作者:張傑生 / 臺灣大學計算機及資訊網路中心作業管理組程式設計師兼副組長
當上網變成跟「你吃飽了沒」一樣重要時,資訊安全變成生活中重要的課題。基於此趨勢,計資中心將導入ISO 27001 ISMS(資訊安全管理系統),全面提升校園資訊管理防護網。
前言
本中心預計於2009年正式導入ISO 27001,建置符合國際標準之資訊安全管理系統(ISMS)。在導入之前,我們將進行落差分析工作,檢視現有作業流程,並針對資訊系統進行弱點掃瞄,以瞭解現實狀況與日後欲達成之目標相差幾何。本文將分為兩部分,首先介紹ISO 27001與ISMS,其次說明本中心導入前置作業的工作規劃。
1. ISO 27001與ISMS介紹
隨著資訊科技日益普及,人們對於資訊系統的仰賴與日遽增,然而近年來不時發生各式病毒攻擊、駭客入侵、資料竊取等事件,在在使得資訊安全的重要性逐漸成為各方關注的議題。
提升資訊安全防護的基本方向,大致可從技術面與管理面來談。傳統上架設防火牆、入侵偵測系統,或者是安裝防毒軟體、定期更新作業系統等,都是典型的技術手段。至於管理面的具體措施為建構「資訊安全管理系統」(ISMS, Information Security Management System),此處所指的「系統」與一般慣用的資訊系統、網站系統、Windows系統相差甚遠,比較貼切的解釋應該是組織內的管理規範、作業流程與文件表單。
簡單來說,在ISMS的範疇裡,資訊屬於有價值的資產(asset),攸關企業經營命脈,因此需要受到妥適保護。保護的目的在於維護資訊的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),一般簡稱CIA。機密性意指資訊需經授權方可存取;完整性表示客戶取得的資料必須正確完整,未經竄改;而可用性則代表當客戶有需要時,可隨時取得資料。ISMS從風險管理的角度切入,透過資產的鑑別,威脅與弱點的確認,讓管理者充分瞭解風險所在,並嘗試將風險降低至可接受的範圍內。舉例來說,系統管理人員最擔憂的狀況,不是價值數百萬的硬體設備故障,反而是便宜的硬式磁碟機損壞,理由是後者存放了寶貴無價的重要資料。為了控制這類突發狀況所衍生的風險,ISMS從管理面著手,不僅需要指出風險所在,還更進一步要求提出降低風險的具體方法。由技術面處理,不外乎將硬式磁碟機改為磁碟陣列,添購磁帶機等備份裝置,甚至規劃異地備援模式。然而採用了以上技術手段之後,該如何確認「有效性」,評估風險是否降低,又得回歸管理面,透過標準作業流程與表單,監督管理人員是否每日確實執行備份工作。此外,不定期舉辦災難復原演練,以確保磁帶資料可用、異地備援機制可順利接管系統,也是必要程序之一。風險管理的另一項重要目的,是讓管理階層能夠確實掌握,當類似災難發生時,人員所需應變時間,以及資訊系統需要多少時間可恢復正常運作。由此可知,要能有效強化資訊安全,必須由技術面與管理面雙管齊下,兩者相輔相成,方可收效。
在企業導入ISMS的過程中,經常發生的疑慮包括:是否有相關標準可供依循?未來當ISMS建置完成後,該如何評估適切性,量測有效性?最重要的是,該如何取信於客戶與商業伙伴,展現公司對於資訊安全的管理能力?為此,國際標準組織(ISO)於2005年頒佈了ISMS的國際標準—— ISO 27001:2005,提供有意建置ISMS的企業,一套完整的規範與標準;循此標準建置完畢後,可以透過公正獨立的第三方組織,進行稽核與驗證。基於ISO組織的公信力,在目前資訊產業界裡,ISO 27001可說是最廣為接受且受到尊崇的資訊安全管理標準。
2. ISO 27001 ISMS 之導入規劃
本中心屬於校內資訊單位,負責開發、管理、維運校內各式重要資訊系統,長久以來扮演著校內資訊樞紐的角色。雖然過去本中心接受校內外各式評鑑屢屢獲得評審委員的嘉許與肯定,然而我們不敢以此自滿,時時不忘自我警惕,積極思考如何能夠提供校內師生更為安全穩定的高品質服務。有鑑於近年來國內外各式資訊安全事件層出不窮,資訊單位面臨極大挑戰,中心決議自2008年九月起,規劃導入符合ISO 27001標準之資訊安全管理系統(ISMS)。我們期許藉由此次導入工作,有效提升核心業務的實質安全,而非僅止於文件上的表面安全。因此,我們額外投資人力物力,由技術面的角度切入,進行資訊系統的安全補強,這種工作模式有別於以往一般顧問公司所習慣的作業流程,對於導入與輔導的雙方來說,都是一次嶄新的挑戰。
照目前規劃(如上圖),在正式導入ISMS之前的重要工作有三:定義導入範圍(scope)、進行落差分析(Gap analysis)、實施教育訓練。
1. 定義導入範圍(scope)
本次導入作業,我們所定義的驗證範圍是特別挑選過的核心業務,包括:1.校務資訊系統入口、2.校務資訊系統資料庫、3.資訊機房。選擇這三者的原因是,入口網站直接面對使用者,其中更牽涉單一認證機制,安全性不容忽視;資料庫主機存放校內所有重要資料,舉凡人事、學籍、會計、薪資等,無所不包,重要性無庸置疑;資訊機房屬於基礎建設,作為所有資訊系統之安全根基,勢必列入重點工作項目。
2. 進行落差分析(Gap analysis)
以技術面來說,我們會分成以下四個步驟進行:
(1) 風險評估
委託專業資訊安全團隊,針對本次導入範圍,以駭客手法進行「滲透測
試」(penetration test),利用各式系統與程式弱點(例如:SQL Injection、Cross-Site Scripting等),嘗試破解重要資訊系統,最後提出系統安全漏洞報告。
(2) 弱點修復
針對被找出的漏洞與弱點,釐清問題根源,交由負責人處理,如果是人為疏失,應該立即修復。舉例來說,程式造成的安全漏洞,由程式人員修正解決;如果是作業系統問題,則請系統維護人員以更新方式修補;如果是機房管制不確實,則考慮加裝刷卡機制並配合監控攝影。
(3) 安全防護
資訊系統透過網路針對全世界開放,因此必須面對來自世界各地的惡意攻擊。即使自行開發的程式都已經過再三修補、確認無誤,但Microsoft Windows系統漏洞或者是IIS問題,卻得以讓惡意者有機可乘,發動Zero-Day Attack,在系統管理人員來不及修補應對的情況下,成功入侵。因此之故,過去多次進行系統弱點掃瞄結果,絕大部分的安全漏洞都是出現在Web端的應用程式。為了解決這類問題,中心決定採購Web Application Firewall,專門針對Web應用程式額外加強防護。
(4)風險履勘
完成上述弱點修復與安全防護兩項工作後,再次委託專業資訊安全團隊,進行滲透測試,比對先前測試結果,評估安全防護提升成效。
進行技術面的防護措施時,我們同時針對管理面進行落差分析工作:
(1) 資產清查
針對範圍內的所有資產,逐一清查列冊。此處所指資產,除了設備物品之外,尚包括人員、文件。以校務系統網頁主機而言,雖然硬體設備可能僅止於2-3台伺服器,但是為確保系統維運所衍生出來的網路交換器、資料備份設備、機房環境、不斷電系統等,都必須納入資產清冊。除此之外,系統文件、軟體程式、管理人員、甚至管理人員所使用的個人電腦等,也都屬於必須清查列管的資產。
(2)風險評鑑
完成資產清查後,則需針對每項資產,評估其風險值,俾使管理階層瞭解目前整體系統的風險威脅程度。評鑑風險的公式並非唯一,僅需針對業務需求選擇最適合方法即可。舉例來說,我們可以採用公式R=V*L*I計算風險。
Risk風險值
Value資產價值,參考CIA三項指標評定。
Likelihood發生機率
Imapct衝擊,災害發生所產生的影響程度。
一旦所有資產的風險值都計算完畢,後續在ISO 27001導入時,就可以套用規範所提出的133個控制項目,幫助降低風險。導入ISO 27001之最終目的,就是希望將所有資產的風險值降低至某一可接受程度,以「風險已受到有效控制」之立論,達成「資訊安全」的目標。
(3)實施教育訓練
中心將舉辦內部訓練,提升同仁之資安意識與技術能力,希望後續導入ISO27001之過程可以順利進行。目前課程大致規劃如後:
類別
|
科目
|
時數
|
資訊安全
技術面
|
網頁防火牆設定與管理
|
6
|
Windows 作業系統安全管理
|
3
|
Unix系統安全管理
|
3
|
安全程式撰寫
|
6
|
駭客攻防技術實作與演練
|
6
|
系統安全漏洞剖析
|
3
|
無線網路安全
|
3
|
資訊安全
管理面
|
資訊安全簡介與ISO 27001介紹
|
3
|
風險管理與風險評鑑
|
3
|
營運持續計畫與管理
|
3
|
ISO 27001架構與條文解析
|
6
|
ISO 27001導入範例與內部稽核
|
6
|
除了上述課程之外,我們也將薦送相關同仁,接受ISO 27001主導稽核員訓練,通過考試取得證照,未來擔任資訊安全稽核小組,負責中心內部稽核工作。
本中心預計自2009/02開始正式導入ISO 27001,期望利用六個月時間,完成ISMS建置與內部稽核等工作。並於2009年底前通過第三方獨立機構之稽核驗證,並取得ISO 27001認證,以昭公信。