本篇解析斷斷續續寫了將近一年的時間,一直沒有下定決心到底要寫成甚麼樣子,在一些外在因素影響下,終於努力地將它完整寫完,其中內容引用了很多的法規、條文及參考資料,有些有標註,有些因為融合了自己的概念,就沒有完整標示,所以還是用「整理」來說明整篇文章之撰寫方式。本篇的目的是引導從未接觸過但是又需要開始執行 ISMS 導入工作的人,當然如果對資訊安全有一些基本的認識後,再來閱讀應該有或多或少的收穫。如同前面所述,大部分的內容是我個人對資訊安全的一些看法,如果有不認同的,歡迎提出來一起討論
壹、 資訊安全簡介
一、 定義
「資訊安全」到底是甚麼?我們可以從ISO 27000的定義來看:
ISO 27000 Clause 2.33 資訊安全:
- 保護資訊的機密性、完整性及可用性。
- 附註:另外其他屬性也可能會有關聯,如真實性、責任、不可否認性、可靠性。
簡單來說,機密性就是不該看到資訊的人無法看到;完整性就是資料內容沒有缺漏;可用性就是當可以使用的時候就能使用。附註提到的真實性等都可以跟以上三特性有所關聯,比如說真實性跟完整性是相關的,只是ISO在定義的時候把這些特性再做一個詳細的區分,大致上都以機密性、完整性及可用性來說明資訊安全。
二、 基本要素
資訊安全管理的基本要素,可以區分為軟體、硬體、人員、網路及環境設施。
(一) 軟體:軟體是一系列按照特定順序架構的電腦資料和指令的集合,通常區分為作業系統及應用系統,作業系統是指管理電腦硬體與軟體資源的系統軟體,例如WINDOWS、LINUX等為特定廠商開發讓硬體能順利運作的系統;應用系統是為了特定目的所開發的系統,例如ERP、OFFICE等,其與資訊安全相關的議題如下:
- 軟體設計人員設計以滿足功能需求為優先。換言之,資訊安全本來就沒有放入功能需求的話,設計人員並不會主動考量其安全性,只會有基礎的資訊安全功能。
- 資訊安全雖然由來已久,但是在近代才逐漸成為顯學,原先軟體開發人員並不會主動考量安全性的議題,直到這幾年層出不窮的資訊安全問題發生,才開始正視這個議題,通常都是當問題發生後才去尋找解決的方法,比如說軟體的資料傳輸及交換,一開始考量的是資料要如何正確傳輸及交換,一旦發生資料被截取或監聽後,才會考量傳輸及交換間的安全性。
- 資訊安全代表要花更多的成本。軟體開發時如果將資訊安全需求納入考量,設計開發及設計驗證的時間及人員花費勢必增加,開發的經費一定會比原先多很多,愈安全的軟體代表價格昂貴,組織可能難以負擔。
- 作業系統漏洞永遠存在。現在使用的作業系統例如WINDOWS、LINUX、MACOS等在設計上是為了使硬體設備能正常運作,在這個前提下必須考量使用上的方便性。遺憾的是方便通常代表不夠安全,所以漏洞是永遠存在的,只是有沒有被人發現如何運用而已。
應用系統生命週期也會影響資訊安全。應用系統設計是為了特定的需求,通常會配合特定的設備或功能。在設計之初,如果沒有考量生命週期以及所配合的作業系統,其安全性會受到很大的影響,例如一些工控軟體,目前還是架設在舊的作業系統上(WIN XP),舊的作業系統因為安全性的因素已經停止後續更新及支援,但是為了配合特殊的應用系統及設備,也只能繼續使用下去,對於安全性無法獲得一定程度上的保護。
(二) 硬體:硬體是一種實體裝置,包含有形的物件或元件,常由軟體指示以執行任何命令或指令,其與資訊安全相關的議題如下:
- 因為成本的關係,硬體對於安全性的考量也是不足,通常硬體的漏洞是配合軟體所發生的,在軟體及硬體之間還有韌體,韌體是在軟硬體之間負責溝通兩者,三者之一如果有漏洞便可輕易地運用,當然三者也可互相配合以防止資訊安全問題。
- 行動設備近年來在效能、速度及容量有長足的進步,行動設備的優點在於其便利性,這種便利性也帶來資訊安全隱憂,如何在方便及安全下保護資訊,成為近年來各組織重大且優先的議題,所以優點也可能變成缺點,端看組織如何運用這些設備。
- IoT設備,因為網路速度的增加,很多網路上的設備例如攝影機、智慧家電等如雨後春筍般地冒了出來,這種類型的設備經常因為簡單的設計,僅運用韌體及簡易的軟體進行資訊處理及交換,造成相對應的資訊安全議題。
- 工控設備,通常因為控制機械設備的需要會有一些硬體執行控制作業,有些是特殊製造出來適應相關環境及需求的,因為這類型的設備屬於控制類型,資安議題通常會影響其所控制的設備,例如捷運的行車控制等。
(三) 人員:人員是影響資訊安全的重要因素,軟硬體需要人員來設定操作才能發揮其功能,相關資訊也是由人員來處理後續工作,人員的議題如下:
- 駭客:早期駭客以成名或追求理念為主,近期駭客多以利益為主,希望藉由資訊安全的漏洞造成破壞,進而謀取相關利益,所以在防堵上也有所不同。駭客技術日新月異,並有專業化、服務化的趨勢,利用新技術達成快速尋找漏洞並進行破壞,可以說資訊技術與駭客技術是同步發展,例如近期的AI、大數據等也都成為駭客所運用的工具。另外還有一個趨勢,駭客本身已經不見得需具備有相關專業技能,朝向Hacking as a Service的方向發展,只要找到相關具備技術的人提供服務,非專業人員一樣能夠發動駭客攻擊,在早期的風險分析中所謂事件發生機率會參考人員具備的能力這個部分,已經有所變化
- 惡意的員工:人是最難分析的因素,組織內如果有存在惡意的員工,對於資訊安全上會有極大的風險。有一些分析或監控的設備或軟體可以協助組織找到惡意的行為,並針對這些行為進行分析研判員工是否屬於惡意,對於這類型的員工除了要分析外還需要留存相關的證據,對未來可能發生的訴訟進行預先準備,尤其組織內處理高敏感度的資訊時,更需要特別注意。
- 疏忽的員工:疏忽的員工通常不具備惡意,但對於資訊安全也是有相當的影響,可能在無意的情況下對資訊造成機密性、完整性及可用性的破壞。對於此類型的員工應有相對應的教育訓練及協議,以充分協助員工認知並遵守相關資訊安全事宜。
- 訪客(外部人員):組織外部人員不論是訪客或者是協力廠商等,如果會使用到組織的內部資訊及資源,其對資訊安全之影響應該視其所存取或使用的資訊程度加以分類管制,並有一定之規範及約束力,在出現問題時才能有所對應。
整體而言,人員具有高度複雜性,其行為並非以約束就可以制止的,以資訊安全的角度來看,這是最重要的一個環節,不可輕忽。
(四) 網路及通信:網路對於資訊安全來說是相對重要的,肩負著傳輸及交換等作用,其相關的資訊安全議題如下:
- 網路開始的設計是用來交換資料,安全議題並沒有納入考量,因為早期網路速度較慢,所以設計的交換協定只是考量如何快速地交換資料,近期因為網路傳輸資料大量被竊取,相關組織已經開始注意資料傳輸間的安全性。
- 無線網路安全性更是需要被注意的一項議題,在移動式設備的應用上,無線網路是解決資料傳送的最佳方案,例如:醫院應用行動式平板進行醫生巡視病房紀錄病患的情況,就是藉由無線網路進行傳輸,其相關的管控及作法應有一定的安全性考量。
- VPN的安全性,大多數組織或企業採取VPN的方式來確保外部連線或各部門間連線的安全性,但VPN就一定能保證連線的安全嗎?隨著愈來愈多的案例發生,我們可以認知到VPN並不一定能完整地保護網路,如果運用不當反而更容易造成危害。
- 網路區隔,目前在政府機關所頒布的指引中,希望將組織內部的網路做好區分,典型的區分方式為外部網路以防火牆作為阻隔,內部網路區分三個部分,DMZ、伺服主機群、使用者等三個網路並以防火牆、路由器限制各區域間的資訊交換。整體網路規劃絕對是資訊安全重要的一環,可以避免不同等級及重要性的電腦間彼此的影響程度,有些重要且無法更新的電腦甚至被限制以單向傳輸的方式進行連網。
(五) 環境設施:以往的資訊安全僅考量環境設施的實體安全性,但因為環境因素變化會對資訊安全產生重大影響,例如:停電、天然災害等,這類型的情況對於資訊安全的衝擊是重大且期程較長的,必須有完整的規畫才能減輕其所造成的結果。
- 實體區域安全:設置及存放重要設備的場地其相關安全的維護,對於設備內所存放的資料安全性而言是相對應的,例如機房或研發場所,理應對進出人員做出管制,並記錄各項證據。
- BYOD(Bring Your Own Device):對於環境設施,BYOD絕對是影響安全性的事項,現今行動設備有愈來愈方便攜帶且儲存容量愈來愈大的趨勢,小小的一部行動裝置可以照相、錄音、錄影、儲存大量檔案,對於環境安全有關鍵性的影響。
- 基礎關鍵設施:網路、電力、水等相關關鍵設施及來源,對資訊安全的可用性會造成一定的損害,尤其電力的供應,如果不穩定或者有分區供電的情況,更應及早規劃因應。