延續上篇的機敏資料盤點要則,談到機敏資料的分級與管理,在分級過後,接著就要透過一些實務性的做法,監控資料出入的可能管道與方法,從郵件、列印、FTP、網頁到P2P,機敏資料的控管可能包括了系統及網路(管道),在本篇我們著重談到資料本身的管理,例如運用權限管理來控管存取控制來確保分級後的機敏資料,得到確實有效的保護。
在個資法通過後,大部分的政府機關及企業組織大多已著手進行相關因應,但就像剛開始的機敏資料分級談到的,有多少銀兩、做多少事,既不能每種解決方案都買,也有風險與成本投資平衡上的問題,這時,倒不如務實的先把存取控制做好,一邊就可以理出最適合組織的最佳管理實務,屆時,再搭配採購欠缺的設備來補強存取控制無法做足的部份。
流程面、角色的權限存取控管
針對機敏資料的管理,可以透過權限管理在既有的流程面上得到更加嚴謹的控管,例如說對於被保護的機敏資料存取,必須提供更嚴謹的機制,運用資料標示分類、角色存取控制、欄位/列存取控制、時間存取控制的方式,強化對被保護資料的存取管理。資料標示分類也可以提供資安人員清楚定義不同資料的安全等級,以提供相對應的存取管理機制,接著運用角色、欄位/列、以及時間存取的控制方式,結合內部稽核管理方式,確保被保護資料不被任何非法的管道取得。
不過,角色的權限界定會隨著業務更動而改變,在一些業務變更快的產業更是一大挑戰,例如說電子商務產業對權限的界定是非常複雜而困難的,由於時常要推出新的業務,像是貨物迅速拓展到香港、大陸等通路,可能就會有輪調的狀況出現,權限的控管若未能與時俱進便失去意義。
為了要達到「最少的資訊揭露原則」,就要一一審視每個人的工作需求為何?之後,又要再對應到可能會有什麼樣的存取權限。而在組織變動如此大的環境下,可能就得定期審視工作說明書,才能確保人員權限都能適得其所。曾有過一個案例是-總經理特助擁有全公司所有系統所有的權限,原因是,總經理隨時都要看。但其實這是相當荒繆的事情,應該要有職權區分(SOD, Separation of Duty)的觀念,才能夠互相監督、制衡。
另外,越高層的主管越容易成為犯罪集團的目標物,以一個外部人士來看,要取得一個集團高階主管的名單,比起某個資訊人員更來得容易,也因此高階主管其實並不需要過多的權限,只要按照工作項目、角色去分配權限,而不是按照職權高低,因此高階主管權限原則是夠用就好,反而不應該有最大的權限。例如富邦momo資訊副總丁銘傳就曾表示,自己雖然掌管資訊部門卻沒有太多的權限。
權限控管的實務難題
企業組織中常見的現象就是人人身兼數職,因此,無論是業務的執行或是資訊系統的使用,常因為沒有適當的職能分工而造成作業缺乏獨立性,若資訊人員掌握了公司所有資訊系統的最高權限帳戶,除了可以在資訊系統上執行任何指令,甚至可以清除所有不法的紀錄,而使用者亦可以透過簡單的串謀來取得高度的權限,這時如果公司缺乏專業的監督,資訊人員以及內部員工幾乎可以隻手遮天,輕鬆的竊取、篡改,甚至藉由販售機密資料來謀取私利。IT人員反而成了企業內最大的資安漏洞,因此,內部的資料交換機制,建議可由資訊部門設計邏輯,但所有行為受到監控,例如IT人員負責將監控工具設定好之後就交給稽核來監看,但同時稽核也受到監督,環環相扣,形成互相制衡的權限控管。
除了蓄意的風險之外,員工的疏忽亦可能伴隨著過度授權而產生相當程度影響。許多作業的「執行」與「覆核」幾乎都仰賴同一個人來負責,如此的情況,就如同寫錯字的人再次檢查自己寫的文章,檢查出錯誤的機率將可能比第三方覆核要來得低,且獨立性也備受質疑,而只要是存在人工作業的環境,疏忽是絕對在所難免的,這也是造成資安事件無法有效降低的主要原因之一。過度授權所帶來的影響,也許會讓企業經營面臨難以復原的衝擊,企業仍應審慎衡量,在資安事件所帶來的損失與增加人力所增加的成本之間,找出一個適當的平衡點。
規模較大的公司分工較細,在層層的監控與覆核之下,問題將很容易被偵測到並予以解決,而中小企業因為規模比例的關係,只要一個小小的環節沒有注意,其所可能引發的風險將會非常地廣,影響也將非常地大。也就是說,大企業要掌握一個較高的風險,必須要在許多環節上進行控制,中小企業,則是掌握重要環節即可避免眾多的高風險。例如說至少2名資訊人員,相互監督,適當職能分工以避免過度授權。以及資安人員不再只當救火隊,至少應做資安事件的統計分析,找出關鍵風險並對症下藥,避免相同事件一再發生。此外就是以企業營運重點需求規劃資安標的、範圍與控制措施。
權限控管方法
實務上的權限控管方法上,可以採用的措施大約有:
(一) 存取控制表(ACL, Access Control List)
透過定義某帳號,允許其讀寫或修改等的權限,在系統上設定一份清單,包含使用者與核可使用的權限記錄,當使用者要存取系統資源時,即查核清單上的對應權限,核予使用。
(二) 帳號、密碼與系統登入
1. 帳號的新增與異動,須經申請,並經權責主管核可。
2. 每一使用者應用獨立帳號,除非特殊情況,否則不應有共用帳號。
3. 遇特定需求申請2個以上帳號,應提出特別申請並保留記錄。
4. 使用者帳號與權限賦予,以職務須求為限。
5. 使用者帳號密碼的告知,應有適當保護措施防止外洩。
6. 離職人員(含留職人員)應依處理程序立即鎖定、停止或移除帳號。
雖然帳號密碼的控管是最基礎之管制措施,然管理人員卻時常忽略,經常流於形式甚或未即時將離職人員進行帳號鎖定,致系統增加不必要之安全風險。建議可以下列方式加強管制:
1. 定期對管理人員宣導組織安全政策,並著重於管理實例探討。
2. 考量與資料存取控制之「密碼的使用與保護」措施,採取相同策略實施管制,例如:將系統納入網域,並依使用者需求結合AD核予適當權限。
3. 實施定期或不定期稽核,期使系統之帳號密碼管理處於正規管理模式,而非流於形式。
(三) 權限管理
有別於對於系統帳號密碼之管制,針對權限管理更為重要,區分存取權限管理及特別權限管理(如下圖)。
.jpg)
權限管理區分(資料來源:行政院研考會)
1. 存取權限管理:
(1) 使用者權限應由權責主管依使用者職務需求,核准其工作所需最小權限。
(2) 系統管理人員不得逕自變更未經核可之權限異動。
(3) 如有系統遠端維護需求,應限制必須為核可的遠端連線來源。
2. 特別權限管理:
(1) 特別權限應有獨立帳號,不得多人共用。
(2) 特別權限的配賦,應以業務執行必要者為限。
(3) 建立特別權限授權程序,特別權限配給應依程序管理並保留記錄。
並且,在權限管理最為人詬病的就是系統管理人員擁有不適當的特別權限,導致組織政策及管理規定無法確實遵行,建議可以:
1. 政策規定保留修訂彈性:權限管理在組織政策及管理規定訂定時,仍須嚴謹,但需預留修改(正)彈性,逐步對照實務運作進行調整修訂,以符實際需要。
2. 系統化管理:建議權限管理仍以併入系統化管理方式進行,例如:所有人員(包含系統管理員)均在同一AD網域基礎環境中,對應群組或使用者權限,並可視需要導入RBAC等以角色為基礎之存取控制措施強化管理。
3. 稽核日誌留存:這一點非常重要,也是事件發生後的追查重點,但通常擁有特別權限人員要刪除稽核日誌倒也不是難事,所以,建立多一道稽核存錄機制也是非常重要的。