目的
《資安地圖》冀望從管理、應用的問題需求面開始,提供企業相關管理者及資安人員,透過不同需求出發,甚至是透過不同產業在資安風險的控管優先順序,找出企業需要的防禦方法,協助企業使用者尋找適合的理想防禦方案及服務。
資安地圖的架構主要分作:資安需求總表、資安優先建議。
資安需求總表將以資安威脅分類作為縱軸,對照至相關控制措施及產品方案,而資安優先建議則向下深入至產業需求面,探討政府、金融、高科技製造業、醫療、電子商務、中小企業、教育單位等產業最常見的資安威脅,及建議措施。以下針對資安需求總表作說明-
資安需求總表使用說明
首先從資訊風險分類來看,共有C、I、A、L-Confidentiality(機密性)、Integrity(完整性)、Availability(可用性)以及法規遵循幾個主要因素,從資訊風險可對應到不同的威脅,可能的威脅有資料外洩、外部入侵、電腦硬體毀損等疑慮,為了避免這些威脅,運用不同的控制措施來解決,在這之中我們透過關聯線來了解,哪些控制措施可以解決哪些威脅,而這些控制措施又可藉由橫軸不同的產品服務解決方案來實現。
並且,在這些產品解決方案當中,我們又將之分為第一道和第二道防禦,第一道防禦可以說是資安工作中,一般來說會優先完成的基礎資安工作,第二道則為更進階的資安工作。
解決方案策略規劃
在C.I.A三項資訊風險當中,我們又特別關注到資料的機密性,要解除資料外洩風險的控制措施有非常多種。而根據研究機構Aberdeen Group的調查《Putiing the P to DLP》顯示,一些在防制資料外洩方面較為優秀的組織,通常都會同時建置多種控制措施,內容涵蓋主動到被動以及預防型的控制措施,大致可分做三個類型,以便於讀者做策略規劃:
- 主動型防禦產品:可依政策執行允許或禁止、隔離功能,有時甚至可以因使用者的條件而調整。
- 被動型防禦產品:這類產品相對應於主動型產品,主要像是Log記錄或是稽核,以及被動的警告管理者或終端使用者採取修正動作。
- 預防型防禦產品:事先佈署安全的檔案傳輸、加密,或是持續性的控管,像是權限控管、數位資料的銷毀等。
控制措施
而針對一些較有疑義的控制措施選項,我們在這也稍作說明-
- 資料存取傳輸監控:
每個權限都有各自可允許存取的資料,因此傳輸監控的措施就是要看這些資料是否有在不被允許的情況下,被透過第三媒介物,例如透過Storage傳出,這可與權限控管一併歸劃考量。
- 系統稽核日誌雙重備份:
稽核日誌記錄的細節比一般日誌多,一般日誌就比方像是syslog,但稽核日誌會增加像是使用者登入、登出時間以及位置這些資訊。較為嚴謹的是雙重備份,指的是一份資料on site和兩份off site,一份放在系統內,一份備出來放在硬碟,另外一份則同步到遠端的稽核伺服器,因為在系統內的資料,可能會因為操作不當導致Event Log錯亂,所以必須定期備份出來放在硬碟內,但硬碟內的Log也可能因駭客入侵後,將入侵記錄一併消除。除了外患以外,內賊亦有可能是有權限的使用者,在監守自盜後亦可把Log抹滅。
所以較嚴謹的作法就是備份這第三份,也是最重要的同步至遠端的另一台防護層級較高的伺服器,這部份的權限也可以提高到更高層級,主要是提供歸檔、稽核使用,同時也可以避免因實體物件遭破壞之後,導致資訊無法取回的問題。目前大部分的使用者因為成本考量,多半只做到一次的備份或者甚至無備份。
- 監控特權系統帳號存取行為:
倘若特權帳號登入系統做壞事,在Log來不及同步出去前,馬上把相關的Log清掉,如此一來便無從查證起,所以針對特權帳號再進行稽核是有其必要的。一般的狀況裡,帳號稽核僅是在系統內依照Event Log或其他Log資訊做稽核,卻遺漏掉,憤怒的員工可能是最大的資安威脅,所以在規劃上並不常包含這塊。
- 強制存取路徑:
讓在權限控管內的帳號僅能查看其所屬的資料。
持續性控制措施-
而有些控制措施被列為「健康檢查」,由於必須持續性的去實行,可以在過程中發現系統問題並加以修正,調整企業整體資安體質。例如:
定期檢視Log、定期系統弱點掃描、標準化系統(主機/網路)安全組態設定覆核、教育訓練、ISO 27001、ISO 2000、定期滲透測試等。有些可以自行完成,而大部分可能需要廠商提供專業的資安服務。
標準化系統(主機/網路)安全組態設定覆核:
這可以說是一個環境安全設定的標準化流程,先針對企業整體IT環境設計一套安全設定的SOP,再依照計畫執行,而由於IT環境會隨時間變動,之後需運用相關的管理軟體來進行調整。
滲透測試:
當產品上線時需要做一次完整的滲透測試,將真正發現且存在的問題排除解決,因此在此表格中「滲透測試」為一解決方案。但之後,產品的伺服器會更新、網路會調整,可能在這樣的歷程中又會出現漏洞,所以控制措施當中「定期的滲透測試」就是要控制這些威脅。
◎資安需求總表請至 資安二手市集 下載
◎相關系列文章:
企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多
企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效
企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要
企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險
企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料
企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站
企業資安需求(七) 學術機構-校園好多洞 最少應好好遵循ISMS和加密