1.1 研究背景與動機 1.1.1 資訊安全現況
2004 年殺手病毒「WORM_SASSER.A」利用微軟視窗系統缺點 LSASS,透過 445 連接埠發動攻擊,感染用戶的電腦將會出現倒數關機畫面,Sasser 病毒侵入電腦後,會 開啟程式攻擊其他網路上的用戶,造成網路堵塞,電腦運作緩慢,系統不斷倒數計時,
並且重新開機,與 2003 年引起軒然大波的疾風病毒如出一轍。根據微軟發布的修補程 式,與相對應攻擊病毒的誕生日比較,如表 1.1 所示 2001 年的娜妲病毒相差 336 天、
2003 年的 Slammer 病毒相隔 185 天、同為 2003 年的疾風病毒距離 26 天,而 2004 年 的殺手病毒與修正程式 MS04-011 公佈的日期只有 18 天就爆發災情,已經創下有史以來 最快之紀錄。
從調查報告公佈的數據和狀況可以看出,各種網路安全漏洞的大量存在和不斷發現 仍將是網路安全的最大隱患;漏洞公佈到利用相應漏洞的攻擊代碼出現的時間已經縮短 到幾天甚至可能是一天的時間,這使得相關修補程式開發、安裝以及採取防範措施的時 間壓力大大增加。網路攻擊行為日趨複雜,各種方法相互融合,使網路安全防禦更加困 難,防火牆、入侵監測系統等網路安全設備已不足以完全阻擋網路安全攻擊;駭客攻擊 行為組織性更強,攻擊目標從單純的追求“榮耀感"向獲取多方面實際利益的方向轉 移,木馬、間諜程式、惡意網站、僵屍大軍(BotNet)等的出現和日趨氾濫,則是這類趨 勢的實證。手機、掌上型電腦等無線終端設備的處理能力和功能通用性提高,使其日趨 接近個人電腦,針對這些無線終端設備的網路攻擊已經開始出現,並將進一步發展。總 之,網路安全問題變得更加錯綜複雜,影響將不斷擴大,很難在短期內得到全面解決。
▼表 1.1:電腦應急反應組/協調中心(CERT/CC)公佈重大安全事件分析 1. 資料來源:http://www.cert.org/
2. 重大蠕蟲漏洞攻擊週期:
2001 年 Nimda 娜妲病毒從發現缺點到發作,相隔 336 天。
2003 年 Slammer 病毒相隔 185 天。
2003 年 Blaster 疾風病毒距離 26 天。
2004 年 Sasser 殺手病毒,距離缺點公佈日期,只有 18 天。
3. 網路攻擊活動趨勢:
趨勢 1-自動化,攻擊工具速度快。
趨勢 2-攻擊工具愈來愈成熟。
趨勢 3-發現漏洞的速度愈來愈快。
趨勢 4-防火牆可滲透性增加。
趨勢 5-非對稱的威脅增加。
趨勢 6-對基礎設施攻擊的威脅增加。
1.1.2 資訊安全的迷思
一般使用者可能對電腦病毒或駭客攻擊具有初淺的瞭解,即使是企業的主管亦可能 對一般的數位安全(digital security)未付出太多關注且避免直接參與應付這個問題。一 方面是因為數位安全是個極端復雜的問題,要有各種專業化的科技知識才能處理;而另
一方面大部份的安全入侵實際上源自內部疏忽,若真的要預防得靠不斷的嘮叨叮嚀,而 這卻是大多數主管不想做的事。此外,數位安全是無形的,如表 1.2 所示只有遇事不出 事的時後才知道在這方面是成功的,所以即使員工在這方面做得好,但個人所獲得的獎 勵卻極少【1】。
因此,企業的主管通常都是把數位安全的責任丟給技術人員或是外部的安全顧問,
這種與安全保持距離的方式極為不智。根據產業的估計,網路攻擊事件每年影響 90%企 業,如表 1.3 所示造成的損失達數十億美元,若加上入侵事件則損失可高達上百億美元。
防護措施則相當昂貴,企業平均要花資訊科技預算的 5%~10%在安全防護上,甚至更重 要的是,資訊安全事件對業務的影響會更為深遠,它使得營運停擺、造成顧客疏遠且有 損商譽。
▼表 1.2:企業尋求安全風險與利潤間平衡的計算方式 1. 資料來源:哈佛商業評論
2. 財務數學估算企業尋求安全風險與利潤間平衡的計算方式:
EV=C×P EV:期望值
C:安全事件的相關成本 P:安全事件發生的機率
3. 當安全事件造成損失的機率是 0.01%、0,001%甚至於無法確定時,則花大錢才能 避免損失的證明將會變得相當困難。
▼表 1.3:CERT/CC 公佈近年重大網路攻擊事件及所付出的代價
發生年份 病毒名稱 損失金額(以美金計算)
2001 娜妲 (Nimda) 6.35 億美金 2001 紅色警戒 (Code Red) 26.2億美金 2002 求職信 (Klez) 90 億美金 2003 SQL警戒 (SQL Slammer) 10 億美金 2004 疾風病毒 (Mblast) 26 億美金
1.1.3. 資訊科技投資走緩
1968 年英特爾(Intel)發明瞭微處理器,帶動一系列改造商業世界的科技重大突破,
例如桌上型電腦、區域網路(LAN)、廣域網路(WAN)和網際網路(Internet)。如今,
資訊科技為商業骨幹的說法已是無庸置疑,隨著資訊科技的影響力和普及性不斷擴大,
企業開始視之為攸關成敗的重要資源,而且這樣的情形已明顯反映在企業的花費習慣 上。依據美國國務部經濟分析局(Bureau of Economic Analysis)所進行的調查,在 1965 年美國企業的資本支出只有不到 5%的比例用於資訊科技。1980 年代初期個人電腦問世 之後這個百分比一舉攀升至 15%,到了 1990 年代初期更是超過 30%;及至 1990 年代 末期則是逼進 50%。隨著資訊科技的影響力和普及性不斷擴大,但其在策略上的重要性 卻逐漸遞減。一項資源之所以具備真正的策略價值即在於具備維持長期競爭優勢之根基 的能力,其所憑藉的並非普遍性而是稀有性。唯有擁有或執行競爭對手無法擁有或無能 為力的事情,才能取得優勢。
長期策略優勢的基礎,促使公司獲利高於競爭對手。相形之下基礎建設科技(例如鐵路、
電力、網路)在共用時比獨佔使用時更具價值,因為基礎建設科技促成嶄新、更有效率 的營運方式並導致廣泛的市場變革。雖然基礎建設科技在初期階段也會以專屬科技的形 勢呈現,但是當科技的商業潛能開始廣為人知,勢必會有大量現金擁入而使得科技取得 的優勢機會只開啟非常短暫的時間,即使企業可以在基礎建設科技擴建完成後得到成本 優勢的好處,但往往也非常難以長期延續。
資訊科技是非常容易複製的,而且大部份商業活動和流程都已被建入軟體,因此這 些活動和流程也變得可以複製,當網際網路到來時則為應用軟體提供了一個完美的傳送 通路,因而加速了資訊科技的商品化。從微軟到 IBM 等大多數商業科技提供商,紛紛試 圖把自己定位為資訊科技公用事業(utility),此舉導致資訊科技的同質性更高。如表 1.4 所示由於科技發展的步調快速,因此延遲資訊科技投資或能成為另一個削減成本的有效 方法並避免資訊科技迅速淘汰的高額成本【2】。Alinean 顧問公司在 2002 年比較了 7500 家美國大型企業的資訊科技支出和財務表現,結果發現績效最優異的企業往往是荷包掐 得最緊的公司;研究機構 Forrester Research 近來進行的一項研究也驗證了相同的假 設。隨著取得資訊科技優勢的機會愈來愈小,花費過多的懲罰將只會有增無減。
▼表 1.4:資訊科技影響力與投資指導方針 1. 資料來源:哈佛商業評論
2. 資訊科技投資已趨緩慢之跡象:
網際網路的能力已趕上了需求。
資訊科技的影響力逐漸超過它所能滿足的大部份商業需求。
基本資訊科技的價格已經降低到幾乎人人負擔得起的程度。
資訊科技供應商急於把自己定位為商品供應商,甚至是公用事業。
3. 企業投資資訊科技與管理系統之指導方針:
減少支出。
追隨即可,不要主導。
鎖定弱點,而非機會。
1.2 研究目的及範圍
在第一節的研究中,可以發現網路安全問題會隨著時間變得更加錯綜複雜,影響也 將會不斷擴大,但是企業對於資訊科技的投資卻逐漸走緩而形成強大的對比,此舉似乎 會加速網路安全事件的發生。事實上對於資訊科技的假設應該為當該項資源已變為競爭 不可或缺的要素,但對策略卻不具影響性時,則它所造成的風險就比所提供的優勢更為 重要;基礎建設科技雖不再左右個別公司策略,但影響的範圍卻會提昇至國家、國際總 體經濟層次。當資訊科技為更多人所取得,基礎建設科技的擴建也會讓使用者採納統一 的技術標準,隨著最佳實務漸漸廣為瞭解和模仿,即便是科技的使用也開始標準化。所 謂標準就是基於公平、公正、便利等觀點做好統一規範與單純化時之必要條件;而通稱 的規格就是這些標準中直接或間接的有關產品或服務品質之技術上的規範事項。
今日有關資訊安全宜遵循的策略,都是在不完整之資訊內容下做決定的,標準可以 減輕因不完整資訊引發之困難,因為標準可以減少選擇的範圍而簡化資訊之供給與需求 決策制定的過程。筆者自 1997 起即進入民間大型企業任職,當中經歷 1998~2000 年網 際網路的高成長期與 2002 網路泡沫在最大的時候破滅,對於企業資訊安全所遭遇之困 境自是點滴在心頭,所以在本研究中,希望針對資訊安全管理標準應用於企業網路安全 宜採用之控制措施進行分析並提出實作成果。對於企業資訊人員而言,在規劃企業網路 安全時,可依本研究結果做基礎進行規劃作業,則可有效減少資訊人員在規劃上進行評 估及分析的時程。
1.3 論文架構
本論文共分為五章,除了本章緒論外;在第二章文獻探討的部分,我們將探討資訊