資訊安全控制措施

通訊與作業的安全管理(上)

2011-03-05
上一期針對ISO 27001中有關實體安全的控制措施,說明了敏感的安全區域和資訊設備應實施適當的安全控管,以避免因為受到惡意人士的登堂入室,而造成資訊安全的危害,本期將繼續說明有關網路通訊與資訊系統營運的安全作業管理。
對現代的企業而言,資訊系統與網路連線已不只是企業的維運基礎架構之一,更有可能是業務營運的關鍵命脈,其重要性已不言而喻。不過,許多企業在網路通訊管理方面,主要著重的仍是在所謂的效能表現與流量管理,而忽略了來自網路惡意攻擊、相關人員在作業上的疏失,可能造成的資訊安全危害。

針對網路安全威脅,M86 Security Lab在2011年的威脅預測報告中指出,來自網路的惡意軟體,將會是主要的安全威脅,其中包括利用網頁的漏洞破壞網站、將惡意連結隱藏在垃圾郵件中、鎖定智慧型手機和行動裝置的攻擊、透過社交網路的陷阱,以及殭屍網路的盛行等,都是所有企業和組織應當要重視的資訊安全議題。

所以,回歸到基本面來看,如果想要有效地防禦以上種種威脅的入侵,最好的方式還是做好網路通訊與日常資訊作業的管理,才可將資安風險降至最低。

監控資訊處理的相關活動

在ISO 27001附錄A.10中,提到的是「通訊與作業管理」,其中有10項主要的控制項目與目標,這是在ISO 27001中擁有最多控制項目的類別,因此也突顯出通訊服務與資訊作業在資安的重要性,需要我們進行適當的安全管理。

首先來看A.10.1「作業程序與責任」的控制項目,它一共有四項控制措施,目標是要確保所有的資訊處理設施和人員的作業,都有相對應的作業程序,同時也要對工作進行適當的職務劃分,以降低因為人員的疏失或任意的操作,而造成資訊系統出錯的風險,依序分別說明如下:

A.10.1.1 文件化作業程序
ISO 27001要求與資訊系統活動和作業有關的程序,都需要將它文件化,這些文件包括通訊設施的使用、電腦開機和關機程序、備份方式、資訊設備維護、資訊儲存媒體的使用和機房作業管理等。這一個控制措施的重點是要讓作業程序文件,能夠讓相關人員在需要的時候即可馬上取得,並遵照其要求的作業程序來進行。

除了以上提到的作業活動之外,許多特定的資訊工作也會有作業程序的要求,例如資訊的存取方式、系統的作業排程、遇到困難作業時的人力支援、系統稽核紀錄(log)的保存與管理等。在資訊安全管理制度中,這些文件都要視為組織中正式的文件,並依照內部所制訂的文件管理程序來控管,換句話說,若需要做內容的修訂與變更,則必須要取得管理階層的授權之後才可進行。

A.10.1.2 變更管理
隨著組織中愈來愈多資訊系統的建置與彼此相互連結,若對於系統的組態進行更動,往往會牽一髮而動全身,因此本項控制措施的目的就是要確保和資訊處理設施與系統有關的變更事項,都能夠受到妥善的管理控制。

在實務方面,除了所有的變更事項務必要取得主管的授權之外,特別要注意的是務必保存相關的變更紀錄,包括作業核准的程序、重大變更事項的識別和紀錄、變更規劃與測試計畫,以及在變更不成功時,如何中止並進行復原的程序等。

以作業系統的版本更新為例,如果這項變更是針對核心的應用系統,則有可能會影響到關鍵業務的營運,進而產生更高的資安風險,所以在事前就要有更多的測試與評估,以確保更新過程的順暢,也不會因為更新之後,反而產生更多的系統漏洞或造成系統不穩定。

A.10.1.3 職務區隔
俗話說得好,「管錢的不管帳、管帳的不管錢」,有些工作職務其實不適合由同一個人來進行,像是會計和出納,需要確保不會有一個人可以一手遮天,能夠侵佔款項後同時竄改紀錄,導致神不知鬼不覺。在資訊作業方面也是同樣的道理,例如程式開發人員和上線人員、應用程式管理員和資料庫管理員,都不宜讓同一個人來擔任,以避免可能的營私舞弊情況發生。所以這項控制措施的目的是,針對工作職務和責任應予以清楚區隔,降低資訊受到未經授權的修改,以及資訊資產受到誤用或濫用的情況發生。

雖然在實務方面,由於許多公司的規模不大,資訊人員的數量也不多,很難作到完全的職務劃分,這時候則可以選擇其他的配套方法,像是進行作業活動上的監視紀錄,或是經常實施獨立的安全稽核,實施人員的教育訓練等,盡可能的來降低資安風險。

A.10.1.4 開發、測試與運作環境的區隔
組織除了使用套裝軟體或作業系統之外,也會有許多內部自行開發的應用程式,建議一開始從規劃、測試到正式上線,都要考量到可能的資安風險,並納入一些管控機制。所以這項控制措施是要求應分隔在開發、測試和運作所使用的資訊設施,以避免因設備的誤用或資訊的不當修改,而產生不必要的風險。

在實務上,針對應用程式的開發,勢必要備妥開發流程、測試和上線運作的程序文件,同時,所使用的資訊軟硬體設備,也要加以適當的區隔,不在同一個環境上進行,也不將資訊存放在相同的儲存媒體中。基本上,正在開發中的應用程式通常是較不穩定的,若在正式的上線環境中做測試,甚至使用正式的營運資料,很可能會因系統的故障或錯誤,而影響到日常營運的進行,因此務必要避免這種情況的發生。

注意第三方委外服務的管理

目前,許多組織的資訊設備或資訊服務,需要仰賴外部廠商的協助與提供,因此如何去控制可能的資安風險,也是需要注重的議題。

ISO 27001附錄A.10.2即是有關第三方服務交付的管理,它的控制目標,是要能夠落實與維持事前與廠商所簽訂的服務協議,確保各項服務在交付時,其中的資訊安全要求能夠符合,以降低可能的風險。A.10.2一共有三項控制措施,分別說明如下:

A.10.2.1 服務交付
若需要使用第三方的服務時,該如何確保廠商能夠滿足內部的資安管理要求?最好的方式是在商談服務相關契約時,要求第三方簽署服務交付協議(SLA),並按照其中的內容來履行。

所以,這項控制措施要求在服務交付協議中,必須定義服務層級和交付方式,並確保相關的安全控制措施可由第三方來執行維持。

舉例來說,若組織與某廠商簽訂了防毒服務,由第三方提供防毒軟體的安裝、更新、維護,以及中毒時的問題處理排除,在協議中就必須清楚定義安裝、更新和維護的方式為何?如何進行?在中毒時如何通知廠商?廠商所提供的支援方式?預計到場處理的時間?還有無法及時到場協助時的配套作法等,建議最好都明列清楚並獲得廠商的簽署同意。

A.10.2.2 第三方服務的監視與審查
若組織已經與第三方簽訂了服務交付協議,那要如何確保廠商將會按照其中的內容來確實執行呢?所以本項控制措施要求組織需要定期地監視和審查相關的作業紀錄和交付報告,確保由第三方所提供的服務內容與所簽訂的協議一致。

因此,組織可要求服務提供者指派一位負責人或聯絡窗口,針對所提供的服務產出書面報告,並且參與定期召開的工作會議,以確認所執行的服務項目和進度。

另外,在服務提供的過程當中,若是發生安全事件或運作上的問題,也應該追蹤確認問題的解決過程和所留存的紀錄。在此特別要提醒的是,組織千萬不要以為若選擇採用了第三方服務,則所有的安全責任也都移轉到了廠商身上,忽略了本身要有的監督與管理責任。

A.10.2.3 第三方服務的變更管理
委由第三方所提供的服務,隨著組織的變動與成長,不太可能是一成不變的,所以在一段時間之後也會有變動的情況發生,本項控制措施即是要求當服務變更的時候,應該要重新考量其對於業務營運和組織本身,是否會產生新的風險。

另外當組織的安全政策和實施新的資安控制措施時,是否能夠確保第三方也能夠即時的來因應和遵循。因此在實務上,若廠商針對所提供的服務內容,要求進行變更,像是採用新的技術、新的工具、服務據點和服務時間的變動等,組織就需要重新評估這些變動是否會產生影響,並採取相對應的作法,可能的方式包括:需不需要更新作業程序?是否需要重新議定服務內容?是否要更新組織的安全政策等,這些都是在風險管理方面必須考量的重點。

資訊系統的作業和資訊的傳遞交換,已是組織日常營運不可或缺的一環,因此無論是在作業程序、人員職責、系統開發測試或採用第三方服務等,其可能潛藏的資訊安全風險,都需要加以重視和評估,下一期將會繼續說明A.10的其他控制項目。

參考資料
1. ISO/IEC 27001:2005
2. ISO/IEC 27002:2005

(本文原載於網管人第62期)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!