好的查檢表以及更適合於目標環境中的設定。
應用查檢表對資訊產品進行設定修改前,應先在非關鍵的系統及環境中進行測試,雖然每一份在NIST查檢表儲存庫的查檢表都經過開發商測試過,但往往與使用者環境有顯著差異,進而影響查檢表的佈署。在某些案例中,一個安全控制設定之修改,可能會對產品功能性以及可用性造成影響。如安裝一個更新檔可能破壞另一個更新檔,或是啟動防火牆將可能造成防毒軟體無法進行更新下載病毒碼。
4 對資訊產品使用查檢表:
(1) 設定修改(Setting Modification):
(1.1) 每一個查檢表都包含了特別的安裝指令以協助佈署,即使已經進行審查與測試,使用者還是應該小心進行佈署以減少問題產生。
(1.2) 使用者如無法對查檢表進行測試,則應該更仔細、完整的審閱查檢表文件。
(1.3) 使用者應該對於其電腦中的重要資料進行備份,而可能的話,使用者甚至可以對其系統進行完整備份以確定其系統在使用查檢表之後能完整回復。而對大型組織而言,應遵照此程序;可能的話,組織應在企業或組織進行廣泛佈署之前,先選擇部份操作系統先進行真實測試。
(2) 設定驗證(Setting Verification):
每一個查檢表都包含了特別之安裝指令以協助驗證設定,即使已經審查或測試過,使用者還是應該小心的進行驗證以確認產品設定並沒有因不經意的疏忽而造成變動。
結論
根基於美國聯邦資訊安全管理法(FISMA),前述NCP之規範由美國標準與技術研究院(NIST)主責,期間完成NVD之建置與SCAP使用的標準系列之制定工作,在美國空軍的實作經驗,資訊系統技術面向如圖3與表3所示之資訊安全的成本及風險均大幅降低;中國已完成其第一階段工作,台灣應速「見賢思齊」。
本文作者任職於資安公司、國立臺灣大學資訊管理學研究所