iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 9
1
Security

資安裁罰案件分析系列 第 9

DAY 9 第七件裁罰案 金管會保險局裁罰對象:第一金人壽保險股份有限公司 裁罰日期:109/2/10

https://ithelp.ithome.com.tw/upload/images/20200922/20107482uW8dKqvkGO.jpg

《有關資訊安全之違法事項:》
(二)該公司辦理網段配置作業,有正式與測試作業伺服器混置於同一網段,以及聯外防火牆規則未依最小授權原則設置,不利網路安全控管,核有礙健全經營之虞。

《筆者分析》:

該案件筆者認為,可能因為正式與測試的網段搞成同一個網段,導致防火牆沒辦法判別,所以產生授權原則錯誤。該錯誤只要重新計算過網段,以及重新分配正確的網段就能解決。

不過,如果有心人事利用測試的IP進入伺服器,那就有可能造成資料外洩的狀況產生,所以防火牆的最小授權原則也要設定清楚,免得其他部門或者外部人權限過大,看到不該看的資料。

這案件違反資安事實理由,屬於比較輕微,只是筆者比較訝異,最小授權原則的觀念是很基本的資安防護概念,理論上,會犯如此錯誤,實在有些不應該。

這部分裁罰結果只是要求糾正,所以改善即可。以上是筆者個人觀點,僅供參考!


上一篇
DAY 8 第六件裁罰案(2) 金管會保險局裁罰對象:富邦產物保險股份有限公司 裁罰日期:109/3/20
下一篇
DAY 10 第八件裁罰案 金管會保險局裁罰對象:金鷹保險經紀人有限公司 裁罰日期:109/1/10
系列文
資安裁罰案件分析30

尚未有邦友留言

立即登入留言