如果機敏資料未經盤點,便不知曉需要被保護的資料在哪裡?是否有遺漏與疏忽?若沒有分類與鑑價,便不清楚哪些資料的價值與重要性最高?需要特別的保護與『降低』或者『轉移』風險?便不清楚哪些資料雖有風險,但是因為價值風險不高,在資源有限狀況下,其風險可以被『接受』,這個道理如同產險一樣,價值越高的不動產其保費較高,立論簡單也合理。
透過機敏資料盤點降低成本、提升效果
但是在資訊安全的領域,企業卻不知需要如何進行?因此如何對機敏資料加以分級,找出(Discover)哪些資料是公司營運的核心資產,或是個人資料保護法的標的,例如個人身分資料、營業秘密、財務資料、原始碼、策略計畫、客戶資料、產品設計、資料庫等,也就是一件很重要的事情了。
此外就如大多數的科技,資安產品仍舊有限制,最大的問題在於成本,全功能的內容過濾監控產品價值不斐,從數千到數十萬美金不等,計價方式通常以單一設備、遠端代理程式或偵測節點以及用戶數來計價。但,透過分類、整理機敏資料的方式卻可以得到非常好的保護效果,不論是人工進行分類,或者藉由一些自動化的資產盤點工具,如:Google搜尋系統、StoredIQ的資訊分類與管理平台。有效整理機敏資料,可以讓不常使用的機敏資料加密,將合理的縱深防禦措施應用於作業系統之上,包括強韌的存取控制、嚴謹的檔案權限設定以及使用者權限的最小原則等,好處多多。
此外,某個資訊資產可能具備多個先天的弱點,每種弱點可能的的潛在威脅可能僅有一個,也可能是一個弱點卻有多種威脅,所以經過資產盤點分類的鑑價、弱點分析、威脅判斷、發生機率的推演及每種威脅的導致損失比例的層層分析,便可以完成所謂的資訊安全管理系統中的最重要的「風險分析(Risk Analysis)」階段。藉由機敏資料的盤點,完成最基本卻也最重要的部分。
機敏資料盤點須從業務營運面思考定義
首先就是要配合公司營運階層及業務單位來定義,在工作流程中會產生出哪些資料?存放在何處?其存取權限的定義表(Access Control Matrix)。再根據其要價值與等級該採用何種保護機制,以及何時套用?但是,機敏資料的分級措施總是相當困難,也最讓資訊單位怯步,因為,組織的傳統包袱(資料量)多到無法想像,並且太過於繁雜多樣,資訊單位往往無法明確定義資料的分級方式,各業務單位也可能因為表達不同意見,導致資料分級無法有效執行。
台灣中小企銀當時的經驗,是從風險評鑑中去劃分出標準,雖然顧問公司也提供過去的經驗跟作法予以參考,但仍有許多工作必須要資料擁有者自己決定。由於每個單位的定義往往都不同,當時台灣企銀也經過很多次的內部溝通才得以完成,台灣企銀資訊部副理郭清雲舉例,就像台灣企銀的分析設計一科、分析設計二科的工作內容雖然一樣,可是業務卻不同,今天訂的標準分類,過兩天可能又變了,也可能是對資料的分類有些想法,但為了要讓標準一致,必須來來回回的討論。郭清雲認為,每家企業都要視自己的資源、組織架構來規劃。
資料分級有賴主管決心
而這種跨部門的溝通,當然是必須來自於高階主管的支持。這部份建議的解決方式為:「主管決心、全體共識及系統輔助」,意指老闆只要下決心,全體必然有共識。並且,資訊單位只要制訂資料分級的作業程序並進行文件化,後續流入稽核管理PDCA流程,即可有效達成並持續檢討改善。
高階主管沒有資安風險的危機意識,將會導致資安人員無法獲得組織力量,必須獨立完成資訊資產的盤點、分類與鑑價,進而無法提出資安的成本效益分析來善盡告知責任讓企業主充分了解資安與企業營運的重要相關性。
例如富邦金控在獲得高階主管支持與認同下,甚至還自行開發硬體資訊資產管理系統,結合條碼設備,大幅提升了機敏資料的盤點效率。
資料分級與管理措施
在這邊,我們也提供行政院研考會的資料分級與管理措施提供大家參考。一般來說,在資料的分級與管理上,常運用到的措施有(一)資料分級(二)檔案權限管理(三)密碼的使用與保護。(如下圖)
資料分級與管理(資料來源:行政院研考會)
(一) 資料分級
首先,必須確認誰是資料擁有者(Data Owner,對資料的保護與使用負最終責任的人),並依據組織政策或相關規定設定資料或檔案的重要等級,並設定所需的安全管控措施,例如:契約書等機密性文件,不允許非相關人員讀取;而統計數據等資料則限制相關業務人員讀取,但不允許修改;一般共同文件,如行事曆及文書處理相關書表,則可讓所有人員編輯修改。
(二) 檔案權限管理
檔案系統設定某個使用者或群組能夠存取檔案及資料夾,以及可以使用的權限,檔案的權限一般區分成讀取(r),寫入(w),讀取及執行(rx),讀取、寫入及執行(rwx);資料夾的權限一般區分為列表(r),修改(w),列表及進入(rx),列表修改及進入(rwx)。較為常見的作業系統檔案格式,例如微軟的NTFS及UNIX like的EXT3、EXT4等,均有提供對檔案及資料夾的權限管控。
(三) 密碼的使用與保護
遵循組織政策設定強式密碼(Strong Passwords,安全性足夠、不易被破解的密碼,如密碼最少長度及英數字、特殊字元混用等),並採取一些保護措施,例如定期更換、不使用自動登入儲存密碼及勿多個帳號使用相同密碼等,防止密碼外洩。
實務上,在實施資料分級與管理的過程中,檔案權限管理與密碼的使用與保護通常以系統輔助,例如將組織政策直接在微軟AD設定,並派送至相對應的人員及群組即可達到檔案及資料夾的存取權限管制,並可要求使用者須設定強式密碼及定期實施更換,組織在這兩個控制措施均可做到蠻完善的管理,遇特殊需求再採購其他具有「以角色為基礎之存取控制(RBAC, Role-Based Access Control)」功能的設備來加強管制,RBAC是近幾年來在存取控制領域中的熱門話題,它是在一般的存取控制政策中,在使用者(User)及權限(Permission)兩元件中,多增加了角色(Role)的元件,使用者是透過角色的中介元件來存取權限,因此可減化使用者存取權限的異動數量,而達到減輕組織經常性管理的負擔。
值得一提的是,密碼的使用與保護措施這一個措施實踐時,最讓使用者頭痛的就是要一直更換複雜難記的使用者名稱及密碼,也是資訊單位最常遭遇到單位同仁抱怨的問題之一,因應此問題的解決方式,較常見的作法是以單位內部的員工識別證、憑證卡或晶片卡等卡片,代替使用者進行網域登入,且密碼是系統隨機產生的強式密碼,無法被惡意使用者或駭客隨意猜解,甚至網路環境遭到暴力猜解密碼型的蠕蟲或病毒攻擊,也都能有一定的防護能力,使用者僅須隨身攜帶卡片,並記憶卡片的密碼即可。