• 沒有找到結果。

第三章 資訊安全稽核系統之規劃

3.2 資訊安全管理

表 3 - 1 網頁瀏覽權限表

群組 職務 資安監控設備方式

經營類型相關工作人員 人資類型相關工作人員 行政相關工作人員 總務相關工作人員 法務類相關工作人員 行銷相關工作人員 企劃相關工作人員

專案管理類相關工作人員 業務相關工作人員

貿易類相關工作人員

資訊軟體系統類相關工作人員 維修類相關工作人員

資材相關工作人員 物流相關工作人員 製圖類相關工作人員 設計類相關工作人員 文字相關工作人員

傳媒工作類相關工作人員 研發相關類相關工作人員 網路使用行為管控

財會/金融專業類相關工作人員

網頁瀏覽 / 紀錄 / 阻 擋

即時通訊軟體是現今企業中最難管制卻也是使用最頻繁的一種通訊方式,企 業使用者無論公事或私事,業務或八卦…等大小事,除了社群網站外就是透過即 時通訊軟體來分享自己的生活,但也由於即時通訊軟體如此的便利,也容易成為 資安外洩的管道之一,無論是有意或無意,企業使用者往往在不經意中就不慎觸 犯企業規定或將企業重要資訊透過即時通訊軟體傳遞出去,而企業中的大部份會 使用到即時通訊軟體用於工作的職務多屬於行政類型、行銷類型、經營類型以及 專案人員和總務人員等,這部份的職務在工作上常常利用即時通訊的方式來與廠 商或供應商以及客戶溝通,以節省公司在通信上所耗費的成本,在本研究中,建

議除了工作上會使用即時通訊與廠商往來的使用者外,對於其他使用者則一率採 用封鎖。

為此,關於即時通訊軟體的管制是必要且刻不容緩的,我們透過資訊監控設 備,將定義在即時通訊管理策略職務內的使用者,如表 3-2 即時通訊管理策略表 所示,除了被允許職務內的使用者可以使用即時通訊軟體外,其餘使用者皆不可 安裝與使用,就算使用者透過網頁即時通訊軟體或是其他方式安裝於電腦內,也 可針對可以使用的使用者進行帳號開放,其餘帳號皆不可透過企業網路進行即時 通訊傳遞,在群組內的使用者雖可以使用即時通訊軟體,但所有在即時通訊軟體 上的訊息皆會被記錄並儲存,以利將來稽核使用,而系統管理者不可隨意觀看或 下載受管制之使用者之訊息,須建立一套稽核的策略,僅提供法務或稽核單位可 以存取,且提取訊息前須經過企業最高主管同意,否則將面臨個資法的洩密隱憂。

表 3 - 2 即時通訊管理策略表

群組 職務 資安監控設備方式

經營類型相關工作人員 人資類型相關工作人員 行政相關工作人員 總務相關工作人員 法務類相關工作人員 行銷相關工作人員

專案管理類相關工作人員 業務相關工作人員

貿易類相關工作人員

資訊軟體系統類相關工作人員 資材相關工作人員

文字相關工作人員

研發相關類相關工作人員 即時通訊管理策略

財會/金融專業類相關工作人員

即時通訊內容

紀錄 / 檔案傳遞阻擋

企業中絕對需要並且不可或缺的系統就是郵件伺服器,有了郵件伺服器企業 才能對外溝通,業務才能順利遂行,所以電子郵件對企業來說是非常重要的一項 系統,然而郵件伺服器卻往往容易成為駭客下手的對象,透過木馬等其他病毒行

為,駭客可以以企業的郵件伺服器當作跳板,做為攻擊或是發送廣告信件至其他 企業。

對於外部的攻擊行為,我們可以透過防火牆或防毒策略來防堵其情事發生,

但對於內部洩密行為,則無法使用上述的方法來防止,一但使用者透過郵件伺服 器將企業內部的所有機密資料寄出,那企業多年來辛苦研發的成果將成為競爭對 手的重要資料,透過郵件過濾管理的技術,管理者可設定針對關鍵字、收件者或 寄件者帳號、收件者的功能變數名稱以及郵件主旨或內文,進行阻擋或者須經過 第三方放行後,始可寄出,亦可設定觸發上述規則時,僅通知第三方但不做任何 處置,讓管理者能事先預防不法洩密情事發生,而郵件過濾的管理策略群組所需 要管制的職務主要為企業中較容易取得核心資料的職務,如各部門主管,因部門 主管較易取得企業中較新的決策與資訊,故必須列入管制群組內,而人資類型的 員工,因為所有企業內的員工個人資料皆在其手中,一但洩漏出去,所造成的影 響也不容小覷,行銷類型的員工則掌握企業中所有業務相關的資訊與價格和客戶 名單,以及研發單位的研發成果更是企業中的核心命脈,其餘建議管制的名單如 表 3-3 郵件過濾管理策略表所示。

表 3 - 3 郵件過濾管理策略表

群組 職務 資安監控設備方式

經營類型相關工作人員 人資類型相關工作人員 行政相關工作人員 總務相關工作人員 法務類相關工作人員 行銷相關工作人員 企劃相關工作人員

專案管理類相關工作人員 業務相關工作人員

資訊軟體系統類相關工作人員 資材相關工作人員

貿易類相關工作人員 研發相關類相關工作人員 郵件過濾管理策略

財會/金融專業類相關工作人員

郵件稽核 / 紀錄 / 放 行 / 阻擋

企業內部所有的管理辦法、技術文件、管理表單、合約資料、報價單…等所 有檔案資料,都有可能被調閱、借閱、傳遞…等行為,如何保證借出人員不會將 所借閱的檔流出,除了針對使用者教育訓練以及定義檔借閱辦法外,最好的辦法 就是使用文件管理軟體,透過檔案管理軟體,我們可以設定只能在企業內部開啟 檔、取消列印功能、僅能讀取檔案不得修改、攜出的檔可設定使用時間區間…等 細則。

所以我們定義一個職務為檔管制策略的群組,如表 3-4 文件管制策略表所 示,僅針對相關業務人員開啟檔案使用權限,其餘使用者只能在辦公室調閱或透 過遠端電腦觀看檔與辦法,不得將調閱檔帶離檔管制中心,若有需要借閱或攜出 之電子檔,則管制僅能該使用者帳號開啟,且關閉列印與複製功能,若是要寄給 客戶或合作廠商單位,則必須要求加上浮水印並禁止複製與列印以及開檔建立後 僅能使用的期限,透過這樣的設定,即使檔案透過網頁或即時通訊軟體、電子郵 件、雲端儲存軟體將檔案流出,也不致於造成太大的傷害。

表 3 - 4 文件管制策略表

群組 職務 資安監控設備方式

行銷相關工作人員 DRM 管制策略

業務相關工作人員

DCC 文件管制

讀取 / 攜出 / 開啟 / 列印 /權限管 制與稽核

企業內部對於無線網路的權限應該嚴謹且審慎的管制,並仔細評估需要開放 的使用者,以大部分企業來說,除了業務與秘書以及資訊單位會使用到筆記型電 腦外,其餘使用者應盡量避免配置筆記型電腦,除非是有特殊需求的職務或者是 經理級甚至是副總以上的主管,所對於無線網路權限的管制,僅管制在我們所開 放權限的職務類型中,如行銷人員因配備筆記型電腦,為方便使用者於職務中方 便使用與簡報,提供給職務無線網路使用的功能,也給予相對應的管制作為,以 減少資訊安全的情事發生。

以現今來說,智慧型手機與平板電腦幾乎人手一機,若企業無線網路沒有做 有效的管制,則會造成所有使用者都利用企業的無線網路資源從事私人行為,並 容易透過無線網路的開放,而造成資安的漏洞,且原本不可使用網路資源的使用 者如作業員…等,也能透過此種方式存取企業網路,故企業使用應該有明確的定 義,如表 3-5 無線網路使用權限表所示。

表 3 - 5 無線網路使用權限表

群組 職務 資安監控設備方式

經營類型相關工作人員 行銷相關工作人員

專案管理類相關工作人員 企劃相關工作人員

業務相關工作人員 文字相關工作人員 無線網路使用權限

傳媒工作類相關工作人員

無線網路使用權限開啟

USB 隨插即用的裝置使用起來非常便利,但往往因為它的方便性造成資料 容易由這個管道外洩,對於 USB 裝置的管制必須是嚴謹的,企業內部所有會使 用到資訊設備的職務的 USB 裝置應該都被關閉,但是僅針對於表 3-6 USB 管制 權限表中的職務給予開放,在給予這些職務讀取或存入、取出的權限,以行銷相 關人員來說,因其職務往往需要透過 USB 的方式將企業內部的簡報或資料與廠 商或客戶進行資訊的交換,故本研究中不建議關閉其功能,但須被管制與管理,

而研發單位與設計單位,往往因為研究檔案過於龐大,需要透過外接式儲存裝置 才能進行資料交換,但也因為這部份職務所需要交換的資料過於敏感,所以在針 對需求單位進行個別的讀取、存入、取出…等權限管制。

表 3 - 6 USB 管制權限表

群組 職務 資安監控設備方式

經營類型相關工作人員 行銷相關工作人員

專案管理類相關工作人員 業務相關工作人員

資訊軟體系統類相關工作人員 製圖類相關工作人員

設計類相關工作人員 研發相關類相關工作人員 USB 管制權限

財會/金融專業類相關工作人 員

USB 裝置

讀取 / 存入 / 取出 權限 控制

Peer to Peer 點對點網路技術(簡稱 P2P)因為方便搜尋網路分享檔案,而造 福網路用戶,且廣泛的在網路用戶上普及起來,但是過於方便的網路分享,反而 帶來更大的災害,且對於著作權的影響更為甚大。P2P 軟體能讓使用者去分享存 在資訊設備硬碟裏的所有內容,自從 P2P 軟體發佈以來,無人管理的檔案共用 已演變成系統管理者棘手的問題。因為透過 P2P 軟體,使用者能夠取得部分政 府機關的檔案以及表單、企業公司行號之內部資料(會議記錄、採購記錄等)以 及個人之私密照片與資料(帳號密碼、記帳資料等),這些原本不應該分享於網 路上的檔案資料,竟然放置於網路上,任人下載與流覽,不僅只是嚴重影響網路 頻寬,更是造成資訊外洩的重大隱憂。對於 P2P 的管制,在本研究中,建議所 有會使用到網路的職務全部都加以管制,如人資類型、行政類型、總務相關等工 作相關人員,如表 3-7 所示。

相關文件