H1Day30:完賽和CC的小提醒
雖然ISO27001:2022控制措施中技術面可以做的事情很廣,但在CC考試中,讀者只需要在Google上搜尋專有名詞建立起基本概念即可,針對CC比較常出現的技術控制觀念擇要說明如下:
- 非軍事區(DMZ):當組織需要對外提供公司組織網站供外界人仕連線取得資料時,即可以架設獨立的網段,其藉由網路設備的實體隔離和公司的內網隔開來,通常會使用防火牆(一種由規則決定網路封包是否可以通過,保護資訊資產受到不法侵駭的設備,注意亦有軟體防火牆)
- 蜜罐(Honey Pot):熊喜歡吃蜂蜜,而當熊掌陷在蜂蜜罐中,獵人就可以觀察並捕獵熊。蜜罐是組織區隔開來的一塊可由外部連入的測試環境,放置一些虛假而看起來有價值的資訊內容,讓資安人員可以觀察駭客的行動(TTPS),而當發現風險時即隔離蜜罐的網路連線,保護組織其他資訊資產的安全。
- 密碼複雜度(Password):密碼的長度、複雜度(混用A-Z,a-z,0-9,特殊符號@#%^)、代數(前幾次用過的密碼不得再用)、輸入錯誤次數鎖定(當密碼輸入錯誤某一一定次數後帳戶即遭鎖定,未得到系統管理員或經過一定時間例如15分鐘,此帳戶將暫時停止使用)
- 職責分離原則(開發環境、測試環境與生產環境):職責分離有二個目的,一個是防止弊端;另一個目的是防止個人決策錯誤。例如負責linux伺服器管理的員工不能刪除伺服器記錄檔,而應由記錄檔管理員負責記錄檔的保存與使用。這樣杜絕了伺服器管理員偽造或刪除紀錄的可能性。而記錄檔管理員本身無從控制紀錄檔的產生。此即具備防弊和防止個人決策錯誤。
- 最小權限原則:例如會計部門的傳票登錄員,其僅應被賦予新增傳票的權力,而不能有刪除傳票的權力。一個用戶只能取得工作所需的最少(最小)權限,如此可以防止一個使用者的密碼或憑證外洩後,由於該帳號的高權限對組織帶來的傷害。
- 僅知原則:即不該知道的就不讓你知道。比方員工可以查詢自己的薪資單;部門主管可查詢自己部門所屬成員的薪資單。但是員工不能查詢其他員工的薪資,而部門主管也不能查詢其他部門的薪資。如此可以防止組織內外部人仕存取其工作所需以外的資訊。