企業資訊安全 鄭進興 TWCERT/CC 高雄第一科技大學資管系95. 09. 26 大綱 ? ? ? ? ? ? ? ? 何謂資訊安全 資訊安全威脅 資訊安全考量之議題 企業資訊安全投資與組織人力配置 最適當的資安投資 資訊安全組織架構 資訊安全制度建議 結論 何謂資訊安全 資訊是什麼 ? ? ? ? 企業或組織在營運時所收集, 產生, 或 運用的資料。 它可以存在於任何形式,不論是有形或 無形的。 它可以是存在於電腦中的資料, 列印或 書寫在紙張上的資訊, 甚至是存在於通 訊中。 資訊安全的定義(Information Security) ? ? 資訊對組織而言就是一種資產,和其它 重要的營運資產一樣有價值,因此需要 持續給予妥善保護,達成C-I-A-N-A的目 標。 資訊安全可保護資訊不受各種威脅,確 保持續營運,將營運損失降到最低,得 到最豐厚的投資報酬率和商機。 資訊安全的要素 機密性(Confidentiality) ? 資訊不得被未經授權之個人或程序所取 得或揭露的特性。 完整性(Integrity) ? 對資訊之精確與完整安全保證的特性。 可用性(Availability) ? 已授權個人或程序在需要時可存取與使 用之特性。 不可否認性(Non-repudiation) ? 對一已發生之行動或事件的證明,使該 行動或事件往後不能被否認的能力。 鑑別性(Authenticity) ? ? 確保一主體或資源之識別就是其所聲明 者的特性。 鑑別性適用於如使用者、程序、系統與 資訊等實體。 維護資訊安全的障礙 ? ? ? ? ? ? ? 日益複雜的安全技術 被大量資安資料所淹沒 缺乏優秀且技術純熟的專業人員 延伸的網周邊使得安全需求不斷變化 威脅的多變性與複雜性與日俱增 符合效益的企業基礎架構防護機制需為 24X7 IT 人員因日常操作的例行性公事而疲於奔命 Vulnerabilities reported CERT/CC Vulnerabilities Reported (1995-2005) 5,990 6,000 5,000 4,000 2,437 4,129 3,784 3,780 3,000 2,000 1,000 0 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 1,090 171 345 311 262 417 Incidents reported CERT/CC 入侵求助事件記錄 (1988-2003) 140000 120000 100000 82,094 137,529 80000 60000 40000 20000 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 52,658 21,756 6 2,573 2,340 9,859 1,334 773 2,1343,734 2,412 132 252 406 資訊安全相關標準 發源地 制訂單位 是否為國內標準 BS7799 歐洲 (英國) BSI 英國標準協會 是 COBIT (美國) ISACA 電腦稽核協會 否 註1:經濟部標準檢驗局並已於2002年將其中文化,頒佈為國家標準CNS17799/17800 註2:COBIT為Control Objectives for Information and Related Technology的縮寫 資訊安全的生命週期 ? ? ? ? ? 風險評估階段 資訊安全政策設計階段 執行階段 稽核階段 維護階段 資訊安全威脅 資訊安全的威脅 外 部 內 部 ?天然災害 ?駭 客 資訊安全威脅 ?硬體損害 ?內部員工 ?協力廠商 ?病 毒 ?病 毒 資訊安全的威脅(cont.) ? 軟體的缺點 ? 作業系統: ? 系統設計不完善 Buffer Overflow(緩衝區溢位) Denial of Service(阻絕性服務) ? 應用程式: ? ? ? 網通訊協定的安全性不足 資訊安全的威脅(cont.) ? 保護環境的安全措施不足 ? ? 網芳鄰 帳號和密碼的設定 ? ? 資訊管理不當 惡意程式 ? 電腦病毒、電腦網蟲、木馬程式 資訊安全的威脅(cont.) ? 駭客入侵/內部惡意的使用者 ? ? 系統漏洞或弱點 破解密碼 基於二台主機之間的信任來騙取連線 天災、人禍 ? 連線欺騙 ? ? 實體破壞 ? 資訊安全威脅的趨勢 ? ? ? ? ? ? ? ? 病毒、網蟲攻擊將更快速、更具破壞力、影響程面及 範圍更大。 駭客攻擊的手法趨於多樣化及混和型的攻擊。 阻斷服務攻擊手法更先進、更具破壞力、属猪的最佳配偶影響程面及 範圍更大。 安全漏洞增加的速度更快,修補時間縮短。 駭客攻擊目標轉向企業內部的個人電腦及利用寬頻上 網的個人電腦。 具破壞力的工具被公開,且取得容易。 攻擊後,資訊被竊聽與性資料外洩、被有心人士 利用而造成損失。 無線網與網基礎建設成為下一波攻擊標的。 保護及強化 ? 管理 ? ? 安全政策 安全規範 資訊技術 安全設定 ? 資訊科技 ? ? ? ? 教育訓練與安全觀念的灌輸 外部法律與罰責 資訊安全考量之議題 企業資安議題 ? ? ? ? ? 提升企業網服務安全 健全企業資訊基礎建設 提升企業應用系統安全 強化各部門資訊設施管理 提升使用者資訊安全認知與技能 資訊安全事件處理 ? ? ? 事前的防護 事發的應變與處理 事後的鑑識及復原 事前的防護 ? ? ? ? ? ? ? ? ? 政策管理 存取控制 實體安全機制 弱點檢測 稽核紀錄檔分析 防毒機制 防火牆 入侵偵測系統 … 事發的應變與處理 ? ? ? ? 專責處理團隊 通報 紀錄 … 事後的鑑識及復原 ? ? ? ? 鑑識及保全證據 快速復原系統及服務 紀錄及分析並修正相關安全策略分析 … 企業資訊安全投資 與組織人力配置 資訊安全的迷思? ? ? 安全只是一種感覺,一種虛無飄渺的概 念,並沒有實實在在地像PC、 Printer等 IT設備一樣,給人們的工作帶來改變。 企業網安全與否,與投資多少錢的關 係不大,因為種種案例表明,即便投入 大量資金進行安全建設的企業,依然會 因為各種威脅,使企業巨大損失。 資訊安全投資 ? ? 專家建議,安全投入占企業基礎投入的 5%~20% 國外及台灣的企業是如何? IT budget spent on security Security Expenditure per employee 2005?台灣大型企資安支出 以產業別觀察 資安投資主因 資安組織人力 ? 企業資訊化程度愈高,資安管理與緊急 應變等資安需求也相對提升,幾?來, 企業設置資安專責主管或組織的風潮出 現,現階段卻仍侷限在金融、、醫 療、電信與高科技等產業。 Title:CxO ? ? ? 資訊安全官 (Chief Information Security Officer,CISO), 更是現在許多企業開 始積極增設的職位。 也有專家大膽提出預測:5?內風險長 (CRO)將取代資訊安全官(CISO)。 CEO,CIO,CSO,CISO,CRO …?? 資安人力配置的一種說法 ? ? ? ? 涵蓋三班的 8 小時輪班制(早、中、晚班) 換班期間的備援 一個經理人 根據這些假設條件,企業至少要有 5 個 人員,才能撐起一輪的 24X7 安全監控。 一些實際例子 ? ? ? ? S公司堅持每1000:1的全職資安人員比例 A公司總部,光是安全長下面就有400~500人 的編置 M公司的CISO是在資訊部門之下,執掌企業 安全稽核、企業安全法規遵循、系統弱點管理、 員工身分識別與存取權限管理、隱私權、與企 業夥伴間的連線管理、資安政策與標準的統一 執行等工作,編制超過百人。 機關礙於人力與編制,多以兼任方式成立 資安組織 資安人力現況與建議 ? ? 資安事件迭有發生,企業普遍缺乏資安 專業人員因應 評估公司的需求,參考BS7799的資訊安 全組織的標準,加強資訊人員的能力, 以維護企業資訊作業正常運作為目標 最適當的資安投資 認知 ? ? 資訊安全是企業E化建設的基礎之一,是 網建設的第一塊基石。 失去安全保障, 企業E化和網絡建設也 就無從談起。 資訊安全技術分類架構 Problem? ? ? ? 也許困擾企業的問題不是在安全上投入 多少,而是該怎麼投資? 很多企業並不瞭解自己的網到底哪裡 應該是防範的重點?應該採取什麼樣的 方案? 只能聽任安全廠商的措辭?但是誰能比企 業自己更瞭解本身的業務流程呢? 台灣企業資安事件的困擾 台灣企業資安防護建置 策略與建議 ? ? ? 面對企業網目前存在的隱患,該採用最小的 安全防護投資策略,又能起到很好的效果呢? 企業要對自己的網絡安全作出準確的風險評估 然後制定管理風險的策略,進行適當的安全建 設投資,並通過正確的實施、運營和管理手段 達成。 有安全廠商認為,要評估安全方面的投資價值 主要應該看效益比 強化網基礎建設 機房安全控管 網流量的監控 FireWall VPN IDS 弱點檢測系統 弱點自動修補系統 Anti-Virus 防毒軟體主機 病毒碼傳送更新 防護政策傳送更新 Client Client Client Client Anti-Spam Anti-spyware Encryption Mechanism Storage System 身分驗證與權限控管 人才與教育訓練 資訊安全組織架構 安全組織 ? ? ? 資訊安全工作只有得到管理階層的重視,控制 活動才能得以順利開展。 資訊安全三分靠技術,七分靠管理,建立有效 的資訊安全管理組織機構是資訊安全管理的基 礎。 不健全的安全管理機制是資訊安全最大的弱點。 資訊安全組織機構 1.建立資訊安全管理的議事決策機構— 資訊安 全管理論壇 2.在組織內部,建立一個內部協調機制便於資 訊安全控制的實施 3.明確規定保護資訊資產和執行具體安全過程 的責任 4.建立資訊處理設施授權程序 資訊安全組織機構 5.建立管道,獲取資訊安全的建議 6.加強與其他組織間的協作 7.對組織資訊安全進行獨立稽核 第三方存取安全 1.識別出第三方存取的風險 第三方存取是指除組織員工以外的其他組織或 人員對組織資訊處理設施和資訊資產的存取。 2.第三方存取控制措施 根據對第三方存取風險評估的結果,採取適宜 的控制方法對其進行安全管制。 外包控制 ? ? 組織根據企業運作的需要,可能把資訊系統、 網和(或)桌面系統的管理和控制的部分或 全部進行外包(委外),例如,系統的維護外 包。 當組織將資訊處理的責任外包到另一個組織的 時候,如果控制不當,會給組織帶來很大的安 全風險。 範例1:工業技術研究院 範例2:高雄市立民生醫院 資訊安全制度建議 BS7799標準的應用範圍 ? ? BS7799-l:1999〈資訊安全管理實施細則》是 組織建立並實施資訊安全管理系統的一個指導 性準則,主要目的是為組織實施有效的資訊安 全管理所需的控制提供通用的最佳慣例。 BS7799-2:1999《資訊安全管理系統規範》規 定了建立、實施和文件化資訊安全管理系統 (ISMS)的要求,規定了根據組織的需要應 實施安全控制的要求。 總則 ? ? 總則(General)是對資訊安全管理系統 的總體要求標準,包括制定、實施、稽 核和保持資訊安全政策所需要的組織機 構、目標、職責、程序、過程和資源。 標準要求組織透過制定資訊安全政策、 確定系統範圍、明確管理職責,透過風 險評估確定控制目標與控制方式等活動 建立資訊安全管理系統。 領域 ? ? ? ? ? 資訊安全政策 安全組織 資產分類與控制 人員安全 實體與環境安全 ? ? ? ? ? 電腦和作業管理 存取控制 系統開發與維護 商務持續性管理 遵行 BS7799認證全球推廣情況 資料來源:資訊安全管理系統簡介 ISO 新編號 27000 27001 27002 27003 27004 BS7799-2 ISO 24743 BS7799-1 ISO 17799 ISO 24742 原標準標號 名稱 Vocabulary and Definitions ISMS Requirement Specification Code of Practice of ISMS ISMS Implementation Guideline ISMS Metrics & Measurement 27005 27006 BS7799-3 - ISMS Risk Management Guidelines for information and communications technology disaster recovery services 資訊安全流程 結論 企業資訊安全管理6大方向 ? ? ? ? ? ? 資訊安全(Information Security) 緊急應變計畫(Emergency Planning) 安全稽核(Security Audit ) 事件調查(Security Investigation) 安全教育訓練(Security Awareness Training) 安全宣導(Security Promotion) 人是安全管理工作的「核心」 ? ? ? 一般使用者:提升資安素養 系統管理者 :強化資安技術能力 管理階層: 支持資安投資與稽核 END