政府機關發生資安事件將面臨國安級威脅,根據資料顯示2019年有超過兩成以上的企業遭遇50次以上資安事件,而有42.4%的資安事件使服務中斷,資安事件中約六成的行動是資料盜竊,將近三成政府機關與學校視資訊安全項目為首要IT重點投資。2020年Q1的調查也提及勒索軟體事件比去年同期提升48%,完善資安防護刻不容緩,政府機關該如何有效因應呢?
政府機關面臨的資安困境
・ 委外廠商的疏忽管理造成資安漏洞
・ 內外網邊界模糊與設備狀態不明
・ 無法確認軟硬體的合規性,以及缺乏效率符規的管理方法
・ 如何保障IPv6網路安全
・ 如何符合資通安全管理的應遵循標準
・ 如何符合ISO27001認證項目
・ 如何保護個人資料的安全
・ NIST CSF資安框架如何採用
通常單位欲改善網路安全架構時,都必須從基礎的盤點設備開始。現在辦公環境內有各式連網裝置,甚至有些是未納入管理的高風險啞終端,是近年許多駭客滲透的漏洞;而可用性也是重要的議題,盤點行為必須在不會使服務中斷的情況下進行。
・ 自動生成完整的設備清單
・ 可辨識設備屬性,提供作業系統版本、所在位置、使用者資訊等設備資料
・ 確保持續性的合規檢查,檢查包含Windows OS Patch、防毒軟體、病毒碼及應裝軟體的安裝、版本與更新,以及合法軟體版權
・ 提升設備合規率,透過收集終端設備的安全狀態確保設備的符規,不符合者可強制斷網引導修補
・ 提供圖表儀表板掌握整體狀況
實際管理內網時,會面臨部分使用情境是暫時性需要連線到外網,或指定時間段內需要連線內網,而這些設備的身分並非內部員工。相比嚴謹周密的外網防護,進入到內網的外來設備若未納入管理、劃分其使用權限,將可能會成為高風險的安全漏洞。
・ 提供設備身分驗證
・ 提供訪客內網連線認證,包含現場申請及預約申請兩種方式
・ 限制訪客對內外網的存取權限與時效,可自動化卸離管理
・ 隔離訪客於特定網段
・ 針對委外廠商提供暫時性白名單或訪客認證
・ 自帶設備BYOD身分驗證
將IPv6相關網路基礎設施及應用基礎設施安全防護納入電信和網路安全防護體系,開展針對IPv6的網路安全保護、風險評估、通報預警等工作。
各基礎電信企業和數據中心、內容分發網絡(CDN)、雲端服務等運營企業要同步做好現有網絡安全保障系統在IPv4向IPv6過渡過程中的升級改造,確保具備基於IPv6的安全保障能力。
加強基於IPv6固定網路基礎設施和應用基礎設施的網路安全防護手段建設,支持開展IPv6網路環境下的工業網路、物聯網、人工智能等新興領域網路安全技術和管理機制研究。
・ 自動建置IPv6設備白名單,偵測並阻擋使用IPv6的外來設備
・ 提供即時資訊與歷史紀錄,檢視內網IP使用狀況
・ 支援IPv6與IPv4雙協定管理,可派發含有IPv4尾碼的IPv6位址
資訊應依法規要求、價值、危害性與對未經授權的揭露或修改之敏感性觀點予以分類。應依照組織所採用的分類法,發展與實施一套適當的資訊標示程序、資產處置程序、可攜式媒體管理之程序;媒體不再需要時,應使用正式程序加以安全地汰除;應保護含有資訊的媒體在傳送期間,不受未經授權的存取、誤用或毀損。
初次受核定或等級變更後之一年內,完成各項資通安全防護措施之啟用,並持續使用及適時進行軟、硬體之必要更新或升級。
・ 整合模組功能符合多項ISO 27001標準,降低建置所需成本
・ 提供防毒軟體、病毒碼更新與安裝檢查,並可介接多項資產軟體與WSUS資料庫,強迫不合規電腦進行更新
資訊應依法規要求、價值、危害性與對未經授權的揭露或修改之敏感性觀點予以分類。應依照組織所採用的分類法,發展與實施一套適當的資訊標示程序、資產處置程序、可攜式媒體管理之程序;媒體不再需要時,應使用正式程序加以安全地汰除;應保護含有資訊的媒體在傳送期間,不受未經授權的存取、誤用或毀損。
・ 提供IP資產分類
・ 自動產生軌跡資料
・ 提供IP使用紀錄、系統操作紀錄
・ 提供IP保護機關的重要資料,防止資料遺失、毀壞及被偽造或竄改
含以下幾個項目:存取控制政策、網路與網路服務的存取、使用者登錄與註銷、使用者的存取配置、特權的管理、使用者的機密授權資訊之管理、使用者存取權限的審查、機密授權資訊的使用、資訊存取限制、安全之登入順序。
・ 提供准入控制及私接設備管理、違規政策異常事件報表
・ 提供IP/MAC綁定管理、IP/MAC時間管理、MAC/硬體指紋綁定管理
・ 提供身分驗證機制
・ 提供白名單管理,並擁有時間配置
・ 提供IP例外、MAC例外機制
・ 提供AD管理,應加與未加AD管理、AD退網域管理、上線資訊,可設定內外網權限
・ 提供管理、使用者、觀察者權限
ID.AM-1-Physical devices and systems within the organization are inventoried
ID.AM-2-Software platforms and applications within the organization are inventoried
ID.AM-3-Organizational communication and data flows are mapped
ID.AM-5-Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, criticality, and business value
ID.RM-1-Risk management processes are established, managed, and agreed to by organizational stakeholders
ID.RM-2-Organizational risk tolerance is determined and clearly expressed
ID.RM-3-The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis
・ 可自動辨識聯網設備屬性
・ 可介接資產管理軟體,對軟體使用狀況進行分析
・ 自動產生軌跡資料並加密保護。提供系統操作紀錄
・ 提供IP資產分類
PR.AC-1-Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
PR.AC-4-Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties
PR.AC-5-Network integrity is protected (e.g., network segregation, network segmentation)
PR.AC-6-Identities are proofed and bound to credentials and asserted in interactions
PR.DS-1-Data-at-rest is protected
PR.DS-5-Protections against data leaks are implemented
PR.DS-6-Integrity checking mechanisms are used to verify software, firmware, and information integrity
PR.IP-6-Data is destroyed according to policy
PR.PT-1-Audit/log records are determined, documented, implemented, and reviewed in accordance with policy
PR.PT-2-Removable media is protected and its use restricted according to policy
・ 提供IP保護機關的重要資料,防止資料遺失、毀壞及被偽造或竄改
・ 能強制電腦安裝DLP軟體,防止資料外洩
・ 可偵測應裝軟體是否安裝、是否安裝非法/盜版軟體,若違規透過斷網與重導頁面要求修補
・ 提供IP/MAC 綁定、IP/MAC時間管理、MAC/硬體指紋綁定管理
・ 提供身份驗證機制
・ 自動產生軌跡資料
・ 提供IP使用紀錄、系統操作紀錄
DE.CM-7-Monitoring for unauthorized personnel, connections, devices, and software is performed
・ 提供准入控制、私接設備管理
・ 可監控盜版與禁用軟體