我見我思-網攻無所不在,企業如何強化資安控管
現代組織高度仰賴互聯網與資通系統來協助高效營運。然而,近年來政府及企業個資外洩與網路安全事件頻傳,使網路安全成為資通安全風險管理重要核心領域之一。
網路安全常見問題包括網路釣魚(網址劫持、散播假消息)、惡意軟體感染(病毒、蠕蟲、木馬、勒索軟體、間諜軟體)、盜取密碼及存取帳號、網路監聽、雲端改擊、盜用無線網路、加密破解等,還有對進出企業的IP封包未進行過濾。個人資料保護法在2023年5月31日修正公布生效,企業保有個人資料檔案,如違法未採行資料安全管理措施,依新法第48條規定最高可處罰鍰1,500萬元。企業針對個人資料檔案相關網路服務及存取控制必須加強管理,採行適當資料安全管理措施,降低個資外洩風險。
■五步驟,健全網路安全控制
在實施網路安全控制措施評估時,企業可根據管理目標(如:身分驗證、完整性、不可否認性、機密性、可用性、授權),依據管理指引、預防、偵測、補償、矯正之五項控制順序實施相關措施,以預防或減輕威脅,降低資安與個資外洩風險。在管理指引控制方面,提供針對威脅的參考指引,強化安全意識培訓、安全政策、安全程序。在預防控制方面,事先阻止威脅,使用防火牆、防毒軟體等控制手段。在偵測控制方面,事件發生時或發生後,找出威脅,使用入侵偵測系統、日誌進行控制。在補償控制方面,增加額外控制,彌補其他控制的弱點,使用加密、備份、備援進行控制。在矯正控制方面,發現漏洞威脅後進行修正,加強補丁管理、漏洞管理。
對網路服務的管理重點,應著重在訂定政策和安全控制措施,定期檢討,和區隔獨立的邏輯網域之安全控制。此外,強化網路防護與偵測,針對使用網路防火牆應檢查符合組織需要之設定,並設有檢測連線的來源位址與目的位址網路路由之控管措施。核心資通系統應具備應用程式防火牆,對解密封包中的資料進行深入檢查。同時,區隔開發、測試和正式作業環境,建立防毒軟體,郵件伺服器應具備電子郵件過濾機制,檢查附件和下載檔案是否含有惡意軟體。加強持續監控和應對能力,包括建立入侵偵測及防禦機制、建立進階持續性威脅攻擊防禦措施、建立資通安全威脅偵測管理機制(SOC)。
■五重點,做好網路存取管理
對於網路存取的管理,區分為五項重點。首先,應制定明確政策和授權措施,包括訂定網路服務使用政策,以明確規範使用者行為。確保網路使用者,包括外部人員,需取得正式的存取授權。對外部連線使用者實施鑑別機制,如密碼技術等安全技術。其次,應強化存取安全機制,包括針對無線網路實施額外的鑑別控制,以確保無線網路的安全性。實施適當的鑑別機制,保障遠端使用者的安全存取。使用自動辨識設備辨識連線來源,以加強存取的合法性。第三,應加強安全控制與監控,包括訂定遠端診斷埠的存取作業規範,包括金鑰管理和身分查驗。實施必要的安全控制措施,包括對電子郵件、檔案傳輸、互動式存取和存取時段的控制。監控登入活動,紀錄異常登入程序,並定期檢視,以防範潛在的異常活動。提供登入相關資訊,增強登入活動的可追蹤性。
第四,應確保身分鑑別與授權安全,包括要求使用者唯一識別,以區分不同使用者。對重要系統使用者實施適當的身分鑑別技術,以確保對關鍵系統的存取受到嚴格控制。避免以明文方式在網路上告知申請者通行碼。最後,應強化連線安全措施,包括實施授權管制和身分鑑別程序,以防範非法使用系統公用程式。限制網路會談結束或一定時間未操作時斷開連線或關閉設備,以確保資訊安全。對風險高的應用系統限制連線作業需求,降低潛在風險。設定風險高的應用系統連線時間限制,加強對重要系統的保護。確保遠距工作得到管理階層授權和必要的保護措施,以確保遠距工作者的活動受到適當的監管和保護。
總結而言,網路安全措施和網路存取管理是企業在現代環境中不可或缺的一環。個人資料保護法的修正更加強調企業的法律責任,加強了對個資外洩的懲罰。企業應該謹慎評估並實施相應的安全措施,並遵循五項控制順序,以有效預防或減輕威脅,降低資安風險。在網路服務和存取管理方面,建議企業制定明確政策、強化安全控制、實施監控、確保身分鑑別、加強連線安全。透過這些建議,企業可更全面地應對現代網路環境中的各種威脅,確保營運的順暢和個資的安全。
