資訊安全管理系統的介紹與建置概念blog.jges.tc.edu.tw/lifetype12/gallery/2/資訊安全管理系統的介紹與建置... ·...
TRANSCRIPT
1
1
資訊安全管理系統的介紹與建置概念
黃小玲
國家資通安全會報
技術服務中心
2
課程大綱
資訊安全管理的考量
資訊安全管理系統介紹
常見之資安威脅與風險
2
3
資訊安全事件與風險可能資訊安全事件與風險可能
4
小學變成駭客基地
n 澎湖小學網站變駭客基地
n 澎湖縣國小網站頻遭電腦駭客入侵,並利用學校網站大量丟封包癱瘓國外網站,引發國外網站不滿,一狀告到教育部,教育部因此無預警關閉部分學校網站,造成家長及師生使用不便;有些學校自行刪除入侵亂碼,還遭駭客放更多病毒程式報復,令校方不堪其擾。
Ref:2006年1月-聯合報
3
5
駭客猛攻中小學,學校網頁出現中東戰士圖
n 例如:桃園縣學術網路每天有上百萬次遭駭客嘗試攻擊的紀錄,至今有20所以上國中小被駭客入侵成功,再被當作攻擊國外企業、網路銀行網站的平台。
Ref:2006年4月-聯合報/蘋果日報
6
首頁惡意連結
n 僑光技術學院網站被植入惡意連結
n 僑光技術學院網站被植入惡意連結,此惡意程式為TROJ_DELF.HYF,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒
Ref:2007年10月-大炮開講
4
7
詐騙提供假獎學金收集個資
n 詐騙集團提供假的獎學金,並登載到教育部圓夢助學網,教育部高教司科長朱俊彰指出,教育部的圓夢助學網登錄有兩個管道,通常都會要公司出具相關證明,但這則訊息是透過大學管道轉載到圓夢助學網,經查證是不實資訊,已通知各大學撤除。
Ref:2007年10月-中時電子報
8
清雲科大選課駭客入侵
n 桃園縣清雲科技大學選課程式遭駭客入侵,學生已選好的課竟被刷掉,經校方追查,發現有人把選課當生意,只要付200元就幫忙上網竄改資料,「保證」選一門課成功;已知交易都在學校附近一家網咖進行,教務處已找高手準備擒駭客。
Ref:2006年1月-聯合報
5
9
連續入侵高中網站 駭客:純屬好玩
n 新竹市香山高中學校網站2006年12月遭網路駭客入侵,校長相片被換成薄紗美女清涼照、熊貓,學生選課資料被刪除,新竹市警局刑警大隊昨晚依網路位址查到駭客,發現是曾入侵光復中學網站發布寒假延長假公告被警查獲的光復中學一年級吳姓學生,他說,破壞香山高中網頁,純屬好玩。
Ref:2007年4月-聯合報
10
從對岸來的威脅
中國木馬破我軍中樞??? (2005/11/18)
6
11
從使用者來的威脅
n 規避旁人或不交由他人保管,如重要資料或密碼的輸入。
n 不隨手關機。
n 隨時討論業務機密
n 使用者代碼隨便借給別人。
n 印出的報表隨手亂放。
n 檔案資料未事先分類。
n 硬碟存放私人資料。
n 即時通訊/隨身硬碟的隱憂。
密碼輸入? 明碼張貼!!
12
年輕化的駭客
n 19歲駭客侵大考中心盜百萬筆資料警方偵破一起電腦駭客案,19歲的建中資優生蘇柏榕,不僅連續多年入侵大考中心、國中基測資料庫,盜拷上百萬筆考生資料,再以每次五到十五萬元的代價,賣給補習班,連總統府、台北悠遊卡系統等,都遭到他的入侵。
還好大考中心在清查後表示,考生的原始資料成績,沒有被篡改的跡象。(2005/4/26)
7
13
駭客的長相
14
使用現成工具就可以當駭客
駭客工具列表
n 1.nmap n 2.Satan n 3.John n 4.NetXray n 5.Nessus n 6.Back Orfficen 7.Shadow Security
Scanern 8.tfn2k n 9.twwwscan n 10.流光
8
15
Issues
n Security is always a concern, but NO priority?
n To Protect everything inside or to Protect interests outside?
16
資訊安全標準介紹
9
17
資訊安全目標
n 機密性 (Confidentiality)n 確保只有被授權的人可以存取資訊
n 完整性 (Integrity)n 確保資訊及處理方法正確及資訊完整
n 可用性 (Availability)n 確保資訊在被授權的人有需要時可以存取
資訊安全是讓組織在有限預算內,確保組織持續營運不受威脅,並衡量並取得下列三項安全因素的平衡點:
機密性
完整性 可用性
18
n 資訊安全管理循環的開始是由改變或新的刺激所引起的
n開始風險評估
n增加資深管理階層的認知
n違反安全
n法律或契約的要求
n資訊技術或經營管理趨勢的主要變動
資訊安全管理啟動
10
19
定義環境及資產
監視及稽核
安全行政管理
安全設計及建置
政策, 標準,指導方針
資訊安全風險分析
資訊安全管理循環
20
BS 7799/ISO 27001沿革
2008-2006
ISO/IEC17799:2005(6/15) / ISO27001(10/15)通過
BS 7799 Part 2: 2002(9月)
ISO / IEC 17799:2000(12月)
BS 7799 Part 2:1999
BS 7799 Part 1:1998
BSI – Code of Practice
Industry Code of Practice
DTI – DISC英國貿易工業部
ISO27000系列通過
2005
2002
2000
1999
1998
1995
1993
1992
11
21
資訊安全管理系統簡介
n 英國標準BS7799n BS7799-1:1995(建置依據,系統架構說明)n BS7799-2:2002(稽核依據、遵循標準)
n 國際標準ISOn ISO/IEC 17799(2005)n ISO/IEC 27001(2005)
n 中華民國標準CNSn CNS 17799n CNS 27001
22
ISO 27001控制措施 (附錄)
A.13 Information security incident mgmt資訊安全事故管理
A.5 Security policy安全政策
A.6 Organization of information security資訊安全的組織
A.7 Asset management資產管理
A. 8 Human resources security人力資源安全
A.9 Physical and environmental security實體與環境安全
A.10Communications and operations management通訊與作業管理
A.11 Access control存取控制
A.12 Information systems acquisition, development and maintenance資訊系統獲取、開發及維護
A.14 Business continuity management營運持續管理
A.15 Compliance遵循性
12
23
通過驗證的國家統計數字
The total number of ISO/IEC 27001 certificates is 2509
4036*Absolute Total 2Denmark12Spain
4047 Relative Total 2Croatia12Philippines
2Belgium12Mexico
1Yugoslavia3South Africa14Norway
1Uruguay3Romania14Finland
1Ukraine3Macau16Poland
1New Zealand3Isle of Man17Ireland
1Morocco3Colombia17Austria
1Moldova3Argentina20Brazil
1Macedonia4Indonesia21Malaysia
1Luxemburg 4Canada28Singapore
1Lebanon4Bahrain28Czech Republic
1Gibraltar5Thailand30Hong Kong
1Egypt5Greece32Netherlands
1Chile5France45Italy
1Bulgaria6Russian Federation51Korea
1Armenia6Pakistan53Australia
2Vietnam6Kuwait54USA
2Sri Lanka7Iceland58Hungary
2Slovak Republic 8Sweden74China
2Qatar8Slovenia87Germany
2Portugal9UAE 149Taiwan
2Peru10Saudi Arabia347India
2Oman12Turkey363UK
2Lithuania12Switzerland2317*Japan
Ref:http://www.iso27001certificates.com/ Version 175 October 2007
24
資訊安全管理制度建置
n 資訊安全管理制度
一、安全政策
二、組織資訊安全
三、資產管理
四、人力資源安全
五、實體及環境安全
六、通訊與作業管理
七、存取控制
八、資訊系統獲取、開發及維護
九、資訊安全事故管理
十、營運持續管理
十一、遵循性
ISO 27001標準
資訊安全管理制度
有效性檢驗
組織環境
13
25
PDCA 過程模型 Process model
建立ISMS
維持與改進ISMS
監視和審查ISMS
實作與運作ISMS
規劃
行動
檢查
執行
應用於 ISMS 過程的 PDCA 模型
26
ISMS資訊安全組織管理架構委員會主席總經理
委員人事部
xxx
委員內部稽核
xxx
委員研發部
xxx
委員生產部
XXX
委員資訊部
XXX
網路通訊組
xxx
委員人事部
xxx
應用系統組xxx
委員總務部
xxx
資訊安全官
資訊安全稽核小組
14
27
資訊安全管理系統-文件管理系統
n 區分四階文件
n 第一階(最高階宣示文件)n 資訊安全政策(Policy)
n 第二階(講述控管概要)n 功能性政策文件(Functional Policy),管理程序
(Management process)n 第三階(詳細的執行依據)
n 標準作業規範(SOP),作業流程(Procedure)n 第四階(產出或軌跡)
n 表單、紀錄與資訊系統事件等
28
資訊安全管理系統專案規畫
•書面審查•實務審查•正式評鑑•改善建議
認證諮詢
認證諮詢
•日常維護與宣導活動計畫演練
•維護監控•稽核規劃•稽核追蹤
實施與維護監控
實施與維護監控
•適用性聲明
•專案文件一覽表
•資訊安全反應機制建置
•營運持續計畫討論
•政策文件改善及增修
資訊安全制度建置
資訊安全制度建置
•風險評鑑作業程序建立
•資訊資產審查
•營運衝擊分析
•威脅弱點分析
•可接受風險等級判定
•風險處理
風險評鑑風險管理
風險評鑑風險管理
•差異分析•繪製作業流程圖
•重要資訊作業流程分析
•實體設備安全管控了解
•弱點掃描•現況診斷改善建議
差異分析
差異分析
•前置準備•時程規劃•啟動會議
專案規劃專案啟動
專案規劃專案啟動
15
29
資通安全制度建置流程
30
安全政策
n A.5.1 資訊安全政策目標:依照營運要求及相關法律與法規,提供管理階層對資訊安全的指示與支持
n A.5.1.1 資訊安全政策文件n A.5.1.2 資訊安全政策文件之審查
16
31
組織資訊安全
n A.6.1 內部組織目標:於組織內管理資訊安全
n A.6.1.1 管理階層對資訊安全的承諾n A.6.1.2 資訊安全協調工作n A.6.1.3 資訊安全責任的配置n A.6.1.4 資訊處理設施的授權過程n A.6.1.5 機密性協議n A.6.1.6 與權責機關的聯繫n A.6.1.7 與特殊利害相關團體的聯繫n A.6.1.8 資訊安全的獨立審查
32
組織資訊安全
n A.6.2 外部團體目標:維持外部團體存取、處理、管理或通信之組織資訊與資訊處理設施的安全
n A.6.2.1 與外部團體相關的風險之識別n A.6.2.2 處理客戶事務的安全說明n A.6.2.3 第三方協議中之安全說明
17
33
資產管理
n A.7.1 資產責任目標:達成及維持組織資產的適切保護
n A.7.1.1 資產清冊n A.7.1.2 資產的擁有權n A.7.1.3 資產之可被接受的使用
n A.7.2 資訊分類目標:確保資訊受到適切等級的保護
n A.7.2.1 分類指導綱要n A.7.2.2 資訊標示與處置
34
人力資源安全
n A.8.1 聘僱之前目標:確保員工、承包者及第三方使用者了解其責任,並勝任其被認定的角色,以降低竊盜、詐欺或設施誤用的風險n A.8.1.1 角色與責任n A.8.1.2 篩選n A.8.1.3 聘僱條款與條件
18
35
人力資源安全
n A.8.2 聘僱期間目標:確保員工、承包者及第三方使用者了解資訊安全的威脅與關切事項、其基本責任與強制責任,並有能力在日常工作中支持組織安全政策與降低人為錯誤的風險n A.8.2.1 管理階層責任n A.8.2.2 資訊安全認知、教育及訓練n A.8.2.3 懲處過程
36
人力資源安全
n A.8.3 聘僱的終止或變更目標:確保員工、承包者及第三方使用者以有條理的方式脫離組織或變更聘僱
n A.8.3.1 終止責任n A.8.3.2 資產的歸還n A.8.3.3 存取權限的移除
19
37
實體和環境安全
n A.9.1 安全區域目標:防止組織場所及資訊遭未經授權的實體存取、損害及干擾
n A.9.1.1 實體安全周界n A.9.1.2 實體進入控制措施n A.9.1.3 保全辦公室、房間及設施n A.9.1.4 對外部與環境威脅的保護n A.9.1.5 在安全區域內工作n A.9.1.6 公共進出、收發、及裝卸區
38
實體和環境安全
n A.9.2 設備安全目標:防止資產遺失、損害、竊盜或破解,並防止組織活動的中斷
n A.9.2.1 設備安置及保護n A.9.2.2 支援的公用設施n A.9.2.3 佈纜的安全n A.9.2.4 設備維護n A.9.2.5 場外設備的安全n A.9.2.6 設備的安全汰除或再使用n A.9.2.7 財產的攜出
20
39
通訊與作業管理
n A.10.1 作業之程序與責任目標:確保正確與安全地操作資訊處理設施
n A.10.1.1 文件化作業程序n A.10.1.2 變更管理n A.10.1.3 職務的區隔n A.10.1.4 開發、測試及運作設施的分隔
40
通訊與作業管理
n A.10.2 第三方服務交付管理目標:實作與維持適切等級之資訊安全及服務交付,並能與第三方服務交付協議一致
n A.10.2.1 服務交付n A.10.2.2 第三方服務的監視與審查n A.10.2.3 第三方服務變更的管理
n A.10.3 系統規劃與驗收目標:使系統失效的風險最小化
n A.10.3.1 容量管理n A.10.3.2 系統驗收
21
41
通訊與作業管理
n A.10.4 防範惡意碼與行動碼目標:保護軟體與資訊的完整性
n A.10.4.1 對抗惡意碼的控制措施n A10.4.2 對抗行動碼的控制措施
n A.10.5 備份目標:維持資訊及資訊處理設施的完整性與可用性
n A.10.5.1 資訊備份n A.10.6 網路安全管理目標:確保對網路內資訊與支援性基礎建設的保護
n A.10.6.1 網路控制措施n A.10.6.2 網路服務的安全
42
22
43
通訊與作業管理
n A.10.7 媒體的處置目標:避免資產被未經授權的揭露、修改、移除及破壞,以及營運活動的中斷
n A.10.7.1 可移除式媒體的管理n A.10.7.2 媒體的汰除n A.10.7.3 資訊處理的程序n A.10.7.4 系統文件的安全
44
通訊與作業管理
n A.10.8 資訊交換目標:維護組織內及與任何外部個體的所交換資訊與軟體的安全
n A.10.8.1 資訊交換政策與程序n A.10.8.2 交換協議n A.10.8.3 輸送中的實體媒體n A.10.8.4 電子傳訊n A.10.8.5 營運資訊系統
23
45
通訊與作業管理
n A.10.9 電子商務服務目標:確保電子商務的安全性,及其安全的使用
n A.10.9.1 電子商務n A10.9.2 線上交易n A.10.9.3 公眾可用的資訊
46
通訊與作業管理
n A.10.10 監視目標:偵測未經授權的資訊處理活動
n A.10.10.1 稽核存錄n A.10.10.2 監控系統的使用n A.10.10.3 日誌資訊的保護n A.10.10.4 管理者與操作者日誌n A.10.10.5 失誤存錄n A.10.10.6 鐘訊同步
24
47
存取控制
n A.11.1 存取控制的營運要求目標:控制資訊的存取
n A.11.1.1 存取控制政策n A.11.2 使用者存取管理目標:確保經授權使用者對資訊系統的存取與防止未經授權的存取
n A.11.2.1 使用者註冊n A.11.2.2 特權管理n A.11.2.3 使用者通行碼管理n A.11.2.4 使用者存取權限的審查
48
存取控制
n A.11.3 使用者責任目標:防止未經授權的使用者存取資訊與資訊處理設施,以及使其遭受破壞或竊盜
n A.11.3.1 通行碼的使用n A.11.3.2 無人看管的使用者設備n A.11.3.3 桌面淨空與螢幕淨空政策
25
49
存取控制
n A.11.4 網路存取控制目標:防止網路服務遭未經授權的存取
n A.11.4.1 網路服務的使用政策n A.11.4.2 外部連線的使用者鑑別n A.11.4.3 網路設備識別n A.11.4.4 遠端診斷埠與組態埠保護n A.11.4.5 網路區隔n A.11.4.6 網路連線控制n A.11.4.7 網路選路控制
50
存取控制
內部廣域網路
Core 交換機
switchDMZ
Internet Server Farm
Mail relay, Web, Proxy, DNS
內部主機(Mail, AP, Database)網管主機
外部機關網路Internet
無線網路
Switch
廠商測試區防火牆
26
51
存取控制
n A.11.5 作業系統存取控制目標:防止作業系統遭未經授權的存取
n A.11.5.1 保全登入程序n A.11.5.2 使用者識別與鑑別n A.11.5.3 通行碼管理系統n A.11.5.4 系統公用程式的使用n A.11.5.5 會談期逾時n A.11.5.6 連線時間的限制
52
存取控制
n A.11.6 應用系統與資訊存取控制目標:防止應用系統中的資訊遭未經授權存取
n A.11.6.1 資訊存取限制n A.11.6.2 敏感性系統的隔離
n A.11.7 行動計算與遠距工作目標:確保使用行動計算與遠距工作設施時之資訊安全
n A.11.7.1 行動計算與通信n A.11.7.2 遠距工作
27
53
資訊系統獲取、開發及維護
n A.12.1 資訊系統的安全要求目標:確保安全是整體資訊系統的一部份
n A.12.1.1 安全要求分析與規格n A.12.2 應用系統的正確處理目標:預防應用系統中的資訊錯誤、遺失、未經授權的修改或誤用
n A.12.2.1 輸入資料確認n A.12.2.2 內部處理的控制措施n A.12.2.3 訊息完整性n A.12.2.4 輸出資料確認
54
資訊系統獲取、開發及維護
n A.12.3 密碼控制措施目標:藉由密碼方式以保護資訊的機密性、鑑別性或完整性
n A.12.3.1 使用密碼控制措施的政策n A.12.3.2 金鑰管理
n 12.4 系統檔案的安全目標:確保系統檔案的安全
n A.12.4.1 作業軟體的控制n A.12.4.2 系統測試資料的保護n A.12.4.3 程式源碼的存取控制
28
55
資訊系統獲取、開發及維護
n A.12.5 開發及支援過程的安全目標:維護應用系統與資訊的安全
n A.12.5.1 變更控制程序n A.12.5.2 作業系統變更後的應用系統技術審查n A.12.5.3 套裝軟體變更的限制n A.12.5.4 資訊洩漏n A.12.5.5委外的軟體開發
n A.12.6 技術脆弱性管理目標:降低因利用已公佈的技術脆弱性所導致的風險
n A.12.6.1 技術脆弱性控制
56
資訊安全事故管理
n A.13.1 通報資訊安全事件與弱點目標:確保與資訊系統有關的資訊安全事件與弱點,被以能夠採取及時矯正措施的方式傳達
n A.13.1.1 通報資訊安全事件n A.13.1.2 通報安全弱點
n A.13.2 資訊安全事故與改進的管理目標:確保採用一致與有效的做法於資訊安全事故的管理
n A.13.2.1 責任與程序n A.13.2.2 從資訊安全事故中學習n A.13.2.3 證據的收集
29
57
營運持續管理
n A.14.1 營運持續管理的資訊安全層面目標:為對抗營運活動中斷,保護重要營運過程不受重大資訊系統失效或災害的影響,並確保及時再續
n A.14.1.1 資訊安全納入營運持續管理過程n A.14.1.2 營運持續與風險評鑑n A.14.1.3 發展與實作包含資訊安全的持續計畫n A.14.1.4 營運持續計畫框架n A.14.1.5 營運持續計畫的測試、維護及重新評鑑
58
遵循性
n A.15.1 遵循適法性要求目標:避免違反任何法律、法令、法規或契約義務及任何安全要求
n A.15.1.1 識別適用之法條n A.15.1.2 智慧財產權 (IPR)n A.15.1.3 組織紀錄的保護n A.15.1.4 個人資訊的資料保護及隱私n A.15.1.5 防止資訊處理設施的誤用n A.15.1.6 密碼控制的規定
30
59
遵循性
n A.15.2 安全政策與標準的遵循性以及技術遵循性目標:確保系統遵守組織的安全政策與標準
n A.15.2.1 安全政策與標準的遵循性n A.15.2.2 技術遵循性查核
n A.15.3 資訊系統稽核考量目標:使系統稽核過程的有效性最大化,並使其產生或受到之干擾降到最低
n A.15.3.1 資訊系統稽核控制n A.15.3.2 資訊系統稽核工具的保護
60
資訊安全管理的考量資訊安全管理的考量
31
61
人性弱點
n 使用者的弱點n 僥倖(相信命運)n 粗心(傻瓜密碼)n 畏懼(害怕改革)n 疏失(訓練不足)
n 安全管理人員的弱點n 信任(相信員工)n 偷懶(Plug&Play)n 單向思考(只考慮科技)n 政策偏執(只考慮效率)
62
委外風險的考量
n Whyn 委外目的
n Whenn 委外時間
n Whatn 委外內容
n Whon 委外描述
n Where n 將來的應用方式或取代目前使用方式
n 如何執行
32
63
資安委外考量因素
n 內部最需要
n 能力
n 專業技術上不足
n 人力
n 現有人力無法負擔
n 預算
n 風險轉嫁
64
員工網路行為
33
65
電子郵件管理困境
n 困境n 電腦病毒感染
n 機密 / 敏感資料外洩
n 員工工作效率
n 監控n 正當監控
n 國家法令、組織內規
n 不法監控n 駭客、非善意之人
66
網路內容側錄與稽核
34
67
安全內容過濾與監控
68
電子郵件法律爭議
n 監控合法性
n 侵犯穩私權
n 垃圾郵件觸法
n 犯罪活動
35
69
電子郵件管理
n 技術面n 信箱容量管理
n 收送之容量
n 善意通知
n 防堵技術n 垃圾郵件過濾、傳送內容過濾
n 管理面n 電子郵件使用政策
n 監控告知
n 教育訓練
70
電子郵件自我保護
n 善用密件收件人
n 內容加註收件警示內容
n 如果你不是收件者請立即刪除……n 非必要不設自動回覆
n 不隨意留下郵件地址予他人
n 注意陌生之寄件者
n 了解組織傳送郵件規定
36
71
問題與回應
學校建置資訊安全管理系統應該開始的第一步為?
72
參考網站
n https://www.ncert.nat.gov.tw/n http://www.icst.org.tw/
37
73