上一期,我們說明了雲端控制矩陣中,關於資安教育訓練、管理者與使用者安全責任、加密與金鑰管理,以及漏洞修補和防範惡意程式等控制措施,本期將繼續說明在資安管理控制項目中,剩下的各項安全要求。
IS-29 稽核工具之存取
對於可使用在組織資訊系統的稽核工具,這項控制措施要求應有適當的限制和區隔,以避免系統存錄資料(log)受到不當的損害和濫用。
在實務方面,建議參照ISO 27001附錄的「A.15.3.2 資訊系統稽核工具的保護」,要求所有系統所使用的稽核工具,都必須要有適當的保護,以避免濫用或受到破解的情況發生。針對組織負責資訊系統稽核的人員,也必須要求具有獨立性,使用的工具也要和開發或運作中的系統分開,並且實施權限控管,必要時甚至可先從運作中的系統移除,以避免受到誤用。
IS-30 診斷與組態埠之存取
現今的資訊設備或系統,大都需要廠商提供定期的支援與維護,因此許多網路設備和電腦主機,都能設定組態埠並提供遠端診斷服務,如果其開放的組態埠沒有實施任何安全防護,就容易受到外來的入侵和未授權的存取。
為了防止系統診斷和組態埠受到不當利用,這個控制措施要求應限制只有經過授權的個人和應用程式,才能進行存取。實務方面可參考ISO 27001附錄「A.11.4.4 遠端診斷與組態埠保護」之要求,在設備方面採取上鎖和移除等方式進行,若是邏輯上的存取使用,則可透過文件化的作業程序,要求事先申請並確認身分之後才開放使用,而在診斷完成時,也應及時關閉相關的組態埠和服務。
IS-31 網路與基礎建設服務
針對網路和基礎建設服務方面,無論是自營或外包,這個控制措施要求包括安全控制、容量與服務等級,以及業務和客戶之需要,都要有清楚的文件化服務等級協議。
在ISO 27001方面,此項控制可參照附錄「A.6.2.3 第三方協議中的安全說明」,也就是在與第三方所簽定的協議與合約之中,必須明訂組織的資訊安全要求、應遵守的相關法規,以及違反時應負的法律責任等;也可參考「A.10.6.2 網路服務的安全」的內容,要求相關網路服務都需要識別其安全等級、使用程序及管理要求,包括了申請使用程序、連線方式、身分識別及所採取的加密措施等。
IS-32 可攜式與行動裝置
隨著可攜式與行動裝置使用的普及,也成為雲端資安的隱憂之一,這項控制措施是針對常見的設備包括筆記型電腦、行動電話、PDA等,以及高風險的資訊設備,都需要建立政策與作業程序,嚴格限制其有能力存取組織的敏感性資料。
在ISO 27001方面,可以參考附錄「A.11.7.1 行動運算與通訊」的要求,針對行動運算設施採取適當的安全控管,例如筆記型電腦等行動裝置採取硬碟加密,並避免留置在無人看管的地點。實務方面,雲端服務供應商也可明文禁止這一類的行動裝置可直接連接或存取與雲端有關的服務,以降低不必要的風險。
IS-33 原始碼存取之限制
對雲端服務供應商而言,應用程式或雲端資源原始碼的重要性無庸置疑,因此需要嚴格地限制原始碼的存取行為,這個控制措施是要求應限制只有職務上需要,並且已經過授權的人員才可進行,同時對於其申請存取的原因、方式和所存取的原始碼版本,都必須留下完整的記錄。
在ISO 27001方面,則可以參照附錄「A.12.4.3 程式原始碼的存取控制」,針對原始碼所儲存的特定地點,建議做法包括了建立存取作業程序、設定存取權以及定期評估存放環境的安全等,即使是程式開發人員本身若是需要取得程式原始碼,也應事先經過授權,依照作業程序並且保存相關記錄才可進行。
IS-34 工具程式之存取
針對系統的工具程式,這個控制措施要求可能越過系統、網路、物件及虛擬主機的控制行為,應該都要受到限制。對此,可參照ISO 27001附錄「A.11.5.4 系統公用程式的使用」,要求嚴格限制能夠跨越系統和既有應用服務等公用程式的使用。
實務方面的建議是直接在使用者的電腦上移除這些工具,如果是系統管理人員,也需要經過授權才可使用工具程式,並且保留相關的變更記錄。
資安管理是雲端控制的基本功
在規劃有關資訊安全管理的策略時,經常會提到一個俗稱為「PPT」的思考架構,它是指人員(People)、流程(Process)和技術(Technology),也就是說在資安管理的要求方面,基本上皆會涵蓋此三個層面,包括需要依照組織營運目標與資訊安全政策,透過教育訓練來讓所有員工了解並落實其應有的安全責任;依照各單位業務屬性不同,訂立各項安全的作業流程,並留下相關的作業記錄;以及透過各項資安技術的協助,來偵測防禦可能來自內部與外部的各項威脅。
即使如今組織已採取了先進的雲端服務,這些基本的控制要求仍是不可或缺的,因為面對可能來自於內部與外部的各項風險,唯有審慎評估並提高警覺,才能夠防範於未然。換句話說,組織需要事先練好了基本功,擁有了良好的體質,才能夠有效因應各項資安事件的發生,這一點請組織管理階層務必牢記在心。
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>