存取控制(Access Control)
1 帳號管理(Account Management):
1.1 使用者或設備需透過帳號始能與資訊系統進行互動。設備與設備間也應套用相同運作模式。
1.2 以Role-Based架構建立資訊系統之存取控制。
1.3 每一個帳號僅允許授權給一個個體使用。
1.4 一個帳號可以加入數個群組。
1.5 一個群組可以管理數個帳號。
1.6 當不使用資訊系統或資訊資源時,帳號應被登出系統。
1.7 資訊系統之管理者帳號應被妥善管理,且儘可能限制少數人使用。
1.8 定期對每一個資訊系統分析所有帳號之登錄與使用情況,尤其是系統管理者帳號。
1.9 所有帳號登錄系統之記錄不允許修改及刪除。
2 執行存取控制機制(Access Enforcement):
2.1 資訊系統僅允許獲授權之存取行為。
2.2 存取控制政策有下列幾種可供利用:
2.2.1 基於身份之存取(Identity-Based Policies)
2.2.2 基於角色之存取(Role-Based Policies)
2.2.3 基於屬性政策(Attributes-Based Policies)
2.3 存取控制機制有下列幾種方式可供利用,組織可視實際需求進行應用:
2.3.1 存取控制清單(Access Control Lists)
2.3.2 存取控制矩陣(Access Control Metrics)
2.3.3 密碼學(Cryptography)
2.4 在資訊系統中需使用存取控制政策及存取控制機制以控制使用者(或是代表使用者之處理行理)及物件(例如:設備、檔案、記錄、處理流程、程式、Domains)之運作。
2.5 存取控制機制應部署在組織內各層次,尤其是應用程式層以提升組織之資訊安全。
2.6 如所需儲存之資料屬機敏性質,組織可以考慮將儲存之資料進行加密後再行儲存,而應用程式再提供解密之功能以還原被加密之資料。所有此類資料之存取皆應被記錄並定期稽核。
3 職務區隔(Separation of Duties):
3.1 在組織人力許可下,應避免一項資訊系統管理業務僅授權給一位員工,以避免該員工掌握所有組織核心安全而為所欲為。
3.2 對於系統管理人員必須依其職務進行區隔,以防止人員共謀進行惡意之資料竊取行為。
3.3 組織必須將職務之區隔透過職務說明書明確文件化。
3.4 透過資訊系統存取之授權機制以實現職務區隔。
3.5 組織內重要之任務或資訊系統之管理,在人力許可下,應指派給不同之人員或角色。
3.6 在人力許可下,應由不同之人員來支援各類資訊系統功能,例如:系統管理、系統程式設計、組態管理、品質保證測試、網路安全、…。
3.7 同一職務中扮演同一角色之人員應使用不同之管理者帳號進行管理作業,以達到可歸責性。
3.8 不同角色應有不同之管理者帳號。
3.9 系統管理帳號之密碼應強制要求定期變更,並符合強度之要求。
4 最小使用權限(Least Privilege):
4.1 組織應依據營運需求,採用『最小使用權限』原則,僅提供必要之權限予使用者。
4.2 所有可以接觸資訊系統或機敏性資料之人員或角色皆需有明確之授權定義,嚴禁任何模糊空間。
4.3 對於管理資訊系統以及稽核資訊系統使用情況等功能,需明確授權給專人負責。
4.4 對於管理資訊系統以及稽核資訊系統使用情況等功能,在明確授權給專人負責後,需進行定期之稽核。
4.5 針對所有特權帳號或角色在特定安全功能及安全相關資訊之使用情況,需進行稽核與留存必要之記錄
4.6 組織僅授權特定之特權指令以進行網路之存取行為。
4.7 對於有特權權限之帳號或角色,需建立管控機制,記錄其使用特定安全功能及安全相關資訊之情況,且需指定特定人員定期進行稽核作業,以避免有監守自盜之情況發生。
4.8 超級使用者帳號(root / administrator)僅授權給特定之系統管理人員使用。
4.9 使用超級使用者帳號(root / administrator)之所有行為需明確被記錄,且不允許異動。
4.10 嚴禁組織外部人員以特權帳號或角色存取資訊系統。
4.11 如果因特殊情況,非組織人員需使用特權帳號或權限存取資訊系統,該情況需經過權責主管正式之同意。
4.12 如果因特殊情況,非組織人員需使用特權帳號或權限存取資訊系統,其存取情況需全程記錄並派人事後稽核。
4.13 如果因特殊情況,非組織人員需使用特權帳號或權限存取資訊系統,在存取目的消失後,需立即取消該特權帳號或權限之使用。
4.14 所有特權指定之使用皆需有文件進行明確之說明,並取得權責主管之同意
5 企圖登入資訊系統之失敗管理 Unsuccessful Login Attempts:
5.1 針對所有需要登入進行身份識別之資訊系統,需設定在一定時間內允許輸入之次數上限。
5.2 身份識別作業若失敗次數超過一定次數後需鎖定該帳號並通知系統管理員。
6 系統使用通知(System Use Notification):
6.1 在提供相關安全性功能給指定帳號或角色前,資訊系統需顯示相關警示訊息予作業人員,提醒其需小心使用即將開啟之安全相關功能。
7 無需識別與認證之允許行動(Permitted Actions without Identification or Authentication):
7.1 需明確指出無需識別與認證之行為或作業並以文件記錄之。
7.2 組織應儘可能避免或降低無需識別與認證之行為或作業。
8 遠端存取(Remote Access):
8.1 組織需針對遠端存取行為制定政策,以規範所有允許或不允許之遠端存取行為。
8.2 對於遠端存取之方式需制定明確之程序以及相關限制。
8.3 組織應隨時更新允許進行遠端存取之人員與設備清單。
8.4 在進行遠端存取連線前,需進行身份認證以及授權程序。
8.5 每一個可進行遠端存取之個體(人員或設備)必須可被唯一識別,亦即需具有可歸責性。
8.6 對於遠端存取資訊系統,需強制符合組織相關之安全要求後始可進行存取。
8.7 在成本以及技術能力許可下,應建立必要之機制來執行遠端存取之監控與記錄,以稽核使用者行為,並確保遠端存取符合組織之政策。
8.8 在技術能力許可下,需以加密方式保護遠端存取Sessions之機密性與完整性。
8.9 所有遠端存取之連線運作需限制在組織可控制之安全環境內;對於外部因業務需求,需遠端連線至組織內之資訊環境,需另行建置相關受保護與監控之遠端存取機制,且需記錄所有此類之遠端存取行為。
8.10 在成本以及技術能力許可下,應建立未經授權之遠端存取監控機制,且在發現未經授權連線時,需立即切斷該連線,保留相關存取記錄,必要時,對該未經授權之存取個體進行訴訟。
8.11 對於以遠端存取方式進行之安全功能與安全相關資訊需建立更嚴謹之保護措施,且所有行為皆需被記錄以供後續稽核使用。
8.12 所有遠端連線所存取之資料皆需已獲合法授權並被詳細記錄存取內容與情況。
8.13 提供予外部廠商使用之帳號,應全程記錄其遠端存取之行為,並在完成每一次之遠端存取需求後,確認其遠端行為遵守組織之規定,並立即取消該帳號之有效性。
9 無線網路存取(Wireless Access):
9.1 需建立對無線網路之使用限制與使用程序。
9.2 對於透過無線網路進行未經授權之資訊系統存取行為需進行全程監控與記錄。
9.3 對於無線網路存取需透過加密與認證程序以確保安全之作業連線。
9.4 組織應關閉所有不再使用之無線網路服務。
9.5 嚴禁非權責單位之人員自行設定無線網路之相關參數。
10 可攜式與行動設備的存取控制機制(Access Control for Mobile Devices):
10.1 組織需建立可攜式及行動設備之政策以規範使用程序及限制。
10.2 組織需建立可攜式儲存媒體之政策以規範使用程序及限制。
10.3 組織員工應簽署可攜式及行動設備使用規範同意書。
10.4 組織內不得在未經受權下,攜入私人之可攜式與行動設備。如有業務上之需求,需經過組織之正式授權程序。且在第一次使用於組織內部環境時,需先經過資訊單位之防護驗證,以確保未藏有惡意程式。
10.5 可攜式與行動設備對資訊系統之存取需進行全面監控與記錄。
10.6 可攜式與行動設備對資訊系統之連線需嚴格遵守組織之安全規範。
10.7 嚴禁可攜式與行動設備開啟自動執行之功能。
10.8 資訊系統嚴禁使用無法辨識之可攜式與行動設備。
10.9 嚴禁在未經授權下使用一般之可攜式與行動設備處理、儲存或傳送機敏性資料。
10.10 所有私人之可攜式儲存媒體欲與組織之資訊系統或資訊環境進行連接前,皆需取得正式授權。
10.11 所有私人之可攜式儲存媒體在存取組織之資訊系統或資訊環境內之資料時,其過程以及存取之資料內容皆需有記錄可查。
10.12 嚴禁在未授權情況下,在可攜式與行動設備上使用內建或外接之數據機或無線網路介面。
10.13 可攜式與行動設備之使用應由組織指定之安全人員進行隨機之檢查,如果發現儲存有機敏性資訊,需啟動異常事件處理程序,以確保機敏性資訊不被非法攜出組織之安全範圍外。
11 外部資訊系統之使用(Use of External Information Systems):
11.1 所謂外部資訊系統為非屬組織之資產,但有與組織相連接之可能性,例如:員工私人擁有之資訊設備(例如:個人電腦、手機、…)、與營運伙伴間之資訊系統交易。
11.2 組織需建立相關程序:
11.2.1 進行組織內外部資訊系統間之驗證。
11.2.2 存取組織外部之資訊系統。
11.3 在未經組織正式授權下,所有非組織所擁有之外部資訊系統嚴禁攜入或進行連接。
11.4 嚴禁組織員工使用組織資訊資源對外部進行各種非法之行為,例如:各類惡意程式攻擊、惡意言語攻擊、...。
12 使用者基礎之協同合作及資訊分享(User-Based Collaboration and Information Sharing):
12.1 組織應訂定相關作業程序:
12.1.1 將組織內已獲授權之資訊與外部之合作夥伴進行分享。
12.1.2 整合外部夥伴之資訊系統與組織內之資訊系統。
12.1.3 保障雙方在協同合作以及資訊分享之權利與義務。
12.2 前述所提之程序內容應包括:
12.2.1 哪些資訊可與外部夥伴分享。
12.2.2 雙方哪些人員被授權參與此類資訊共享之存取。
12.2.3 分享之機制為何。
12.2.4 雙方之協同合作之認證與授權機制。
12.2.5 一旦發生爭議,解決之程序與機制為何。
12.3 雙方之資訊分享行為皆必須有即時之監控與記錄。
參考資料:NIST 800-53