上一期談到了ISO 27001中有關通訊與作業管理的各項控制措施,接下來將說明附錄A.11存取控制的資安要求,包括了使用者的存取管理與應有的安全責任等。
在協助組織規劃有關資訊安全管理的策略時,經常會提到一個俗稱為「PPT」的思考架構,它是指人員(People)、流程(Process)、技術(Technology),也就是說在資安管理的要求方面,基本上會涵蓋此三個層面,包括需要依照組織營運目標與資訊安全政策,透過教育訓練來讓所有員工了解並落實其應有的安全責任;依照各單位業務屬性不同,訂立各項安全的作業流程,並留下相關的作業記錄;以及透過各項資安技術的協助,來偵測防禦可能來自內部與外部的各項威脅。
因此,針對資訊的存取控制方面,它也是一個很好的參考指標,像是在人員方面的存取控制要求,思考重點在於如何確保資訊只能讓已經過授權的人員才可存取,如何讓人員了解並落實存取資訊時應盡的使用者責任;在流程方面,則是要確保所有的資訊存取,是否都是基於營運所需的安全要求,是否以文件化方式建立了各項和資訊存取有關的政策。
至於在技術方面,針對網路、作業系統與應用系統,是否劃分了安全邊界,是否進行良好的使用者身分識別,並且賦予適當的連線控制,以上這些都是組織資安管理的重點。
存取控制要求的安全層面
關於存取控制的資安要求,包括了使用者存取管理與應負的安全責任、網路與作業系統的存取控制,以及應用系統的存取控制等,在ISO 27001附錄A.11「存取控制」中,一共有七個控制項目來說明其涵蓋的資安控制措施。
A.11.1「存取控制的營運要求」的目標,是要確保各項資訊的存取都能受到適當的控制,以避免濫用或外洩的事件發生。在A.11.1的條款中僅有一項名為「A.11.1.1 存取控制政策」,這項控制措施的目的是要依照營運相關的存取安全要求,建立文件化的存取控制政策,並且在這項政策中明確說明每位使用者和使用群組,應該要如何去配置其應有的存取權限,而這些存取權限的考量,則可能來自於本身的職位或所接觸資訊的安全等級,以及對組織整體的營運風險考量。
在組織之中的存取控制措施,將會牽涉其存取授權的流程,包括如何提出授權的請求、如何審查並賦予權限,以及不需使用時的權限如何移除等。在實務方面,我們在建立存取控制規則時,必須掌握一個原則,那就是「除非允許,否則一律禁止」,這項原則可應用在實體的敏感區域門禁管制,或是邏輯上的防火牆存取規則,將可大幅降低不當的存取設定可能帶來的資安風險。
使用者的存取管理
在A.11.2「使用者存取管理」的控制項目中,目標是要防止未經授權而存取的情況發生,也就是要確保只有經過授權的人員才可以存取資訊。在這個項目中共有四項控制措施,分別說明如下:
A.11.2.1 使用者註冊
這項控制措施是要求所有的使用者在獲得存取資訊的權限之前,必須經過正式的使用者註冊程序,換句話說,若不再需要存取資訊時,也必須經過適當的註銷程序,撤銷其所具有的存取權限。在實務方面,最常見的作法是讓使用者透過表單流程來進行申請,通過審查核可之後,就會賦予其一個唯一的識別帳號(User ID),藉此來管控並留下其存取資訊的記錄。
在審核時要注意的是,所賦予的權限是否符合其職務角色,以避免違反職務區隔的要求,另外,若使用者的職務有所變動,則原先擁有的存取權限應予以凍結或移除,以避免權限過大的情況發生。
A.11.2.2 特權管理
許多組織都依賴資訊系統來維持日常的運作,在這些系統之中會有一些人配置了和一般使用者不同的特殊權限,像是系統開發人員和系統管理人員等,以因應系統的開發與維護。但是,這些特殊權限往往可以不受原本系統的限制與控管,所以在配置時更要小心注意。
本項控制措施即是要求組織要限制和控管特權的配置與使用,實務上最簡單的作法就是特權的申請需要經過管理階層授權,並且留下相關記錄,另外,特權的使用也要明訂相關的作業辦法,使用的過程也要保存其系統記錄(log)。
A.11.2.3 使用者密碼管理
在A.11.2.1中提到使用者需要經過正式的註冊程序,才可獲得其專屬可識別的帳號,而搭配帳號所使用的密碼,也會是另一項管理的重點。本項控制措施要求使用者密碼的配置,需要有正式的管理流程來進行控制,也就是說在配置的過程中會有一些安全上的要求,例如有些組織可能會在聘僱時要求員工簽署保密協議,內容包括要求員工不得任意洩露個人的密碼。
而在密碼配發過程中,組織應避免採用不安全的方式提供密碼(例如電話告知),一開始所提供給員工使用的臨時密碼,也要強制其在第一次登入系統時就要馬上進行更改。
A.11.2.4 使用者存取權限的審查
使用者在獲得存取權限的配發之後,將不會是永久不變的,而會隨著其調職、升遷、離職等情況,其權限就需要進行適當的調整。本項控制措施要求管理階層需要定期地針對使用者的存取權限進行正式的審查,因此實務上建議在存取控制政策中即納入組織將定期(例如三個月或半年一次)在使用者的職務變更之後,實施權限審查與重新配置,以維持對於資訊和系統服務存取的有效控制。
使用者的安全責任
一開始提到資訊與系統的存取控管,除了需要考量「流程」、「技術」之外,「人員」也是不可或缺的要素,尤其是目前許多資安事件的發生,多數原因是來自內部人員的控管不當,所以使用者方面的配合落實,將會是強化資訊安全的重要關鍵。
在A.11.3「使用者責任」的控制項目中,目標是要防止未經授權的使用者,存取其不允許使用的資訊和資訊設施,以避免其受到損害。在這個項目中共有三項控制措施,分別說明如下:
A.11.3.1 密碼的使用
使用者一旦獲得其系統使用的帳號密碼,在使用方面就需要按照組織要求的安全規定,像是避免使用不安全的懶人密碼,而選用一定長度以上、大小寫數字混合的嚴謹密碼,以及密碼定期的加以變更等。此外,最重要的是使用者必須盡到保管密碼的責任,也就是維持密碼的機密性,要避免將它寫下並放置在桌面上,或是與其他人共用。因此,本項控制措施的重點就是要求使用者需依照安全的方式來選擇並使用其密碼。
A.11.3.2 無人看管的使用者設備
使用者在組織中所使用的資訊設備(例如所配發的個人電腦),由於自己是資產的保管人,所以大都熟知其資產的保管責任,比較缺乏的是資產所含的資訊安全責任觀念,如果有些設備是屬於無人看管,那麼在安全上面就更容易為人所忽略。本項控制措施要求對於所使用的無人看管設備,也要實施適當的保護,例如一些公共使用的工作站電腦,在一定閒置時間或結束使用時會強制終止其現有連線(Session),或是設定有密碼保護的螢幕保護程式;在其設定的可用時間以外,則使用鑰匙鎖或放置在上鎖的地點,以避免其受到未經授權的使用。
A.11.3.3 桌面淨空與螢幕淨空政策
在辦公區域的使用者桌面上,最常見的資訊就是紙本的文件,以及儲存大量資料的可移除式媒體,如USB隨身碟和行動硬碟等。針對其所包含的敏感資訊,本項控制措施要求採取桌面淨空和螢幕淨空等安全政策,以降低資訊外洩的風險,因此,需要使用者的配合實施來強化其安全管控。舉例來說,像是在相關的作業辦法上明訂,使用者在離開座位時,需將敏感資訊或儲存媒體收藏在上鎖的抽屜或櫃子等安全地點;暫時不使用個人電腦時,應登出系統或設置螢幕保護程式;若使用印表機列印敏感資訊時,應立即自印表機上方取走等,以上都是實務可行的作法。
PPT才能發揮應用成效
存取控制一向是持續受到重視與討論的資安議題,但依據個人的觀察發現,許多組織在資訊存取控制的實施方面,著重的仍然是資安設備的部署,例如為了防止資料外洩,所以會添購DLP或端點安全等資安產品,利用其對於使用者週邊資料輸出設備的控制,像是禁止使用USB裝置和光碟機等設備,或是監看電子郵件和即時通訊的內容,來達到其所謂控制的目的。
事實上,這些技術方案沒有什麼不好,尤其是在目前資安人力的短缺之下,透過集中化管理技術的協助,可大幅降低資訊管理人員的負擔。只是,為了讓成本與效益最大化,我們可以換個角度來想,如果組織沒有配合明訂相關的資訊存取政策與作業辦法,以及配合使用者的教育訓練宣導等,若只是藉由單點的技術管控,往往很難發揮其應有的效果,更無法發揮技術管控背後的真正意義,因此「PPT」真的缺一不可,提供給各位管理人員作為參考。
參考資料
1. ISO/IEC 27001:2005
2. ISO/IEC 27002:2005
(本文原載於網管人第65期)