紫隊這條路 Day9 藍隊的三大利器之三：資安規範 & 盤點產業面臨資安風險

15th鐵人賽

飛飛

2023-09-24 20:52:51

211 瀏覽

分享至

紫隊 Day9

前言

在上一篇文章當中，我們分析了資安設備的重要性與優點和缺點，也提供簡易的方式評估和選擇對企業有用的資安設備的方法。文章後面也介紹介紹了台灣的資安市場地圖以及不同資安產品和服務的功能和用途。希望這些資訊可協助企業更好的選擇資安設備與保護企業的資訊資產，也能適應這個每天都有新的攻擊手法的資安威脅。

而本篇文章希望介紹藍隊的第三大利器─資安規範，以及針對不同產業可能會面臨的資安風險、攻擊手法，以及建議的防禦設備或策略。

資安規範的重要性

當我們思考組織的資安，我們往往會首先想到防火牆、防毒軟體或加密技術等技術性的解決方案。

然而，資安實際上的核心不單只在於這些技術工具，更重要的是一套系統性、組織性的策略和流程。

資安規範是什麼

資安規範提供了組織在面對資安挑戰時的策略和行動框架。這不僅僅是一套技術規範，更是一個全面性的管理策略，涵蓋了政策、流程、技術、人員和實體環境等多方面。

國際資安規範

ISO 27001
- 定義：ISO 27001 是國際標準化組織發布的資訊安全管理系統 (ISMS) 標準。它描述了建立、實施、營運、監視、審核、維護和改進 ISMS 的要求。
- 目的：確保組織可以設計並維護一套有效的安全措施，保護資料的機密性、完整性和可用性。
- 應用場景：任何希望提高資安的組織，不論大小，都可參照此標準進行實施和認證。
NIST SP 800-53
- 定義：美國國家標準技術研究所 (NIST) 提供的資訊系統安全和隱私控制的指南。
- 目的：幫助美國聯邦政府組織以及其他組織確保其資訊系統的安全。
- 應用場景：主要用於美國聯邦政府的組織，但其深入的控制建議也可被其他組織參考。
CIS Critical Security Controls
- 定義：由 Center for Internet Security 發布的20項資安控制建議。
- 目的：提供組織一套實用、具體的步驟和建議，以防止、偵測和回應各種資安威脅。
- 應用場景：適用於所有希望提升其資安態勢的組織，從大型企業到小型企業都可參照。

除了國際相關的規範之外，以台灣來說

個人資料保護法
台灣資安管理法
- 將政府分成 ABCDE 等級
- 從政策面、管理面及技術面等不同面向，提供政府機關（構）參考，以加強資通安全防護，確保資通系統與資料之機密性、完整性及可用性。

[行動應用資安聯盟]
- APP
  - 行動應用 APP 基本資安規範
  - 行動應用 APP 基本資安檢測基準
  - 行動應用 App 基本資安自主檢測推動制度
- IoT
  - 物聯網資安認驗證制度規章
  - 行動應用資安聯盟「物聯網資安標章」–系列產品暨檢測項目評估表
  - 規範與標準以下列表格呈現

編號	規範/標準
IoT-1001-1 v2.0	影像監控系統資安標準-第一部_一般要求
IoT-1001-2 v1.0	影像監控系統資安標準-第二部_網路攝影機
IoT-1001-3 v1.0	影像監控系統資安標準-第三部_影像錄影機
IoT-1001-4 v1.0	影像監控系統資安標準-第四部_網路儲存裝置
IoT-1002-1 v1.0	智慧巴士資通訊系統資安標準-第一部_一般要求
IoT-1002-2 v1.0	智慧巴士資通訊系統資安標準-第二部_車載機
IoT-1002-3 v1.0	智慧巴士資通訊系統資安標準-第三部_智慧站牌
IoT-1003-1 v1.0	智慧路燈系統資安標準-第一部_一般要求
IoT-1003-2 v1.0	智慧路燈系統資安標準-第二部_智慧照明
IoT-1004-1 v1.0	空氣品質微型感測裝置資安標準
IoT-1005-1 v1.0	消費性網路攝影機資安標準
IoT-1006-1 v1.0	門禁系統資安標準-第一部_一般要求
IoT-1006-2 v1.0	門禁系統資安標準-第二部_門禁管理平台
IoT-1006-3 v1.0	門禁系統資安標準-第三部_門禁閘道控制器
IoT-1006-4 v1.0	門禁系統資安標準-第四部_門禁讀取器
IoT-1006-5 v1.0	門禁系統資安標準-第五部_智慧門鎖
IoT-1007-1 v1.0	感測裝置資安標準-第一部_一般要求
IoT-1007-2 v1.0	感測裝置資安標準-第二部_智慧聯網地震儀
IoT-1007-3 v1.0	感測裝置資安標準-第三部_水位計
IoT-2001-1 v2.0	影像監控系統資安測試規範-第一部_一般要求
IoT-2001-2 v2.0	影像監控系統資安測試規範-第二部_網路攝影機
IoT-2001-3 v1.0	影像監控系統資安測試規範-第三部_影像錄影機
IoT-2001-4 v1.0	影像監控系統資安測試規範-第四部_網路儲存裝置
IoT-2002-1 v1.0	智慧巴士資通訊系統資安測試規範-第一部_一般要求
IoT-2002-2 v1.0	智慧巴士資通訊系統資安測試規範-第二部_車載機
IoT-2002-3 v1.0	智慧巴士資通訊系統資安測試規範-第三部_智慧站牌
IoT-2003-1 v1.0	智慧路燈系統資安測試規範-第一部_一般要求
IoT-2003-2 v1.0	智慧路燈系統資安測試規範-第二部_智慧照明
IoT-2004-1 v1.0	空氣品質微型感測裝置測試規範
IoT-2005-1 v1.0	消費性網路攝影機資安測試規範
IoT-2006-1 v1.0	門禁系統資安測試規範-第一部_一般要求
IoT-2006-2 v1.0	門禁系統資安測試規範-第二部_門禁管理平台
IoT-2006-3 v1.0	門禁系統資安測試規範-第三部_門禁閘道控制器
IoT-2006-4 v1.0	門禁系統資安測試規範-第四部_門禁讀取器
IoT-2006-5 v1.0	門禁系統資安測試規範-第五部_智慧門鎖
IoT-2006-6 v1.0	門禁系統資安測試規範-第六部_人臉辨識門禁裝置
IoT-1006-6 v1.0	門禁系統資安標準-第六部_人臉辨識門禁裝置
IoT-2007-1 v1.0	感測裝置資安測試規範_第一部_一般要求
IoT-2007-2 v1.0	感測裝置資安測試規範_第二部_智慧聯網地震儀
IoT-2007-3 v1.0	感測裝置資安測試規範_第三部_水位計

不同產業的資安風險

金融業：
- 風險/攻擊手法：網路釣魚、機密資料外洩、進階持續性威脅（APT）攻擊、交易欺詐
- 建議設備/策略：多因素認證、網路分隔、入侵檢測系統/入侵防禦系統、防火牆、端點保護、資料加密
- 規範
  - 金管會金融資安行動方案 https://www.fsc.gov.tw/ch/home.jsp?id=975&parentpath=0
醫療業：
- 風險/攻擊手法：患者資料外洩、勒索軟體攻擊、攻擊醫療設備
- 建議設備/策略：資料加密、網路存取控制、裝置安全更新、端點保護、網路隔離
- 規範
  - 資安管理法
  - 衛服部資安法專區
    https://dep.mohw.gov.tw/DOIM/lp-4642-114.html
零售業：
- 風險/攻擊手法：信用卡詐欺、銷售時點情報系統（POS）惡意軟件、網站攻擊
- 建議設備/策略：端點保護、網路存取控制、Web應用程式防火牆、資料加密
- 規範
  - 《綜合商品零售業個人資料檔案安全維護管理辦法》草案
能源產業：
- 風險/攻擊手法：工業控制系統攻擊、供應鏈攻擊、服務中斷
- 建議設備/策略：網路分隔、入侵檢測系統/入侵防禦系統、VPN、多因素認證
- 規範
  - 上市上櫃公司資通安全管控指引 https://dsp.twse.com.tw/informationSecurity/list
教育業：
- 風險/攻擊手法：學生和教職員資料外洩、學術研究外洩、網路釣魚、勒索軟體攻擊
- 建議設備/策略：端點保護、網路存取控制、資料加密、安全資訊和事件管理系統
- 規範
  - 教育體系資安防護
  - 教育體系資通安全暨個人資料管理規範
    - https://www.taccst.moe.edu.tw/
製造業：
- 風險/攻擊手法：工業控制系統攻擊、供應鏈攻擊、知識產權外洩
- 建議設備/策略：網路分隔、入侵檢測系統/入侵防禦系統、資料加密、多因素認證
- 規範
  - SEMI 半導體資安標準 https://www.acw.org.tw/Certification/Default.aspx?subID=48
  - 產業資安指南 https://www.acw.org.tw/Match/Default.aspx?subID=30
  - 工控物聯網共通性資安指南
  - 工控設備業工控物聯網資安實務指南
  - 光電產業工控物聯網資安實務指南
  - 電子組裝代工業工控物聯網資安實務指南
  - 網通產業工控物聯網資安實務指南
  - 5G專網多接取邊緣運算資安研究報告
  - 5G基地台資安測試規範v1
  - 5G Open RAN 資安研究報告
  - 5G基地臺資安測試規範v2
政府機關：
- 風險/攻擊手法：政治動機的網路攻擊、進階持續性威脅（APT）攻擊、公共資訊基礎設施攻擊、敏感資料外洩、社交工程攻擊、勒索軟體攻擊
- 建議設備/策略：網路分隔、入侵檢測系統/入侵防禦系統、端點保護、資料加密、多因素認證、網路存取控制、安全資訊和事件管理系統、定期的資安教育訓練、緊急回應計劃、備份策略
- 適用：資安管理法