隨著惡意攻擊手法愈來愈多樣化,對於防禦的一方而言,需要持續關注的議題也愈來愈多,在日常維運方面,無論是參考國際標準的要求,或是依據產業的規範或最佳實務,定期的實施自我資安檢查,將是確保組織維持強健體質的良方。
從去年犯罪集團針對包括台灣、泰國、日本等各國的ATM系統進行入侵和盜領案件,到今年年初對於證券業者發動的分散式阻斷服務(DDoS)攻擊勒索事件,各式各樣的資安攻擊仍然層出不窮。依據英國標準協會(BSI)和營運持續協會(BCI)所共同發表的2017 Horizon Scan Report指出,今年排名前三大的威脅仍然是「網路攻擊」、「資料外洩」和「無預警的資通訊中斷」,這些威脅將直接關係到組織本身的資訊系統,以及保護、管理與存取資訊的能力。換句話說,組織是否有能力定期檢視資訊系統,分析評估可能存在的威脅與弱點,並且盡快進行處理,就是維持資訊系統持續運作的重要關鍵。
主管機關對資安評估之要求
在2014年7月,中華民國銀行商業同業公會全國聯合會就提出了「金融機構辦理電腦系統資訊安全評估辦法」,並且報請金融監督管理委員會的同意,要求金融機構參照其所制訂的「金融機構資訊系統安全基準」和「金融機構辦理電子銀行業務安全控管作業基準」,定期實施資訊安全評估作業,希望藉由提早發現可能的資安威脅與弱點,並且實施技術面和管理面的相關控制措施,以提升並強化組織在資訊系統和網路安全的防護能力。
因此,金融機構必須依照其整體資訊系統的現況來制訂資安評估計畫,先針對資訊資產的重要性和影響性進行分類,再決定實施資訊安全評估之週期,並且在完成之後,提交一份正式的電腦系統資訊安全評估報告。如果評估之後發現有不符合的項目,還需要進行後續的追蹤和矯正。若是有單一系統不幸發生了重大的資安事件,此系統也被要求必須要在三個月內,重新再執行一次資訊安全評估作業。
資安評估作業的內容項目
資訊安全評估作業內容一共包括了以下六大項目:
(一)資訊架構檢視:評估網路架構之配置、資訊設備的管理方式和單點故障的風險承擔能力,以及組織對於營運持續所採取的相關措施。
(二)網路活動檢視:包括網路相關設備的帳號權限管理和存取記錄、設備的監控與異常事件的處理,以及檢視網路封包是否存在網路異常連線和惡意行為。
(三)網路設備、伺服器及終端機等設備檢測:檢測設備的存取和連線機制、是否定期實施弱點掃描和修補作業,以及檢測是否存在惡意程式和後門程式。
(四)網路安全檢測:包括網站和客戶端軟體的弱點掃描、程式源碼的檢測、滲透測試,以及評估網站目錄權限設定的適當性,檢視系統是否存在可能易遭連線挾持和資源消耗等影響系統可用性的情況。
(五)安全設定檢視:包括系統存取限制和特權管理、伺服器的設定原則、軟體更新、防火牆的連線設定,以及金鑰的儲存保護和存取機制等。
(六)合規檢視:檢視整體的電腦系統是否符合「金融機構資訊系統安全基準」中,有關提供系統可靠性及安全性侵害對策之規範要求。如果組織提供了電子銀行服務,還需要檢視相關系統是否符合「金融機構辦理電子銀行業務安全控管作業基準」之要求。
基本上,前五項的檢視要求比較偏向於技術面的評估,評估人員只要符合了辦法中相關的資格條件,可以由內部人員或委由外部廠商來執行,但是在第六項合規檢視的部份,由於是從整體資安要求與管控機制來看,因此比較適合由獨立的第三方機構來進行,藉由公正客觀的角度和業界的實務經驗,能協助組織更有效地找出可能的資安風險。
資訊系統合規檢視的重點
金融機構資訊系統安全基準是主管機關為了提升金融業務相關電腦系統的穩定性,所提出的強化措施之一,主要針對環境、設備、軟體、系統開發、運作管理等項目,分別從設備基準、營運基準、技術基準提供相關的實務措施與控制作法,其中又以技術基準是作為提升資訊系統的可用性、完整性及機密性,提出在系統硬體及軟體等技術面的對策,主要包括「提升系統可靠性(技1-技25)」和「安全性侵害之對策(技26-技51)」兩個層面,區分為8大項和51個的小項目,可以用來協助金融業者檢視相關資訊系統的安全現況,分別說明如下。
提升硬體設備之可靠性(技1-技6)
這6個項目主要是在預防硬體設備的故障,要求組織應依照設備本身的特性,定期實施預防性的檢查和保養,並且針對包括重要主機、週邊裝置、通訊裝置、通訊線路及端末系統,都需要評估並設置所需的備用與備援設備,以強化系統運作的可靠性。
提升軟體系統之可靠性(技7-技15)
這9個項目主要著重在完整的系統開發生命週期的各個階段,所對應實施的控制措施,例如確認系統開發設計的計畫是否納入了安全的考量,並且在系統計畫階段就實施了必要的安全控管機制;是否採用標準化的設計和程式撰寫作業,以確保軟體的品質;在測試階段如何擬定測試計計畫並完成各項測試作業;程式如何進行派送,以及購置套裝軟體時的考量等。另外,它也要求在系統功能進行增修變更時,相關的作業仍應比照開發階段時的品質控管要求。
提升營運可靠性之對策(技16-技19)
這4個項目是要求系統操作如何保持自動化和簡易化,並且在操作的過程中,是否進行系統操作的檢核,以降低人為操作的錯誤。另外,針對資訊系統的運作狀態,是否進行適當的監控,以避免其因資源不夠或超過負荷,而導致系統錯誤的發生。對於無人看管的ATM設備,是否採行集中監控和遠端搖控功能,以確保無人化服務區的穩定運作,這些都是屬於營運可靠性的要求。
故障之早期發現、早期復原(技20-技24)
這5個項目是希望讓故障能夠被早期發現並進行復原,因此組織需要設置資訊系統的監視機制,包括了運轉、停止、錯誤等狀態的發現和回報,一旦故障發生,還能夠適當地隔離故障的部位,以便讓其他功能可以正常運作。另外,若是屬於交易類的系統,為使故障的影響降至最低,必要時可以限制交易的科目或類型。當然,組織也需要建置系統復原的功能,以便能盡快地回復到正常的服務作業。
表1 電腦系統之分類和評估週期
災變對策(技25)
有關災變的因應只有一個要求,就是為了預防資訊中心發生災難而導致所有系統功能完全喪失,組織需備有災變備援中心,以便能讓相關服務能夠及早回復。
資料保護(技26-技34)
在資料保護方面,一共有9項要求,主要著重在防止資料外洩和被竄改破壞,需要建立相關的檢核機制。所以它的要求從最基本的密碼不顯示不印錄等措施開始,在資料傳輸過程中必須實施加密,重要資料於儲存時也要進行亂碼化處理。而為了保護資料本身,除了要求檔案存取時要具有排他機制外,對於存取資料的人員、應用程式和檔案,也要求應具有檢核與剔除的功能,對於帳務相關的主檔和交易日誌檔案等,也要具備相互勾稽的機制,以預防資料受到不當的竄改。
防止非法使用(技35-技48)
這裡一共有15項管控要求,主要重點在於存取權限的確認、交易範圍的限制,以及防止偽冒欺詐的情況發生,所以其要求包括了偵測非法使用ID的功能、系統的日誌和歷史資料的保護、發生事故時限制交易或停止交易的機制、卡片的偽冒和電子儲值資訊的保護等。另外,網路安全的相關措施,包括偵測非法的網路入侵、確保不必要的設備存取重要網路、非法存取與異常交易的監控,以及萬一真的發現非法入侵和存取時應變機制和復原程序,也是防止非法使用的要求重點。
防止非法之程式(技49-技51)
這3個項目主要是著重在惡意程式的防禦,包括如何在系統開發、維護、營運中防止電腦病毒的入侵,以及是否設置了偵測和檢查機制以降低被感染的風險,萬一真的被惡意程式感染,如何進行隔離和清除,降低對資訊系統的影響,都是組織需要進行評估的要求內容。
金融相關產業都應及早遵循
目前,除了金融機構因應銀行公會之要求,需要依照電腦系統的重要性類別,定期實施資安評估作業並產出報告之外,已經有其他相關的產業公會也比照此一要求來通知其會員公司辦理。現今已經正式行文的包括「壽險業辦理電腦系統資訊安全評估作業原則」、「產險業辦理電腦系統資訊安全評估作業原則」、「信用合作社辦理電腦系統資訊安全評估辦法」、「保險代理人公司辦理資訊安全評估作業原則」、「保險經紀人辦理電腦系統資訊安全評估作業原則」等。因此,如果組織本身隸屬於以上的產業,為了能夠更有效地管控資安風險,應及早規畫並依據作業辦法之要求,指派內部的專業人員,或是尋求外部單位的協助來定期執行資安評估,以遵循主管機關之期望要求。
<本文作者:花俊傑,現為bsi英國標準協會客戶經理,擁有BS 10012和ISO/IEC 27001、27017、27018、29100等主導稽核員資格,自詡為資安傳教士,樂於分享資安心得。>