網路攻擊日益猖獗,資訊安全維護更顯重要。為提高網管防護意識,本文將介紹資訊安全的目標、防護工作內容以及資訊安全的計畫,並說明如何設定網路存取控制權以提升網路存取的安全性。
第一個層面屬於功能需求(Functional Requirements),一般來說都是注重在解決方案的功能達到怎樣的防護與功能上的控制行為。第二個層面屬於保障需求(Assurance Requirements),確保企業選擇了適當的解決方案,並且要確保解決方案有被正確地運行,而且是有效地運行,有達到企業資訊安全的需求。
唯有同時符合兩個層面的需求,才能算是一個完整的資訊安全解決方案。舉例來說,一個很強的防毒軟體,必須具備威脅偵測、防毒解毒的功能,這些屬於功能需求層面。
另外,防毒軟體也必須針對防毒偵測的過程中,做一些記錄(Logging)的功能,或是以其他方式確保防毒軟體正在正常運行中,這樣才能算是一個完整的資訊安全防護解決方案。
組織業務的需求
以上都是屬於IT安全的需求,至於組織業務的安全需求,可以分為三個部分來探討:
1. 注重於企業組織整體的目標
2. 每一個不同的組織擁有不同的安全需求
3. 資訊安全計畫必須是合理的,而且是有經濟效益
的。
很明顯地,資訊安全計畫一定要符合企業組織的整體目標,否則資訊安全計畫將會沒有效益。另外,也要明白資訊安全計畫根據不同的企業組織會有很明顯的不同,例如政府單位、軍事單位或是一般的企業單位等等,他們對於資訊安全的看法與需求是截然不同的。
舉例來說,每個組織對於各種資料的保護優先權可能就會不同,所要保護的資料目標物也會不同,即使是同一個產業的不同企業,其資訊安全的需求也不見得相同,因為各個企業可能會有不同的營運流程或是不同的資訊存取流程等等。最後,也是最重要的,當然是所選擇的資訊安全計畫必須達到成本效益。
IT安全管理
這裡要談的,是組織IT在安全管理的目標。IT安全管理在整個企業組織的管理之中只占一部分。一般來說,對於企業高層而言,IT安全管理這個領域對他們而言過於複雜,過於技術性,因此通常會把整個責任全部交付給IT管理部門。而IT管理部門在工作量上可能已經無法負荷安全上的管理,因為IT部門還會需要負責很多其他的事情上,即使IT部門想要著重在資訊安全上,可能也因為沒有受過適當的訓練或是在職責上沒有適當的分配,而導致整個資訊安全計畫徹底失敗。
根據美國全國網路安全聯盟(National Cyber Security Alliance)的資料指出,美國有47%的小型企業不會提供員工網路安全訓練,其中,也有許多企業不願意提供適當的訓練給IT部門。因此,適當的作法應該要把IT管理整合並納入企業整體的風險分析之中,並且必須確保:
而整個IT安全管理,必須包含下列三個部分:
- 卓越的領導力(Leadership)
- 完善的階層組織架構(Structure)
- 標準的運行流程(Processes)
一般而言,我們都會覺得網路安全管理人員所需要的是技術上的技能,但事實上會需要更多的技能。舉例來說,網路安全管理人員至少要有能力做決策,而且所做出的決策不會被任何的高層所過濾,所做出來的決策也必須能夠讓人信服,因此做決策的人在公司裡面須要有一定的地位。
除此之外,這些網路安全管理人員必須對公司的大小細節很熟悉,例如公司是如何運作、誰會使用哪些資料、如何存取那些資料等等。這些都是領導力所涵蓋的內容。
而階層架構所要提的,是指整個資訊安全管理存在於公司內部各個階層的人員:高層主管將方向(Directions)轉換成為政策(Policies),而一般主管將策略轉換成為標準(Standards)、基準(Baselines)以及方針(Guidelines),而Team Leaders則是將標準、基準以及方針轉換成為流程(Procedures)。最後,一般員工則是實行每一個訂立出來的流程。
從上到下各階層的人員在每個流程,對於整個資訊安全管理都是非常重要的。因此,唯有良好的組織階層架構,才能真正落實良好的資訊安全管理工作。
最後,在執行的流程上,也是有很多細節是需要注意。舉例來說,一般會注意做到以下幾點:
1. 工作輪替(Job rotation)
2. 職權區分(Separation of duties)
3. 最小權力分配(Least privilege)
4. 休假的安排(Mandatory vacations)
5. Brewer-Nash Model
6. 監督(Supervision)
7. 安全稽核和復審(Security audit and review)
8. I/O控制
9. 防毒軟體管理
關於每一項細節,之後有機會再一一介紹。
透過存取控制提升網路安全
網路安全管理人員必須對公司的大小細節很熟悉,例如公司是如何運作、誰會使用哪些資料、如何存取那些資料等等,這些都是領導力所涵蓋的內容。但其實這些對於網路管理人員來說,也是一個非常大的重點。
如果你是網路管理人員,而職責又必須涵蓋網路安全,那這真的是不可忽略的細節。一旦了解公司內部什麼角色會去使用何種資料之後,就可以對應到什麼網路區段。
接下來,就是透過技術上的設定來提升安全性。技術上最經常使用的就是設定存取控制,也就是限定資料的存取控制權。以下來看看如何做到這樣的控制設定。
存取控制清單簡介
Cisco路由器設備的標準型存取控制清單和延伸型存取控制清單提供了許多功能,其中包含一般的存取控制,同時也提供資料加密以及根據策略自動決定路由的功能(Policy-based Routing)。
存取控制清單,也就是Access Control List,簡稱ACL。顧名思義,存取控制清單就是一個清單,內容包含一些「規則」,也可以視為條件,用來指導Cisco路由器設備如何辨識哪些網路封包,以及要對這些網路封包做哪些動作。
例如,網路管理人員可能想要阻絕某些網路封包,希望只允許某些特定的網路封包,而網路管理人員在Cisco路由器設備上設定好存取控制清單之後,當網路封包通過Cisco路由器設備時,就會依據存取控制清單的內容來決定是否要讓這個網路封包經過。
藉由適當地控制好存取控制清單,網路管理人員就可以過濾網路封包,達到一定的網路安全。