資訊安全管理系統評估探討

降低風險是資訊安全管理系統防護措施之標的，圖 3.4「資訊安全管理系統 風險關係示意(ISO/IEC TR 13335-1)」是其示意說明[43]。為有效達成資訊安全管 理系統的目的，早在 1998 年以前，NIACAP 之先導(Pilot)計畫，分從國防通信、

銀行與金融等基礎建設執行如圖 4.2 所示之資訊安全保證作業，表 4.4 是其各階 段的輸入與輸出示意說明。以通信基礎建設為例，1958 年成立於 1967 年併入美 國交通部(Department of Transportation，簡稱 DoT)之美國民航局(Federal Aviation Administration，簡稱 FAA)，在 1996 年 2 月 21 日就公布了參照 NIST 1983 年 9 月 27 日發行的電腦安全驗證與認證指導綱要(Guideline for Computer Security Certification and Accreditation)規範的 FAA 自動化資訊系統與通信安全功能需 求；同時引進發展中之資訊保證方法，於 1998 年 5 月開始進行圖 4.3 與圖 4.4 所 示的 FAA 通信基礎建設(FAA Telecommunication Infrastructure，簡稱 FTI)之資訊 保證作業，2000 年 9 月公布 FTI 安全規範第一階段的實作指引，提出如 FAA 通 信基礎建設之根基於共同準則(Common Criteria，簡稱 CC)與系統安全工程能力 成熟模型(System Security Engineering Capability Maturity Model，簡稱 SSE-CCM) 之 ISO/IEC 21827 的資訊安全管理系統評鑑模式[20,26,41,46,53-56,68,70,72]。

表 4.4：資訊技術安全評估共同準則於資訊系統生命週期對照示意說明

資訊系統生命週期 共同準則加工活動

需求分析 1.保護剖繪(Protection Profile，簡稱 PP)

2.PP 評估保證(Assurance PP Evaluation，簡稱 APE) 設計(定義階段) 1.安全標的(Security Target，簡稱 ST)

2.ST 評估保證(Assurance ST Evaluation，簡稱 ASE)

開發(查證階段)

1.評估標的(Target of Evaluation，簡稱 TOE) 2.組態管理保證

3.交付與運行保證 查證(查證階段) 1.測試保證

2.脆弱性評鑑保證

確認(確認階段) 1.交付與運行保證 2.指導性文檔保證 操作與維護

(維護認證階段)

1.生命週期支援保證 2.脆弱性評鑑保證

說明： SDP：Service Delivery Point。

圖 4.3：FTI 功能架構示意 S D P

整合的網路管理 服務

整合的商務系統

S D P

通訊 通訊

自動化

電信服務類別/特點

自動化

監督 監督

圖 4.4：FTI 安全服務範圍

針對如圖 3.4 所示之威脅、脆弱性與資產之資訊安全管理系統風險源池的 3 個構面，共同準則已提出如圖 4.5 所示之安全目標及需求關係，其中安全功能需 求與安全保證需求應可就 ISMS 之脆弱性及威脅分別提供適宜的保護；在操作環 境安全方面，共同準則僅假設在可控制之環境中，能滿足組織安全政策對威脅的 保護[41,48,62]；結合 BS 7799-2：2002 等對資訊資產控制項目之要求[24]，我們 提 出 如 圖 4.6 所 示 之 資 訊 安 全 管 理 系 統 框 架 與 安 全 評 估 標 的 (Target of Evaluation，簡稱 TOE)規格內容的圖 4.7，分別針對強化資訊資產作業(Operation) 構面之弱點(Weakness)的控制措施、強化資訊系統威脅(Threats)構面之弱點的組 態管理、強化資訊系統脆弱性構面之弱點的設計與建造之功能正確性，根基於共 同準則與經由適宜之防護(含控制)措施，降低 ISMS 之威脅，減少 ISMS 脆弱性 被利用之可能性，減少 ISMS 資產曝露之或然率，建置 ISMS。

應用系統

設備基礎結構：

LANs、安全閘路 器、路由器

FTI客戶 前端設備(CPE)

SDP

FTI賣方電信 WAN(s)

應用系統

設備基礎結構：

LANs、安全閘路 器、路由器

FTI客戶 前端設備(CPE)

SDP

應用等 級的安 全

設備等級安全

WAN等級安全

威脅(Threats) 組織安全政策(Organizational 假設(Assumptions) objectives for the

operational environment) 發展環境之安全目標(Security

objectives for the development environment)

安全保證需求( Security assurance requirements)

說明：安全評估標的：TOE(Target of Evaluation)。

圖 4.5：資訊安全目標及需求關係示意

威 脅 (Threats) 組 織 安 全 政 策 (Organizational 資 產 (Assets) Security P olicies)

T O E的 安 全 objectives for the

operational environment) 發 展 環 境 之 安 全 目 標 (Security

objectives for the development environment)

安 全 功 能 需 求 安 全 保 證 需 求 安 全 控 制 需 求

T O E 規 格 彙 整 資 訊 技 術

安 全 功 能 保 證 量 測 控 制 措 施

安 全 功 能 宣 稱 安 全 機 制 與 技 術

圖 4.7：資訊安全管理系統評估標的(TOE)規格內容

NIACAP 之目的在於達成：「在資訊處理作業中，經由確認資訊及資訊系統 之可用性、完整性、鑑別性、機密性及不可否認性來保護與防禦資訊與資訊系統，

並包含具體化的防護、偵測與反應能力以提供資訊系統損害之復原。(Information Operations (IO) that protect and defend information and information systems by ensuring their availability, integrity, authentication, confidentiality, and non-repudiation. This includes providing for restoration of information systems by incorporating protection, detection, and reaction capabilities.) 」 之 資 訊 保 證 (Information Assurance)的目標。由於在資訊系統生命週期之每一階段均存在資訊 與資訊系統因弱點(Weakness)曝露(Exposure)在外之脆弱性(Vulnerability)遭致威 脅(Threat)形成的風險，如圖 4.5 所示，CC 2.1 已能提供資訊技術評估標的及發展 環境之安全目標的驗證需求，如圖 4.6 與圖 4.7 所示，結合 BS 7799-2:2002 等資 訊安全管理系統之驗證作業[52]，應能建構如圖 4.8 所示的整合 IT 及管理之資訊 系統安全驗證機制的評估過程。

圖 4.8：資訊系統安全驗證機制運作示意 只是想造成組織運作暫時的混亂，如：阻斷服務(Denial of Service，簡稱 DoS)，

但也可能是想造成組織資訊架構的巨大損傷。在網路發達與入侵事件頻傳的今