Information Security Fundamentals and Practices 資訊安全概論與實務 潘天佑博士 主編 版權聲明:本教學投影片僅供教師授課講解使用,投影片內之圖片、文字及其相關內容, 未經著作權人許可,不得以任何形式或方法轉載使用。
第四篇 第13章 實體安全與營運安全
非技術性風險 非技術性風險 人為破壞 盜賊入侵 社交工程 內部有心人士 自然災害 火災 水災 地震 公共事故 停電 停水 戰爭或社運
盜賊入侵的資安事件 水門事件 芝加哥公立學校電腦被盜 1972年美國總統大選進行中,為了取得民主黨內部競選情報,競選連任 的共和黨尼克森陣營派人闖入位於華盛頓水門大廈的民主黨全國委員會 辦公室,在安裝竊聽器並偷拍有關文件時,失風被捕,從而引發嚴重的 憲政危機。1974年七月底司法委員會通過彈劾尼克森的條款,尼克森於 八月宣布辭職,成為美國歷史上第一位辭職的總統。 芝加哥公立學校電腦被盜 2007年四月六日兩台筆記型電腦在芝加哥公立學校的總部被竊,大約 四萬名員工的個人資料面臨遭到冒用的危機。治安單位尚無法確定竊 賊的目標是筆記型電腦的價值,還是資料的價值。監視系統錄影帶以 交由媒體播出,該單位並懸賞一萬元美金給提供線索破案的人。
實體安全的目的 事前 事中 事後 在事前,防禦措施要達到嚇阻的效果,讓攻擊者知難而退。 在事件發生中,我們希望能儘量拖延入侵者的行動,並儘快偵測;設計防禦措施時可以多考慮拖延與偵測的綜效。 事中 在偵測到入侵事件後,值勤人員要快速評估狀況並採取行動。防禦措施要能記錄犯罪證據,做為事後追查與起訴的憑據。 事後
外圍防禦 (I) 外牆應設法與內部建築距離越遠越好。如果入侵者在跨越外牆就被發 現,值勤人員可以有較長的時間反應;如果入侵者在內部建築被發現, 外牆的距離也可以拖延他的脫逃。台灣的人口密度高,以致於許多外 牆與內部建築距離「太近」,反而成為入侵者進入室內的墊腳石。 外牆也用以界定私人領域。在台灣,非開放區域大多會設立圍牆;但 在歐美則未必。 一公尺的圍牆可以警示善意者不要進入;兩公尺的圍牆就較難攀爬; 但要達兩公尺半以上的圍牆才能對專業入侵者產生拖延效果。 高安全需求的組織會在圍牆上再加有刺鐵絲網,一般可以給圍牆再增 加半公尺高度且產生極佳的嚇阻及拖延的效果。然而專業入侵者還是 可以用厚毯或床墊通過有刺鐵絲網。 國外可以要求圍牆外不得停車,以降低入侵者的隱蔽性。但台灣人口 稠密,較難做這種要求。
外圍防禦 (II) 門或其它形式的出入口都應被視為「弱點」來處理。 人工造景也可以用做實體防禦。 圍牆是禁止人或車輛進出的防禦設施;而門或其它形式的出入口雖有其功 能的必要性,卻「破壞」了這種防禦的完整性,應謹慎評估。 門或出入口應該在「出入便捷」與「逃生安全」的基本條件下設立的越少 越好,不使用的門或出入口應予妥善封閉。 門或出入口應設立適當的門禁管制 。 人工造景也可以用做實體防禦。 有的軍營會在牆邊種植九重葛等具有帶刺莖幹的 爬藤植物如右圖。可以達到嚇阻或拖延的目的。 水塘或帶刺的矮樹叢可以將出入者限制在一定的 通道上。與偵測設備配合使用,可以縮小偵測之 距離與幅度。
門禁管制 出入口常由警衛或接待員管制,依據不同安全需 求,管制形態分為需要通報的、需要換證的、需 要登記的、口頭詢問、或是完全不設限的,都能 達到不同程度的犯罪嚇阻及訪客過濾。 警衛或接待員仍然是門禁管制的最佳選擇,他們 人性化、機動、並且判斷合理,遠優於任何科技 防禦設備。但他們若缺乏訓練、沒有紀律則會造 成組織「錯誤的安全感 (false sense of security)」, 以為有保障而鬆懈,反而造成組織更加脆弱。 另一個問題是警衛或接待員常被同時指派其它工 作,例如文書遞送、採購、甚至司機等,造成門 禁管制的空窗時間。
門禁系統 刷卡1 刷卡2 監視器 無管理員之門禁系統以刷卡 為主,可以做到身分認證與 追蹤。自動門禁系統的最大 威脅就是有意或無意的夾帶 他人過關,這種例子在真實 生活中屢見不鮮。 右圖所示的雙門管制使用於 高安全需求區域 (如軍事重 地或智慧卡製卡廠),可有效 地防制夾帶。
門鎖 門鎖是最傳統且常用的安全防禦設備 之一,它可以嚇阻一般人,卻對專業 入侵者防禦有限。門鎖最好要搭配其 它的防禦設備,並且不要有錯誤的安 全感。 鎖有分機械鎖與電子鎖。鎖匠或專 業入侵者幾乎都可以開機械鎖。一些 未加密的電子鎖也可以複製鑰匙。 鎖匠或專業入侵者可以憑聲音開機械 式對字鎖;電子式對字鎖的安全性則 類似 ATM的PIN,可用窮舉攻擊或社 交工程來取得密碼。
閉路監視設施 (I) 閉路監視系統 (closed circuit television, CCTV) 是實體安全的重要設備。 閉路監視系統是由前端的攝影機接收畫面, 傳輸到後端的監視螢幕與儲存設備。 監視訊息可以來自一個或多個地點;也可 以透過網際網路進行遠端監視。 閉路監視系統需要具備以下功能: 偵測 (detection):偵測到物件。 識別 (recognition):識別那個物件是什麼。 指認 (identification):指認物件的部分細節。
閉路監視設施 (II) 在裝置閉路監視系統時,應該儘量消除盲點 (blind spots): 應該依據地形地物安排攝影機。若是不可轉動的機器,要多裝幾台來提高 監視覆蓋率;若是可轉動的機器,也應仔細測量覆蓋角度,避免死角。 在監視的過程應隨時維持良好的光線,攝影機不可能如人眼般靈敏,燈光 稍暗就會嚴重降低識別能力。 較佳的閉路監視系統具備移動偵測功能 (motion detection),當有物件 在監視範圍內移動就會通知監視人員 (例如出現在監視螢幕上),同時 開始儲存畫面。若長時間沒有物件移動,就可節省人力及資源。 為了組織安全,閉路監視系統可能會侵犯隱私權,因此應該嚴格管控 錄影內容,未經授權程序不得任意調閱。
入侵感應設備 在台灣已能經常看到裝設於圍牆上的入侵感 應設備,許多出入口照明也帶有移動偵測功 能;這些都有助於嚇阻及偵測目的。 入侵感應設備常因貓、鳥跨越而造成誤警報 (false alarm),因此配合燈光照明與閉路監視 系統使用,有助於正確地偵測與辨識。 入侵感應設備的種類較多: 最常用於圍牆上的是當物件通過時,靠切割紅 外線光束來感應。 被動式紅外線感應器可以感應體熱的輻射。也 有利用超音波反射、微波感應或氣壓感應。 被動式紅外線 入侵感應器
燈光照明 燈光照明對實體安全極為重要: 在照明設計上可以搭配使用以下幾種燈光的特性: 燈光有嚇阻效果,盜賊不喜歡暴露在明亮的燈光下。因此,許多美國的商 店或超市在關門後都維持燈火通明。 燈光有助於入侵偵測,閉路監視系統尤其需要足夠的亮度,畫面清晰度也 有助於狀況評估與蒐證。 關燈的理由通常是節約能源或是維持睡眠品質。 在照明設計上可以搭配使用以下幾種燈光的特性: 持續燈光:就是一般的照明設施,因節約能源的考量,部分持續燈光需要 限時關閉,但重要區域則建議維持二十四小時照明。 觸動燈光:因偵測到移動、熱度或其他改變所觸發的燈光。 緊急照明:當斷電時啟動的燈光,不只保護人員進出安全,也能暫時遏止 因停電所發生的竊盜行為。
隔離區域 重要或機密的資訊與設備必須放置於高安全性的隔離區域。 隔離區域最好能夠不貼建築的外牆,可以多一層防禦。 隔離區域的牆壁最好是實心的磚牆;若不得不使用輕隔間牆,請注意 牆是否從地板連接到建築物的實心天花板。有時為了方便拉管線,牆 與天花板間留有距離,只要推開活動天花板就可以攀爬進入。 有的建築設計了很大的冷氣或抽風機出風口,入侵者沿著風管可爬進 隔離區域。 可以考慮安裝入侵感應系統,安裝於窗戶、門、天花板、牆壁,或冷 氣出風口等任何可能出入的位置。 可以同時使用不只一種的進出管制,形成多重要素認證。
三層安全模型 重要資訊設備及資料應有三層 的實體安全管控,以右圖的學 校為例: 第一層是外圍,像是學校圍牆、 警衛室、以及電資大樓。一般 滋事份子會被擋在這層之外。 第二層是電算中心,上班時有 人值班,下班後會閉鎖。非公 務人員不會進入這層。 第三層則為電腦機房,正常狀 態為閉鎖。只有經過授權、且 通過身分認證者可以進出,並 需留下記錄。 學校圍牆 電腦機房 電算中心 電資大樓 警衛室
電腦設備的保護 隨著電腦越做越小 (如筆記型電腦、PDA、 智慧手機等),這項風險將越來越高。 可攜式電腦在非攜帶時要能鎖在桌上, 以防順手牽羊。 重要資料要加密保護並留有備份,開機 要密碼保護。 可考慮安裝追蹤軟體,提供服務的公司 類似在BIOS內植入木馬 (好的木馬),即使 電腦遭竊且硬碟被格式化,仍可從遠端 操控這台電腦。 敏感資料儘量存於組織的伺服器,而非 個人電腦。
防範社交工程 – 員工教育訓練 資訊安全認知 (awareness):目的是讓大家注意資訊安全的重要。可以 播放錄影帶、在組織內部刊物撰文宣導、製作海報等。若以演講方式 實施,通常不會談太深入的細節,可以多講案例和攻擊者的手法等。 資訊安全訓練 (training):著重於訓練工作上所需要的資訊安全知識與 技巧。要說明組織的安全需求,並讓員工知道自己對資訊安全所應盡 的責任。對個別員工可能需要更深入的訓練,例如設定防火牆或執行 資訊安全內部稽核等。 資訊安全教育 (education):訓練通常專注在必須的技巧;教育則更深 入與全面。較大型的組織應該培植自己的資訊安全專家 (例如取得 CISSP 或 ISMS-LA 證照者),負責公司資訊安全工作,並訓練其他員工。
人事安全原則 應妥善定義組織內的角色與責任 (R&R),並讓每 位員工清楚自己與相關人員的工作內容。 讓員工知道自己工作範圍內所需要知道的機密 即可。這是過去章節所提的 need-to-know,可 以制止機密的傳播。 不要讓極重要或機密的事物掌握在一個人的手 裡。這是過去章節所提的 separation of duties, 可以形成制衡。 讓不同職務的人有機會主動或被動的輪調,經 過輪調容易使弊端暴露。 讓員工必須休假,透過職務代理人比較有機會 瞭解弊端。
第三方人員管理 組織內部人員可以經由進用審查、教育訓練、人事安全原則等方式 管理;但是第三方人員 (third party) 常成為管理盲點。 清潔工每周六單獨打掃公司,有沒有人查過她的背景? 資訊室讓工讀生負責維護公司資料庫,他有沒有簽過保密合約? 易造成安全管理盲點的第三方人員 包括: 服務於組織內的供應商,如清潔工、員工餐廳服務員、契約工等。 長期契約人員,例如 104派遣人力。由於長期工作於組織內,常被視為 員工,但卻未接受員工該有審查與訓練。 工讀生或臨時人員也不應該被指派機密或敏感的工作。 關係緊密的客戶也可能造成類似的管理盲點。
自然災害與火災的預防 人為攻擊通常只造成局部損失,例如一部電腦失竊或一台伺服器遭 駭客入侵;但自然災害如火災、水災,常會造成全面損失,例如: 付之一炬! 自然災害只破壞資訊的可用性 (A),但與機密性 (C) 和完整性 (I) 無 關。因此防禦方法以系統備援或資料備份為主,只要能延續可用性 就大致沒問題。 對資訊威脅最大的自然災害應屬火災。它其實是「半自然」的災害, 因為起火原因常是人為疏失或刻意縱火。
火災偵測器 離子型煙幕偵測器 (ionization-type smoke detectors):火焰燃燒產生導 電之離子,使接收器中的電流訊號 增強。 光學偵測器 (optical detectors):火 焰燃燒所產生之煙幕會阻斷偵測器 內部的光訊號。 溫度偵測器 (heat detectors):火焰 燃燒造成偵測器氣室中線圈的溫度 改變,並產生電阻與電壓的變化。
滅火設備 二氧化碳 (CO2) 滅火器:無色、無臭,以二氧化碳取代氧氣產生滅火 效果。乾粉式、泡沫式、與氣體式滅火器都使用類似原理,但因產生 二氧化碳方法不同而適用於不同的燃燒。 氣體性滅火藥劑 (如FM200) :平常以液態加壓存於容器內,啟動噴放 時即汽化迅速與空氣混合;是一種快速滅火藥劑。 灑水設備:雖然水未必適用於所有的燃燒,但取得快速、量也最大。 滅火器種類 A 類 B 類 C 類 D 類 CO2 乾粉式 〇 泡沫式 氣體式 氣體性滅火藥劑 清水滅火 A類火災:普通火災 B類火災:油類火災 C類火災:電器火災 D類火災:金屬火災
水災防禦 從資訊安全的角度,我們可以採取以下防禦措施來降低水災損失: 電腦機房儘量不設在地下室或一樓;若不得已,則需備沙包等阻水工具。 淹水未必發生於地下室或一樓,豪雨滲入或水管破裂也會造成樓上淹水。 裝置淹水感應器,有水滲入機房或重要區域就啟動警報器。 注意氣象報導,做好防颱準備。 2001年納莉颱風期間台北淹水情形 (照片引自南湖國小網站)
降低地震及其他天然災害損失 台灣震災頻傳 (九二一的記憶猶新)。相較於火災及水災,我們無法以 預防措施來降低地震的發生機率,也很難以預報系統提早準備;我們 只能設法降低地震對資訊安全造成的衝擊。 以下幾項措施有助於降低地震損失,也適用於其它災害防制: 建立完整的系統備援及資料備份。「異地 備援」與主機房最好距離三十公里以上, 避免處在同一地震帶。 地震常會造成網路中斷,因此要有備援電 路。一些大型組織在平時就同時使用多家 電信業者的服務。 機架應固定在地板上,若有多個機架則彼 此鎖定互為支撐。重要電腦設備要固定在 機架上,不可散置於桌上。
公共事故引發的損失 類似自然災害,公共事故給資訊安全造成的衝擊主要也是破壞資訊的 可用性,同時也不是受害者所能控制的。 資訊系統需要穩定的電源,因此停電或是電源不穩定是一重大威脅。 重要的設備應該有不斷電系統 (UPS),組織最好自備發電機以備不時之需; 若經費允許可增加備援UPS與發電機。 自備發電機除了能讓資訊系統在停電時持續運作外,也可供應機房冷氣機 的電源,避免密閉機房的溫度升高造成電腦故障。 停水對資訊系統的衝擊在於部分冷氣為水冷式,停水時間一長,冷氣 就不能運轉。因此機房宜使用氣冷式冷氣設備。 戰爭、示威、罷工等社會動亂也會對資訊安全造成不同程度的威脅, 應以實體安全搭配備援、備份等措施因應。
媒體資料的清除 以作業系統刪除檔案只是將該檔案標示為已 刪除,卻並未真正刪去資料。 清除磁碟資料更有效的方法是將原存放機密 資料的區域反覆地重疊寫入 (overwrite) 0 或 1 或隨機亂數。 對極機密的資料來說,以正常磁頭寫入還是 可能殘留「資料剩磁 (data remanence)」。 這時可以使用磁場中和機 (degausser) 將磁 碟內每位元的磁性都調為中性。 當然,清除敏感資料的最終極方法,就是以 切割、重擊等方式實體地摧毀磁碟。
磁碟損毀與 RAID 失去資料有三種可能原因: 第一種是遭到技術性的攻擊,如駭客或病毒;防禦方法也多為技術性的。 第二種是受到實體破壞,如竊盜或火災;防禦方法為實體安全措施。 第三種是磁碟損毀 (disk failure);防禦方法之一是即時備援與復原。 RAID (redundant array of independent disks, 中譯為磁碟陣列) 使用多 餘磁碟進行資料複製,當一個磁碟損毀時,其它磁碟上的相同資料 可以自動替補,使系統運作不會中斷。 損毀的磁碟可以在不關機的狀況下更換,稱為熱備用 (hot spare)。 在磁碟陣列中再多加一個磁碟做為備用,當一個磁碟損會時,備用磁碟 就會自動替補,不需要關機更換。
RAID 0 RAID 0 把資料按順序平均分布在 數個磁碟機上,這種作法或稱 為插敘 (interleaving)。如右圖的 磁碟陣列裡有四台磁碟機,我 們將資料依照位元組分布其上。 RAID 0 並沒有備援 (redundancy) 功能;它主要目的是提高系統 對磁碟機的讀取速度。 位元組:0 位元組:4 位元組:8 位元組:1 位元組:5 位元組:9 位元組:2 位元組:6 位元組:10 位元組:3 位元組:7 位元組:11 RAID 0 計算元件
RAID 1 & 2 RAID 1 將一筆資料忠實地複製 (mirror) 到另一個或多個磁碟機 上,它提供 100% 的資料備援, 而且裝置很簡單。另外,在讀 資料時,RAID 1 也具備插敘效果, 可提升速度。 RAID 1 的缺點是價格高,因為每 筆資料都做複製,所需磁碟數 量即成倍數。 RAID 2 並沒有在商業上被使用。 它做位元級的插敘,並以 Hamming Code 做錯誤更正,所 需磁碟陣列太大並不實用。 位元組:0 位元組:1 位元組:2 位元組:3 位元組:4 位元組:5 位元組:6 位元組:7 RAID 1 計算元件
RAID 3 & 4 RAID 3 類似 RAID 0 將資料按順 序平均分布在數個磁碟機上, 右圖所示八個位元組的資料被 插敘在兩個磁碟機內。 RAID 3 增加一個磁碟機存放同位 元 (parity),這個值是依資料磁 碟中插敘的位元組運算出來的; 當任一磁碟損毀,它上面的資 料可以靠同位元做復原。RAID 3 兼顧讀取速度與備援功能。 RAID 4 與 RAID 3 類似,但不用 位元組插敘,而是使用資料塊 (blocks)。 位元組:0 位元組:2 位元組:4 位元組:6 RAID 3 計算元件 位元組:1 位元組:3 位元組:5 位元組:7 同位元 (0, 1) 同位元 (2, 3) 同位元 (4, 5) 同位元 (6, 7)
RAID 5 & 6 RAID 5 與 RAID 4 一樣使用資料 塊插敘,並計算後儲存同位元。 但是 RAID 5 不是將同位元集中 在一個磁碟中,而是平均分散 在所有磁碟裡。 RAID 5 有 RAID 3/4 的好處,同 時又可避免同位元磁碟被過度 使用的缺點。(任何資料寫入都 需要重算同位元並寫入,因此 同位元磁碟壽命最短。) RAID 6 比 RAID 5 再多加一個同 位元,可以容忍兩個磁碟機同 時損毀。 資料塊:0 資料塊:2 同位元 (4, 5) 資料塊:6 資料塊:1 同位元 (2, 3) 資料塊:4 資料塊:7 計算元件 同位元 (0, 1) 資料塊:3 資料塊:5 同位元 (6, 7) RAID 5
RAID 10 RAID 10 又稱為 RAID 1+0,因為 它將資料做完全備援 (RAID 1) 如 右圖的上兩個磁碟與下兩個磁 碟;再將幾個 RAID 1組成 RAID 0 做插敘,如右圖的上半部與下 半部。 RAID 10 很貴,但它同時擁有高 讀寫速度與備援功能。它也有 機會容忍超過一台磁碟機損毀, 例如右圖第一和第三台損毀, 系統仍可正常運作。 位元組:0 位元組:2 位元組:4 位元組:0 位元組:2 位元組:4 位元組:1 位元組:3 位元組:5 計算元件 位元組:1 位元組:3 位元組:5 RAID 10
備份與備援 「備份」通常指資料的一個靜態副本;「備援」則指動態的、系 統持續運作中的救援措施。 用備份/備援來保護資料時,我們可以考慮以下的層次: 資料備份:組織定期的備份資料,為求備份完整,會整個磁碟做複製。 磁碟陣列容錯:如前介紹的,在運算中維護資料的完整性與可用性。 遠端即時備份:透過網際網路或專線,即時的在遠端建立備份。一旦系 統需要復原的話,遠端所儲存的是最新的備份。 備援伺服器:不只備份資料,還有相同的伺服器做故障復原 (failover)。 備援服務:整個系統完整複製 (可能在另一個地方),一旦主機房主機房 因故無法運作,備援服務能在幾分鐘內啟動。