先把存取控制做扎實,過程中可以理出組織最佳管理實務,再搭配採購欠缺的設備來補強存取控制無法做足的部份,才能展現較佳投資效益。
新版個資法在立法院三讀通過後,擴大了資料保護的範圍,政府機關及企業組織無不尋求一套合理可循的因應方式,以避免所掌管的個人資料外洩,而成為眾所矚目及媒體爭相報導的對象,而因應方式,大多採取採購資安設備來對應,詢問度較高的資安設備產品,不外乎網頁應用程式防火牆(WAF)、資料庫監控稽核(DAM)、防制資料外洩(DLP)、郵件備份稽核及網路行為稽核側錄等。然而,效益可以很大,也可能有限。建議採購相關產品前,先實施內部自我檢視,深入強化安全機制,再搭配採購需求產品,會具有較佳的效益。
解決內賊問題,先把存取控制做好
內部自我檢視及深入強化安全機制的實施方式會因組織特性不同而有所差異,好比在學時期的必修課程,然而,存取控制是眾多必修課程之一,是一項基本功,如同練武之人須先練習蹲馬步一般,唯有穩健的底盤功力,才能練就一身好武功,存取控制對組織來說,是最基礎的基本功,基本功沒做好,買再多設備也頂多拿來當事後稽核使用,而且,綜觀最近業界資深人士說法,一致認為內部(內賊)的問題比較大。因應個資法,把內部存取控制做好更顯重要。
存取控制?應該不難做吧!這是一般人的想法,但是要做到扎實還真不簡單。以下根據行政院研考會資通安全數位課程之「存取控制」範圍來介紹。
存取控制定義是,「對於資訊系統的存取保護,防止任何未經授權的系統存取、破壞。」其實踐方式,應依據資安需求,對於資訊存取、資訊處理設施與程序建立管控,確實管理資訊系統的存取與權限配置。而存取控制構面(圖1),由內而外分別為「資料」存取控制、「系統」存取控制及「網路」存取控制,另外,對於資訊系統設備,也必須做好實體安全,避免遭到直接存取或破壞,並制訂管理政策及實施定期稽核,以落實存取控制管控措施。
實務上,存取控制通常會以導入資訊安全管理系統來實踐,如ISO/IEC 27001:2005,在附錄A.11存取控制列有許多控制目標與控制措施作為建議參考,以使管理系統符合國際標準,所以,在政府機關資安等級A才會強制要求導入。接下來,就存取控制的三個構面分別介紹。
資料存取控制:資料分級有賴主管決心
(一) 資料分級
首先,必須確認誰是資料擁有者(Data Owner,對資料的保護與使用負最終責任的人),並依據組織政策或相關規定設定資料或檔案的重要等級,並設定所需的安全管控措施,例如:契約書等機密性文件,不允許非相關人員讀取;而統計數據等資料則限制相關業務人員讀取,但不允許修改;一般共同文件,如行事曆及文書處理相關書表,則可讓所有人員編輯修改。
(二) 檔案權限管理
檔案系統設定某個使用者或群組能夠存取檔案及資料夾,以及可以使用的權限,檔案的權限一般區分成讀取(r),寫入(w),讀取及執行(rx),讀取、寫入及執行(rwx);資料夾的權限一般區分為列表(r),修改(w),列表及進入(rx),列表修改及進入(rwx)。較為常見的作業系統檔案格式,例如微軟的NTFS及UNIX like的EXT3、EXT4等,均有提供對檔案及資料夾的權限管控。
(三) 密碼的使用與保護
遵循組織政策設定強式密碼(Strong Passwords,安全性足夠、不易被破解的密碼,如密碼最少長度及英數字、特殊字元混用等),並採取一些保護措施,例如定期更換、不使用自動登入儲存密碼及勿多個帳號使用相同密碼等,防止密碼外洩。
實務上,在實施資料分級與管理的過程中,檔案權限管理與密碼的使用與保護通常以系統輔助,例如將組織政策直接在微軟AD設定,並派送至相對應的人員及群組即可達到檔案及資料夾的存取權限管制,並可要求使用者須設定強式密碼及定期實施更換,組織在這兩個控制措施均可做到蠻完善的管理,遇特殊需求再採購其他具有「以角色為基礎之存取控制(RBAC, Role-Based Access Control)」功能的設備來加強管制,RBAC是近幾年來在存取控制領域中的熱門話題,它是在一般的存取控制政策中,在使用者(User)及權限(Permission)兩元件中,多增加了角色(Role)的元件,使用者是透過角色的中介元件來存取權限,因此可減化使用者存取權限的異動數量,而達到減輕組織經常性管理的負擔。
值得一提的是,密碼的使用與保護措施這一個措施實踐時,最讓使用者頭痛的就是要一直更換複雜難記的使用者名稱及密碼,也是資訊單位最常遭遇到單位同仁抱怨的問題之一,因應此問題的解決方式,較常見的作法是以單位內部的員工識別證、憑證卡或晶片卡等卡片,代替使用者進行網域登入,且密碼是系統隨機產生的強式密碼,無法被惡意使用者或駭客隨意猜解,甚至網路環境遭到暴力猜解密碼型的蠕蟲或病毒攻擊,也都能有一定的防護能力,使用者僅須隨身攜帶卡片,並記憶卡片的密碼即可。
另外,在資料分級措施如何著手進行呢?這個部份最困難也最難被達成,也最讓資訊單位怯步,因為,組織的傳統包袱(資料量)多到無法想像,並且太過於繁雜多樣,資訊單位往往無法明確定義資料的分級方式,各業務單位也都表達不同意見,致資料分級無法有效執行,這部份建議的解決方式為:「主管決心、全體共識及系統輔助」,意指老闆只要下決心,全體必然有共識,然而,資訊單位只要制訂資料分級的作業程序並進行文件化,後續流入稽核管理PDCA流程,即可有效達成並持續檢討改善。
系統存取控制:權限管理最重要
(一) 存取控制表(ACL, Access Control List)
定義某帳號允許其讀寫或修改等的權限,是常用的系統存取控制方法,其在系統上設定一份清單,這份清單包含使用者與核可使用的權限記錄,當使用者要存取系統資源時,即查核清單上的對應權限,核予使用。
(二) 帳號、密碼與系統登入
為最基礎及系統預設之存取控制措施,應遵守以下原則:
1. 帳號的新增與異動,須經申請,並經權責主管核可。
2. 每一使用者應用獨立帳號,除非特殊情況,否則不應有共用帳號。
3. 使用者遇特定需求申請二個以上帳號,應另提出特別申請並保留紀錄。
4. 使用者帳號與權限賦予,以職務須求為限。
5. 使用者帳號密碼的告知,應有適當保護措施防止外洩。
6. 離職人員(含留職人員)應依處理程序立即鎖定、停止或移除帳號。
雖然為最基礎之管制措施,然管理人員卻時常忽略,經常流於形式甚或未即時將離職人員進行帳號鎖定,致系統增加不必要之安全風險。建議可以下列方式加強管制:
1. 定期對管理人員宣導組織安全政策,並著重於管理實例探討。
2. 考量與資料存取控制之「密碼的使用與保護」措施,採取相同策略實施管制,例如:將系統納入網域,並依使用者需求結合AD核予適當權限。
3. 實施定期或不定期稽核,期使系統之帳號密碼管理處於正規管理模式,而非流於形式。
(三) 權限管理
有別於前項對於系統帳號密碼之管制,針對權限管理更為重要,區分存取權限管理及特別權限管理。
1. 存取權限管理:
(1) 使用者權限之申請,應由權責主管依使用者職務需求,核准其工作所需最小權限。
(2) 系統管理人員不得逕自變更未經核可之權限異動。
(3) 如有系統遠端維護需求,應限制必須為核可的遠端連線來源。
2. 特別權限:
(1) 特別權限應有獨立帳號,不得多人共用。
(2) 特別權限的配賦,應以業務執行必要者為限。
(3) 建立特別權限授權程序,且特別權限的配賦應依授權程序管理並保留紀錄。
(4) 特別權限的使用亦應保留操作紀錄。
權限管理最為人詬病的就是系統管理人員擁有不適當的權限(特別權限),組織政策及管理規定訂了一堆,看起來非常漂亮,但通常不切實際,且難以確實遵行,提供以下管理經驗參考:
1. 政策規定保留修訂彈性:權限管理在組織政策及管理規定訂定時,仍須嚴謹,但需預留修改(正)彈性,逐步對照實務運作進行調整修訂,以符實際需要。
2. 系統化管理:建議權限管理仍以併入系統化管理方式進行,例如:所有人員(包含系統管理員)均在同一AD網域基礎環境中,對應群組或使用者權限,並可視需要導入RBAC等以角色為基礎之存取控制措施強化管理。
3. 稽核日誌留存:這一點非常重要,也是事件發生後的追查重點,但通常擁有特別權限人員要刪除稽核日誌倒也不是難事,所以,建立多一道稽核存錄機制也是非常重要的。
(四) 應用系統管理 應用系統管理應依業務需求,賦予人員資料存取及使用權限,須遵守下列原則:
1. 系統設計控制使用者僅能使用系統部分功能。
2. 限制使用者僅能獲知或處理授權範圍內的資料。
3. 敏感性資訊的應用系統,系統輸出的資料應限於與使用目的有關。
採購、委外或自行開發應用系統,一定要慎重審查存取控制內容,另因應個資法,亦可考量將個人資料保護罰則納入契約管理。另外,為有效利用資源,促使應用系統採行適當安全控制措施,政府機關(構)等單位應依據98年1月9日行政院核定「國家資通訊安全發展方案(98年至101年)」,推動『資訊系統分類分級與鑑別作業』,意指系統安全等級愈高則表示對資安防護需求水準要求愈高,進而確保各項系統達到基本資安防護水準。
網路存取控制:逐步強化
網路存取控制構面,可以很深,也可以很廣,亦可既深且廣,端就組織綜合考量而訂,不過,通常是一步一腳印的慢慢強化,畢竟,人力、技術及經費有限,不可能一次到位,況且,網際網路技術發展越趨複雜多變,總不能以一變應萬變吧!然基本該做的還是必須先做,有關網路存取控制常運用到的措施為(一)網路服務限制與作業控制(二)網路區隔(三)身分鑑別與安全性通道。
(一) 網路服務限制與作業控制
1. 網路服務限制,應遵守下列原則:
(1) 使用者應在授權範圍內使用網路系統服務項目。例如:即時通訊(IM)軟體及Web Mail使用之管制。
(2) 限制使用者不得干擾或妨害網路正常運作。例如:限制逕自架設FTP、使用P2P或其他Downloader軟體。
2. 作業控制,應遵守下列原則:
(1) 只允許使用特定通訊協定。例如:e-mail、http
(2) 只允許存取特定的電腦資源。
(3) 依安全性需求考慮只允許特定IP連線。
(4) 依安全性需求考慮規定資料傳輸量上限。
(5) 依安全性需求考慮只允許單向的檔案傳輸。
(6) 依安全性需求考慮限制只能在特定時間進行連線存取。
(二) 網路區隔
依組織政策將不同重要性系統分成不同的網段區域,且設置每一網段區域的安全保護措施。
(三) 身分鑑別與安全性通道
使用者存取不同重要性系統時,作身分識別及給予相對應之存取權限,並視資料安全等級考量建立安 全性通道(Secure tunneling,指用戶端與伺服器端建立的安全連線,能確保雙方資料傳遞的安全性)進行資料傳輸。
瞭解網路存取控制基本原則後,試問一下:貴單位的網路環境在內部同仁或外部人士隨意進行連結時(通常是以筆記型電腦進行網路連線),有沒有辦法直接使用?如果您的答案是「可以」的話,那麼,很明確的知道,貴單位的網路存取控制,在起始點就存在安全風險,縱使連上網路後還有諸多管制措施或是資安防護設備,仍舊避免不了網路環境遭有心人士入侵風險。實務上,常見的防護技術有:
(一) IP/MAC binding
(二) DHCP lease IP/MAC binding
(三) ARP Table solution
(四) IEEE 802.1X
(五) NAC(Network Access Control)
(六) NPS & NAP(Network Policy and Access Services & Network Access Protect)
…
以上所列僅供參考,技術範疇暫不在此做探討,您只要瞭解到前面所表達「既深且廣」的涵意,並儘量做到適合組織屬性的管理方式即可。
綜上所述,對於個資法通過後,政府機關及企業組織大多已著手進行因應,相較於資安設備的採購,本文以內部檢討及強化存取控制面向提供另一思考及因應模式,跟隨潮流進行採購新設備也不失為一種解決方式,然而,您有多少銀兩能做多少事呢?總不能各種解決方案都買吧?資安設備動輒上百萬,單位主管會同意嗎?買了沒效益怎麼辦?這麼多問號,倒不如務實的先把存取控制做扎實,相信,過程中可以理出適合您組織的最佳管理實務,屆時,再搭配採購欠缺的設備來補強存取控制無法做足的部份,不僅僅能展現較佳的效益,相形之下,也為單位節省了不少經費!
參考資料:電子化政府網路文官學院資通安全數位課程,課程名稱:存取控制概觀,講師邱瑩青。
本文作者任職政府單位資安工程師