iT邦幫忙

2022 iThome 鐵人賽

DAY 17
0
Security

合規合規,合什麼規?系列 第 17

[Day 17] 系統防護怎麼做?(之 5 - 系統與服務獲得)

  • 分享至 

  • xImage
  •  

這個構面比較偏向在事前預防,即在系統開發或是取得時,就先驗證系統的安全性,以防系統存在有明顯能被攻擊的漏洞,導致被攻擊時才發現。

系統與服務獲得

系統發展生命週期需求階段

普級、中級、高級

針對系統安全需求(含機密性、可用性、完整性)進行確認。

內容
自行或委外開發的系統,應在系統發展初期或改版時,就將安全需求納入考量,並確認系統的分分級,以便讓系統符合防護基準的控制措施。

實務作法
可使用檢核表進行確認,除自行訂定外,也可以參考「資通系統委外開發 RFP 資安需求範本(V3.0)-附件 1 資通系統資安需求項目查檢表」進行檢核。
https://ithelp.ithome.com.tw/upload/images/20221002/20130512DIR1GDcZw3.png
(資通系統委外開發 RFP 資安需求範本(V3.0)-附件 1 資通系統資安需求項目查檢表)

系統發展生命週期設計階段

中級、高級

根據系統功能與要求,識別可能影響系統之威脅,進行風險分析及評估。

內容
應識別系統面臨的資安威脅,包含包含偽冒、竄改、否認行為、機敏資訊外洩、拒絕存取服務及權限提升等, 足以危害系統機密性、完整性及可用性之系統存取行為。

實務作法
可參考誤用模型(Misuse case),以及威脅建模(Threat Modeling)、STRIDE 威脅類別及
DREAD 風險計算方法進行評估。

將風險評估結果回饋需求階段之檢核項目,並提出安全需求修正。

內容
完成系統風險評估後,應根據風險評估發現的風險值,補強尚未實做的控制措施,並修正檢核表。

系統發展生命週期開發階段

普級、中級

應針對安全需求實作必要控制措施。

內容
系統應針對需求規格文件的內容,實做相關的功能與機制,並明確說明。

實務作法
於專案管理上,可使用資通系統安全需求追蹤矩陣(Secure Requirement Traceability Matrix,SRTM),將安全需求、功能實作、測試驗證進行串連。
https://ithelp.ithome.com.tw/upload/images/20221002/20130512sQIz3KVry3.png
(資通系統安全需求追蹤矩陣範例,來源:資通系統防護驗證基準)

應注意避免軟體常見漏洞及實作必要控制措施。

內容
需避免常見的漏洞,例如 OWASP Top 10、CWE Top 25 所列的常見弱點,並且實做相應的控制措施。

實務作法
可對系統進行 Code Review、弱點掃描、源碼掃描、滲透測試等,來驗證是否存在常見漏洞。

發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代碼,不包含詳細之錯誤訊息。

內容
當系統發生錯誤時,使用者頁面不應顯示完整的系統錯誤訊息,應只顯示錯誤訊息與代碼,否則容易透露給攻擊者有用的訊息。

實務作法
自訂錯誤頁面,並於發生錯誤時自動導向。

高級

執行「源碼掃描」安全檢測。

內容
利用靜態的分析掃描工具,識別 Source Code 內的弱點,且可提供快速、高涵蓋率的檢測結果。

實務作法
除了要求廠商出示檢測報告外,可以常見之檢測工具產出的報告為優先考量,可參考 OWASP 提供的清單

系統應具備發生嚴重錯誤時之通知機制。

內容
為避免系統發生嚴重錯誤時,錯失處理時間,因此當偵測到系統發生嚴重錯誤(例如功能停擺),應啟動警示機制通知系統管理員。

實務作法
可利用 Email、簡訊通知。

系統發展生命週期測試階段

普級、中級

執行「弱點掃描」安全檢測。

內容
檢測執行週期應符合資安法與機關資安政策規範,並確實追蹤與完成修補。

高級

執行「滲透測試」安全檢測。

內容
滲透測試為委由資安專家模擬攻擊者行為,針對系統進行白箱、灰箱、黑箱的測試活動,可驗證系統是否達到特定限制條件下的防護能力。
測試前,委託與受託方應協調測試場景、範圍與規則,並依風險評鑑與等級需求進行。
檢測執行週期應符合資安法與機關資安政策規範,並確實追蹤與完成修補。

系統發展生命週期部署與維運階段

普級、中級

於部署環境中應針對相關資通安全威脅,進行更新與修補,並關閉不必要服務及埠口。

內容
應對系統的任何軟體執行更新與弱點修補,並可結合資訊資產管理、弱點管理,掌握整體風險。
非系統需要的服務與 Port,應盡量關閉或移除。

實務作法
若需快速得知 Server 對外開放的服務與 Port,可使用 Nmap 進行掃描,但若機關內有部屬資安設備,可能會導致遭到封鎖或是產生資安告警。

資通系統不使用預設密碼。

內容
這個應該不用多說,使用任何軟體都需要將系統預設帳號密碼停用。

高級

於系統發展生命週期之維運階段, 應執行版本控制與變更管理。

內容
系統的任何變更前應通過申請,且具要版本控制,以便能隨時取回特定版本。

實務作法
可利用 Git、CVS、Subversion 進行版本控制。

系統發展生命週期委外階段

普級、中級、高級

資通系統開發如委外辦理,應將系統發展生命週期各階段依等級將安全需求(含機密性、可用性、完整性)納入委外契約。

內容
應將試用的法規命令、行政規則、指引、規範、機關營運需求納入合約中,可包含安全功能要求、保護與安全相關文件要求、檢測活動要求、驗收標準。

實務作法
可參考「資通系統委外開發 RFP 資安需求範本(V3.0)

獲得程序

中級、高級

開發、測試及正式作業環境應為區隔。

內容
應使用獨立測試環境對系統變更進行分析與測試,獨立環境包含邏輯和實體區隔,確保測試活動不會影響到正式環境。

實務作法
可利用網段區隔、實體房間區隔等。

系統文件

普級、中級、高級

應儲存與管理系統發展生命週期之相關文件。

內容
系統發展生命週期相關文件應以書面或電子方式保存,並納入文件管理程序。


上一篇
[Day 16] 系統防護怎麼做?(之 4 - 識別與鑑別)
下一篇
[Day 18] 系統防護怎麼做?(之 6 - 系統與通訊保護)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言