《资讯安全入门手册》由会员分享,可在线阅读,更多相关《资讯安全入门手册(79页珍藏版)》请在金锄头文库上搜索。
1、資訊安全入門手冊第 8 章 資訊安全流程1n資訊安全是一種預防性質的管理風險流程。n回應型模型是指 在資訊資源發生意外事件 之前,組織無須預先採取任何保護措施。n預防型模式需要在事件發生之前,先採取一 些防範措施,而且也無從得知整體的安全成 本。n安全成本的方程式如下:整體安全成本 意外事件成本 防範措施成本 2n適當的風險管理和計畫,可以有效地降低資 訊安全意外的成本。n若在事件發生之前預先採取防範措施,就可 以有效地防止意外事件,整體的安全成本方 程式如下: 資訊安全成本 = 防範措施成本 或 意外事件成本 防範措施成本 防範措施成本 3n在事件發生之前預先採取防範措施,是資訊安全管理 較
2、為適當的作法。 n組織必須先確認本身的弱點,並在事件發生之時判斷 風險,接著就可以選擇合乎成本效益的對策。 n資訊安全流程(詳見圖8-1)是一種連續性的步驟, 內含的五種階段如下:n評估(Assessment)n政策(Policy)n建置(Implementation)n教育訓練(Training)n稽核(Audit) 4圖8-1 資訊安全流程 58-1 評估n評估是資訊安全的首要步驟。n評估的結果,可做為目前所處的階段、 下一個目標的基礎。n評估的結果,也可以做為組織資訊財產的價 值、弱點對於資訊的威脅程度,和組織整體 風險的重要性等參考方向。 6n當確認和量化風險之後,可以選擇符合成本 效
3、益的防範措施以降低風險對策,並達成下 列適當管理風險的目標。資訊安全評估的目 標如下:n判斷資訊財產的價值。n判斷資訊財產的機密性、完整性、可用性,和 (或)可說明性的威脅。n判斷目前組織實務之中的現有弱點。n確認組織資訊財產面臨的風險。7n提出當前變動方式的實務建議,並將風險降到 可以接受的程度。n做為建構適當安全計畫的基礎。 n評估的範圍,會影響到是否都能夠達成每一 種目標。五種一般性的評估類型如下:n系統層級弱點評估:調查電腦系統已知的弱點 、是否符合基本政策。n網路層級風險評估:評估組織整體的電腦網路 和基礎設施,是否介於風險範圍內。8n組織全面性的風險評估:分析整個組織,並確 認組織
4、資訊財產的直接威脅。透過組織處理中 的資訊,並納入電子和實體形式的資訊,即可 確認弱點。n稽核:重新檢視組織是否已符合特定的政策。n入侵測試:模擬、檢查組織的入侵應變能力。 這種評估方式僅適用於安全程序相當完善的組 織。 9n利用下列三種方式,即可取得評估所需的資 訊:n員工訪談n文件審視n實際訪查10n在評估組織時,需要調查的範圍如下:n組織的網路n組織的實體安全措施n組織現有的政策和程序n組織已經施行的預防措施n員工的安全認知n組織裡的員工11n員工的工作量n員工的看法、意見、態度n員工依循現有政策和程序的程度n組織的業務 128-1-1 網路 n組織的網路,通常都是存取資源最簡單的管道。
5、n檢查組織的網路時,應該從網路架構圖開始,並逐一 檢查每一個網路連接點。 網路架構圖和現行的網路架構,或多或少都會有些差異之處;因此, 在檢查網路的重要設備時,不要以網路架構圖做為唯一的依據。 13n伺服器、桌上型設備、網際網路存取點、撥接存取點 ,還有遠端位置和其他組織的連線,也都需要詳細標 明。n從網路架構圖和網路管理員的訪談中,可取得下列資 訊:n網路系統的數量和類型。n作業系統和版本。n網路拓樸(交換式集線器、路由器、橋接器和其他設備)。n網際網路存取點。n網際網路用戶端。14n任何防火牆的類型、數量和版本。n撥接存取點。n無線網路存取點。n遠端存取的類型。n廣域網路拓樸。n遠端位置存
6、取點。n其他組織存取點。nWeb伺服器、FTP伺服器和郵件閘道器的網址。n網路使用的通訊協定。n控制網路的人員。15n在確認網路架構之後,接著需要確認下列網路範圍內 的保護機制:n所有網際網路存取點的路由存取控制清單和防火牆規 則。n用於遠端存取的身分確認機制。n其他組織存取點的保護機制。n傳輸和儲存資訊的加密機制。n用來保護可攜式電腦的加密機制。n伺服器、桌上型電腦、電子郵件系統的防毒系統。n伺服器的安全組態設定。 16n如果網路和系統管理員無法提供伺服器安全組態設定 的詳細資料時,可能也會需要調查伺服器的詳細資訊 。 n詢問網路管理員目前使用的網路管理系統。其中,也 要包含警示的類型,和可
7、以取得監視系統相關資訊的 人員。n對所有的系統執行弱點掃瞄。可以掃瞄的範圍應該包 含內部網路(內部網路的系統端)和外部網路(組織 防火牆以外的網際網路系統)。n不要假設網路管理員知道組織內所有無線網路的存取 點。 178-1-2 實體安全n組織建物內的實體安全,也是資訊安全的重 要環節之一。n調查實體安全措施的內容中,也應該包含地 點的實際進出控制、敏感區域的地點。 n如果無法擁有專屬的房間,最低限度也必須 嚴密控管進出。18n用來判斷實體安全措施的要點如下:n地點、建築物、辦公區域、紙類記錄和資料中心的實 體保護類型。n鑰匙的保管人。n除了資料中心之外,還有那些重要的進出地點或建築 物。 n
8、調查建築物範圍內的通訊線路機房,建築物的通訊線 路引入點。n網路線路的分線箱所在地,也應該包含在敏感或重要 區域的清單之中。 19n電力控制、環境控制和資訊中心的消防設備 ,也都應該包含在實體安全的範圍中。n下列項目可用來取得這些系統的相關資訊:n所在地的電力供輸方式。n資料中心的電力供輸方式。n配備哪一種類型的不斷電電力系統(UPS)。nUPS可維持系統運作的時間。n哪些系統連接到UPS。20n發生電力中斷而由UPS緊急供電時,應該通知 哪些人員。nUPS隸屬於哪一些環境控制。n資料中心配備的環境控制類型。n若環境控制失效時,必須東通知哪些人員。n資料中心配備的消防系統類型。n資料中心的消防
9、設備是否可以確實消滅火災, 而且不會危害到資料中心。218-1-3 政策和程序n許多組織的政策和程序都和安全有關。 n在評估的過程中,也都應該包含下列文件:n安全政策。n資訊政策。n災害復原計畫。n緊急事件回應程序。n備份政策和程序。n員工手冊和政策手冊。n新進人員的檢查清單。22n新進人員教育訓練程序。n員工離職程序。n系統組態設定指引。n防火牆規則。n路由器過濾規則。n n性騷擾政策性騷擾政策。n實體安全程序。n軟體發展法則。23n軟體更換程序。n電訊政策。n網路架構圖。n組織圖。 n在取得政策和程序之後,應該要詳加審查每一種項目 的相關性、適用性、完整性、妥善性及通用性。n政策和程序也都
10、需要適當地使用書面文件詳加定義。n在調查文件的適用性過程中,也需要調查是否符合政 策或程序的目標。 24n政策和程序也應該包含組織的所有運作。 n政策和程序也必須因時而異。當一份文件過 於老舊,文件的內容可能就會失效或不合時 宜。 n應該要評估組織的安全認知計畫,並檢視安 全認知教育訓練的教材。 n最近的意外事故和稽核報告的內容,也是應 該深入調查的對象。 258-1-4 預防措施n預防措施的兩個重要元件 備份系統與災難 復原計劃。n萬一發生意外事件時,預防措施可用來恢復 原有的正常作業。n在評估備份系統的效用時,需要注意的不僅 僅是備份政策和程序,而且也需要訪談系統 操作員,如此才能瞭解實際
11、的作業模式。26n評估的項目如下:n使用哪一種備份系統?n備份哪些系統和備份的頻率?n備份資料存放在哪裡?n多久之後會將備份資料移到存放處?n是否核對過備份資料?n使用備份資料的頻率?n通常需要多久備份一次資料?n需要經常備份資料? 27n在檢視災害復原計畫時,更加需要留意計畫 的完整性。若是單純閱讀文件的內容,是沒 有辦法判斷計畫是否真的有效。 n在訪談員工的過程中,必須提出的災難復原 計畫問題如下:n是否曾經利用過災難復原計畫或業務持續運作 計畫?n計畫的執行結果如何?28n是否曾經測試過這些計畫?n可以使用哪些設備執行災難復原計畫?n有哪些替代性的場所?n災難復原計畫的負責人是誰? 29
12、8-1-5 認知n如果員工知道程序和政策的存在並確實遵循 時,政策和程序會非常有用並可增進組織的 安全。n在實施評估時,花點時間坐下來和一般員工 (非管理階層或政策和程序的負責人)談談 ,並判斷員工對公司政策和程序的認知層級 。n除了實際訪談之外也需要巡視辦公室,並記 錄尚未遵循政策和程序的事項。30n看看是否有人將密碼寫在紙上,或是下班之後並未登 出系統,這些也都需要包含在記錄內。n管理員的認知也是非常重要的一環,因為管理者必須 遵循公司的系統組態設定政策和程序。n管理員也應該熟知系統的安全弱點與威脅,並能察覺 系統是否遭受侵害。n萬一系統遭受侵害時,管理員下一個重要的步驟就是 知道該如何處
13、理善後工作。 318-1-6 人員n組織的員工是影響整體安全環境最重要的因素。 n不論是技術不足或過高,都可能讓精心設計的安全計 畫功虧一簣。 n必須檢視安全人員和管理員執行安全計畫的的技術水 準,並確認這些人員是否足以勝任。 n安全人員不僅需要瞭解政策的運作模式,也需要瞭解 最新的安全商品。 n在管理組織的系統和網路方面,管理員也需要具備足 夠的技術水準。32n組織內的一般員工,都應該具備最基本的電 腦操作能力。n若是使用者技術水準很高時(例如軟體設計 公司),就會衍生出其他安全問題。n組織內部稽核人員的工作之一,就是組織內 的系統和網路。n倘若組織的稽核人員能夠熟悉內部系統和網 路的相關技
14、術,也會更容易找到問題點。 338-1-7 工作量n當員工的工作量增加時,安全往往是最常忽 略的工作項目。 n就算員工的技術再好,但如果工作量過大對 安全環境也不會有所助益。 n即使組織擁有相單完善的政策和程序,但員 工的工作量過大,也同樣會出現安全方面的 弱點。 n在進行評估時,也應該判斷工作量過大是屬 於暫時性或常態性的現象。 348-1-8 態度n管理階層對安全的重要性所抱持的態度,是 影響安全環境的重要關鍵之一。n管理階層傳達的安全理念具有兩個部分:n管理者態度n傳達機制n管理階層可能非常明瞭安全的重要性,但是 如果沒有適當地宣導安全理念,員工也將無 法明瞭安全的重要性。35n在評估組
15、織員工的態度時,不但需要檢視管 理階層的態度問題,同時也要檢視下屬對主 管的態度。n在評估員工的態度問題時,管理階層和員工 都應該是訪談的對象。 368-1-9 嚴守本分n在評斷理想的安全環境時,不要忘了確認實際的安全 環境。n政策、態度和現有的機制,皆可定義出理想的安全環 境。n管理員和員工對於政策的遵循態度,才是真正的實際 環境。如果管理階層帶頭違反政策時,上行下效,管理員和其他員工也會跟著 違反政策。 378-1-10 職責n在調查職責時,試著找出組織內部、部門之 間、分公司之間和其他組織之間的互動情形 。 n找出影響組織運作甚鉅的系統和網路,也是 評估的工作之一。 n確認組織的後端系統
16、,可協助找出組織必須 面對的其他風險。 388-1-11 評估結果n在資料蒐集工作完成之後,評估小組需要開 始分析資訊。n在分析的過程中,不能單憑一項資訊而評論 組織的安全。雖然所有的弱點都會導致風險 ,但是評估小組必須找出組織的所有弱點。n在完成分析的工作之後,評估小組應該要依 照風險的高低排序,對組織提出完整的風險 分析和建議。 39n評估工作的最後一個步驟就是發展安全計劃。n組織必須判定結果是否可以真實呈現安全現況,並決 定如何快速、有效地處理,而且也必須配置資源並建 立和建立時程表。在執行計畫時,不一定要依照先後順序執行,這是因為預算和資源可能 影響執行的先後順序。 408-2 發展政策n政策和程序可以定義出組織理想的安全環境,以及建 置階段應該執行的工作。n倘若沒有政策,組織很難設計和推動有效的安全計畫 。n制訂政策和程序的最低限度如下:n資訊政策:確認機密性資訊,並確認如何處理、保存 、傳遞、銷毀機密性資訊。這是用來瞭解為什麼 要有安全計畫的基本政策。n安全政策:定義用來控制各種電腦系統的技術需求。 這是用來瞭解什麼是安
