掌管臺灣全國民眾財政,及報稅資訊的財政部財政資訊中心,資料保管責任之重不在話下,在上週(7月31日)於臺北舉行的企業資安主動防禦論壇,資訊中心主任陳泉錫在議程中,指出資安威脅難以阻擋,並揭露財政資訊中心的經驗與目前對策。

去年,遠東國際商業銀行SWIFT系統遭駭事件,大家應該都還記憶猶新,事實上,到今年仍有不同國家銀行被駭客攻擊得逞的案例,墨西哥就是一例。

金管會在去年底時,也對遠銀遭駭客入侵事件,處以800萬元的罰鍰,裁罰的原因在於,遠銀未確實執行對資訊安全的內部控制制度,例如,遠銀沒有做好實體隔離,以及系統帳號之授權不符合最小授權原則,而內部控管與稽核也沒有落實。

這些事件都顯示了,無法完全阻絕這些風險,因此,更要把最基本的事情做好,陳泉錫表示,也就是回歸資安基礎防護,以降低風險,而實務上該如何落實,是需要討論的重點。

因此,在資安防護策略上,財政資訊中心現階段是從嚴謹的存取控制與資安稽核做起。陳泉錫指出,在他們的經驗中,主要將存取控制分成4大要項,分別是資訊安全基本認知推動、對抗APT手段、強化高權管理與稽核。他並強調,要做到嚴謹的存取控制,一定要有法規遵循的配合。

過去大家都在宣導資訊安全,但是否有效令人存疑。陳泉錫表示,公務員一大特色,就是依法辦事,因此,現在很多資安的行政作為,就是製作手冊,將資安的規定變成行政規則來辦。不過,太多的法規一般公務人員也無法記住。因此,財政資訊中心的作法是,特別將重要的部分,也就是資訊安全行政規則基本認知,整理成一張只有A4大小紙張的內容,並要求每個人均應熟記,且內稽、外稽都會抽查,讓公務員能更容易遵循,也不能藉口辯稱法規太多記不住。

為提醒一些良好網路使用習慣,這個資訊安全行政規則基本認知的內容並不難,例如,要以純文字模式開啟郵件,不開來路不明之郵件,統計人員或資訊人員須於實體隔離網路中方可操控主機,個資與機敏資料存於PC須加密,以及防毒定期更新、關閉Auto Run、加密備份檔案與即時通報等。

在對抗APT的手段上,財政資訊中心則採堅壁清野的方式,回歸最基本的要求,也就是要求每位同仁在每臺電腦上不能存有公務上的資料,同時透過個資檢測工具全面清查機敏性個資,並對重要檔案採取加密,以降低資料外洩風險。

執掌臺灣全國民眾財政的財政部財政資訊中心,在上週(7月31日)於臺北舉行的企業資安主動防禦論壇中,資訊中心主任陳泉錫指出,在實體隔離防護之外,財政資訊中心聚焦資安基礎防護​,從資訊安全基本認知到行政規則的落實,並著手制訂高權限使用者管理規範,讓存取管控趨向更嚴謹。(圖片來源:iThome)

對於高權限使用者的管理,更是財政資訊中心所強調的重點。陳泉錫指出,嚴格管理要有制度、組織、工具與稽核的配合,執行、稽核也都要有人負責。因此,他們訂定了高權限使用者管理規範,並將高權管理區分成4種角色,包括:資料庫管理者(或系統管理者)特權、統計人員(大量存取資料庫)特權、AD管理人員特權與程式撰寫特權

在談高權管理時,陳泉錫也提到了實體隔離的問題。在他剛從法務部調到財政資訊中心時,發現這裡可能因為採用了實體隔離,因此很多防護沒有到位。陳泉錫表示,現在的實體隔離都是橋接式的作法,從遠銀、一銀的事件,以及最近在提的零容忍的概念,因此他對於實體隔離並不放心。

過去財政資訊中心對於實體隔離環境的管控不夠深入,現在他們則要求,在資料庫及統計人員特權管理上,人員需要到一個房間、隔離的網段,才能對伺服器下存取的指令。而且,程式館以外程式之臨時性資料庫存取,採事前申請制,並要逐月查核。陳泉錫也提醒,資料庫管理者的重要性,普遍應該都能意識到,但統計人員是最容易被忽略的角色。

對於AD管理者權限的控管,陳泉錫說,過去他曾經歷慘痛的教訓,這樣的經驗也讓他特別在意。因此,他們不僅限制要在實體隔離環境,始可執行AD高權作業,並要求需搭配實體憑證,採取更嚴格的措施。

至於程式撰寫者的特權管理,財政資訊中心則是很早就發展出了操管制度,也就是說,程式撰寫員寫完後需由操管代執行,多一層對資料的嚴格管控。而且,任何正修皆須經黑、白箱檢測,網頁及核稅等重要程式,也要再經人工檢測。

不過,對於高權管理的稽核,陳泉錫也坦言遇到難題,同仁們會抱怨稽核上的困難,而市面上他們用過兩款知名的產品,也不足以符合他們的預期。主要原因在於,在資料庫撈資料時,撈出來的結果是摻雜著,也就是包含使用者下的指令與系統Optimize指令,因量大且不易分辨是否為不正當的意圖。因此,他希望資料庫稽核的廠商能進一步提供幫助,並認為這或許是國內業者的一個機會,因為不少企業組織應該都有這樣的需求存在。

在上述資安防護策略之外,陳泉錫也簡單說明他們在整體資安稽核作業的施行方式。像是要求每個機關要先做資安內部稽核之外,還包括資安外部稽核,並採全面每年書面查核,以及每年擇定6個所屬機關實地查核。並有技術稽核、管理制度稽核,以及資訊部門的資安內控機制等,要讓稽核發揮完整力量以徹底落實各項管理。

不過,更令他深感憂心的問題,是現在政府單位過度委外的狀況,像是他們的系統越來越複雜,幾乎都委外到沒有寫程式的人,委外的資安如何確保安全,值得省思。

他也以財政資訊中心為例,去年5月爆發的「報稅系統史上最嚴重當機」事件,原本上線前測試都沒問題,但後續因為委外廠商設定錯誤,整體流量分派經廣域式負載平衡器設定調整後,導致原本流向臺北主中心的6臺應用伺服器變成流向臺中備援中心,再加上臺中備援中心的設定也有問題,使得全部所得下載流量都集中在一臺應用伺服器上,而沒有分配到這裡的四臺應用伺服器。雖是廠商過失,但資訊部門仍需概括承擔責任。

對此,陳泉錫也提到他們後續的目標,是期望內部能重新建立內部同仁IT技術自主能力,建立資安健檢與滲透測試能力,而每一機關也都須具有執行數位證據保全能力。

熱門新聞

Advertisement