ISMS风险评估手册 下载本文

D. 并定期检视残存的风险。

ISO/IEC 17799:2000标准中表示,组织的信息安全能否落实,下列常为关键因素: A. 能反映营运目标的安全政策、目标及活动; B. 与组织文化一致之实施安全保护的方法; C. 来自管理阶层的实际支持和承诺;

D. 对安全要求、风险评鉴以及风险管理的深入理解; E. 向全体管理人员和雇员有效推广安全的理念;

F. 向所有雇员和承包商宣传信息安全政策的指导原则和标准; G. 提供适切的训练和教育;

F. 评估信息安全管理的绩效及回馈建议,以便进一步改进。

3.2 风险评估的迷失

3.2.1 花大钱可买安全?错!!

如果多数信息产品真如广告所述,则使用相应的技术或产品应该可以避免信息安全相关之风险,那么问题出自于何处?关键的思维就在于,其实并「没有100%安全」这样的情况存在,科技技术终究有其局限性。举例来说, 配备第一流科技的军队,仍然需要标准的操典与演训,才能发挥实效。此处借用信息安全专家 Bruce Schneier 的名言:信息安全乃一流程, 而非产品(Information Security is a process, not product)。如果厂商仍然狡黠地辩称其产品依照实验室数据确实可达100%防护,建议你马上请他打道回府,别浪费大家的时间了。因为我们要用的产品是在现实环境中可用的,而不是放在实验室供着!!请大家回想一下几年前,密码学在信息环境中的应用探讨,一度还是显学,为何现在却很少听到呢?因为密码学所有的应用必须配合人员存取控制的落实,它无法单独自成一个应用环境,一旦其外围配合的作业出问题,英雄亦无用武之地。

再举一例,某资安产品的防护能力及侦测敏感度很高,宣称可提高安全无虞,但安装后的实况是:使用者要求安全的环境又不想被打扰,大家一直抱怨系统过于敏感,造成假警报频传,系统管理员迫于无奈,只好将系统暂时予以关闭(有些人是将控制层级降低);殊不知这是黑客所用的投石问路技俩,之前的假警报其实都是黑客所为,目的就是要让组织内部自动降低安全层级,以让其在发动攻击时,增加成功机率。

另外一种是成功机率最高的手法,就是最典型的社交工程,可轻易绕过所有技术措施,直接获得使用账号及密码信息。这些都证明了科技无法解决人性在信息安全领域中的问题,也就是说我们永远要将管理人的议题放在风险评估中。

3.2.2 信息垃圾一文不值?错!!

对蓄意攻击破坏者而言,信息就是信息,纸本数据与电子文件一样好用,很多时候,尤其是对实体环境控管不良或是未落实信息分类管理的单位而言,在垃圾筒

Page:13 of 25 中的数据比计算机中的数据更有价值。再举一例,美国麻省理工学院有两位研究生曾做了一份研究,他们从二手计算机商处以不到1000美元的价钱批了158颗硬盘,在整理的过程中,他们找到了5000组以上的信用卡资料、病历表,个人与公司企业的详细财务信息,同时还有好几GB的个人电子邮件及色情档案。 他们把这些发现写成一份「旧资料遗迹:磁盘清理研究」(Remembrance of Data Passed: A Study of Disk Sanitation)报告,并在IEEE计算机学会(IEEE Computer Society)所发行的IEEE安全与隐私期刊(IEEE Security and Privacy)中发表。

3.2.3 放心!!我们单位的规模不大,不会有人对我们有兴趣。错!!

整个风险评估的范围不是只放在技术面而已,还须同时考虑营运的持续性才对。管理阶级的错误观念除了其本身的成见外,通常都是因为未获得足够的风险分析信息所致;另一方面,幕僚人员也应先了解其单位的关键风险所在,才能与管理阶级做充分的讨论。规模大小不是问题,重要的是它是否有利用价值!! 尤其是政府机构,不能因为被列为C、D级单位就掉以轻心,即便不必采取与A、B级单位相同的控制模式,基本的防护措施仍应实施,否则若不幸成为黑客利用的跳板,其后果将不堪设想。

3.2.4 鸡蛋不能放在同一个篮子中?不一定!!

正因为各单位的人力、资源、预算有限,所以我们不可能同时改善所有缺失或风险,执行风险评估之目的正是希望能有效利用资源。让我们回想一下前面谈过有关风险的本质,你会发现了解背景远比使用那种科技或设备重要。试想,一个不能防止炸弹攻击的安全系统,并不代表它一无是处,可能用传统的门锁、墙壁来加强也可以!!正确的作法,应该是优先就风险评估后的结果,针对最弱的环节,提供深度的防御。

同样的思考方式可用来考虑另一种情形:要把改进资源放在一个发生机率低的重大威胁?还是放在一群发生机率高的小缺失上呢?

3.3 执行风险管理应注意事项

3.3.1 建立管理政策:

信息安全策略目标之首要考虑是,反应组织领导者对风险管理的策略意图与可接受程度,进而将之形成为管理政策,以作为提供商务往来对象及内部员工遵行之依据。例如:对信息环境建构的规划,经由信息技术执行各项业务之控管;或者是确定实施信息安全的范畴与顺序;投入的资源与部署的方法;以及最重要的-信息安全风险的可接受等级。

3.3.2 遵行管理政策:

待信息安全的策略方向与政策确定后,首要之目标即是依照既定之策略,逐步将组织与信息安全政策的遵行,达成一致性。并经由适当的信息风险评估之后,确认目前组织内的信息安全控制,可否满足安全政策的保护目标,由于投入强化控管之成本效益考虑,因此不可能全盘接收所有的控管,因此核心的处理方式为增强控管至「可接受之风险程度」,并将安全控管所需的技术与程序一致化。

3.3.3 充实关键知识:

Page:14 of 25 请先看看以下案例:

A. 泰国的央行,曾于执行防火墙例行升级作业,关闭在线系统与启动备援系统的时段间,遭外部入侵成功。

B. 美国某银行其入侵侦测系统(IDS),由于未定期更新入侵样态之数据库与执行IDS系统升级作业,遭黑客以瘫痪攻击程序(名之为Stick)使IDS瘫痪,丧失监控功能。

C. 高科技厂商的ERP 系统其权限设计不当,使得商业逻辑下需互相制衡的权限,集中于一人手中,导致财务上的损失。

D. 程序开发人员将存取管理之密码或路径于程序代码中设定(Hard Code),造成密码分享,与数据取存目录外泄,针对订制开发的网络下单系统,此为国内常见的漏洞之一。

凡此总总,皆无法单独归咎于技术或产品本身,而在于多数技术工具的使用导入时,未受到导入团队适当的说明与教育,以及如何应用安全技术工具相关的管理技术,这其中最难跨越的鸿沟在于「产业关键知识(Industry Domain Know-How)」。试想不了解网络银行放款、存款、转帐的方式,以及客户往来的需要,如何将网络银行防火墙的过滤规则,设定成可符合银行营运之需要?这也是国内曾发生防火墙失效的原因之一,所以技术方案、管理程序和知识的紧密结合,才是信息安全成功的核心。

3.3.4 管理观念的建立比选用何种信息技术重要:

美国从事信息安全的人员很喜欢把\Protocol\、\,以及\等后冷战时期的名词挂在嘴边,凡事讲究程序,诸事必形于文件。在系统建置的初期,所有人员的工作职责,权限必先规划清楚。这种态度其来有自。十几年前当因特网尚未成为数据交换的主流时,除了学术单位及少数机构,绝大部份的政府机关的信息共享及交换都建立在封闭系统之上。信息安全人员多由退休的军警或情治人员担任。这些老兵大都曾经经历过美苏冷战的洗礼。所拥有的近乎偏执的危机意识及实战攻防经验都大量地反映在他们所设计的信息安全管理体系之中。这个制度将人、科技及程序紧密的结合在一起,凡是新进入此一信息安全管理体系的组件,都必须经过层层检验。如新进的机器设备,未经规格检验、强化程序及弱点评估,不得轻易上线;新进人员的聘用,未经安全等级之调查、未签署保密协定,就算人力需求迫在眉睫,亦不得进入实体作业环境接触公司之内部数据。

国内信息安全管理机制恰与国外相反,信息技术之运用开始蓬勃发展时,也正是各项信息安全产品、信息安全技术大量发展与成熟之际,惟国内之信息安全人员对于各项新产品与新技术之了解不足,同时对于信息安全之认知亦停留于技术层面,往往对于信息安全之管理层面未予以建立,或尚未落实执行,并将其视为无意义、浪费人力及时间之工作。以我们执行信息安全风险评估之经验中,多次发现数据库系统、应用系统预设帐号之密码,并未于初次安装后予以变更;系统权限虽做好控管,惟于网络芳邻之分享目录,处处可见未设定密码之机密数据;业务之需

Page:15 of 25 求而无相关配套措施,导致防火墙安全漏洞大开。由此可见,国内企业内部人员对于信息安全之认知与安全管理之程序,尚未落实于管理层面。

此一现象可归因于国内的信息安全管理发展,并没有与美国相同的条件与历史背景,惟许多公司却大量使用已发展好的安全科技产品,如防火墙,加密产品,入侵侦测系统等,以为安装这些安全产品即能发挥安全管理作用,而无任何其它配套的管理机制。事实上这是种最危险的思考方式,安装了功能强大的防火墙,而未尽善良管理的责任,远比未安装任何防火墙还危险。而这些产品应只是整个信息安全体系下众多环节的一部份,而非信息安全体系最后的产出成果。任何信息安全产品的选购及信息安全技术的应用,都应放置在信息安全管理体系的架构下评估之,成本之浪掷事小,隐藏在其后的信息安全危机及法律责任才是最大隐忧。

3.4 对风险评估的充分认知比盲目执行管理程序更重要

3.4.1 回归到风险的本质:

前面提到过风险的本质得知,任何实体世界可能发生的危险,数字世界都会发生!而且更令人可怕的是当这些危险事件发生时,企业主管通常都不知道,而且毫无警觉,反而是拥有公司最高的主机与信息系统的权限的信息系统管理人员得知而且他们还可以执行以及操作企业主管都不会但却攸关企业营运的敏感信息。难道是企业主不愿意编列资安预算,毫无风险概念?还是因为信息单位主管针对信息安全的风险没有善尽告知之责?还是媒体未尽倡导信息安全事件之责?这些可能都是原因,但若企业内部没有进行信息安全的风险评估,没有进行教育训练或相关的成本分析,企业主如何了解信息安全对企业营运及永续经营的重要性?

3.4.2 掌握风险及其冲击才能做出正确管理:

以企业组织熟悉的保险行为而论,大家为何愿意保险?因为每个人都有一把自我可以承受的风险标尺,知道要投入多少成本才可符合当事者的成本效益分析标准;但若当事者的认知不足,所谓的成本效益将会有很大的落差。

状况1:目前保险公司已有开办「忠诚险」,但其保额与投保单位本身内部风险评估与管理的良窳与否有很大的关连。须知,保险是一种移转风险的管理程序,如果投保单位内部控制不良,没有采取身家调查、人事轮调、责任分工及其它相关的稽核机制等措施,则保险公司当然会限制其投保金额,要不然就是会请投保单位改善,甚至调高保费或不愿承保者也时有所闻!

状况2:台北市某银行的大直分行,在半年内被抢劫两次,警方调查后发现,在第一次抢案发生后,就已建议业者于安全防护上应加强改进之处仍未改善,以致抢匪仍用相同的方法得手!!这时各位如果是保险公司的代表,是否还会承保呢?

由于执行风险评估亦须先执行信息资产识别;而目前多数企业对于信息资产的价值几乎完全没有概念,也没有针对信息资产进行盘点、分类与鉴价,所以完全不知所以然 或者人云亦云的规划资安设备,如同瞎子摸象的胡乱投医,仅求一个 Page:16 of 25