電子商務安全 Secure Electronic Commerce 營運安全管理 (Operation Security Management) 992SEC15 TGMXM0A Fri. 6,7,8 (13:10-16:00) L526 Min-Yuh Day 戴敏育 Assistant Professor 專任助理教授 Dept. of Information Management, Tamkang University 淡江大學 資訊管理學系 http://mail.im.tku.edu.tw/~myday/ 2011-06-10
Syllabus 週次 月/日 內容(Subject/Topics 100/02/18 電子商務安全課程簡介 (Course Orientation for Secure Electronic Commerce) 2 100/02/25 電子商務概論 (Introduction to E-Commerce) 3 100/03/04 電子市集 (E-Marketplaces) 4 100/03/11 電子商務環境下之零售:產品與服務 (Retailing in Electronic Commerce: Products and Services) 5 100/03/18 網路消費者行為、市場研究與廣告 (Online Consumer Behavior, Market Research, and Advertisement) 6 100/03/25 電子商務 B2B、B2C、C2C (B2B, B2C, C2C E-Commerce) 7 100/04/01 Web 2.0, Social Network, Social Media 8 100/04/08 教學行政觀摩日 9 100/04/15 行動運算與行動商務 (Mobile Computing and Commerce) 10 100/04/22 期中考試週
Syllabus (cont.) 週次 月/日 內容(Subject/Topics 11 100/04/29 電子商務安全 (E-Commerce Security) 12 100/05/06 數位憑證 (Digital Certificate) [Module 4] 13 100/05/13 網路與網站安全 (Network and Website Security) [Module 5] 14 100/05/20 交易安全、系統安全、IC卡安全、電子付款 (Transaction Security, System Security, IC Card Security, Electronic Commerce Payment Systems) [Module 6, 7, 8, 9] 15 100/05/27 行動商務安全 (Mobile Commerce Security) [Module 12] 16 100/06/03 電子金融安全控管機制 (E-Finance Security Control Mechanisms) [Module 13] 17 100/06/10 營運安全管理 (Operation Security Management) [Module 14] 18 100/06/17 期末考試週
Module 14:營運安全管理 教育部顧問室編輯 “電子商務安全”教材 委辦單位:教育部顧問室資通安全聯盟 執行單位:國立台灣科技大學管理學院 Module 14:營運安全管理 教育部顧問室編輯 “電子商務安全”教材
Module 14:營運安全管理 Module 14-1:作業風險管理 Module 14-2:資通安全管理中心 (Security Operation Center, SOC) Module 14-3:資訊分享與分析中心(Information Sharing and Analysis Center, ISAC) 與金融服務(Finance Service, FS)-ISAC 教育部顧問室編輯 “電子商務安全”教材
Module 14-1: 作業風險管理 教育部顧問室編輯 “電子商務安全”教材
學習目的 了解資安人學作業風險管理的重要性。 了解作業風險管理與資安風險管理的關聯。 掌握連接資訊安全風險管理與作業風險管理的主要議題 7 教育部顧問室編輯 “電子商務安全”教材 7
Module 14-1:作業風險管理 Module 14-1-1:風險管理概述 Module 14-1-2:作業風險管理的主要元件 本模組的項目都很重要: Module 1-1:概述 :說明什麼是作業風險管理,以及資安人為何要學作業風險管理 Module 1-2:說明作業風險管理的主要元件 Module 1-3:以新巴賽爾協定為範例說明其作業風險管理的規範 教育部顧問室編輯 “電子商務安全”教材 8
Module 14-1-1: 風險管理概述 教育部顧問室編輯 “電子商務安全”教材
不只是資訊系統安全 資訊安全不應只有「資訊系統」安全的思維 資訊系統的問題會影響到組織的持續營運 必須要能夠說服組織成員認同這件事 目前一些組織開始注重這樣的問題, 而將資訊安全與資訊治理, 乃至公司治理連結在一起。 其中一個很重要的關鍵就是 把資安風險視為公司作業風險的一環 這也是資訊安全人員擺脫支援角色的捷徑 目前許多組織在推動資訊安全上的問題:把資訊安全當成是「資訊系統」的安全。而最常見的徵狀就是當要問某個組織資訊安全是誰負責時,往往推出來的是資訊部門底下負責網路的人員。 這個問題的主因,是當太著重於資訊系統本身,會忽略到資訊系統可能對組織營運的影響。而更需要去說服組織成員去認同到這件事。 目前一些組織開始注重這樣的問題,而將資訊安全與資訊治理,乃至公司治理連結在一起。而要做到這樣的連結,其中一個很重要的關鍵就是要將之視為作業風險的一環。 當能夠和組織的作業聯結在一起,資訊安全本身的角色也可以從只是支援者的角色跳脫出來。 教育部顧問室編輯 “電子商務安全”教材 10
作業風險管理的定義 早期對於作業風險管理的定義並不一致 那麼什麼是作業風險管理?早期各單位對於作業風險的定義有許多不同 依照 1998 年英國銀行家協會、國際交換暨衍生性商品協會,與風險管理協會,委託 PricewaterhousCoopers 的調查,發現即便是同一個組織,對於作業風險也常會有不同的定義。 來源: RMA, BBA, ISDA, and PricewaterhouseCoopers, Operational risk – the next frontier, RMA, 1999 教育部顧問室編輯 “電子商務安全”教材 11
新巴賽爾協定 對作業風險的定義 「作業風險是指起因於內部作業、人員及系統之不當或失誤,或因外部事件造成損失之風險。此定義包含法律風險,但不包含策略風險及信譽風險」 近幾年來,因為新巴賽爾協定的受到重視,多半開始採用以下的作業風險定義 作業風險是指起因於內部作業、人員及系統之不當或失誤,或因外部事件造成損失之風險。 但為了衡量上的考量,要注意到此定義包括法律風險,但排除策略及信譽風險(strategic and reputational risk)。 來源: 行政院金融監督管理委員會,新巴賽爾資本協定全文中文版 教育部顧問室編輯 “電子商務安全”教材 12
與資訊安全相關的作業風險 作業風險領域 說明 設備與環境構面 因為資訊系統的問題,而造成作業能力的喪失 健康與安全構面 因為機密資訊的外洩,而造成人身安全 「資訊」安全構面 未經授權同意而存取資訊、資訊不可獲得,或資訊的不當使用等 控制架構構面 風險管理架構的設計不良 法律與符合性構面 對於資料保護及密碼使用的管控規定 資料須正確且即時的提供 來源:Enterprise Security Architecture: A Business-Driven Approach 教育部顧問室編輯 “電子商務安全”教材
與資訊安全相關的作業風險 (續) 作業風險領域 說明 公司治理構面 無法滿足對公司治理的要求 聲譽構面 因資安事件而造成商譽的受損 行為構面 因作業程序設計不良而造成的問題 技術構面 引進的技術無法滿足作業需求 專案管理構面 無法有效管理資訊安全的專案,或是在專案中缺乏對資訊安全的考量 來源:Enterprise Security Architecture: A Business-Driven Approach 教育部顧問室編輯 “電子商務安全”教材
與資訊安全相關的作業風險 (續) 作業風險領域 說明 犯罪構面 因資安機制之不足而造成舞弊等問題 人力資源構面 因為未制訂相關政策,而無法有效管理與員工的關係 供應商構面 供應商無法滿足安全需求 資訊管理構面 無法即時的提供正確與有效的資訊 來源:Enterprise Security Architecture: A Business-Driven Approach 教育部顧問室編輯 “電子商務安全”教材
與資訊安全相關的作業風險 (續) 作業風險領域 說明 道德構面 不遵守公開的政策或資訊,而造成客戶的不信任 文化構面 無法依各地之文化背景訂定政策 氣候構面 氣候不佳導致資訊系統不穩定或是無法滿足業務持續的要求 來源:Enterprise Security Architecture: A Business-Driven Approach 教育部顧問室編輯 “電子商務安全”教材
Module 14-1-2: 作業風險管理的主要元件 教育部顧問室編輯 “電子商務安全”教材
BS7799-3 資訊安全風險管理指引 風險控制的維護與改進 風險評估 風險的監控與審查 風險對待與管理 Risk assessment Risk treatment Management decision making Risk re-assessment Monitoring and reviewing of risk profile Information security risk in the context of corporate governance Compliance with other risk based standards and regulations. 風險的監控與審查 風險對待與管理 來源: BSI, BS7799-3:2006 教育部顧問室編輯 “電子商務安全”教材 18
COSO 企業風險管理 為了要讓公司不同層級的治理活動能夠整合在一起,PricewaterhouseCoopers 與美國 Teardway 委員會之贊助機構所組成的 COSO 委員會,提出了如圖 的 COSO 企業整體風險管理 (Enterprise Risk Management, ERM) 的架構。在這個架構中,主要是由三個構面所組成: 目標構面:說明要進行治理所要考慮的目標,而這通常可以分為策略性、營運性、資訊提供與符合性等。 單位層級:說明在進行公司治理時,不同單位層級應該有不同層次的考量。但是這應該都要依照目標構面的內容而依階層展開:如從公司整體層級、到部門或是子公司層級,而各自又可以再往下展開。而同時也會針對不同層級的單位進行治理。 風險構面:為了讓公司治理的結構能夠被整合,會採用統一的風險管理框架,除了可以分層負責,讓各子單位的人員去辨識與瞭解該單位在治理上的相關風險,以進行控管外,這些資訊可以再彙總起來,而成為公司整體風險管理與政策制定的依據。 來源:COSO (Committee of Sponsoring Organizations of the Treadway Commission). Enterprise Risk Management Integrated Framework 教育部顧問室編輯 “電子商務安全”教材 19
企業風險管理的定義 「企業風險管理係一遍及企業各層面之過程,該過程受企業的董事會、管理階層或其他人士而影響,用以制定策略、辨認可能影響企業之潛在是項、管理企業之風險,使其不超出該企業之風險胃納,以合理擔保期目標之達成」 來源:COSO (Committee of Sponsoring Organizations of the Treadway Commission). Enterprise Risk Management Integrated Framework 教育部顧問室編輯 “電子商務安全”教材
企業目標 策略性 營運性 資訊提供 符合性 依企業之使命,所要達成之高階目標 增進資源使用之效率與效果 確保揭露資訊與報導之可靠 符合法規要求 企業之目標,可分為以下四類: 策略性:依企業之使命,所要達成之高階目標 營運性:增進資源使用之效率與效果 資訊提供:確保揭露資訊與報導之可靠 符合性:符合法規要求 教育部顧問室編輯 “電子商務安全”教材
企業風險管理之組成要素 內部環境 目標設定 事項辨認 內部環境包括風險管理哲學與風險偏好、操守與倫理價值觀,以及營運所處之環境等。為建立企業之人員如何看待與如何處理風險之基礎。 目標設定 透過對於目標的設定,讓管理階層辨認影響目標達成的潛在事項。 事項辨認 辨認會影響目標能否達成之內部事項及外部事項。 教育部顧問室編輯 “電子商務安全”教材
企業風險管理之組成要素 (續) 資訊與溝通 監控 在一定的形式和期限內,辨認與收集相關的資訊,並進行妥善的溝通,以確保相關人員能夠履行其職責。 監控 藉由持續的管理活動與個別評價等方式,去監控相關的風險,並採取適當的措施。 教育部顧問室編輯 “電子商務安全”教材
企業風險管理之組成要素 (續) 風險評估 風險回應 控制活動 考量所辨識之事項所發生之可能性及影響,並藉以決定風險應如何加以管理。 管理階層選擇風險因應(規避、接受、控制或轉嫁)之方式,並進行一連串行動使風險能符合企業之風險容忍度及風險胃納。 控制活動 建立用來協助保證風險因應能有效執行之政策與程序。 教育部顧問室編輯 “電子商務安全”教材
從純資安風險到作業風險 關鑑一: 關鑑二: 關鍵三: 將資訊安全政策或目標與企業營運目標做連結 所識別的資安事件要能指出對企業營運目標的影響 要有一套能夠「讓高階主管認同」,而「組織非資訊相關人員或相關的利害關係人都能理解」的指標。定期進行衡量與檢討。 教育部顧問室編輯 “電子商務安全”教材
Module 14-1-3: 新巴賽爾協定作業風險管理 教育部顧問室編輯 “電子商務安全”教材
新巴賽爾協定 新巴賽爾協定為巴塞爾銀行監管委員會所制訂,主要是要取代於 1988 年之資本協定。 原協定 新協定 結構與內容 單一的最低資本需求 三大支柱 方式與方法 預先確定標準,沒有選擇性 有預先確定的標準,亦容許銀行採用其他建議的自建模型 引入大量數學模型 模型分析與監理檢視相結合 風險覆蓋度 僅信用與市場風險 加入作業風險 教育部顧問室編輯 “電子商務安全”教材
新巴賽爾協定 三大支柱 三大支柱 第一支柱 最低資本要求 第二支柱 金融監理審查 第三支柱 市場紀律 信用風險 市場風險 作業風險 教育部顧問室編輯 “電子商務安全”教材
作業風險管理架構與流程 擬訂作業風險管理政策 建立作業風險管理組織 落實作業風險管理流程 提供風險管理資訊 來源:金融監督管理委員會,銀行風險管理實務範本作業風險管理分論及案例彙編 教育部顧問室編輯 “電子商務安全”教材
擬訂作業風險管理政策 作業風險策略及政策應說明作業風險管理目的、作業風險定義、作業風險容忍度及作業風險管理環境。 建立作業風險管理策略及政策 訂定作業風險容忍度 建立相關準則 例如:訂定新產品及新業務核准政策 與風險對應政策 教育部顧問室編輯 “電子商務安全”教材
建立作業風險管理組織 建立適當作業風險管理的環境 清楚定義相關人員之職掌 建立獨立作業之風險管理機制 特別考量以下人員: 董事會 高階管理階層 稽核 建立獨立作業之風險管理機制 教育部顧問室編輯 “電子商務安全”教材
落實作業風險管理流程 基本原則 風險辨識及評估 風險衡量 風險溝通 :對內呈報與對外揭露 風險監控 訂定書面化之作業風險管理準則及程序 落實到行內各項營運活動、產品、服務及系統中 需接受定期驗證及獨立查核。 風險辨識及評估 風險衡量 風險溝通 :對內呈報與對外揭露 風險監控 教育部顧問室編輯 “電子商務安全”教材
作業風險衡量方法 依其計算複雜性和風險敏感度漸增方式排列,可分為: 基本指標法 (Basic Indicator Approach) a x 前三年平均營業毛利 (取為正值者) a = 15% 標準法 (Standardized Approach) 15 % b 收付清算 企業財務規劃 財務交易與銷售 業務別 18 % 代理業務 商業金融 12 % 資產管理 消費金融 消費經濟 教育部顧問室編輯 “電子商務安全”教材
作業風險衡量方法 (續) 進階衡量法 (Advanced Measurement Approaches, AMA) 內部衡量法 (IMA):計算各業務別與作業風險損失型態的損失事件發生機率及該特定事件損失 損失分配法 (LDA):直接估計各項業務別與作業風險損失型態,在未來特定期間之作業風險損失分配 計分卡法 (Scorecard):先確定全行或各業務別之作業風險資本計提額之後,再依計分卡結果持續修正 教育部顧問室編輯 “電子商務安全”教材
作業風險之控制 轉嫁 規避 嚴重性 接受 控制 發生頻率 教育部顧問室編輯 “電子商務安全”教材
損失資訊與損失資料庫 目前國內銀行試圖建立作業風險損失資料庫以解決衡量作業風時,所面臨因內部損失資料不足的議題。 銀行可透過內部損失事件資料庫之建立,以處理資訊揭露及資料蒐集、保存、管理及分析的功能 損失資料庫的資料來源可分為內部資料及外部資料,以下將針對內部資料、外部資料說明及情境分析。 教育部顧問室編輯 “電子商務安全”教材
新巴賽爾之業務別分類 企業金融 (Corporate Finance) 交易及銷售 (Trading and Sales) 消費金融 (Retail Banking) 商業銀行 (Commercial Banking) 支付和清算 (Payment and Settlement) 代理服務 (Agency Services) 資產管理 (Asset Management) 零售經紀 (Retail Brokerage) 教育部顧問室編輯 “電子商務安全”教材
損失形態分類 內部舞弊 (Internal Fraud) 外部舞弊 (External Fraud) 僱傭與工作場所安全 (Employment Practices and Workplace Safety) 客戶、商品與企業營運 (Clients, Products and Business Practices) 實體資產損害 (Damage to Physical Assets) 營運中斷與系統失效 (Business Disruption and System Failures) 執行、傳送與程序管理 (Execution, Delivery and Process Management) 教育部顧問室編輯 “電子商務安全”教材
從新巴賽爾作業風險,可以思考 如何將資訊安全與其作業風險做整合? 其風險值估算的方式,是否有可以借鏡的地方? 是否有可能建立資訊安全損失資料庫? 內部資料該如何分類? 外部資料可以如何取得? 教育部顧問室編輯 “電子商務安全”教材
參考文獻 RMA, BBA, ISDA, and PricewaterhouseCoopers, Operational risk – the next frontier, RMA, 1999 巴塞爾銀行監理委員會,銀行自有資本之計算與自有資本標準之國際通則 (行政院金融監督管理委員會譯),2004。 BSI, Information security management systems – Part 3: Guidelines for information security risk management, BS7799-3:2006, 2006 COSO (Committee of Sponsoring Organizations of the Treadway Commission). Enterprise Risk Management Integrated Framework, COSO, 2004 John Sherwood, et al. Enterprise Security Architecture: A Business-Driven Approach, CSI, 2005 台灣金融研訓院,風險管理理論與方法,2004 金融監督管理委員會,銀行風險管理實務範本 作業風險管理分論及案例彙編 ,2007 教育部顧問室編輯 “電子商務安全”教材
Module 14-2: 資通安全管理中心 (Security Operation Center, SOC) 教育部顧問室編輯 “電子商務安全”教材
前言 全球資安事件日益猖獗,攻擊手法日益翻新,使政府單位、金融機構、高科技公司等事業的IT人員不勝其擾,對於即時的資安事件監測與應變的需求也日益提升。 國家資通安全會報推行「建立我國通資訊基礎建設安全機制計畫」 ,自2001 年1 月開始至2004 年12 月結束,強制要求影響國家安全、社會安定的20 個重要資訊系統在2003 年12 月之前完成資通安全監控中心(Security Operation Center, SOC) 之建置,以增強我國重要政府機關之資安防護能力。 為什麼系統管理很重呢?這是因為如果缺乏系統管理,可能會造成 機密性的資料被外洩的可能會被提高 資料在傳送的過程中已被竄改而自己混然不知,可能會導致很嚴重的後果,例如收方以為收到的內容是真的由送方所送來的 系統因為缺乏系統管理,進而導致系統裡的資料流失卻無法回復,造成系統很大的損害 因系統被裝後門,而導致個人的資訊外洩,所以造成個人隱私權受到駭客的截取侵害 因缺乏系統管理,系統可能因中毒而導致網路不能正常運作,進而中斷了企業運作,造成企業很大的損失 因為系統一直受到侵害,造成顧客對公司缺乏信心,促使企業的商譽嚴重受到損害 教育部顧問室編輯 “電子商務安全”教材
何謂 SOC ? SOC,全名為 Security Operation Center,稱作「資訊安全監控中心」此為一集中式的安全管理平台及維運機制,經由此安全管理平台可將多種的資安設備,包括:異質性防火牆平台、不同的網路型入侵偵測 / 預防系統 (IDS/IDP) 及其他伺服器所產生的資通安全事件紀錄,以系統化的方式收集、分析、儲存。透過資訊安全監控中心管理平台進行 7X24 (7天x 24小時) 之監控服務及事件通報與處理,以提升企業組織之資訊安全及確保資訊資產安全。 教育部顧問室編輯 “電子商務安全”教材
名詞解釋 SOC (Security Operation Center) – 資訊安全監控中心。 MSS (Managed Security Service) – 管理安全服務。 包含遠端及藉由客戶或網路設備之防火牆、入侵偵測之監看或管理之申請之防護服務。此服務提供7x24 的即時監看、防護、警戒提升與應變程序。 MSSP (Managed Security Service Provider) – SOC 委外服務之廠商。 ISMS (Information Security Management System) – 資訊安全管理系統。 資安事件(Information Security Event) –資安事件指的是系統、服務或網路狀態可能破壞資安政策或是導致安全防護的失效,或是進入一個安全攸關的未知狀態。 教育部顧問室編輯 “電子商務安全”教材
ISO 27001:2005 資訊安全管理系統 ISO 27001:2005資訊安全管理系統(ISMS)-要求事項,其控制目標與控制措施中,將資訊安全事故管理(Information Security Incident Management)列為獨立的一個章節 A.13 資訊安全事故管理 (Information Security Incident Management; ISIM)中,共有兩個控制目標與五個控制措施 教育部顧問室編輯 “電子商務安全”教材
ISIM 控制項目 1.通報資訊安全事件與弱點 (Reporting information security events and weaknesses ): (1)通報資訊安全事件 (Reporting information security events) (2)通報安全弱點 (Reporting security weaknesses) 2.資訊安全事故與改進的管理 (Management of information security incidents and improvement) (1)責任與程序 (Responsibilities and procedures) (2)從資訊安全事故中學習 (Learning from information security and incidents) (3)證據的收集 (Collection of evidence) 教育部顧問室編輯 “電子商務安全”教材
ISIM vs SOC 在ISMS的管理上,SOC的功能涵蓋資訊安全事故管理(ISIM)的控制措施,透過SOC的運作,可對資安事故進行有效的安全管控 教育部顧問室編輯 “電子商務安全”教材
SOC 建置目的 掌握及分析最新的病毒、漏洞及駭客資訊,24小時監控進行資安預警、應變及追蹤,使資安事件之損害降至最低。 建置惡意程式碼、弱點、駭客行為模式、資訊系統使用環境、修補程式等資料庫。 建置防火牆控管、入侵偵測及回應控管、安全漏洞控管、防毒服務、資訊安全風險評估等技術。 教育部顧問室編輯 “電子商務安全”教材
資安事故的管理 資安事故管理應包含從事故發生前的預防、事故發生時的處理以及事故發生後的善後全程管理 事故發生前的預防 : 平日應從認知、訓練與教育進行準備工作,以利在病毒、駭客入侵等資訊安全事件發生時,可以有效的控制狀況,並減少風險及降低損失。 事故發生時的處理: (i)來源識別:安全事件發生時,鑑識其源池是病毒、內部 人員或是外部人員並識別脆弱性之所在。 (ii)減災處理:採取必要的控制措施、抑制安全事件之擴散,並試圖降低潛在風險。 (iii)矯正措施:消除所有可能之安全事件的脆弱點,有效預防相同事件之再度發生 教育部顧問室編輯 “電子商務安全”教材
資安事故的管理(續) 事故發生後的善後全程管理 (i)回應作業:確認所有問題均已有效處理並根除 其脆弱點後,回復至安全事件發生之前的資訊系統運行狀態。 (ii)後續稽核:根據實作之需要,記取教訓、汲取知識、學習技能等工作,調整現有之安全架構與運作機制,力求避免再發生類似的脆弱點或是精進安全事件產生時之處理能力。 教育部顧問室編輯 “電子商務安全”教材
SOC 五項主要功能 事前預防 事中監看 事後處理 上述五個功能,須由資安人員、資安管理產品以及資安事件處理程序來完成。 「資安警訊管理」 「資安弱點管理」 事中監看 「資安設備管理」 「資安事件監看」 事後處理 「資安事故處理」 。 上述五個功能,須由資安人員、資安管理產品以及資安事件處理程序來完成。 國家資通安全會報與國內外SOC業者之經驗,SOC可分為五項主要功能: 事前預防部份包括 「資安警訊管理」與「資安弱點管理」 事中監看部份包括 「資安設備管理」與「資安事件監看」 事後處理部份為 「資安事故處理」 。 上述五個功能,須由資安人員、資安管理產品以及資安事件處理程序來完成。 教育部顧問室編輯 “電子商務安全”教材
資安警訊管理 SOC的其中一項功能就是做資安警訊蒐集,每日蒐集最新的資安警訊,將系統新發現的弱點進行修補。依所蒐集之警訊判斷對於所防護之系統是否有風險,以判斷是否需做修補。 教育部顧問室編輯 “電子商務安全”教材
資安弱點管理 弱點管理的部份也是SOC的功能。弱點掃描和滲透測試是比較常見的稽核方式,這些弱點管理的工作必須定期執行,同時對於被發現的弱點進行補強,方能確保系統沒有可遭利用的弱點。 資安弱點管理的方式較常見的有弱點掃描與滲透測試兩種,弱點掃描為透過弱點掃描軟體對網路上的機器進行已知的系統弱點或弱點進行掃描,依據掃描的結果判斷系統是否有弱點可能被駭客利用;滲透測試則是針對有侷限的範圍,在給定的時間,在受測機關同意的範圍內,由外部測試者進行各種方式的測試,測試的方式就不僅限於系統弱點,包括應用系統設計的缺失,安全管理上的疏漏都應納入滲透測試。 教育部顧問室編輯 “電子商務安全”教材
資安設備管理 防毒系統要定期更新病毒碼,防火牆規則設定定期審查,IDS與IPS的log定期檢視,因此,資安設備的管理,對SOC來說是非常重要的功能。 一般最常見的資安設備包括:防毒系統、防火牆(Firewall)以及入侵偵測/防禦系統(IDS/IPS),這些設備使用上的專業度較高,往往有安裝完就不再更新或管理的情形,許多資安事件的發生未被及時發現,都是肇因於資安設備的管理失當以致沒有發揮該有的作用。資安設備的管理工作主要有兩個:維護(maintain)與更新(update)。維護是確保系統的正常運作;更新則是定期更新防毒軟體的病毒碼或是入侵偵測/防禦系統的偵測碼 教育部顧問室編輯 “電子商務安全”教材
資安事件監看 資安事件監看也是SOC最重要的價值,就是必須能24小時監看資安事件的發生,並在事件發生時立即處理。由於從IDS、防火牆等資安設備回報的資安事件數量龐大,在資安事件監看上,就有賴SOC平台進行初步的資料過濾,再由專業的資安技術人員分析,以進行最後的判斷,SOC資料流的概念如圖。 資安事件監看也是SOC最重要的價值,就是必須能24小時監看資安事件的發生,並在事件發生時立即處理。由於從IDS、防火牆等資安設備回報的資安事件數量龐大,在資安事件監看上,就有賴SOC平台進行初步的資料過濾,再由專業的資安技術人員分析,以進行最後的判斷,SOC資料流的概念如圖。 教育部顧問室編輯 “電子商務安全”教材
SOC之資安事故應變處理流程 在95年度研考會編定資安事件應變作業參考指中,在導入SOC實務中宜遵循資安事故應變處理流程。 教育部顧問室編輯 “電子商務安全”教材
資安事故處理 當資安事故發生後,要進行的就是資安事故的後續處理與改善,事故處理的方式可大可小,端視受害的系統重要性與關鍵性,重要性較低的個人電腦或內部伺服器,可以逕行重新安裝作業系統的方式解決,但若是重要性高的電腦或是必須保留下受駭證據的設備 。 教育部顧問室編輯 “電子商務安全”教材
資訊安全監控中心(SOC) 係由五個模組所組成 - 事件產生器 (E-Box) - 事件收集器 (C-Box) - 資料庫 (D-Box) - 關連分析引擎 ( A-Box + K-Box) - 事件處理系統 (R-Box) 來源 : “Security Operation Center Concept & Implementation by Renaud Bidou” 教育部顧問室編輯 “電子商務安全”教材
五個模組彼此關聯的架構圖 圖片來源為 “Security Operation Center Concept & Implementation by Renaud Bidou” 教育部顧問室編輯 “電子商務安全”教材
SOC 的模組說明 (1) E-Box (事件產生器) 負責產生事件。事件的產生可分為兩類,一為主機或網路設備執行特定 作業程式所產生的事件,另一類為反應外界觸動作業所產生的狀態事件, 如 ping。 C-Box (事件收集器) 負責收集不同設備所產生的事件,並將他們轉換成標準的格式。 C-BOX 最主要的考量問題,在於它的可用性及擴充性,將數個伺服器組成群組 (clusters) 或應用硬體的方式架設負載平衡的機制,達到其可用性之目的。 (1)事件產生模組 事件產生模組(Event Generators, E Box)負責生成安全事件,可區分為兩 種:一是屬於數據類型的事件發生模組,係指令偵測器,如網路入侵偵測系統、 主機偵測系統、防火牆等,主要產生由操作系統、應用和網路操作所引發的事 件;另一類屬於狀態類型的事件發生模組,是由輪詢器(Poller),產生反應外部 試探(如Ping、SNMP 等)的事件,外部試探主要用來檢查服務狀態和資料完整 性等,這類事件如網管系統中的輪詢器工作站向管理主機發送的警告信息。安 全事件主要由偵測器產生,最典型的偵測器是入侵偵測系統,亦可以由任何具 備日誌功能的過濾器,如防火牆、具有存取控制表列功能之路由器、網路位址 過濾功能交換機、網路監聽設備(Sniffer)或誘捕系統(Honey pot)等處理。 (2)事件蒐集模組 事件蒐集模組(Event Collectors, C Box)負責從不同偵測器蒐集訊息,並轉 換為事件標準格式,進而形成統一格式以方便後續相關作業的處理。在事件蒐 集的過程中,鑑於傳送中安全性考量,往往需要應用加解密技術以保證訊息的 機密性與完整性,實現對SOC 系統的安全和可信賴的管理。 教育部顧問室編輯 “電子商務安全”教材
SOC 的模組說明 (2) D-Box (資料庫) 負責資料的儲存及處理基本的關連性分析,以辨識相同或重覆的事件。 此處所提的資料庫除需考量一般傳統資料庫的機密性、完整性及可用性外,尚需考量資料庫的執行效能 (performance),以能處理 E-BOX 所產生的大量 事件資料,並能在入侵者得逞之前分析出來並採取有效的防範措施。 A-Box + K-Box (關聯分析引擎) 負責分析儲存在D-BOX的事件資料,然後產生正確的警訊。如何分析產生正確的警訊是目前主要的研究項目,常見的方法包括關聯性演算法(correlation algorithms)、誤判訊息偵測 (false-positive message detection)、數學描述法(mathematical representation) 及分散作業法 (distributed operation),這些演算法都需要一些儲存在所謂 K-BOX 的資料庫中的輸入資料,如入侵 路徑特性、保護系統模組及安全政策等。 (3)事件訊息資料庫 事件訊息資料庫(Message Database, D Box)負責儲存偵測器所蒐集來的至 不同來源之事件訊息,而這些訊息應能適時的產生、儲存處理與分析,以便於 能即時對入侵企圖作出反應,亦提供稽核驗證、趨勢統計研判與後續電腦鑑識 分析等所需原始資料之應用,必須考慮資料庫資訊之可用性、完整性與機密 性,以及格式化等議題的處理方式。 (4)事件分析模組與知識庫模組 事件分析模組(Analysis Engines, A Box)負責進行分析儲存在資料庫中之 事件,為事件反應模組提供反應之依據,在進行事件分析時須參照引用知識 庫模組(Knowledge Base, K Box)資訊來支援,知識庫儲存相關判釋訊息與評 估準則,如入侵位址與路徑、脆弱性評鑑資訊、安全政策、使用者端組態與 客戶狀態記錄、系統安全模型等。分析模組進行包括事件相關性分析、結構 化分析、入侵路徑分析及登錄與存取行為分析等,亦是SOC 系統中最複雜的 部分。 教育部顧問室編輯 “電子商務安全”教材
SOC 的模組說明 (3) R-Box (事件處理系統) 負責當監控系統發生資安事件時,應採取的反應措施及報告功能。 根據經驗顯示,反應措施及報告功能是非常主觀的認定,因為會牽涉到 圖形畫面 (GUI) 的設計問題、法律的限制、資安政策的實施以及對客戶服務的承諾 不得輕估 R-Box 模組的重要性,因為即使有再好的分析工具能定義、分析出入侵事件,但如果不能在合理的時間內提出對策,對整個 SOC 的作業來說,還是達不到應有的效能 (5)事件反應與通報管理模組: 事件反應與通報管理模組(Reaction and Reporting Management Software, R Box)負責對安全事件做出及時有效的反應,包括反擊正在發生之安全事件的所 有反應和報告。由於牽涉到人員安全因素,反應行為具有相當的主觀因素,必 需具有長期累積最佳實務經驗與具備相關知識之人員方能勝任。事件反應模組 不只需要對外提供自動化控制介面,事件快速反應介面、隨時監控介面、統計 分析介面、提供用戶脆弱性的風險評鑑報告、安全行為和系統安全狀態報告 等。除了需要安全子系統即時報告安全事件,SOC 亦可對安全事件的反應藉 助如防火牆與入侵偵測系統來建立聯防機制,譬如在防火牆中加入動態過濾安 全規則等。 教育部顧問室編輯 “電子商務安全”教材
教育部顧問室編輯 “電子商務安全”教材 (1)安全事件的蒐集與儲存 在分散式網路環境中為了達到蒐集不同來源如syslog、snmp、smtp、html 等數據之目的,需要應用不同通訊協定代理及應用程式代理,中間利用調度器 來連接這兩個模組進行處理。為了確保在分散式環境中處理蒐集數據的效能, 須考慮到不影響到系統執行效能的高可用性及負載平衡外,尚須考慮資訊的安 全性。 在數據的獲取及儲存方面,需充分考量資訊的管理與維護。一般在建立 偵測器和設計事件相關性或分析規則前,必須對所有被監控IT 基礎建設評估 其安全等級和存取權限、許可操作等之安全政策。安全等級評估可以做為判 定企圖入侵一個目標系統可否成功之依據,安全等級評估的資訊獲得可以分 為兩部分:脆弱性評鑑及系統關鍵性分析。可利用執行黑箱測試(Black Box) 和白箱測試(White Box)方法獲得脆弱性評鑑資料;由分析一個入侵事件可能 會產生系統相對衝擊後果而獲得關鍵性的資料。 (2)脆弱性資料庫 脆弱性資料庫儲存有關弱點的資訊,脆弱性是指系統中安全環境的缺陷或 不符安全的行為,這些脆弱性可能會影響整體安全等級,也可能被駭客加以利 用作為入侵攻擊。作為知識庫的組成部分,脆弱性資料庫儲存有三類脆弱性資 訊: (i)結構性脆弱性:通常係指軟體本身設計的內部缺陷,例如緩衝區溢位、字符 串格式等弱點。 (ii)功能性脆弱性:係指組態配置、操作行為與使用者等進行環境有關的弱點、 定義、格式化等通常需要操作環境、網路與應用各方專家的參與。 (iii)拓樸相關脆弱性:主要基於網路基礎建設及佈署之脆弱性,如監聽、IP 詐 騙等,宜考慮過濾入侵路徑的影響及產生的後果等議題。 (3)安全政策 建立一個明確有組織的安全政策審查方向,它可能對事件產生及反應-報 告過程會有所影響,安全政策主要清楚兩個面向是需要對授權與測試/稽核程 序的審查,這兩個構面提供感測器偵測行為事件的相關資訊;行為事件產生(如 管理員登錄、連接埠掃描等) 將被註記,並與安全政策準則進行比對是否相 符,若否則被分析判定為可能的企圖入侵事件。 (4)安全事件的分析 安全事件分析模組綜合分析來自不同設備,數量龐大和複雜的事件序列, 透過模式比對找出安全事件之間的關聯性關係,即相關性,最終產生高度合成 準確分析結果。分析處理的結果好壞會直接關係著SOC 系統的後續處理。模 式分析的基本內涵包括: (i)識別重覆信息:對於收到的多個重覆信息進行篩選/過濾,以減輕儲存和 處理之負擔。 (ii)序列模式比對:判定一系列信息是否由同一入侵企圖所觸發。 (iii)事件模式比對:透過基於時間的脈絡/上下文分析,識別緩慢分散式入侵 過程。 (iv)安全政策比對:基於行動比對識別符合安全政策規則定義的事件,如管理 員登錄、驗證等。 (v)系統威脅分析:判斷目標系統是否遭受已偵測到之攻擊企圖的威脅,並分 析此類攻擊對系統整體安全的影響。 教育部顧問室編輯 “電子商務安全”教材
SOC以人為中心,不是人以SOC為中心 SOC是維運人員、資安監控設備以及管理程序的結合 在SOC監控設備採購的同時,就需建立一個SOC維運種子團隊,這個團隊必須在SOC監控設備採購與佈建的同時,請SOC建置商提供平台技術資訊,共同規劃建置單位相關的管理程序,以及維運種子人員訓練計畫。即便如此,系統上線後仍需要一段時間步上正軌,這些都有賴SOC維運種子團隊與單位主管的溝通,始能順利進行。 SOC系統建置完成時,通常是已經整合了資安設備的log進入SOC的資料庫。這時會遇到的狀況是這些log的資訊實在太多了!而且大部分是沒有參考價值的資訊。這時需要相當多的設定調整,以過濾這些資訊,這需要暸解建置環境使用需求的人、暸解系統設定的人與暸解資訊安全技術的人密切的合作,甚至需要一段長時間的使用狀況觀察,以使系統可以調整到最佳化的效能。 資安技術支援人員,至少有兩個主要的功能:一是最新資安資訊的蒐集與研究,資安入侵技術的發展與系統弱點的發現越發快速,為了隨時維持SOC能掌握最新的資安攻擊手法以及偵測技術,資安技術支援人員必須要隨時更新最新的攻擊手法偵測規則,以及提供相關技術說明給資安事件監控分析人員,以能於發現類似事件時立即反應;資安技術支援人員必須是資安經驗最豐富,敏感性最高的資安老手,在人才市場上,這種人也是非常搶手。其實,多數的資安人才是靠學習而培養成的,許多系統管理員、網路管理員經過相當的資安技術訓練,再配合工作上的經驗累積,都可以成為稱職的SOC維運人員。然而技術易學,最重要的是必須要不斷地對資訊安全議題有熱情。 教育部顧問室編輯 “電子商務安全”教材
SOC維運所需資源 資安事故管理中心,需要人力資源(People)、資安產品(Product)及程序建立(Procedure)三方面的整合運作及資源投入,才能順利維運 提供即時的事件監看與處理是SOC 最核心的價值 教育部顧問室編輯 “電子商務安全”教材
People -維運人員資源及能力 種類 數量 工作內容 資歷與技術能力 值班監看人員: 4+ 執行7 天24 小時輪班監看,針 對資安設備偵測到的資安事件 進行第一線的分析與判斷。 至少1 年以上網路與系統管理工作經驗‧ 1.網路攻擊判斷 2.安全紀錄分析 系統管理人員。 2+ 維護監看系統的正常運作 至少1 年以上系統管理工作經驗。 1.作業系統管理 2.網路管理 資深人員 1+ 值班監看人員經過第一線判斷無法自行處理時,接手執行第二線資安事故處理之工作。 至少2 年以上資安技術服務工作經驗 3.資安事故處理 4.電腦鑑識技術 教育部顧問室編輯 “電子商務安全”教材
Product -資安設備資源投入 入侵偵測系统 防火牆 防毒軟體 其他有資安紀錄檔之設備 安全資訊管理工具(SOC平台) 異種紀錄檔接收 資料過濾 紀錄檔正規化 事故判斷規則 事故判斷規則輸入 事故問題單管理 資安事件與事故資料庫 入侵偵測系統 : 部署於可能遭入侵的網路,透過定義檔的比對,偵測可疑的網路封包,並發出警訊。 防火牆 : 部署於可能遭入侵的網路邊界,以通訊協定或連接埠為主的存取政策,控制網路流量的進出,並可紀錄網路流量。 防毒軟體 : 部署於可能遭入侵的主機,偵測並阻擋惡意程式的入侵 其他有資安紀錄檔之設備 : 如伺服器主機的安全紀錄、路由器的安全紀錄、主機型入侵偵測系統等。 安全資訊管理工具(稱為SOC平台) : 能將異種資安設備的紀錄,透過網路蒐集,並能轉換為相同的格式紀錄;並有將各種紀錄記錄資安事件,進行初步判斷,篩選出可能為資安事故的資安事件,由專業人員進行後續分析判斷。SIM一般為Client Server架構,Client端為log資料蒐集器,接收各種資安設備的log輸出之log,以下稱為SOC agent,Server 端則為資料儲存與監看人員分析的平台。 安全資訊管理工具包含 : 異種紀錄檔接收 : 屬於SOC agent 的功能,透過syslog 或其他資安設備的log 匯出格式與通訊協定,將受防護端的各種監看設備log蒐集至SOC agent 資料過濾 : 屬於SOC agent 的功能,將所蒐集到的log,依據風險的高低進行過濾,優先處理高風險的事件。 紀錄檔正規化 : 屬於SOC agent 的功能,由於各種資安設備的log格式不盡相同,必須將各其轉換為相同的格式,以進行後續的資料儲存與分析。 事故判斷規則 : 一般稱為correlation rule,,依據不同的產品,不一定在agent 或Server 端,每一筆資安設備log都可以算是一個資安事件,但是會形成事故的僅佔大量資安事件中的一小部份,而會形成事故的資安事件往往具有某些規則,SOC 平台必須有能力透過這些規則從大量的資安事件篩選出少量可能形成事故的事件,由監看人員進行分析以做最後的判斷,事故判斷規則的強弱會影響監看人員處理事件的效率與正確性,可說是SOC平台最舉足輕重的功能。 事故判斷規則輸入 : 由於資安事件對不同環境的影響各異,且隨著時間的改變,也會不斷有新的偵測技術與判斷規則產生,這是有賴監看人員的知識與經驗,而SOC平台要有一個介面給監看人員將新的事故判斷規則輸入,才能長保SOC可隨時掌握最新的資安攻擊型態。 事故問題單管理 : SOC 平台判斷為資安事故的事件,必須有後續的處理紀錄與追蹤,因此要有一問題單管理系統,事故發生時開單,處理完畢後關單結案,處理過程都可以留下紀錄。資安事故必須相當謹慎,所有查詢過的資料,做過的檢查,執行的時間等都必須要留下紀錄,一則便於稽核,一則留下處理的軌跡,以供其他人員做類似事故處理的參考。 資安事件與事故資料庫 : SOC 平台必須有龐大的資料庫以儲存經手的資安事件與事故,除了定時的監看報告產出需要外,嚴重的事故需要調閱證據時,SOC資料庫應該也要有最完整的證據保存。 教育部顧問室編輯 “電子商務安全”教材
Procedure -資安程序流程之建立 建立資安事故處理流程 建立通報應變流程 為確保每一個監看人員處理事件的品質一致,在SOC維運時,必煩建立一套資安事故處理流程,依據不同的環境,有不同的處理流程 建立通報應變流程 資安事故發生,必須要向上層通報,通報細節都必須明確訂定 資安事故處理流程 : 為確保每一個監看人員處理事件的品質一致,在SOC維運時,建立一套資安事故處理 流程是必要的,問題單開出時,有哪些資料一定要查詢的,有哪些地方一定要檢查,如 何與受攻擊端的人員互動,如何進行後續的處理,何種情況可以結案,依據不同的環境 可以有不同的處理流程,一套固定的處理流程是有必要的。 通報應變流程 : 若有資安事故發生,必須要向上層通報,最終都要通報到國家資通安全會報,但是中間的 流程則要明確訂定, 教育部顧問室編輯 “電子商務安全”教材
參考文獻 國家資通安全技術服務與防護管理計畫 SOC 參考指引 (行政院研究考核委員會,2006/12) Security Operation Center Concept & Implementation by Renaud Bidou 樊國楨資安監控中心之終極目標:資訊分享與分析中心初探 賴居正 , SOC維運經驗分享 教育部顧問室編輯 “電子商務安全”教材
Module14-3: 資訊分享與分析中心 (Information Sharing and Analysis Center, ISAC) 與 金融服務 (Finance Service, FS)-ISAC 教育部顧問室編輯 “電子商務安全”教材
學習目的 重要民生基礎建設資訊保護 (Critical Infrastructure Information Protection, 簡稱CIIP) CIIP樞紐的資訊安全分享與分析中心 (Information Sharing and Analysis Center, 簡稱ISAC) 美國FS-ISAC(金融服務資訊分享和分析中心) 用於建構風險(Risk)評估的CORAS開放原始碼 教育部顧問室編輯 “電子商務安全”教材
重要民生基礎建設資訊保護(CIIP) 重要民生基礎建設(Critical Infrastructure)是指一個國家為維持民生、經濟與政府等運作而提供之基本產品及服務,諸如:通訊、能源、金融、電力、供水、健保等 當這些基礎建設的運轉作業中斷時將會對公共活動、民眾生命健康,甚至國家安全造成重大影響。參見2007年上映的終極警探4.0 (Die Hard 4.0)電影 重要民生基礎建設目前運轉控制均已全面電腦化且日益成為開放系統,重要民生基礎建設資訊保護(Critical Infrastructure Information Protection,簡稱CIIP)已成為全球的共識 教育部顧問室編輯 “電子商務安全”教材
各國重要民生基礎建設資訊保護(Critical Infrastructure Information Protection)概況 教育部顧問室編輯 “電子商務安全”教材
資訊分享與分析中心 (Information Sharing and Analysis Center,ISAC) 源自美國1998年5月22日之第63號總統決策令(Presidential Decision Directive 63,簡稱PDD63)。 1999年10月0日成立之金融服務(Finance Service,簡稱FS)-ISAC是美國第1個在PDD63規範下成立之ISAC 。 除美國外,歐盟與日本等均成立不同領域之ISAC。 2002年美國公布關鍵基礎建設資訊法(Critical Infrastructure Information Act of 2002), http://www.fas.org/sgp/crs/RL31762.pdf ,規範ISAC。 2006年9月美國公布其「Procedures for Handling Protected Critical Infrastructure Information」, Federal Register, Vol.71, No.170, PP.52261~52277。 Homeland Security Act of 2002, 教育部顧問室編輯 “電子商務安全”教材
美國ISAC歷程簡述 1. 1984年國家協調中心(National Coordination Center for Telecommunication,簡稱NCC)根據雷根總統簽署之12472號行政令(Executive Order 12472)成立,是美國第1個具備ISAC功能之組織。 2. 1996年美國國防部部長裴力(Perry, W.J.)在“Foreign Affairs, Vol.75, No.6”發表“Defense in an Age of Hope”文中提出預防性防禦(Preventive Defense)的國家安全策略。 3. 1997年美國總統重要民生基礎建設防護委員會(President’s Commission on Critical Infrastructure Protection,簡稱PCCIP)在主席參議員馬許(Marsh, R.T.) 主持下,根基於預防性防禦之概念於1997年10月向美國總統提出:「重要民生基礎建設保證國家架構(National Structure for Infrastructure Assurance)建議」中,提出成立各個領域之ISAC,以防止無法確認可能影響國家、社會與經濟安全的情況發生,造成「公共領域之悲劇(Tragedy of the commons)」的結論。要求經由ISAC之運作,一步步地建立對於重要民生基礎建設情形的瞭解,並區別真實之攻擊,還是虛驚事件。 教育部顧問室編輯 “電子商務安全”教材
美國ISAC歷程簡述(續) 4. 1998年美國白宮公布「第63號總統決策令(Presidential Decision Directive 63,PDD63)」白皮書(White Paper),闡明「重要民生基礎建設防護(Critical Infrastructure Protection)」之國家政策。在PDD63中,確立由國家基礎建設防護中心(National Infrastructure Protection Center,NIPC)主責全國預警與資訊分享的工作(註:亦即美國聯邦政府ISAC之工作)並承擔美國司法部、國防部與中央情報局的規範功能之任務;各個ISAC由國家協調、聯邦協助成立,提供各個領域與NIPC間合作等服務的國家政策。 5. 1999年,美國財政部宣布向所有已獲金融服務協會認可(Recognized)之會員開放財金服務(Finance Service) ISAC,並已有12個公私機構簽署加入此中心意願的信函,成為執行PDD63之第1個ISAC。 6. 2002年11月25日,美國公布國土安全法(Homeland Security Act of 2002,簡稱HSA),其第2章(Title 2)之「資訊分析與重要民生基礎建設保護(Information Analysis and Infrastructure Protection)」稱為「重要民生基礎建設資訊法(Critical Infrastructure Information Act of 2002)」,確立ISAC之法源。 教育部顧問室編輯 “電子商務安全”教材
美國ISAC歷程簡述(續) 7. 2003年美國白宮公布「確保數位空間安全國家策略(The National Strategy to Secure Cyberspace)」,要求美國國土安全部主責協調各個領域ISAC的非政府實體,成為「美國國家數位空間安全反應系統(The National Cyberspace Security Response System)」中之一個環節,並參照1997年6月美國參謀首長會議下令舉行之合格接收機(Eligible Receiver)演習,執行演習。 8. 2003年美國白宮公布「第7號國土安全總統決策令(Homeland Security Presidential Directive - 7,HSPD-7)」。在HSPD-7中要求聯邦政府應在2004年7月31日之前完成準備防護實體與數位(Physical and Cyber)之重要民生基礎建設及基重要資源(Key Resource)的計畫,美國國土安全部為執行HSPD-7,成立「美國電腦緊急整備小組(US Computer Emergency Readiness Team,簡稱US - CERT)」,協調各個ISAC執行相關工作。 9. 2006年美國國土安全部針對聯邦與州政府、資訊技術、通訊、能源、交通及財金等公私領域跨越5個國家、60處、超過100個機關(構),執行重要民生基礎建設安全防護之能力試驗的數位風暴(Cyber Storm)演習。 教育部顧問室編輯 “電子商務安全”教材
美國ISAC 1. 產業面: 在公司間機資訊技術缺陷功能、企圖之攻擊與非經授權的入侵之本質提供資訊分享,並將其過濾以保護被識別出是那一家公司的事件或事故。 協調產業界特殊的研究發展要求。 檢查整個產業範疇之資訊技術缺陷功能與相依性。 發展員工資訊技術缺陷功能之教育與認知計畫,分享訓練計畫。 教育部顧問室編輯 “電子商務安全”教材
美國ISAC 2. 政府面: 提供重要攻擊(Significant attack)之適時資訊(Near-real-time)、網路威脅的策略性評鑑(Strategic assessments)予有關人員,以及提供脆弱性資訊。 協調聯邦與產業界在資訊系統安全方面之研究與發展,幫助闡明滿足市場驅動力的需要。 提供教育與認知計畫之資源與其他支援。 對ISAC發展適用之法規的修正。 教育部顧問室編輯 “電子商務安全”教材
美國資訊分享與分析機制 教育部顧問室編輯 “電子商務安全”教材
電子商務可靠性事件例 1994年9月11日,楊瑞仁先生萌生偽票交易意念,3天後楊瑞仁偽造的第1筆N.T. $ 300,000,000 元的商業本票,他突破層層關卡的關鍵因素之一是利用電腦偽造交易,再予以刪除。。 2003年10月20日及21日兩天全國自動櫃員機交易系統當機事件,根據財金公司統計,造成民眾提款與匯款損失的交易約僅900筆,金額在NT.$1,000,000左右。當機期間可能受影響的個案,包括扣帳未入帳、次日入帳、交易後產生滯納金與滯納利息等。 2003年10月24日上午8時47分發生期貨交易所成立以來最嚴重之暫停交易。台灣期貨交易所交易撮合系統至9時25分才恢復正常,9時30分將所有1,600筆委託完成撮合。 2004年3月27日,台灣地區發生「木馬程式側錄網路銀行帳號、密碼」事件。 教育部顧問室編輯 “電子商務安全”教材
美國FS-ISAC (金融服務資訊分享和分析中心) http://www.fsisac.com/ 1999年成立。 結合美國財政部門和金融服務部門進行相互協調,為了提高金融服務部門具備預先防備和反應與電腦相關及實體威脅的警戒能力,並能將訊息在相關單位間快速傳遞訊息以便提早反應。 Flash影片簡介http://www.fsisac.com/about/tour/isac_tour.php 會員收取年費分為五種服務的等級: Platinum (US$50,000), Gold (US$25,000), Premier (US$10,000), Standard (US$5,000), Core (US$750). http://www.fsisac.com/join/benefits/ 教育部顧問室編輯 “電子商務安全”教材
美國FS-ISAC 即時警訊(alert)燈號 五種警訊燈號 http://www.fsisac.com/graphics/threatlevels/warning_icons.gif 教育部顧問室編輯 “電子商務安全”教材
美國FS-ISAC會員服務 資料來源:http://www.fsisac.com/files/FS-ISAC_Overview_2007_04_10.pdf 教育部顧問室編輯 “電子商務安全”教材
關鍵基礎建設與風險管理 風險管理是關鍵基礎建設資訊保護之核心工作,其目的在於有效管理與降低根源於實體(Physical)、人為(Human)與數位(Cyber)3個構面之攻擊威脅風險;其作業過程分為下列6個項目: 制定安全目標:參照各個領域之特性,考量各自獨立的資產、系統、操作程序、營運環境與風險管理方式,定義或描述此領域冀求達成之實體、人為及數位保護位置(Protection Posture)。 識別重要資產:就實體、人力與數位3方面,考量各個領域及其相恃性(Interdependence)之衝擊,實作「關鍵基礎建設生命財產安全組態資料庫」。 教育部顧問室編輯 “電子商務安全”教材
關鍵基礎建設與風險管理 (續) 3. 評鑑風險: 3.1 威脅評鑑:評鑑各個重要資產遭受攻擊之可能性。 3.2 脆弱性評鑑:識別各個重要資產在設計、製造與操作過程中之資訊技術缺陷功能可能被攻擊者使用的弱點及其修補方法。 3.3 後果評鑑:估計各個重要資產遭受攻擊可能造成之損失及其修補後之各種情境。 4. 優先排序: 將前述評鑑之風險數據經降低不同特性與方法等造成的不確定性差異之正規化(Normalization)分析後,識別並確認應進行風險降低的項目與宜採行之修補、矯正及預防等改進措施優先秩序的保護計畫。 教育部顧問室編輯 “電子商務安全”教材
關鍵基礎建設與風險管理 (續) 5. 實作保護計畫: 擬定並執行各個修補、矯正與預防以防阻(Deter)、降低衝擊(Devaluate)、偵測、減災、回應及復原等措施,以達成: 全面性(Comprehensive):應涵蓋實體、人為與數位3類威脅來源及其短期、中期和長期之相恃性後果。 充分協調(Coordinated):因關鍵基礎建設之保護計畫涉及地域分散、功能複雜、行業知識與專業技能等因素,必須充分協調配合方能實作。 風險管理(Risk Management):落實協調各項活動以指導、測量與控管關鍵基礎建設保護措施計畫之控制措施等,以追求最佳成本效益的保護措施。 6. 改進: 持續改進:最高管理階層應確保組織透過溝通、審查、稽核與演習、查證及確 認、矯正措拖、預防措施以及CIIP之更新的運用,持續改進CIIP之有效性。 CIIP之更新:最高管理階層應確保CIIP的持續更新,為達此目的,ISAC中之 SAC應定期提出危害(Hazard)評鑑與所建議的作業前提方案(Operational Prerequisite Programme,簡稱OPRP)及危害評鑑與重要控制點(Hazard Assessment Critical Control Point,簡稱HACCP)計畫。 教育部顧問室編輯 “電子商務安全”教材
關鍵基礎建設資訊保護功能性活動 1. 分析和評鑑: 分析和評鑑包括一系列的連續性活動:關鍵基礎建設關鍵資產確認及其特徵化、作業衝擊分析、脆弱性分析與相恃性(Interdependence)等的分析與評鑑工作。 2. 修補: 修補是在意外事件之前採取的預防行動,能夠改善已知的不足弱點,從而保證關鍵基礎建設部門或關鍵資產(例:資訊系統)的運作或使其避免受到破壞。 3. 指標與預警: 指標與預警包括了各種準備活動及對關鍵基礎建設狀態的分析,這些狀態往往能顯示出是否存在可能的資訊事件以及事件目前的狀態(是處在計畫階段還是已經開始)。 教育部顧問室編輯 “電子商務安全”教材
關鍵基礎建設資訊保護功能性活動 (續) 4. 減災: 減災是由關鍵基礎建設關鍵資產所有單位與設施及裝備基地、部門所採取的行動,是對關鍵基礎建設事件指標與預警的回應。 5. 回應: 回應是指那些消除關鍵基礎建設事件起因或事件源池的活動,包括由第三方(即非資產所有者和操作者)採取的應急措施,比如執法、調查、醫療、消防和營救等。 6. 重建: 重建指在關鍵基礎建設遭到破壞之後對其進行重新組建或恢復之工作。 教育部顧問室編輯 “電子商務安全”教材
CORAS (Consultative Objective and Risk Assessment System) CORAS是CIIP面對潛在脆弱性分析工作之歐盟的研發成果。 CORAS旨在創建、支持與維護CIIP之模擬實作環境,建置風險評鑑測試工作台(Testbed) 。 CORAS使用擴增(Extension)之UML (Unified Modeling Language),其中的UML Profile for Modeling Quality of Service and Fault Tolerance Characteristics and Mechanisms已成為工業標準(de facto standard)。 CORAS使用塑模方法,開放成為一個物件導向之重要民生基礎建設之風險評鑑作業平台。 http://coras.sourceforge.net/。 教育部顧問室編輯 “電子商務安全”教材
CORAS 簡介 教育部顧問室編輯 “電子商務安全”教材 CORAS 整合風險評估 方法的平台 UML規格語言 的延申。 以XML作為 工具發展的平台 以UML模組的方式來訂定不同風險評估方法之間的指標。 開發系統資訊安全的風險分析技術計畫(註) 教育部顧問室編輯 “電子商務安全”教材
CORAS 組織 歐洲4國 挪威、德國、英國、希臘 3間商業公司 Intracom(希臘)、Solinet (德國) 、Telenor(挪威) 7個研究所 CTI(希臘)、FORTH(希臘)、IFE(挪威)、NCT(挪威) NR(挪威),RAL(英國)和Sintef(挪威) 1所大學 QMUL(英國) Telenor和Sintef分別負責行政方面和科學方面的協調。 由歐盟投資在2001年至2003年間進行的第一年計劃,目的在開發系統資訊安全的風險分析技術 2004年至2007年,歐盟繼續投資,進行其第二期計畫,其目的為增進CORAS的工具集支援功能。 教育部顧問室編輯 “電子商務安全”教材
AS(澳洲)NZS(紐西蘭) 4360為風險管理程序的基礎。 (ISO/IEC 17799資訊安全法則) 以國際標準風險管理程序為基準 AS(澳洲)NZS(紐西蘭) 4360為風險管理程序的基礎。 (ISO/IEC 17799資訊安全法則) (ISO/IEC 13335資訊科技安全管理準則) 系統風險說明文件的架構以RM-ODP為準 (註) 目的: 改善傳統風險評估的方法論 電腦化 更精準有效的風險評估 註:(Reference Model for Open Distributed Processing) 教育部顧問室編輯 “電子商務安全”教材
改善使用者介面,更換將舊有的web-base客戶端介面 根據使用者的經驗和回應,升級風險分析分法的資料表的格式 2.0 新增功能 新的 客戶端界面 升級資料表 格式 整合CORAS UML到 編輯器中 支援 USE CASE和 順序圖 改善資料表的編輯功能 多版本資訊 資料的匯出及匯入 資料庫 備份及還原(WIN) 2.0.X新增的功能 改善使用者介面,更換將舊有的web-base客戶端介面 根據使用者的經驗和回應,升級風險分析分法的資料表的格式 將 CORAS UML模型整合到編輯器中,讓風險文件可以使用CORAS UML language 而不用另外的uml工具 增加支援UML的USE CASE和順序圖, 主要改善資料表的編輯,例:當你編輯欄位時內容自動完成 多版本的資訊,確保整個資料的修改歷史 開放”隱藏”,”顯示”,”增加”、”刪除”欄位(在欄位表頭按右鍵)支援由專案或經歷資料匯入或匯出增加資料庫備份及還原的指令(僅支援windows)支援由CORAS TOOL 1.0版匯入風險分析與經驗值 教育部顧問室編輯 “電子商務安全”教材 94
註1:有害事件、威脅圖、SWOT、資產圖.等 2.1.版新增功能 提升安全性 加密密碼 連線採用SSL加密 改善圖形編輯器結合無用事件和威脅圖到風險圖中 增加SWOT和資產圖 更好的儲存功能(離開時詢問要不要存檔) 改善資料表的編輯 增加由office 拷貝和貼上 支援依欄位排序資料表 啟用可以同時多選資料 增加支援Poseidon for UML 4.0匯入UML模型 註1:有害事件、威脅圖、SWOT、資產圖.等 教育部顧問室編輯 “電子商務安全”教材 95
CORAS 安裝環境 (1)Windows作業系統 安裝javaRunTime 安裝CorasTools (CorasTool-2.1b1-win-installer.exe) (start-server.bat) 啟動server端 啟用client端 (clinet.bat) 輸入帳號 密碼登入 教育部顧問室編輯 “電子商務安全”教材
CORAS平台登入畫面 教育部顧問室編輯 “電子商務安全”教材
CORAS平台畫面 教育部顧問室編輯 “電子商務安全”教材
CORAS 安裝環境 (2)Linux 作業系統 (jdk-6u2-linux-i586-rpm.bin) 安裝JDK 安裝CorasTools (CorasTool-2.1b1-installer.jar) 啟動server 啟動client 登入 教育部顧問室編輯 “電子商務安全”教材
CORAS 整合五種風險分析技術 教育部顧問室編輯 “電子商務安全”教材 危險可用的程序分析((HazOp) 錯誤樹分析(FTA) 失敗模式和影響與關鍵性分析(FMECA) 馬爾可夫分析(Markov Analysis) CRAMM(風險分析和管理方法) 教育部顧問室編輯 “電子商務安全”教材
CORAS 模組流程 內容辦識 ( Identify the context) 依據輸入的劇情及相關資料進 行辦識 風險辦識 (Identify Risk ) 辦識產生的風險,將結果傳至第三步 風險分析 (Analyse Risks) 分析風險的結果及其可能性來估計風 險的等級,將相關資料傳至第四步驟 評估風險 (Evaluate Risk) 根據風險分析的資料來評估風險 溝通與協調 (Communicate and Consult) 將各個步驟之結果傳至外部系統 教育部顧問室編輯 “電子商務安全”教材
CORAS 流程圖 教育部顧問室編輯 “電子商務安全”教材
Overview of the CORAS Framework 教育部顧問室編輯 “電子商務安全”教材
CORAS CASE實作七步驟 7.風險處理 5.風險判斷 3.認可 1.介紹 6.風險評估 4.風險識別 2.高階分析 教育部顧問室編輯 “電子商務安全”教材
參考文獻 中華民國資訊安全學會,經濟國國營事業委員會重要民生基礎建設資安資訊分享與分析中心(電力、油氣、自來水部分)建置計畫規畫, 2007年3月31日。 中華民國資訊安全學會,資安資訊分享與分析中心(ISAC)系列研討會,2007年12月6-7日。 教育部顧問室編輯 “電子商務安全”教材
References 教育部顧問室編輯 “電子商務安全”教材 Turban et al., Introduction to Electronic Commerce, Third Edition, 2010, Pearson