架構簡介

個群組，再利用 RBAC 的特性，使用者與職務多對多的特性，一個職務可以同 時定義好幾位使用者，而一個使用者也能同時存在於多個職務，這樣的架構能讓 整體的規劃更為靈活與彈性，將使用者與職務之間的關係定義清楚後，即可套用 到企業自行定義的資訊安全政策。

對於企業常見的資訊洩密管道，使用者若想將檔案從企業中攜出，一般來 說，可用的路徑不外乎透過 USB、FTP 傳輸方式、即時通訊軟體、郵件、P2P 行為、網頁或雲端系統、光碟燒錄、檔…等方式，如圖 3-2 所示。

圖 3 - 2 檔案傳輸方式

透過企業定義的資訊安全政策如存取權限、網路規範、郵件紀錄、即時通訊 管理…等相關規範後，最後再利用資訊監控技術，如即時通訊管理、郵件過濾管 理、頻寬管理、文件使用授權、USB 裝置授權…等管理技術來達到有效的資安 管理並且能有效遏阻企業內部機密資料外洩，而透過以 RBAC 為基礎的存取控

制方式，系統管理者可以有效率的區分哪些使用者需要被稽核被管制，而將資訊 安全設備所必須購買授權數應用在需要被稽核的使用者身上，而並非所有的使用 者都需要購買授權數，利用這樣的方式可以有效的降低企業對於購買資訊安全設 備的授權數量以及減少資訊安全設備大量控管時所耗費的效能，這樣的管理能夠 有效的發揮最大效益並解降低成本，本研究之架構流程如圖 3-3 所示。

圖 3 - 3 實作架構流程圖

本研究利用 RBAC 模型作為基礎，發展出企業通用之模型-以 RBAC 為基礎 的資訊安全管理模型，本研究基本元素集是使用者（用戶）、職務（角色）、物件

（OBJS）、操作（OPS）、權限（PERMS）、和會期以及本研究新增的定義－資訊 安全政策，如圖 3-4 所示，此外利用 RBAC 使用者與角色多對多的特性，在這個 模型中，我們將角色這一名詞定義為職務，針對不同的職務我們給予他不同的權 限或管制，而一個使用者可以有擁多的職務，不同的職務也可以分別被好幾個不 同的使用者所擔任，而職務的權限或稽核則是因為企業所定義的資訊安全政策而 給予不同的權限或管制，因此我們必須先定義資訊安全政策，經由所定義的政策 來決定哪些職務可以上網、使用 USB、收發郵件、使用即時通訊…等不同的權 限或是紀錄與稽核，或是限制擁有這些權限的職務不能執行哪些功能，以及他們 使用網路的行為或開啟檔的行為必須被記錄或是阻擋，透過 RBAC 模型的架構，

我們可以輕鬆完成這些作業，有了明確的資訊安全政策的定義後，再將不同限制 與權限套用在職務上，最後在利用資訊監控設備來達到管制與紀錄的目的。

圖 3 - 4 以 RBAC 為基礎的資訊安全管理模型

本研究期待提出一個適用於所有企業，而不是單單只適用於科技業或者資訊 業，因為資訊安全的威脅並不會只單獨存在於部分特定產業，所以各行各業都會 有資訊安全的需求，所以才要將企業中常見的職務類型作為分類，本研究所有的 職務類型與範圍會以目前企業常見的職務作為依據，對於職務的定義部分，首先 我們必須先將企業常見的職務列出清單，並從這些清單中找出共同的職務，並針 對這些職務去給予不同的權限或限制。職務的類別與類型，本研究參考人力銀行 上的職務類別，並針對不同的職務類型先區分為使用者在所擔任的職務上會使用 到資訊設備與不會使用到資訊設備這兩大類型，在本研究會使用到資訊設備歸納 之職務類型請詳見（附錄一)，對於用不到資訊設備的職務類型，因為沒有資訊 相關設備，故不在本研究範圍內，對於不會用到資訊設備的職務類型請詳見（附 錄二），所以本研究只針對會使用到資訊設備的職務，再針對不同的職務，定義 資訊安全管理政策的方法，以減少資訊安全外洩事件產生。

本研究將以（附錄一）的職務類型，再以 RBAC 作為基礎，套用資訊安全 政策後，給予不同資訊監控方式來管制使用者，對於需要使用到資訊設備的職務 類別則必須使用資訊安全政策管制，以減少資訊外洩的事件。

對於職務上會使用到資訊設備的工作，本研究將舉幾個常見且具有代表性的 工作項目作為範例，以經營類型相關工作來說，經營管理主管或主管特別助理這 方面的職務，往往使用行動裝置來處理業務，如筆記型電腦或平板電腦、智慧型 手機，並且需要透過資訊設備來傳遞電子郵件或利用即時通訊軟體來溝通，以及

透過網路尋找資料來做為決策的依據，而這些管理主管或是特別助理因職務的關 係，接觸到企業的決策資訊以及核心資料的機會也比一般員工來的要高，對於這 些權限較高的職務來說，為了避免監守自盜，這些使用者利用自己職務，將所取 得的資源透過即時通訊、郵件、USB 存取裝置，我們必須針對這些使用者的即 時通訊軟體進行傳檔阻擋，郵件須稽核後放行，非必要避免給予使用 USB 存取 裝置的權限，以避免企業核心資料外洩。

對於工作期間內不會使用到資訊設備的使用者，如餐飲相關工作人員、餐飲 服務生、日式廚師…等。此類職務對於是否操作資訊設備則較無爭議性，因其職 務於工作時間時，不需直接操作資訊設備來完成工作；而其他類似的工作項目像 是美容美髮類相關工作人員，如美容、美容類助理、美髮類助理，以及技術相關 工作人員，如沖壓模具技術人員、手工包裝工及有關工作者、其他機械操作員…

等，皆屬於在職務上不會操作資訊設備之使用者，因此對於在工作期間內不會使 用到資訊設備之使用者，則不在本研究所要討論的範圍內，本研究將針對於在工 作期間內，會使用到資訊設備的使用者做相關的研究與討論。

而在工作期間內會使用到資訊設備的使用者又分為直接操作人員與間接操 作人員，因分為直接操作與間接操作，故有些職務的定義較為模糊，所謂直接操 作，指在職務上必須使用到資訊設備才可以作業的工作，定義為直接操作，間接 操作則是工作上可能有機會接觸到資訊設備，但非必要性的，所以因此將其定義 為非使用到資訊設備的職業項目。如門市相關工作人員，如門市營業類人員、門 市、店員、專櫃人員、售票、收銀人員、店長、賣場管理人員、連鎖店管理人員…

等，上述人員於工作期間並非一定要使用資訊設備才可作業，但部分企業使用之 POS 系統亦屬於資訊設備，但因 POS 系統屬於較封閉的作業系統，故企業資料 較不易外洩，但因有些專櫃也會配備筆記型電腦，但較偏向於間接操作，因此將 其歸類於不會使用資訊設備之職務。