觀點

資訊安全的最大威脅-人員安全

2009 / 08 / 31
邱瑩青
資訊安全的最大威脅-人員安全
人是造成資安事件的最主要因素。

  根據Datapro Research Corporation的資安調查,約有5成的資安事件是由人為失誤所造成,加上離職員工或內部犯罪所佔1成,人為因素造成資安事件所佔的比例高達6成。

人員安全威脅

  去年,全球最大液晶面板玻璃製造商康寧公司的一名前員工,遭美國聯邦調查局逮捕,被指控竊取康寧的
重要業務機密,出售給競爭對手台灣的碧悠公司。任職AOL(American Online)的一位工程師,盜用另一名同事的帳號,竊取3,000多萬筆的客戶資料販售給垃圾郵件業者,這些資安事件案例,都是來自於內部人員或離職員工的電腦犯罪。

  電腦犯罪的分類方式中,若以安全防護的方式來分類,可分類成實體與環境安全、人員安全、通訊和資料安全,以及系統安全。其中人員安全,簡單地說就是指「確認系統是由被授權的人使用,以及使用者能夠正確地操作所使用的系統」,所以同樣地,人員安全危害即「使用者對於系統的不當操作,或對於系統、資料庫的非法存取或破壞」,發生的原因經常是未對員工做正確的教育訓練、權限控管不當等。

人員安全說明

  因此,人員安全的意義在於降低人為錯誤、竊取、欺騙和濫用相關設施等風險,及讓使用者能隨時警覺資訊安全威脅,以減少發生意外事件的危害。

人員安全威脅的來源對象有三類,分別是︰

1.不當操作、缺乏警覺心的使用者。

2.違反規定的使用者。

3.惡意意圖的內部人員、離職員工。

而造成安全威脅有下列幾個因素:

(一)使用權限:

人員對於資訊系統所造成的影響或威脅,取決於所擁有的系統使用權限。例如使用者若具有自行安裝軟體的權限,則可能因為自行安裝不明程式而讓電腦中毒。

(二)專業程度:

原則上,使用者具備愈高的資訊專業,所隱藏的威脅愈高。例如,負責程式撰寫的資訊人員,其蓄意犯罪造成破壞之威脅便高於只負責輸入資料的行政人員。但相反地,若對於系統操作的認知、技術程度太低,也可能會有不當操作情況的人員安全威脅。

(三)犯罪動機:

對於來自內部或離職員工的犯罪,應盡可能事先防範或減少犯罪動機。例如,員工在企業內被主管辱罵,或被開除而懷恨在心,因而產生的報復心理即其犯罪動機,所以在管理上對於這類狀況若無適當處理或防範,都可能造成隱藏的威脅風險。

企業的人員安全防護

  企業對於防範上述不當操作、缺乏警覺心、違反規定的使用者,以及惡意意圖的內部員工、離職員工所造成的人員安全威脅,可由下列幾個步驟來著手。

(一)聘雇前的背景調查:

對於新聘人員作適當的身家背景調查是人員安全第一道防線,特別是某些財務相關業務,或處理敏感性、機密性資料的職務,更應謹慎地篩選過濾。所以除了學經歷、性向的確認,可能還必須包括是否有竊盜前科、是否有財務困難、是否有吸毒記錄,以及是否有不良的離職原因等。

(二)管理與教育訓練:

1.保密切結書與監督

員工在職期間,應依法令課予機密維護責任,例如簽署保密切結書。在管理上也應適度地監督員工是否有踰矩的行為,不過監督可能被曲解成侵犯隱私,所以必須適當拿捏,只是若員工所接觸的資料價值是極敏感和重要時,監督的需要就愈大。

2.職責劃分與職務輪調

職責劃分和職務輪調,是避免人員利用職務之便圖謀不軌的作法之一,職責劃分將權責分派給數個人員,能有制衡、防範不良意圖的作用,另外像系統使用權限也應確實控管,依工作職務只給予足夠的權限;而職務輪調能防範單位主管或業務負責人因長期控有權限,而可能隻手遮天的問題。

3.教育訓練

並非所有的安全事件都是蓄意造成的,很多都是簡單的人為錯誤或疏失所導致,包括像資料輸入錯誤、或對資安認知不足而遭社交工程攻擊等。所以不管是系統使用或防範外部威脅的認知等方面,都需要給予員工正確的教育訓練,讓使用者瞭解他們不但有責任謹慎操作資訊系統,還要小心防範入侵者,並對資安事件的作即時通報。

教育訓練的內容應包括安全政策、相關法令規定、作業程序,及如何正確使用系統的訓練等。

(三)離職處理:

離職員工的報復屬於惡意威脅,應小心防範,所以員工離職的人員安全處置應注意下列幾點,包括︰友善的結束工作關係、檢核離職流程、刪除使用帳號、取回公司資產、修改伺服器密碼等。

員工的人員安全防護

  除了企業對於人員安全須有正確的規範、因應政策,員工自己本身對於防範機密外洩也應有足夠認知,簡單地說就是責任與警覺心,員工必須知道安全的必要性、哪些缺失可能會讓惡意人士入侵系統、自己能夠採取什麼樣的因應措施等。因此,員工對於自己的密碼應小心保管,不要隨便寫下密碼,也不可以將記錄重要資訊的紙張隨便丟在垃圾桶。

  員工必須保持警覺,當發現異常的登入或連結訊息,應瞭解那可能是入侵,必須即時通報管理者處理。例如員工星期五下班後即未曾再登入系統,但星期一上班登入系統時,卻顯示最後一次登入時間是星期日,這樣就是有異常的登入記錄;或者登入系統時,顯示星期天有多次登入失敗的訊息,也都是有人嘗試入侵系統的跡證。

  社交工程也是惡意人士慣用的手法之一,員工須小心防範喬裝成長官、資訊人員、維修人員等的不明電話、電子郵件,這些都是必須有正確的安全意識,讀者可參考i-Security資安認知學習中心提供的「社交工程」線上課程,進一步了解如何防範。

結語

  在資安威脅中,若概分為人為因素與外部入侵,人為因素其實才是資安威脅的最大主因,而非駭客入侵。所以對於加強資訊安全,人員安全和抵禦外部入侵同樣重要!而企業也必須瞭解正確的防範政策、教育訓練、認知觀念,及加強員工責任與警覺心,才能確實降低人員安全的威脅。