機密維護常識彙編(9807)
機密維護常識彙編(98年7月份)
✻從端點安全談政府機關資料治理
一、前言
端點安全(Endpoint Security)已成為近兩年資安領域的熱門話題。所謂端點是指連接s1f 網路的各項接取設備,包括電腦、PDA及隨身儲存裝置等。此議題受到關注的原因其來有自,因為不論是企業組織或政府部門的資安或網管人員,花費多少力氣來建構單位安全防護網,但總有隨身碟、筆記型電腦或無線網路接取設備這類的漏網之魚,將蠕蟲、病毒、木馬,甚或間諜程式帶進組織網路,或將機密資料帶離內部網路,以致衍生洩密事件。而這些機密資訊外洩事件除見諸媒傳披載之外,實際上的損害程度恐非一般人所能想像。究析事件肇生原因,絕大多數是機構內部人員輕忽或認知不足所引發,畢竟現有的資安防護機制與措施,均針對外人而設,而內部成員通常擁有較高的權限,也熟悉機密資訊存放路徑與取得方法,更懂得如何避開現有的偵監機制,因此所造成的損害也特別的大。雖然機密資訊外洩可依相關法令規範檢討究責,但已使整體國家安全受到威脅;而一般企業的商業機密外洩後,可能危及企業的永續經營。
防制資料外洩固然重要,但目前卻無有效的、合適的與全面性的方案。雖然陸續有資安廠商推出DLP(Data Lost Protection)、ILR(Information Leak revention)等針對資料外洩防護的解決方法,這類技術無非是透過數位版權管理(DRM)、內容過濾、身分識別及權限控管等機制來加以實現,離全面防堵組織核心機密資訊外洩,仍有不少可努力及精進的空間。本文試著以端點安全為核心,以深度防禦的觀念重新思考,試著由各個面向著手,同時也明確地了解威脅來源及管道,除將防禦點擴大為線,乃至於面之外,實務上必須具備「深度防禦」的精神。因此本文深入分析威脅現況、資料外洩成因、威脅管理及資料治理等,期藉了解風險、管理風險,進而轉移至減緩風險,以確保機密資訊安全無虞。
二、安全威脅現況分析
依據趨勢科技公司在資安人雜誌
96年8月14日
所舉辦「全方位防制資料外洩研討會」中提供的數據分析,當前惡意程式類型以間諜(木馬)程式及感染可執行檔的病毒(PE)比例最高,各佔
31%,其次是HTML及蠕蟲的感染,各佔11%。透過惡意程式的分析,可發現以下隱含的意義,包括:
-
間諜程式主要以竊取機敏資料為主。
-
感染可執行檔將增加解毒的複雜度。
-
感染管道以HTTP及系統弱點為主。
另就惡意程式植入的目標分析,絕大多數都在用戶端發現,這些包括行動用戶常用之筆記型電腦、PDA,以及可攜式儲存媒體等,因此端點安全將成為現階段資安防護的最後一道防線。另分析前10大惡意程式,可以發現:
-
40%的病毒會自我加密或採用特殊程式加殼。
-
平均病毒檔案大小為71Kbytes。
-
90%的病毒以HTTP為傳播途徑。
-
60%的病毒以郵件傳輸協定(SMTP)為傳播途徑。
-
皆與病毒自動下載器(downloader)行為有關。
-
50%的病毒會利用開機自動執行或自動連上惡意程式網站。
-
皆會產生其他病毒檔案。
-
通常會造成使用者應用程式或系統運作不正常、郵件伺服器繁忙或網路流量增加。
三、如何檢視端點安全
內部人員在不知情或不小心的情況下洩漏機密資訊,將對單位造成嚴重的傷害與威脅,然而許多企業組織可能低估了這項風險。資料外洩不僅造成金錢的損失,對商譽更可能產生無法逆轉的永久傷害。根據美國密勤局與卡耐基大學軟體工程學院在2005年針對「關鍵基礎設施內部資安事件」的研究中發現,超過81%的內部資安事件會導致財務上的損失;另28%參與研究的單位表示,企業的形象與商譽將因而受損。隨著電腦網路環境日益複雜化,企業內網路逐年擴增,相對地產生防護漏洞的數量亦隨之成長,更加深內部威脅的嚴重性。往常以企業網路邊界為主的資安防禦措施,已被應用程式、行動辦公者、商業伙伴及客戶間編織成錯綜複雜的網路環境所淹沒。根據著名的科技產業情報分析與諮詢顧問公司IDC近期的研究報告指出,預估2009年全球行動工作者將超過8億5,000萬,總數將達全球工作人口的四分之一。因此遠距的行動工作者將成為企業組織網路未來最大的隱憂,而這股無法抵擋的趨勢亦凸顯端點安全的重要性。
反觀現行網路基礎建設的防護設備與機制,僅能提供片面的資安訊息,以致無法在關鍵時刻提供精準的資訊,易坐失解決問題的黃金時機。而資訊專業人員多數僅著眼於科技的技術層次,但隨著複雜度的增加,企業所面臨的風險也相對提高。為解決端點安全的問題,美國資安顧問David Strom在2007年5月間曾提出四項指標,可做為資安人員參考之依據:
1.
現有安全基礎建設有哪些?
根據目前所擁有的設備,了解可能的安全組合及防衛模式,找出可能的問題點,輔以入侵偵測、防火牆系統或VPN閘道器等機制來補強端點安全。
2.
所欲保護之標的為何?
其次是清楚了解所欲保護之標的後,據以決定如何部署這些防護設備,如某些設備應該直接置於防火牆之後,以便涵蓋整個網路;有些則最好置於交換器之後、伺服器之前,或是部署在主要保護的子網路或部門網路上,並經過認證,以確保這些網路資源都受到保護。
3.
使用者對安全政策的接受度?
利用弱點掃描設備對組織內部端點進行掃描是了解安全強度最好的方法之一,因為它可以根據安全強度提供端點的修正以及網路資源的保護。這些檢測工具主要檢查開放的通訊埠、執行的服務、在檔案系統上查看是否有問題的檔案與惡意軟體、監控系統登錄、確定防毒軟體病毒碼的更新,以及檢查個人防火牆是否開啟或被竄改等。有些組織甚至安裝代理人程式(agent)來監控端點的安全狀況,通常這些軟體會讓使用者在登入時多花上數分鐘,因而感到不便。若沒有適切地宣導並輔以權限管控與稽核,則政策將無法落實,畢竟政策及程式運用是固定的模式,如果使用者找到規避稽核的巧門,則安全風險仍然存在。
4.
非PC的端點管理現況?
要落實端點安全,首先應知道網路上有什麼?及要管理什麼?因為組織網路上的印表伺服器、筆記型電腦或PDA等,都有獨自的作業系統與IP位址,它們無法輕易地被端點設備所控制。而幾乎所有的應用程式為達可用性,均提供對網卡編號或IP位址做白名單或前置驗證,因此設備還是可以連上網路並進行工作。而這些移動式設備極易感染惡意程式,除非有能力偵測這些設備並實行政策,否則威脅將隨著這些設備而爆發。例如我們可以利用政策限制設定網路印表機的封包只能用作印表之用,如果有人假冒印表機的IP位址,防護系統應仍能偵測出改變,並將設備隔離及斷線,以確保它們不會帶來威脅。尤當企業有異質網路、設備或作業系統太廣泛時,想要找出完美的端點安全方案是非常不容易。
四、端點安全與威脅管理
端網路連線日趨密集,網際空間威脅的擴散程度也隨之升高,其範圍與規模就如同駭客、電腦詐騙者、病毒與蠕蟲撰寫者,以及間諜程式、廣告軟體、垃圾郵件之發佈者一般擁有豐富的想像力,以致無邊無際。不幸的是,隨著網路轉變所帶來包括存取、資訊共享、匯集、整合與即時分享等優勢,即使是犯罪者、恐怖分子或其他心懷不軌者也都能使用,並未有所限制。如果不加以預防及管理,可想見這些威脅必會癱瘓21世紀的網路活動。而我們必須在這之前加以遏止,即使無法澈底制止滲透網路的威脅,仍要設法進行預防管理。所謂預防管理是利用整合式的方法來管理威脅,著眼於「遠端存取」與「端點安全」的結合;置重點於瀏覽器安全、主機完整性、惡意軟體偵測和資訊控管。瀏覽器是當前網路運用的主要存取方式,確保遠端存取期間的瀏覽器安全相當重要。瀏覽器可能儲存的資訊,包括快取與自動完成的記錄資料,以及離線瀏覽的暫存檔等等。例如,瀏覽器的快取必須在每個連線期間都進行加密,並且在連線結束後清除;主機完整性的檢驗應先掌控遠端設備自身的安全性,例如針對遠端設備是否有基本的防毒措施、客戶端防火牆與特定軟體版本的更新狀態等進行檢查,以避免不安全的遠端設備經由遠端連線後,危害到整個企業網路;而惡意軟體的偵測在確保所傳輸的資料,無法被潛藏的鍵盤側錄攻擊或畫面擷取程式所竊取,即使它們在進行連線前便已存在終端設備中。最後則是資訊控管,企業資訊一旦經由遠端存取到行動工作者的電腦中,無論是不經意的洩露或遭竊取,都將對企業造成損害,因此企業對外提供遠端存取時,必須適切運用加密機制有效控管,並能限制轉存檔案、複製至剪貼簿、列印,甚至連螢幕拷貝都要能控管,才能確保企業資訊的安全。
整合式的安全方法讓威脅管理與企業得以密切配合,有助於預先掌握安全威脅及採取補救措施,進而在安全事件影響組織前加以阻止。就實況而言,如只導入更多的安全設施,非但不能產生多大的效益,反而會增加管理的負擔,甚而降低效益。因此最佳的解決之道在於良好的管理,而非更多的產品。所以嘗試透過大量但不完整的個別解決方案來處理資安威脅,只是讓問題更形複雜且需高額的費用來排除彼此衝突、備援及協同性不佳等問題。個別解決方案的根本問題在於其只能滿足總體安全管理所面臨挑戰的一小部分,因為以任何方式與「外界」(即個人電腦外部世界)交互作用的任何活動,幾乎都有可能使個人電腦遭受感染。有效的整合式威脅管理核心,是要了解企業的關鍵業務問題,以及在業務實踐的過程中,運用關鍵資訊科技的安全管理能力,解決當前安全的挑戰,又能滿足未來的需求,從而降低風險、降低成本,達到保護資產及提供持續性服務,並能符合法令規範之效益。
五、資料治理
資料治理觀念乃是企業內部對於所有營運資料的可用性、使用率、完整性與安全性的整合性管理機制,透過人員(People)、過程(Processes/Procedures)與安控產品(Products)等3P之資源投入,有效達到預期的目標與效益,包括:增加「經營決策」時的「一致性」與「信心度」、降低可能違反「資料法規」的損失風險、改善「資料安全」、最佳化與最大化資料所可能延伸的企業收入效益。
然而企業資訊主管如何獲知與了解單位內的資料治理品質與成效呢?首先需要清楚了解企業內部目前的營運資料真正存取管道與使用狀況,透過正確、有效、無副作用的「資料庫安控稽核方案」,將讓資安長、資安官、稽核人員從過去概念性的假設想法,如釋重負地眼睛一亮,清楚透視出企業資訊金庫的使用率、完整性、安全性,解決下列在資料治理上的安控痛楚,究竟是「誰」透過「哪種方式」將「交易資料抽單、新增DB特殊權限使用者、修改成本資料、刪除客戶資料」?能否自動察覺與阻斷「單次查詢超過合法權限資料筆數(例如:SQL Injection)」的狀況發生?如何確保「資料庫特權使用者」,都按照單位與企業的授權範圍正常運作?如何「快速、正確、完整、自動」產出符合ISO27001、新巴塞爾、個資法、沙賓等相關資安法規中最重要的「機敏資料存取行為稽核報表」?資料安全是不可忽視的營運問題。「本公司並無太大的風險」,這是我最常聽到管理階層講的一句話,其實他是說「我們無法修補我們不知道的弱點」、「我們不知道那些完全不懂的領域」。不管內部員工是惡意地或不經意地犯錯,你要管理的是存放公司大量機敏資料的網路,是不容許被入侵的。公司的營業交易秘密、財務報告、員工資料與客戶資訊,一旦遭竊就別想全身而退。雖然嚴重的安全意外總是出乎意料之外地出現,而且多數企業是承受不起一滴點的資訊外洩,但是要記住,科技是無法自動幫你解決所有問題的。面對內部威脅,保護公司資產的過程絕對不輕鬆,必須要尋求管理階層買單,透過高層宣示網路用戶的責任以及可歸責性,取得老闆的支援,大力鼓吹安全政策,才是有效與員工溝通的不二法門。我們必須不斷地提醒員工要照章辦事,因為以科技過濾資訊內容雖可以達到許多目的,卻不是資料保護措施的終點站。然而,只要能夠合理地應用這些科技,至少它能提供強而有力的監控功能,以確保組織內部的重要資訊不會從網路上溢出。
六、結論
保障企業機密資訊是資安議題的最終目標。為確保安全,把網路資源一視同仁地統統鎖起來是不對的,正確的方式是細心地關注誰有權力看到什麼資料。當企業組織或政府部門逐漸體認到,企業核心價值與公司核心系統內的資訊密不可分時,惟有透過控制——監視從終端下載資訊的方式、屏障——免於被儲存在可攜式或抽取式儲存裝置的不當程式利用來複製到終端上、保護——使您的網路不因無線、藍芽或其他介面而暴露於外界,才能有效免除機密資訊遭盜竊和誤用的危險。誠如資安大師Bruce Schneier所言,我們的社會對技術有種崇拜,技術可以解決很多問題,在電腦領域有很多也的確是如此,但是,基本上安全是一個由人產生的問題,所以技術只是很小的一部分,如果安全能隨著組織不斷發展,並能把「安全視為一種激勵」,和經濟刺激綁在一塊,使安全成為一種習慣,那這種經濟刺激最終會使電腦網路越來越安全。雖然電腦的安全問題不可能被完全解決,因為它包含了人的因素,而安全也一直都是一種攻防對抗,惟合理的政策、適切的風險管控,再加以一點刺激,才能在這場對抗中勝出。(以上二則資料摘自於清流月刊)
✻公務機密維護宣導標語
網際網路無國界,慎防機密由此洩。
機密資料不輕忽,重要文件不外流。
資訊設備真便利,保密工作莫忘記。
涉及機密性及敏感性的文件,不要使用電子郵件傳遞。
涉及機密性的廢棄公文稿及影印紙要徹底銷毀。
電腦駭客常趁隙而入,資訊安全當防堵在先。
保密不分你我,安全不分大小。
時時保密、事事保密、處處保密。
留心洩密管道,格遵應守的機密。
保守機密是道德也是責任。
守口如瓶是最好的保密方法。
上網不談機密,瀏覽下載要警覺。
網際網路真方便,嚴防洩密保安全。
✻資安防護是未來安全第一關鍵
日前美國《國防週刊》報導,美國北美防空司令部司令雷諾瓦特指出,美國下任總統可能面臨的新挑戰,其中之一是網際網路的安全威脅。另外,美軍聯參「資訊首席」的指管通資處長陸軍准將勞倫斯說:「美軍可在傳統戰場上輕鬆面對敵人,但是面對虛擬世界的敵人,則是一項嶄新的挑戰。」的確,在現實的社會,美軍擁有全世界最先進的科技與武器,可以在戰場上無懼敵人的威脅。但是,在網路的世界中,恐怖分子可自世界上任何地方、任何環境,並在十億分之一秒內及一天二十四小時的任何時段中發動攻擊,完全超脫了時間與空間、天時與人為的限制因素,而其策動的人力,可能僅僅只有一人,就能癱瘓某一國家的整個國防體系。所以,在如此打破比例原則的新世紀戰爭中,勞倫斯將軍也承認,如果不積極投注於資訊安全防護,就連美國恐也無法打贏全球的反恐戰爭。
美軍全球網路作戰聯合任務小組技術主任杭特上校也說:「美軍在全球資訊及網際網路方面的通信能力,基本上非常薄弱,甚至是不堪一擊。」從911事件中,恐怖分子運用網路探勘(Internet Mining),就能得到全美的飛機航線與時刻表;另從五角大廈每天有超過五百次以上的網路攻擊觀之,就可看出資訊攻擊是恐怖分子最有利的投資。而美國國防部在2005年向國會提出的中共軍力報告中也顯示,目前包含中共及北韓等二十多個國家,已經發展出專用的電腦攻擊程式。所以,美軍聯參指管通資系統次長施亞中將(Robert Shea)說道:「網路是美軍未來發展的重心,如不然,網路防禦能力將是強大美軍的致命弱點。」未來各國如不能重視資安防護問題,將無法在未來戰場上獲得主導權,並喪失戰略之有利態勢,最後恐會被敵人操弄於股掌之中。
資訊安全必定是未來戰爭勝負與國人安全的致勝關鍵。全體國人必須體認這種趨勢,隨時要求自己做到:
一、加強充實新知,提升資安防護概念:
據統計目前網路上已經超過一百萬個教導製造電腦病毒及訓練成為電腦駭客的網站。而有別於傳統武器的研發與製造,電腦病毒及攻擊程式不需要投入大量資金,也沒有政策限制,所以人人都能隨時隨地發動資安攻擊,而電腦病毒也已超過百萬種。如果不能時時更新資安防護措施,並認識新種的電腦病毒及駭客手法,便可能成為駭客下一個覬覦的對象。
二、培養保密習性,確遵資安政策指導:
資訊安全漏洞,有80%是來自於人為的破壞與疏忽,所以最有效的資安防護政策,還是要個人養成良好的保密習性、貫徹實體隔離政策、不將機密資訊儲存於電腦中、關閉不必要的分享設定、不下載來路不明的軟體,及使用加解密軟體,更重要的是,不要將機密資訊帶離作業區或公務家辦,才能將資安風險降至最低。例如,日前美軍退伍軍人事務部由於員工將不應持有的機敏資訊帶回家,使得美國大筆退伍軍人的個人資料外洩,讓美國數百萬的退伍軍人暴露於危險之中,成為美國史上最重大的資安漏洞,令人不得不深切檢討及採取更充分的資安防護措施。
三、貫徹資安查察,建立網路巡查機制:
警政署科技犯罪防制中心主任李相臣在近期的演講中表示:「企業網路定期實施網路巡邏、分析警示與異常網路流量,才能有效控管資料外洩及資訊攻擊的風險。」資訊安全是一項必須拋開空間思維的工作,因為內部人員不一定要在辦公室裡,才會對公司的資訊安全造成破壞,有可能是在家裡,也有可能在公車上或是世界的某個角落,而時間上更是不分晝夜。所以,培養資管人員、設立專職資安人力,是未來企業及犯罪防制的目標;政府各階層也應儘速成立專責的資訊部門,推廣資安教育,專司網路巡查及監控,才能確保資訊能量,適時防堵資訊攻擊。
孫子兵法指出:「兵貴勝,不貴久。」現代戰爭形態的重要特色就是講求時效,因此,不只一般企業,甚至國防事業對於資訊科技的需求都將日益增加。近年來「資訊安全」已是世界各國演習及全民保防教育的重點,各國對於軍人乃至國民的資安要求也往往立法規束,因為在未來戰場上,資訊攻擊除了會造成社會動亂之外,如果建置有C4ISR系統(即軍事指揮系統之統合,包括指揮、管制、通信、資訊、情報、監視及偵查),敵軍可以使用電磁脈衝武器,破壞對方整個作戰系統,另外也可以發動網路病毒癱瘓對方指揮與通訊系統,降低其聯合作戰的武力,阻礙其後勤支援體系,分化其國家與社會精神戰力的凝聚,最後入主對方之中央指揮體系,不費吹灰之力,解除其國防武力,瓦解其國家安全。
總而言之,再完善的資安規定,若國人不能建立資訊保密之安全共識,並提高保防警覺,縱使有再高階的防火牆、防毒軟體及複雜的鎖鑰,都抵不住人員的一個小失誤與蓄意洩漏。唯有大家依據國家資通機構的安全政策指導,安裝各項資安軟體與養成保密設定的習性,並嚴加保守個人的帳號與密碼,且不定時更新,才能由內而外地強化資訊安全的維護,鞏固國家整體安全。
(本資料摘自於清流月刊/王駿傑)
✻資安維護是國人共同責任
隨著資訊科技的倍數成長,全新的資訊技術使人類的生活方式、工作能力與思維觀念產生了巨幅的轉變。然而,當人們享受因資訊所帶來的便捷利益時,無疑地也面臨了資訊安全的挑戰。數位傳遞與電子資訊快速改變了戰爭型態,同時也打破了前線與後方的界線。在過去或許必須派遣間諜或部隊,才能達成竊密蒐情的任務,而現在藉由資訊和網路的相輔相成,相關的機密資訊很可能在鍵盤與滑鼠的彈指間,無聲無息地遭敵人所盜用竊取。因為敵諜可能早已潛伏在世界任何角落的電腦之前,或許遠在地球的另一端,或許僅於咫尺之隔,而其所擷取的情報卻是一樣的快,造成的後果也是同樣的可怕,所以人人均須有安全保防的意識。
近年來中共積極擴展網軍及發動「信息戰」、「超限戰」等科技戰略攻勢,並鎖定我政府機構及民間企業為目標,實施駭客資訊戰的模擬演練從未間斷過。國軍面對此一威脅,早已嚴陣以待,期能藉由相關資安防護作為,提升保密安全警覺,以確保國家機密資訊安全。
有道是:「安全才是最佳的績效。」然而,資訊安全並非落在少數資訊管理人員身上,要知道資訊作戰已超越了空間與時差的限制,所以必須強調資訊保密是全體國人無可旁貸的責任,並且深化此一共識,才能有效鞏固整體資訊安全。其次,資訊保密植基於平日大家對保密工作的素養與習慣;簡言之,平日對於收辦之公文書,離開辦公室時,應將相關公務資料鎖於保密櫃中,以杜絕無關人員知悉;同理延伸至資訊保密觀念上,當我們以電腦繕打機密資訊後,亦應立即加密並儲存於規定的資訊媒體中,同時將電腦關機離線。如此,才能有效達成機密資訊安全防護的目的。
孫子兵法云:「勝兵先勝。」資訊戰不僅是未來軍事作戰的勝敗關鍵,更重要的是它必然是戰前之戰,且沒有平時、戰時之分。所以平時就應藉由全民保防宣導時機,教育國人從導正本身的資訊使用觀念,從具備安全警覺做起,確實落實機密防護工作,使敵諜無機可乘,這就是「先為不可勝」的道理。西方兵聖克勞塞維茨說過:「知識必須成為力量。」過去我們怎麼做,並不代表未來一定也只能這麼做,尤其在數位時代,我們必須要有開闊的心胸以及前瞻的遠見,才能在瞬息萬變的資訊洪流中,以實事求是的精神汲取新知,將每一項資訊安全的環節緊密整扣在一起,使資訊運用與資訊安全互為表裡,化為國家安全必勝的力量。(本資料摘自於清流月刊/王駿傑)
端點安全(Endpoint Security)已成為近兩年資安領域的熱門話題。所謂端點是指連接s
防制資料外洩固然重要,但目前卻無有效的、合適的與全面性的方案。雖然陸續有資安廠商推出DLP(Data Lost Protection)、ILR(Information Leak revention)等針對資料外洩防護的解決方法,這類技術無非是透過數位版權管理(DRM)、內容過濾、身分識別及權限控管等機制來加以實現,離全面防堵組織核心機密資訊外洩,仍有不少可努力及精進的空間。本文試著以端點安全為核心,以深度防禦的觀念重新思考,試著由各個面向著手,同時也明確地了解威脅來源及管道,除將防禦點擴大為線,乃至於面之外,實務上必須具備「深度防禦」的精神。因此本文深入分析威脅現況、資料外洩成因、威脅管理及資料治理等,期藉了解風險、管理風險,進而轉移至減緩風險,以確保機密資訊安全無虞。
二、安全威脅現況分析
依據趨勢科技公司在資安人雜誌
-
間諜程式主要以竊取機敏資料為主。
-
感染可執行檔將增加解毒的複雜度。
-
感染管道以HTTP及系統弱點為主。
另就惡意程式植入的目標分析,絕大多數都在用戶端發現,這些包括行動用戶常用之筆記型電腦、PDA,以及可攜式儲存媒體等,因此端點安全將成為現階段資安防護的最後一道防線。另分析前10大惡意程式,可以發現:
-
40%的病毒會自我加密或採用特殊程式加殼。
-
平均病毒檔案大小為71Kbytes。
-
90%的病毒以HTTP為傳播途徑。
-
60%的病毒以郵件傳輸協定(SMTP)為傳播途徑。
-
皆與病毒自動下載器(downloader)行為有關。
-
50%的病毒會利用開機自動執行或自動連上惡意程式網站。
-
皆會產生其他病毒檔案。
-
通常會造成使用者應用程式或系統運作不正常、郵件伺服器繁忙或網路流量增加。
三、如何檢視端點安全
內部人員在不知情或不小心的情況下洩漏機密資訊,將對單位造成嚴重的傷害與威脅,然而許多企業組織可能低估了這項風險。資料外洩不僅造成金錢的損失,對商譽更可能產生無法逆轉的永久傷害。根據美國密勤局與卡耐基大學軟體工程學院在2005年針對「關鍵基礎設施內部資安事件」的研究中發現,超過81%的內部資安事件會導致財務上的損失;另28%參與研究的單位表示,企業的形象與商譽將因而受損。隨著電腦網路環境日益複雜化,企業內網路逐年擴增,相對地產生防護漏洞的數量亦隨之成長,更加深內部威脅的嚴重性。往常以企業網路邊界為主的資安防禦措施,已被應用程式、行動辦公者、商業伙伴及客戶間編織成錯綜複雜的網路環境所淹沒。根據著名的科技產業情報分析與諮詢顧問公司IDC近期的研究報告指出,預估2009年全球行動工作者將超過8億5,000萬,總數將達全球工作人口的四分之一。因此遠距的行動工作者將成為企業組織網路未來最大的隱憂,而這股無法抵擋的趨勢亦凸顯端點安全的重要性。
反觀現行網路基礎建設的防護設備與機制,僅能提供片面的資安訊息,以致無法在關鍵時刻提供精準的資訊,易坐失解決問題的黃金時機。而資訊專業人員多數僅著眼於科技的技術層次,但隨著複雜度的增加,企業所面臨的風險也相對提高。為解決端點安全的問題,美國資安顧問David Strom在2007年5月間曾提出四項指標,可做為資安人員參考之依據:
1. 現有安全基礎建設有哪些?
根據目前所擁有的設備,了解可能的安全組合及防衛模式,找出可能的問題點,輔以入侵偵測、防火牆系統或VPN閘道器等機制來補強端點安全。
2. 所欲保護之標的為何?
其次是清楚了解所欲保護之標的後,據以決定如何部署這些防護設備,如某些設備應該直接置於防火牆之後,以便涵蓋整個網路;有些則最好置於交換器之後、伺服器之前,或是部署在主要保護的子網路或部門網路上,並經過認證,以確保這些網路資源都受到保護。
3. 使用者對安全政策的接受度?
利用弱點掃描設備對組織內部端點進行掃描是了解安全強度最好的方法之一,因為它可以根據安全強度提供端點的修正以及網路資源的保護。這些檢測工具主要檢查開放的通訊埠、執行的服務、在檔案系統上查看是否有問題的檔案與惡意軟體、監控系統登錄、確定防毒軟體病毒碼的更新,以及檢查個人防火牆是否開啟或被竄改等。有些組織甚至安裝代理人程式(agent)來監控端點的安全狀況,通常這些軟體會讓使用者在登入時多花上數分鐘,因而感到不便。若沒有適切地宣導並輔以權限管控與稽核,則政策將無法落實,畢竟政策及程式運用是固定的模式,如果使用者找到規避稽核的巧門,則安全風險仍然存在。
4. 非PC的端點管理現況?
要落實端點安全,首先應知道網路上有什麼?及要管理什麼?因為組織網路上的印表伺服器、筆記型電腦或PDA等,都有獨自的作業系統與IP位址,它們無法輕易地被端點設備所控制。而幾乎所有的應用程式為達可用性,均提供對網卡編號或IP位址做白名單或前置驗證,因此設備還是可以連上網路並進行工作。而這些移動式設備極易感染惡意程式,除非有能力偵測這些設備並實行政策,否則威脅將隨著這些設備而爆發。例如我們可以利用政策限制設定網路印表機的封包只能用作印表之用,如果有人假冒印表機的IP位址,防護系統應仍能偵測出改變,並將設備隔離及斷線,以確保它們不會帶來威脅。尤當企業有異質網路、設備或作業系統太廣泛時,想要找出完美的端點安全方案是非常不容易。
四、端點安全與威脅管理
端網路連線日趨密集,網際空間威脅的擴散程度也隨之升高,其範圍與規模就如同駭客、電腦詐騙者、病毒與蠕蟲撰寫者,以及間諜程式、廣告軟體、垃圾郵件之發佈者一般擁有豐富的想像力,以致無邊無際。不幸的是,隨著網路轉變所帶來包括存取、資訊共享、匯集、整合與即時分享等優勢,即使是犯罪者、恐怖分子或其他心懷不軌者也都能使用,並未有所限制。如果不加以預防及管理,可想見這些威脅必會癱瘓21世紀的網路活動。而我們必須在這之前加以遏止,即使無法澈底制止滲透網路的威脅,仍要設法進行預防管理。所謂預防管理是利用整合式的方法來管理威脅,著眼於「遠端存取」與「端點安全」的結合;置重點於瀏覽器安全、主機完整性、惡意軟體偵測和資訊控管。瀏覽器是當前網路運用的主要存取方式,確保遠端存取期間的瀏覽器安全相當重要。瀏覽器可能儲存的資訊,包括快取與自動完成的記錄資料,以及離線瀏覽的暫存檔等等。例如,瀏覽器的快取必須在每個連線期間都進行加密,並且在連線結束後清除;主機完整性的檢驗應先掌控遠端設備自身的安全性,例如針對遠端設備是否有基本的防毒措施、客戶端防火牆與特定軟體版本的更新狀態等進行檢查,以避免不安全的遠端設備經由遠端連線後,危害到整個企業網路;而惡意軟體的偵測在確保所傳輸的資料,無法被潛藏的鍵盤側錄攻擊或畫面擷取程式所竊取,即使它們在進行連線前便已存在終端設備中。最後則是資訊控管,企業資訊一旦經由遠端存取到行動工作者的電腦中,無論是不經意的洩露或遭竊取,都將對企業造成損害,因此企業對外提供遠端存取時,必須適切運用加密機制有效控管,並能限制轉存檔案、複製至剪貼簿、列印,甚至連螢幕拷貝都要能控管,才能確保企業資訊的安全。
整合式的安全方法讓威脅管理與企業得以密切配合,有助於預先掌握安全威脅及採取補救措施,進而在安全事件影響組織前加以阻止。就實況而言,如只導入更多的安全設施,非但不能產生多大的效益,反而會增加管理的負擔,甚而降低效益。因此最佳的解決之道在於良好的管理,而非更多的產品。所以嘗試透過大量但不完整的個別解決方案來處理資安威脅,只是讓問題更形複雜且需高額的費用來排除彼此衝突、備援及協同性不佳等問題。個別解決方案的根本問題在於其只能滿足總體安全管理所面臨挑戰的一小部分,因為以任何方式與「外界」(即個人電腦外部世界)交互作用的任何活動,幾乎都有可能使個人電腦遭受感染。有效的整合式威脅管理核心,是要了解企業的關鍵業務問題,以及在業務實踐的過程中,運用關鍵資訊科技的安全管理能力,解決當前安全的挑戰,又能滿足未來的需求,從而降低風險、降低成本,達到保護資產及提供持續性服務,並能符合法令規範之效益。
五、資料治理
資料治理觀念乃是企業內部對於所有營運資料的可用性、使用率、完整性與安全性的整合性管理機制,透過人員(People)、過程(Processes/Procedures)與安控產品(Products)等3P之資源投入,有效達到預期的目標與效益,包括:增加「經營決策」時的「一致性」與「信心度」、降低可能違反「資料法規」的損失風險、改善「資料安全」、最佳化與最大化資料所可能延伸的企業收入效益。
然而企業資訊主管如何獲知與了解單位內的資料治理品質與成效呢?首先需要清楚了解企業內部目前的營運資料真正存取管道與使用狀況,透過正確、有效、無副作用的「資料庫安控稽核方案」,將讓資安長、資安官、稽核人員從過去概念性的假設想法,如釋重負地眼睛一亮,清楚透視出企業資訊金庫的使用率、完整性、安全性,解決下列在資料治理上的安控痛楚,究竟是「誰」透過「哪種方式」將「交易資料抽單、新增DB特殊權限使用者、修改成本資料、刪除客戶資料」?能否自動察覺與阻斷「單次查詢超過合法權限資料筆數(例如:SQL Injection)」的狀況發生?如何確保「資料庫特權使用者」,都按照單位與企業的授權範圍正常運作?如何「快速、正確、完整、自動」產出符合ISO27001、新巴塞爾、個資法、沙賓等相關資安法規中最重要的「機敏資料存取行為稽核報表」?資料安全是不可忽視的營運問題。「本公司並無太大的風險」,這是我最常聽到管理階層講的一句話,其實他是說「我們無法修補我們不知道的弱點」、「我們不知道那些完全不懂的領域」。不管內部員工是惡意地或不經意地犯錯,你要管理的是存放公司大量機敏資料的網路,是不容許被入侵的。公司的營業交易秘密、財務報告、員工資料與客戶資訊,一旦遭竊就別想全身而退。雖然嚴重的安全意外總是出乎意料之外地出現,而且多數企業是承受不起一滴點的資訊外洩,但是要記住,科技是無法自動幫你解決所有問題的。面對內部威脅,保護公司資產的過程絕對不輕鬆,必須要尋求管理階層買單,透過高層宣示網路用戶的責任以及可歸責性,取得老闆的支援,大力鼓吹安全政策,才是有效與員工溝通的不二法門。我們必須不斷地提醒員工要照章辦事,因為以科技過濾資訊內容雖可以達到許多目的,卻不是資料保護措施的終點站。然而,只要能夠合理地應用這些科技,至少它能提供強而有力的監控功能,以確保組織內部的重要資訊不會從網路上溢出。
六、結論
保障企業機密資訊是資安議題的最終目標。為確保安全,把網路資源一視同仁地統統鎖起來是不對的,正確的方式是細心地關注誰有權力看到什麼資料。當企業組織或政府部門逐漸體認到,企業核心價值與公司核心系統內的資訊密不可分時,惟有透過控制——監視從終端下載資訊的方式、屏障——免於被儲存在可攜式或抽取式儲存裝置的不當程式利用來複製到終端上、保護——使您的網路不因無線、藍芽或其他介面而暴露於外界,才能有效免除機密資訊遭盜竊和誤用的危險。誠如資安大師Bruce Schneier所言,我們的社會對技術有種崇拜,技術可以解決很多問題,在電腦領域有很多也的確是如此,但是,基本上安全是一個由人產生的問題,所以技術只是很小的一部分,如果安全能隨著組織不斷發展,並能把「安全視為一種激勵」,和經濟刺激綁在一塊,使安全成為一種習慣,那這種經濟刺激最終會使電腦網路越來越安全。雖然電腦的安全問題不可能被完全解決,因為它包含了人的因素,而安全也一直都是一種攻防對抗,惟合理的政策、適切的風險管控,再加以一點刺激,才能在這場對抗中勝出。(以上二則資料摘自於清流月刊)
✻公務機密維護宣導標語
網際網路無國界,慎防機密由此洩。
機密資料不輕忽,重要文件不外流。
資訊設備真便利,保密工作莫忘記。
涉及機密性及敏感性的文件,不要使用電子郵件傳遞。
涉及機密性的廢棄公文稿及影印紙要徹底銷毀。
電腦駭客常趁隙而入,資訊安全當防堵在先。
保密不分你我,安全不分大小。
時時保密、事事保密、處處保密。
留心洩密管道,格遵應守的機密。
保守機密是道德也是責任。
守口如瓶是最好的保密方法。
上網不談機密,瀏覽下載要警覺。
網際網路真方便,嚴防洩密保安全。
✻資安防護是未來安全第一關鍵
日前美國《國防週刊》報導,美國北美防空司令部司令雷諾瓦特指出,美國下任總統可能面臨的新挑戰,其中之一是網際網路的安全威脅。另外,美軍聯參「資訊首席」的指管通資處長陸軍准將勞倫斯說:「美軍可在傳統戰場上輕鬆面對敵人,但是面對虛擬世界的敵人,則是一項嶄新的挑戰。」的確,在現實的社會,美軍擁有全世界最先進的科技與武器,可以在戰場上無懼敵人的威脅。但是,在網路的世界中,恐怖分子可自世界上任何地方、任何環境,並在十億分之一秒內及一天二十四小時的任何時段中發動攻擊,完全超脫了時間與空間、天時與人為的限制因素,而其策動的人力,可能僅僅只有一人,就能癱瘓某一國家的整個國防體系。所以,在如此打破比例原則的新世紀戰爭中,勞倫斯將軍也承認,如果不積極投注於資訊安全防護,就連美國恐也無法打贏全球的反恐戰爭。
美軍全球網路作戰聯合任務小組技術主任杭特上校也說:「美軍在全球資訊及網際網路方面的通信能力,基本上非常薄弱,甚至是不堪一擊。」從911事件中,恐怖分子運用網路探勘(Internet Mining),就能得到全美的飛機航線與時刻表;另從五角大廈每天有超過五百次以上的網路攻擊觀之,就可看出資訊攻擊是恐怖分子最有利的投資。而美國國防部在2005年向國會提出的中共軍力報告中也顯示,目前包含中共及北韓等二十多個國家,已經發展出專用的電腦攻擊程式。所以,美軍聯參指管通資系統次長施亞中將(Robert Shea)說道:「網路是美軍未來發展的重心,如不然,網路防禦能力將是強大美軍的致命弱點。」未來各國如不能重視資安防護問題,將無法在未來戰場上獲得主導權,並喪失戰略之有利態勢,最後恐會被敵人操弄於股掌之中。
資訊安全必定是未來戰爭勝負與國人安全的致勝關鍵。全體國人必須體認這種趨勢,隨時要求自己做到:
一、加強充實新知,提升資安防護概念:
據統計目前網路上已經超過一百萬個教導製造電腦病毒及訓練成為電腦駭客的網站。而有別於傳統武器的研發與製造,電腦病毒及攻擊程式不需要投入大量資金,也沒有政策限制,所以人人都能隨時隨地發動資安攻擊,而電腦病毒也已超過百萬種。如果不能時時更新資安防護措施,並認識新種的電腦病毒及駭客手法,便可能成為駭客下一個覬覦的對象。
二、培養保密習性,確遵資安政策指導:
資訊安全漏洞,有80%是來自於人為的破壞與疏忽,所以最有效的資安防護政策,還是要個人養成良好的保密習性、貫徹實體隔離政策、不將機密資訊儲存於電腦中、關閉不必要的分享設定、不下載來路不明的軟體,及使用加解密軟體,更重要的是,不要將機密資訊帶離作業區或公務家辦,才能將資安風險降至最低。例如,日前美軍退伍軍人事務部由於員工將不應持有的機敏資訊帶回家,使得美國大筆退伍軍人的個人資料外洩,讓美國數百萬的退伍軍人暴露於危險之中,成為美國史上最重大的資安漏洞,令人不得不深切檢討及採取更充分的資安防護措施。
三、貫徹資安查察,建立網路巡查機制:
警政署科技犯罪防制中心主任李相臣在近期的演講中表示:「企業網路定期實施網路巡邏、分析警示與異常網路流量,才能有效控管資料外洩及資訊攻擊的風險。」資訊安全是一項必須拋開空間思維的工作,因為內部人員不一定要在辦公室裡,才會對公司的資訊安全造成破壞,有可能是在家裡,也有可能在公車上或是世界的某個角落,而時間上更是不分晝夜。所以,培養資管人員、設立專職資安人力,是未來企業及犯罪防制的目標;政府各階層也應儘速成立專責的資訊部門,推廣資安教育,專司網路巡查及監控,才能確保資訊能量,適時防堵資訊攻擊。
孫子兵法指出:「兵貴勝,不貴久。」現代戰爭形態的重要特色就是講求時效,因此,不只一般企業,甚至國防事業對於資訊科技的需求都將日益增加。近年來「資訊安全」已是世界各國演習及全民保防教育的重點,各國對於軍人乃至國民的資安要求也往往立法規束,因為在未來戰場上,資訊攻擊除了會造成社會動亂之外,如果建置有C4ISR系統(即軍事指揮系統之統合,包括指揮、管制、通信、資訊、情報、監視及偵查),敵軍可以使用電磁脈衝武器,破壞對方整個作戰系統,另外也可以發動網路病毒癱瘓對方指揮與通訊系統,降低其聯合作戰的武力,阻礙其後勤支援體系,分化其國家與社會精神戰力的凝聚,最後入主對方之中央指揮體系,不費吹灰之力,解除其國防武力,瓦解其國家安全。
總而言之,再完善的資安規定,若國人不能建立資訊保密之安全共識,並提高保防警覺,縱使有再高階的防火牆、防毒軟體及複雜的鎖鑰,都抵不住人員的一個小失誤與蓄意洩漏。唯有大家依據國家資通機構的安全政策指導,安裝各項資安軟體與養成保密設定的習性,並嚴加保守個人的帳號與密碼,且不定時更新,才能由內而外地強化資訊安全的維護,鞏固國家整體安全。
(本資料摘自於清流月刊/王駿傑)
✻資安維護是國人共同責任
隨著資訊科技的倍數成長,全新的資訊技術使人類的生活方式、工作能力與思維觀念產生了巨幅的轉變。然而,當人們享受因資訊所帶來的便捷利益時,無疑地也面臨了資訊安全的挑戰。數位傳遞與電子資訊快速改變了戰爭型態,同時也打破了前線與後方的界線。在過去或許必須派遣間諜或部隊,才能達成竊密蒐情的任務,而現在藉由資訊和網路的相輔相成,相關的機密資訊很可能在鍵盤與滑鼠的彈指間,無聲無息地遭敵人所盜用竊取。因為敵諜可能早已潛伏在世界任何角落的電腦之前,或許遠在地球的另一端,或許僅於咫尺之隔,而其所擷取的情報卻是一樣的快,造成的後果也是同樣的可怕,所以人人均須有安全保防的意識。
近年來中共積極擴展網軍及發動「信息戰」、「超限戰」等科技戰略攻勢,並鎖定我政府機構及民間企業為目標,實施駭客資訊戰的模擬演練從未間斷過。國軍面對此一威脅,早已嚴陣以待,期能藉由相關資安防護作為,提升保密安全警覺,以確保國家機密資訊安全。
有道是:「安全才是最佳的績效。」然而,資訊安全並非落在少數資訊管理人員身上,要知道資訊作戰已超越了空間與時差的限制,所以必須強調資訊保密是全體國人無可旁貸的責任,並且深化此一共識,才能有效鞏固整體資訊安全。其次,資訊保密植基於平日大家對保密工作的素養與習慣;簡言之,平日對於收辦之公文書,離開辦公室時,應將相關公務資料鎖於保密櫃中,以杜絕無關人員知悉;同理延伸至資訊保密觀念上,當我們以電腦繕打機密資訊後,亦應立即加密並儲存於規定的資訊媒體中,同時將電腦關機離線。如此,才能有效達成機密資訊安全防護的目的。
孫子兵法云:「勝兵先勝。」資訊戰不僅是未來軍事作戰的勝敗關鍵,更重要的是它必然是戰前之戰,且沒有平時、戰時之分。所以平時就應藉由全民保防宣導時機,教育國人從導正本身的資訊使用觀念,從具備安全警覺做起,確實落實機密防護工作,使敵諜無機可乘,這就是「先為不可勝」的道理。西方兵聖克勞塞維茨說過:「知識必須成為力量。」過去我們怎麼做,並不代表未來一定也只能這麼做,尤其在數位時代,我們必須要有開闊的心胸以及前瞻的遠見,才能在瞬息萬變的資訊洪流中,以實事求是的精神汲取新知,將每一項資訊安全的環節緊密整扣在一起,使資訊運用與資訊安全互為表裡,化為國家安全必勝的力量。(本資料摘自於清流月刊/王駿傑)
