bank 3.0 -縱觀金融機構 電腦系統資訊安全評估 · 48 財金資訊季刊 / no.84 /...
TRANSCRIPT
48 ■ 財金資訊季刊 / No.84 / 2015.10
資訊分享〡 BANK 3.0-縱觀金融機構電腦系統資訊安全評估享
BANK 3.0-縱觀金融機構電腦系統資訊安全評估
林承忠 / 財金資訊公司資訊安全組高級工程師
一、 前言
民國 102年 12月,美國第二大連鎖零售
商 Target Corporation傳出系統遭入侵,駭客
透過竄改其供應商POS (Point-of-sale) 系統,
竊取包括:姓名、地址、電話、電子郵件及信
用卡卡號等資料,後續因個資外洩所導致之盜
刷事件,更引發多起訴訟。
南韓的國民身分證系統也同樣遭受駭客
攻擊,深陷國民身分證字號與個資外流的危
機。南韓政府考慮重建身分證系統,預估花費
7,000億韓圜,相當於新臺幣 200億元,且需
耗時 10年。更新身分證系統與重編身分證字
號,勢必連帶影響銀行、保險等機構,其配合
修改系統、重建資料的損失將難以估計。
綜觀近年來駭客入侵或資料外洩等情事層
出不窮,而個人敏感性資料更受有心人覬覦,
金融機構在提供金融服務的同時,保管了重要
的客戶資料,因而往往成為駭客攻擊的首要目
標。有鑑於此,中華民國銀行商業同業公會全
國聯合會研擬「金融機構辦理電腦系統資訊安
全評估辦法」(以下簡稱「評估辦法」),提報
103年5月29日第11屆第2次理事會議通過,
並報經金融監督管理委員會於 103年 7月 10
日,以金管銀國字第10300173840號函復「洽
悉」,期金融機構得透過各項資訊安全 (或簡
稱資安 ) 評估作業,及早發現資安威脅與弱
點,據以實施及強化技術面與管理面之相關控
管措施,改善並提升網路與資訊系統之安全防
護能力。
二、 資安評估之規劃
(一 ) 確認檢測範圍
依據「評估辦法」規定,金融機構進行資
安評估前,應就其整體電腦系統,包含自建與
委外維運,建構一套評估計畫,並界定評估範
圍,依資訊資產之重要性及對營運作業之影響
程度進行分類,定期或分階段辦理資訊安全評
估作業,以確保持續營運及保障客戶權益。
電腦系統依其重要性及提供客戶資訊或服
務之方式區分為三類,資訊安全評估作業之週
期也因而不同,詳如表 1所示:
www.fisc.com.tw ■ 49
BANK 3.0-縱觀金融機構電腦系統資訊安全評估享〡資訊分享
以財金公司 103年資安評估作業為例,
先行完成「電腦系統資訊安全評估計畫」,並
依規定提報董事會核議通過後,正式公告生效
並據以執行,其評估範圍及週期依資訊環境特
性分為營運及非營運兩大類 (詳表 2):
表 2 電腦系統資訊安全評估作業週期及範圍表
類別 電腦系統性質 評估週期
(一 ) 營運類 直接涉及金融資訊系統營運作業之系統 每年一次
(二 ) 非營運類 其他非金融資訊系統營運相關之系統 每三年一次
表 1 資訊安全評估作業之週期及範圍
電腦系統類別 定義 評估週期
第一類
直接提供客戶自動化服務或對營運有重大影
響之系統 (如電子銀行、分行櫃台、ATM自動化服務等系統 )
每年至少辦理一次資訊安全評估
作業
第二類經人工介入,直接或間接提供客戶服務之系
統 (如作業中心、客戶服務等系統 )每三年至少辦理一次資訊安全評
估作業
第三類未接觸客戶資訊或服務且對營運無影響之系
統 (如人資、財會、總務等系統 )每五年至少辦理一次資訊安全評
估作業
(二 ) 確認執行方式
「評估辦法」所規定應執行之檢測項目,
雖可全數委由評估單位執行,但現今資安防護
觀念已日趨成熟,且大多數安控機制亦已建置
完成,對於已備有運作機制之檢測項目,平時
可在確認其系統設定或機制規範完備下,逕行
檢視其產出之報告即可,惟檢測時須注意報告
之完整性、妥適性及合規性。
(三 ) 評估單位資格
1. 評估作業可委由外部專業機構進行或由金融
機構內部單位自行辦理。如為外部專業機
構,應與提供、維護資安評估標的之機構無
利害關係;若為金融機構內部單位,則應獨
立於電腦系統開發與維護等相關部門。
2. 評估人員應具備下列各款資格條件:
(1) 具備資訊安全管理知識,持有國際資訊安
全經理人 (Certified Information Security
Manager,CISM) 證書者,或參加國際
資安管理系統主導稽核員 (Information
Security Management System Lead
Auditor,ISO 27001 LA) 考試合格並持有
證書者。
(2) 具備資訊安全技術能力,取得如:國際
資訊安全系統專家 (Certified Information
Systems Security Professional,CISSP)
證書等。
(3) 具備模擬駭客攻擊能力,持有如:滲透專
家 (Council Ethical Hacking,CEH) 、事
件處理專家 (Certified Incident Handler,
50 ■ 財金資訊季刊 / No.84 / 2015.10
資訊分享〡 BANK 3.0-縱觀金融機構電腦系統資訊安全評估享
CIH) 等證書。
(4) 熟悉金融領域之載具應用、系統開發或稽
核經驗。
三、 資安評估之執行
資安評估依「評估辦法」規定計有:(一 )
資訊架構檢視;(二 ) 網路活動檢視;(三 ) 網
路設備、伺服器及終端機等設備檢測;(四 )
網站安全檢測;(五 ) 安全設定檢視;(六 ) 合
規檢視及 (七 ) 社交工程演練等作業項目。各
項主要檢測項目與執行方式分述如后:
(一 ) 資訊架構檢視
1. 檢視設備架構、安全管理規則之妥適性
針對網路架構之配置、資訊設備安全管理
規則等,檢視其妥適性,評估是否存有可能之
風險,如有,則採取必要之因應措施。評估資
訊安全管理中各項流程的安全控制,衡量目前
安控機制設計的有效性,針對資訊安全管理之
妥適性、網路拓樸 (Topology) 配置之合理性、
防火牆對外連結點之安全管控現況、網路設備
與主機之控管方式等等,依網路架構、主機佈
署、防火牆規則及權限控管機制,與相關人員
進行訪談。
2. 檢視單點故障之最大衝擊與風險承擔能
力,評估衝擊是否在風險承受度內,若
否,研議與執行改善之方案。
3. 檢視對於持續營運所採取相關措施之妥適性
檢視相關措施之架構與維運機制是否存在
單點失效之風險,以及針對業務持續運作之妥
適性進行風險分析,並提出資訊架構安全評估
之結果與建議。
(二 ) 網路活動檢視
1. 檢視設備之存取紀錄及帳號權限
檢視網路設備、資安設備及伺服器之存取紀
錄、帳號權限之授予與監控機制是否符合作業規
範;以最小權限原則清查該等設備之帳號權限及
存取紀錄,識別異常紀錄與確認警示機制。
2. 檢視資安設備之監控紀錄
確認資安設備 (如:防火牆、入侵偵測系
統、防毒軟體、資料外洩防護等 ) 相關設定之
正確性,檢視資安事件監控相關紀錄、通報警
示訊息之處理流程,識別異常紀錄與確認警示
機制,確保監控機制之有效性。
3. 檢視網路封包之連線
佈署網路流量封包側錄工具 ( 如:
Riverbed、NIKSUN) 擷取內部網路流量,檢
視網路封包是否存在異常之連線,或有異常
網域名稱解析伺服器 (Domain Name System
Server,DNS Server) 查詢之情形;蒐集網際
網路閘道端防火牆與代理伺服器之連線紀錄,
分析並比對內部主機是否有連接至中繼站 (可
參照政府資安資訊分享與分析中心 G-ISAC清
單 ) 之連線或符合網路惡意行為之特徵。
(三) 網路設備、伺服器及終端機等設備檢測
1. 弱點掃描與修補作業
定期或適時辦理網路設備、伺服器及終端
機的弱點掃描,並針對所發現之弱點進行改
善、修補作業。
評估弱點掃描作業之範圍、作業模式及弱
www.fisc.com.tw ■ 51
BANK 3.0-縱觀金融機構電腦系統資訊安全評估享〡資訊分享
點改善計畫與修補情形,針對掃描結果提出評估
建議,重點在於找出架構中可能存在的弱點與漏
洞,予以改善及修補,降低整體之資安風險。
2. 惡意程式檢測
使用惡意程式檢測工具 (如:XecProbe、
Fireeye HX) 針對終端機及伺服器是否存在惡
意程式進行檢測,包括:具惡意行為之可疑程
式、不明連線之可疑後門程式、植入一個或多
個重要系統程式之可疑函式庫、非必要之不明
系統服務、具隱匿性之不明程式及駭客工具
等。檢測工作包含:辨別惡意程式、檢視惡意
程式與系統紀錄之關聯性、分析惡意程式之網
路連線行為與特徵,可先在測試及 OA環境執
行,待確認不影響業務運作,再佈署至營運環
境進行檢測。如發現異常,須提出改善計畫,
並於改善後執行複查。
3. 密碼及其保護機制檢測
檢測系統帳號之登入密碼,其複雜度是否
符合相關規範原則;檢視外部連接,如:檔案
傳輸 (File Transfer Protocol,FTP)、資料庫
連線等,密碼之儲存保護機制與存取控制,以
及檢視前揭各項相關規則之設定。
(四 ) 網站安全檢測
1. 針對網站進行滲透測試
參 考 OSSTMM (Open-Source Security
Testing Methodology Manual)、OWASP
(Open Web Application Security Project)
Testing Guide、OWASP Web Application
Penetration Checklist規範,滲透測試分為
資料蒐集、資訊分析、目標滲透等三個步
驟;執行方式則模擬駭客攻擊行為,利用
安 全 檢 測 工 具 ( 如:Nessus、Nmap、Ixia
BreakingPoint),針對開放外部連結之網站進
行滲透測試,俾利儘早發現網站暴露於外之弱
點,並進行修復。
2. 針對網站及客戶端軟體進行掃描
針對網站及客戶端軟體進行弱點掃描、程
式原始碼掃描或黑箱測試;使用檢測工具 (如:
WebInspect、Checkmarx) 評估網站作業系
統、網站服務及應用程式,識別、追蹤及修復
軟體原始碼在技術上與邏輯方面的安全漏洞,
確實掌握及改善隱藏的弱點風險與設計缺陷。
3. 檢視網站目錄及網頁之存取權限
檢視對外提供服務之網站目錄及網頁,是否
確實執行權限回收及納管作業,不符者修正之。
4. 檢視授權連線運作情形
檢視系統是否有授權連線遭挾持、大量未
驗證連線耗用資源、資料庫死結 (deadlock)、
CPU 異常耗用、不安全例外處理及不安全資
料庫查詢命令 (包括無限制條件及無限制筆
數 ) 等情況。
檢視網站目錄權限設定規則與存取紀錄,
確認啟用資料庫死結偵測設定,以及檢視相關
網頁置換防護與資料庫資源監控機制是否健全。
(五 ) 安全設定檢視
1. 伺服器安全性原則設定
檢 視 伺 服 器 ( 如: 網 域 服 務 Active
Directory) 有關「密碼設定原則」與「帳
號鎖定原則」之設定,可參考政府組態基
準 (Government Configuration Baseline,
GCB),透過工具分析及人工作業,檢視相關
52 ■ 財金資訊季刊 / No.84 / 2015.10
資訊分享〡 BANK 3.0-縱觀金融機構電腦系統資訊安全評估享
網域安全性原則設定是否符合規範。
2. 防火牆連線設定
使用防火牆連線規則管理工具 (如:
FireMon、tuffin) 檢視防火牆連線規則,確認
未開啟具安全性風險或非必要之通訊埠;以及
檢視防火牆運作情形,包括連線設定是否有安
全性弱點等。
3. 存取限制與帳號管理
檢視系統之存取限制 (如:存取控制清單
Access Control List) 及特權帳號管理是否妥適;
以人工方式,檢視帳號權限清單是否與工作項
目表相符,並測試其相關存取權限。
4. 軟體更新
利用資產管理系統與弱點掃描報告,搭
配 Microsoft Baseline Security Analyzer蒐集
windows、office、SQL server更新資訊,據以
檢視作業系統、防毒軟體、辦公軟體及應用軟
體等之更新設定及更新狀態,確認符合現況。
5. 金鑰之儲存保護機制與存取控制
檢視金鑰之儲存保護機制與存取控制是否
符合政府憑證總管理中心 (Government Root
Certification Authority,GRCA) 及支付卡產業
資料安全標準 (Payment Card Industry Data
Security Standard,PCI DSS) 之規範。
(六 ) 合規檢視
1. 金融機構資訊系統安全基準
檢視整體電腦系統是否符合「金融機構資
訊系統安全基準」有關提升系統可靠性「技 1~
技 25」及安全性侵害之對策「技 26~技 51」
之規範。
(1) 系統營運部分,檢視系統操作之自動化狀
態與檢核功能,以及系統監控及故障偵測
與排除、系統復原機制是否合於相關技術
基準要求。
(2) 軟體開發部分,檢視軟體系統之開發與維
護品質,確認系統開發生命週期各階段的
可靠性、品質及對於資料保護、存取控管
等要求。
(3) 硬體維護部分,檢視硬體設備定期保養狀
況、確認重要設備是否設置備援機制;並
檢視對於資料保護與防止非法使用之管控
機制,以確認符合相關技術基準要求。
(4) 資訊設施部分,檢視資料傳輸過程之安全
性、是否限制外部網路存取且針對外部入
侵是否擬定因應機制;並檢視對於非法程
式之預防、偵測與復原機制等。
2. 金融機構辦理電子銀行業務安全控管作業
基準
檢視電子銀行相關系統是否符合「金融機
構辦理電子銀行業務安全控管作業基準」之規
範;從交易面、驗證系統登入安全設計、管理
面、環境與端末設備面及支付工具面,確認相
關系統符合安全設計要求。
(七 ) 社交工程演練
針對相關作業人員,於內部安全監控範圍
內,寄發演練郵件,測試、宣導及強化資通安
全教育。主要評估項目為:
1. 郵件內容與附件檔案
2. 郵件派送時間及方式
3. 郵件開啟率及點閱率
www.fisc.com.tw ■ 53
BANK 3.0-縱觀金融機構電腦系統資訊安全評估享〡資訊分享
4. 後續改善機制
演練目標主要在於讓同仁瞭解使用電子郵
件之風險,並經由教育訓練提高同仁防範社交
工程攻擊之危機意識,持續演練以降低社交工
程攻擊所造成之風險,進而達到保護客戶資料
及重要營運資訊與服務之目的。
四、 結語
網路環境的普及與開放式網路系統的便
捷,致以網路為基礎的金融應用越來越多,然
惡意攻擊手法日新月異,對於網路服務提供者
與使用者而言,隨時防範與應戰勢在必行,金
融機構在資訊安全防護上也面臨前所未有的挑
戰。爰此,「評估辦法」之制訂與資安評估作
業,益顯其重要性與務實性,透過各項檢測項
目之執行,分析系統與安全規範要求之差距,
揭露系統在既有網路安全架構下所潛藏之風
險,嗣據以改善,使風險最小化,維護系統安
全地持續運營,保障使用者權益。
藉由資安評估作業之進行,亦可檢核各單
位的資訊安全管理制度,也惟有全體金融機構
持續努力,才能共同建構更完善的資訊安全防
護環境,提升服務品質與交易安全,提高使用
者的信賴與忠誠,再創互利共贏之金融契機。
※參考文獻 /資料來源:1. 金融機構辦理電腦系統資訊安全評估辦法。2. 勤業眾信-金融業資安健檢服務說明。