2013年9月6日,行政院臺字第1020146262號函要求於「102年度政府機關(構)資通稽核作業計畫(2013-09-02~2013-10-31)」之評分納入「資安健診」,佔總分的40%。
中國大陸2007年6月22日發布施行之「信息安全等級保護管理辦法」第16條規定,第三級以上信息系統於備案時應提供:「測評後符合系統安全保護等級的技術檢測評估報告」;第18條規定第三/四級信息系統每年/每半年至少由公安機關、國家指定的專門部門對「系統安全等級測評是否符合要求」進行檢查。他山之石可以攻玉,本文接著闡明中國大陸之「技術測評」的運作機制,並簡述今(2013)年「資安健診」之概況。
中國大陸等級測評運作機制初探
自2010年起,中國大陸正式開展其「信息安全等級保護管理辦法」要求,如圖1所示之等級測評工作項目,至2012年3月16日,中國大陸已有108家測評機構通過其測評能力評鑑,其中22家並通過ISO/IEC 17020的檢驗機構之能力評鑑,22家亦通過ISO/IEC 17025的測試實驗室之能力評鑑;其目的在於經由資訊(信息)系統安全等級之測評,使資訊系統安全保護態勢逐步達到等級保護的要求;圖2是其信息安全等級保護之標準體系。
圖1中國大陸信息安全等級保護工作歷程
.jpg)
圖2中華人民共和國信息安全等級保護相關標準體系框架
.jpg)
等級測評的實施過程由單元測評和整體測評兩部分構成。《信息系統安全等級保護基本要求》(GB/T 22239-2008)中對安全控制點的符合性測評稱為單元測評。單元測評是等級測評工作的基本活動,即針對測評指標,完成測評實施並進行結果判定。其中,測評指標來源於《信息系統安全等級保護基本要求-GB/T 22239-2008》第四級目錄下的各個要求項目,測評實施對測評活動輸入、測評對象、測評步驟和方法提出了要求,結果判定對測評人員執行測評實施並產生各種測評輸出數據後,如何依據這些測評輸出數據來判定被測系統是否滿足測評指標要求給出了原則和方法。《測評要求》已開發測評單元總數為264項,其中,一級48項、二級66項、三級73項、四級77項,如表1所示;表2是其等級保護分級簡析,表3是其第三級系統測評之基本要求的時間量之估算。
表1單元測評統計表
表2中國大陸信息安全等級保護分級簡析
表3中國大陸信息安全等級保護之三級系統技術測評(資安健診)基本要求(GB/T 22239-2008)時間量估算
中國大陸公安部於資訊系統安全等級測評工作標準化作業準備工作告一段落後,便開始開展測評人員的培訓工作,其培訓工作之通過率約為80%。
等級測評人員,即於中國信息安全測評中心之註冊信息安全專業人員,並分為信息安全工程師與信息安全管理師,上課內容一樣,惟考試試題不同;中國大陸主責之公安部建議其等級測評機構的信息安全工程師及信息安全管理師之人員比例為4:1,要求是3:1以上。
「資安健診」實作初探
行政院研考會於94年「國家資通安全技術服務與防護管理計畫」中,曾提出資安規範整體發展藍圖,規劃發展一系列的資安規範與參考指引,以提供組織基本的安全要求水準。更於今年為了從技術面瞭解政府機關資安防護狀況,規劃資安健診(以下簡稱健診)專案,希望藉由檢測結果提升目前政府機關資安防護能量,並作為訂定與調整資安政策之參考。在初次辦理資安健診的專案中,首先挑選較為重要,並處理大量機敏業務之政府機關,透過專案委託,由國內幾家專業資安廠商負責執行健診專案。而因為是初次執行之專案,且礙於專案經費有限,專案內容僅能依據近年案例中,駭客較常利用之資安防護脆弱點,執行重點項目的檢測,健診項目表4所示,大致分為六類:包含網站安全檢測、網路架構檢視、有線網路惡意活動偵測、使用者電腦檢測、伺服器主機檢測、安全設定檢測,以期綜檢診結果能夠呈現機關資安政策與防護狀態之完整性。
表4 2013-09-02~2013-10-31資安健診執行項目說明(初稿,持續修訂中)
以上項目為本次資安健診的重點項目,共計13項,但與94年資安規範整體發展藍圖相比較,雖然這次健診的項目屬於技術性的評測,但是仍有部分項目未包含在資安健診中,未包含項目為資訊作業委外安全、電子郵件安全、控制措施建議、無線網路、可攜式媒體。在此次健診專案中技術性評測面向,雖然包含了資安規範整體發展藍圖中執行與檢查兩個構面的部份項目,扣除偏向資安管理的項目後,僅占45%,詳細的比較項目列於表5中。
表5 資安健診執行項目與資安規範整體發展藍圖比較表
△:該項目為政策管理面的評核項目。
◎:已包含或部分包含在資安健診專案。
╳:未包含在資安健診專案中的項目。
健診專案中對於執行人員的資格要求是參照健診項目,而認定方式以國際認證的取得為依據,因此分為四個主要能力的認證作為資安廠商人員資格評核項目,包括:惡意程式檢測能力、封包分析能力、AD管理能力,以及整體資安技術能力;而健診項目中包含的防火牆安全、資料庫安全、網站安全等項目,因未定義應取得之國際認證,因此執行該健診項目時的技術能力較無法一致。
表6資安健診專案成員技術要求參考資料
在健診專案計畫中,專案從起始到結束所給予的時程為10日。扣除啟始會議一日,結束會議一日,僅能在8個工作日完成所規定進行技術評核項目。健診之項目中,可由工具執行的項目為掃描主網站弱點、掃描防火牆、側錄封包分析,但在健診專案中並未明確規範使用之工具,各資安廠商在執行資安健診時,所用的判斷標準無法一致的情況下,各政府機關所因應健診結果所採取的矯正措施也將會不一;須由資深顧問到場檢視的項目為網路架構訪談、資料庫安全檢視、AD(Active Directory)設定檢視與防火牆設定檢視,這三項的訪談與檢視,為此健診專案中的重點項目,因為在伺服器端的錯誤設定可能造成用戶大規模的資安弱點,但由於顧問能夠投入的時間有限,僅能在一至兩日內完成檢查,對這三個項目之瞭解深度可能會不足夠呈現真實資安風險;而必須由大量一般資安工程師進行的項目為惡意程式檢測,由於此項目涵蓋範圍較大,包含20台重要伺服器與150台一般使用者電腦,以5個工作日完成資料的蒐集,平均一天就要蒐集30台以上之主機資訊,本項目人力就需要安排20人天,若是多個檢診專案在同一時段進行,可能會讓資安廠商面臨人力調配困難,以及符合此技術能力的人力資源不足。
「居安思危,思則有備,有備無患,敢以此規」,已納入年度政府機關資通稽核作業40%之如表4所示的「資安健診」,開啟我國資訊安全管理系統(ISMS)技術項目稽核之新頁,惟於ISMS的ISO/IEC 27000標準系列,在2011年已公佈之相關標準(ISO/IEC 27007與TR 27008 (2011) Guidelines for auditors on ISMS Controls)宜參考,俾規範「資安健診」的標準化作業。
前述「資安健診」開展我國資訊安全管理稽核之新姿,惟其與管理項目有效性的關連等均存在持續修訂之空間。
結論
中國大陸師法美國,中國大陸公安部於進行資訊(信息)安全等級的保護之標準化作業並適時發布法規規範如圖3所示的相關工作;以伺服器為例,表8是其遵循標準技術要求舉隅,表9是其3級系統技術測評之基本要求舉隅。
圖3中國大陸之資訊安全管理實作路徑示意
.jpg)
表8 中國大陸資訊系統分級之伺服機技術要求舉隅
表9:中國大陸信息安全等級保護測評之3級系統技術測評的基本要求(GB/T22239-2008)舉隅
資訊系統涉及公共與國家安全已是事實,如何確保機敏性資訊及其資訊系統不受未經授權之存取、使用、揭露、破解、修改與毀壞,以提供機密性、完整性與可用性之應用,已是各國政府宜面對的問題。標準化是法規遵循之普同理解的形塑過程,中國大陸資訊安全等級保護測評等標準化之歷程,值得開展更深入的思考與討論,以塑建我國ISMS之「健安健診」事實及規範間的反思機制。
本文作者服務單位依序為臺灣網路防護協會、中國文化大學資管研究所、中國文化大學資管研究所、國立臺灣大學資管研究所