《有關資訊安全之違法事項:》
(二)該公司辦理網段配置作業,有正式與測試作業伺服器混置於同一網段,以及聯外防火牆規則未依最小授權原則設置,不利網路安全控管,核有礙健全經營之虞。
《筆者分析》:
該案件筆者認為,可能因為正式與測試的網段搞成同一個網段,導致防火牆沒辦法判別,所以產生授權原則錯誤。該錯誤只要重新計算過網段,以及重新分配正確的網段就能解決。
不過,如果有心人事利用測試的IP進入伺服器,那就有可能造成資料外洩的狀況產生,所以防火牆的最小授權原則也要設定清楚,免得其他部門或者外部人權限過大,看到不該看的資料。
這案件違反資安事實理由,屬於比較輕微,只是筆者比較訝異,最小授權原則的觀念是很基本的資安防護概念,理論上,會犯如此錯誤,實在有些不應該。
這部分裁罰結果只是要求糾正,所以改善即可。以上是筆者個人觀點,僅供參考!
iThome鐵人賽
看影片追技術