前言

baseline 到底要翻譯成基線還是基準，其實思考了很久，從國家教育研究院的搜尋內容，理論上是可以翻譯成基線沒有問題，不過以國家資通安全研究院有推出的政府組態基準(GCB)，所以本篇先以「基準」為主。

基準

什麼是基準 baseline

基準在很多領域都有各自的定義。

基準在「資訊安全」中代表的是一套已定義、已認證的安全措施。

這個措施為企業提供一個可參考的模板，該模板確定了該企業認為是保護其資訊資產所必需的最低安全標準。

• 基準點：基準也可以被視為一個基準點，透過這個基準，企業可以定期進行自我檢查，以確保其安全措施仍然適用且有效。
• 動態性：隨著技術、企業的業務需求或面對威脅變化，基準需要被更新。
  • 基準不是一成不變的，會隨著環境的變化而調整。
• 標準化：基準有助於確保企業內的所有部門或團隊都遵循同樣的最低安全標準，從而降低整體的風險。
• 具體化：基準提供具體的操作指南。
  • 不僅是一個抽象原則與策略，而是具有明確操作指引的步驟和要求。

基準的重要性

1. 企業為什麼需要基準
   • 統一安全標準：基準提供一致的安全標準，確保企業內的所有系統和程式都達到某一最低標準，從而避免了因為不一致性而導致的弱點。
   • 提高效率：當所有部門和團隊都遵循相同的安全基準，就可以減少重複工作，且新的項目或系統在部署時可以更快地確定必須遵循的安全措施。
   • 業務連續性：基準可以確保在面對意外或安全事故時，企業的業務營運不會中斷或受到重大損害。
2. 沒有基準會造成什麼問題
   • 風險增加：沒有清晰的最低安全標準可能會使某些系統容易受到攻擊，因為它們可能遺漏了重要的安全設定或更新。
   • 不一致性：各個部門或團隊可能會採用不同的安全策略，這可能會導致資訊不一致和更多的疏漏。
   • 反應時間增加：在資安事件發生時，沒有基準作為參考可能會使回應時間加長，因為團隊需要花費更多時間來確定如何應對。
3. 合規與供應鏈
   • 合規性：許多產業和國家都有特定的資安標準和法規，基準可以幫助企業確保它們滿足這些要求，避免罰款和其他潛在的法律後果。
   • 增強供應鏈的信任：對外，具有明確的資安基準可以增強客戶和合作夥伴對企業的信任。對內，它可以確保員工知道如何正確地處理和保護敏感資訊。

設定基準的目的

1. 保護企業的資料和資源：
   • 這是基準的核心目的。
   • 企業的資料（例如客戶資料、專利、商業機密等）和資源（例如伺服器、網路設備等）是企業執行的基石。
   • 基準確保這些資料和資源受到適當的保護，避免未經授權的存取、損害或損失。
2. 提供一個清晰的資訊安全策略的出發點：
   • 基準為企業提供了一個明確的安全起點，使企業可以建立、實施和維護資訊安全策略。
   • 透過基準，企業可以確定其現有的安全狀況、所需的改進領域以及如何達到所需的安全水準。
3. 建立和維護企業的安全文化：
   • 安全不僅是技術的問題，也是文化的問題。
   • 設定基準有助於建立一個安全意識強烈的工作環境，並鼓勵員工遵循較安全的實作方式和標準。
4. 輔助在資訊安全事件發生時進行檢查和回應：
   • 基準為企業提供了一個框架，可用於評估和回應資訊安全事件。
   • 當發生安全事件時（例如資料洩露或網路入侵），基準可以幫助企業快速確定受影響的系統、資料和資源，並提供關於如何最有效地回應事件的指引。

挑戰

設計基準的挑戰

1. 需求分析：確定企業真正需要的安全標準可能是一項艱鉅的任務，特別是在大型、跨部門或跨地區的企業中。
2. 技術變化快：技術快速變化，設計的基準可能很快就過時。所以需要定期審查和更新基準，以確保其仍然符合企業的需要。
3. 如何平衡安全 vs 便利：過於嚴格的基準可能會妨礙業務運作，而過於寬鬆則可能會帶來風險。
4. 資源限制：可能缺乏專家知識、時間或預算來設計和測試適當的基準。

基準導入的挑戰

1. 實施困難：一旦設計了基準，將其套用到整個企業並確保每個人都遵循是一項挑戰。
2. 持續維護：技術、業務需求和外部威脅環境都在不斷變化，基準經常性的更新和修訂也是挑戰。
3. 培訓和意識：員工可能需要培訓以理解和遵循新的基準，並可能遇到抵抗，特別是當新基準改變了員工的日常工作流程時。
4. 監控和評估：僅設定基準還不夠，企業還需要投入資源來監控其遵循情況，並定期評估其效果。
5. 非標準化的情境：可能會有特殊的情境或業務需求，它們不完全適應既定的基準，需要彈性處理。
6. 技術與政策之間的落差：有時，技術的快速發展可能使一些基準政策看起來過時或不適用。

如何設定基準？

以下列出了設定基準的主要步驟及其詳細說明：

1. 分析企業的業務需求和工作環境：

   • 了解企業的核心業務流程、資料流程和技術環境是基準設計的基礎。
     • 需要了解哪些資料和資源是最重要
     • 資料如何互相傳送和執行
   • 進一步了解外部法規和行業標準，這可能會影響基準的設定。

2. 評估現有的安全政策、流程和實踐：

   • 在設定新的基準之前，首先要評估企業目前的安全狀態。這包括現有的安全政策、流程、工具和技術。
   • 進行風險評估以確定企業面臨的主要威脅和弱點。

3. 設定明確的安全標準和規範：

   • 基於上述的分析和評估，開始設定具體的安全要求和措施。這些要求應該明確、具體並易於執行。
   • 考慮各種安全措施，包括技術、流程和行為措施。

4. 定期審查和更新基準，以確保其持續相關和有效：

   • 技術、業務需求和外部環境都在不斷變化，所以基準不能是一成不變的。企業應該定期審查基準，以確保它仍然與企業的需求和環境保持一致。
   • 可能需要定期的安全評估和測試來驗證基準的有效性。

舉個例子

飛飛醫院想要設定一個資安基準，保護其患者資料和醫療系統。

1. 分析企業的業務需求和工作環境：

   • 醫院分析了其主要的業務流程，例如患者入院、診斷、治療和出院流程。
   • 考慮到醫療法規（ex. HIPAA 在美國）要求的資訊保護標準。

2. 評估現有的安全政策、流程和實踐：

   • 飛飛醫院進行了一次全面的安全檢查，確定了目前使用的設備
     • 醫療設備
     • 電子健康記錄系統
     • 其他 IT 設備
   • 進行風險評估
     • 識別潛在威脅
       • 非授權存取
       • 已知軟體漏洞
       • 網路攻擊

3. 設定明確的安全標準和規範：

   • 基於上述的評估，醫院制定了一套安全政策。
   • 例如
     • 所有儲存患者資料的系統必須進行加密
     • 所有醫護人員需要定期接受資訊安全培訓
     • 所有醫療設備必須經過安全測試才能接入網路
   • 制定了一套緊急應對計劃，以確保在發生資訊安全事件時能夠迅速且有效地應對。

4. 定期審查和更新基準：

   • 飛飛醫院每季度進行一次安全審查
   • 每年進行一次完整的風險評估
   • 隨著新技術的引入和業務需求的變化，他們不斷調整和更新基準，以確保其持續的相關性和有效性。

基準類型

基準分為多種類型，以因應不同的需求和環境。

以下是基準的三大類型：

1. 技術基準 (Technical Baseline)：
   • 目的：確保技術設定符合最低的安全標準，降低系統、硬體、軟體和網路的潛在風險。
   • 內容：
     • 硬體：例如，所有的伺服器都應該設定在有24小時監控的機房中。
     • 軟體：如，所有系統必須安裝最新的安全補丁。
     • 網路：如，所有內部網路必須隔離於公共網路，使用防火牆進行保護。
2. 管理基準 (Management Baseline)：
   • 目的：提供企業架構和流程中的資安指南，確保資訊安全在策略和流程層面得到適當的管理。
   • 內容：
     • 政策：例如，公司的資料保護政策、網路使用政策等。
     • 流程：如，安全事件回應流程、風險評估流程等。
     • 責任：確定哪些人或部門負責特定的安全任務和決策。
3. 操作基準 (Operational Baseline)：
   • 目的：確保企業的日常操作符合資訊安全的最佳實踐。
   • 內容：
     • 使用者存取：例如，確保每位員工只能存取其工作所需的資料。
     • 維護：如，定期的系統備份、滲透測試等。
     • 支援：提供員工在遇到資訊安全問題時所需的技術支援和指導。

透過這三種基準，企業能夠從多個層面確保其資訊資產的安全。每種基準都有其獨特的重點，但它們共同為企業提供了一個全面的資訊安全框架。

基準範例

伺服器安全基準

基準編號: SB-001
版本: 2.3.1
適用於: Windows Server 2022 Standard Edition

總體要求

• 規定內容：所有伺服器都應遵循此基準確保系統的安全性。
• 確認方法：確認伺服器是否遵循基準要求。

具體要求

• 規定內容：必須定期更新作業系統和所有已安裝的軟體，至少每月一次。
• 確認方法：查看伺服器的更新歷史記錄。
• 加強方法：設定自動更新策略，並透過中央管理系統確保所有伺服器都獲得最新的安全 Patch 。

詳細要求

3.1 使用者設定

• 規定內容：確保不使用預設或共用管理帳號。
• 確認方法：查看伺服器的帳號列表。
• 加強方法：刪除或重新命名預設管理帳號；使用個別管理帳號，並為每個帳號設定強密碼。

3.2 防火牆設定

• 規定內容：只允許必要的端口開放，例如80 (HTTP) 和 443 (HTTPS)。
• 確認方法：使用內部掃描工具檢查開放端口。
• 加強方法：使用伺服器的防火牆設定來關閉所有非必要的端口。

3.3 安全日誌

• 規定內容：確保伺服器的安全日誌已啟動且定期備份。
• 確認方法：查看伺服器的日誌設定和備份紀錄。
• 加強方法：設定日誌政策，並確保日誌備份存於安全的位置，例如中央日誌伺服器或雲端儲存。

企業 IT 資安 baseline

基準編號: SB-002
版本: 1.0.0
適用於: 全部IT資源

帳號管理

• 規定內容：所有系統帳號必須是唯一的，不能共用。每個員工必須有其個人的帳號和密碼。
• 確認方法：透過中央身份管理系統確認。
• 加強方法：刪除共用帳號，為每位員工建立獨立的帳號。

權限管理

• 規定內容：基於最小權限原則，確保員工只能存取其工作所需的資訊。
• 確認方法：定期審查權限分配和使用紀錄。
• 加強方法：為每個部門、群組或角色建立權限模板，並對超出模板的授權進行審查。

日誌管理

• 規定內容：所有關鍵系統都必須記錄並保存至少 90 天的操作和安全日誌。
• 確認方法：透過日誌管理工具檢查儲存和保留策略。
• 加強方法：設定日誌保留策略，並確保日誌在中央日誌伺服器或安全的雲儲存中定期備份。

存取控制

• 規定內容：確保敏感資訊被適當地加密和保護，並只允許授權使用者存取。
• 確認方法：定期掃描和測試資訊存取策略。
• 加強方法：使用加密工具和協定，如SSL/TLS，並設定多因素身份驗證。

安全管理

• 規定內容：定期進行安全培訓和意識提高活動，並確保所有員工都知道如何避免和回應安全事件。
• 確認方法：查看培訓和活動的參與紀錄。
• 加強方法：制定年度的資訊安全培訓計劃，包括線上課程、研討會和模擬測試。

其他資源 政府組態基準(GCB)

政府組態基準(Government Configuration Baseline，簡稱GCB)目的在於規範資通訊設備(如個人電腦、伺服器主機及網通設備等) 的一致性安全設定(如密碼長度、更新期限等)，以降低成為駭客入侵管道，進而引發資安事件之風險。本專區提供GCB說明文件、相關資源及常見問答，協助各機關進行導入規劃與實作。~國家資通安全研究院

若企業對於設定基準沒有想法，可以參考政府的政府組態基準(GCB)，底下為目前有的版本，

• 作業系統說明文件
  • Windows 8.1、Windows 10、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Red Hat Enterprise Linux 8
• 瀏覽器說明文件
  • Internet Explorer 11、Google Chrome、Mozilla Firefox、Microsoft Edge
• 網通設備說明文件
  • 無線網路、Juniper Firewall、Fortinet Fortigate、Cisco Firewall
• 應用程式說明文件
  -Microsoft IIS 8.5、Word 2016、PowerPoint 2016、Excel 2016、Outlook 2016、Apache HTTP Server 2.4、Microsoft SQL Server 2016、Word 2019、PowerPoint 2019、Excel 2019
• Windows設定對照表
• 帳戶原則與精細密碼原則設定說明
• TWGCB-ID說明
• TWGCB-ID對照表