中 華 大 學 碩 士 論 文
基於 RBAC 與通訊監測技術之資訊安全管理
Information Security Management based on RBAC and Communication Monitoring Technology
系 所 別:資訊管理學系碩士班 學號姓名:E09910020 余明賢 指導教授:吳美玉 教授
中 華 民 國 101 年 7 月
摘要
現今職場上,企業資訊化已經是目前大勢之所趨,電腦不僅是人們在生活 上或是職場上不可或缺的工具,也是企業員工日常工作不可缺少的重要工具,但 隨著資訊普及化所帶來的便利性,其背後所產生的資訊安全問題也將隨之而來,
更多的企業將注意力放在防止網路的外部入侵安全管理,而卻忽略了身邊的威脅
-內部洩密。根據網路安全調查結果顯示,絕大部分的資訊安全威脅都來自企業 內部,企業一但忽略了來自內部網路的安全防範措施,將使企業損失許多寶貴的 核心技術與專利技術資訊。
本研究透過訂定資訊安全管理的政策規範,針對不同的工作內容與職務,以 RBAC 角色存取權限控制模型為基礎,並利用資訊監控管理技術對不同的職務內 容執行相對應的管制與權限控制措施,以達到有效管理資訊安全以及節省不必要 的資訊成本上的浪費。
關鍵字:以角色為基礎之存取控制、內部洩密、資訊安全、通訊監測
Abstract
Nowadays, in the workplace, information technology has enormous influences in many enterprises. Computers not only become important devices that people rely on in their daily lives and work, but also become essential tools for enterprises. As the advantages come with the prevalence of information technologies, disadvantages also come along. More and more enterprises shift their focuses to how to prevent outer forces invading through networks and stealing. However, many firms disregard the significance of internal leaking which also plays a vital role in information management. According to a network security survey, most information security threats occur internally, not externally. If an enterprise underestimates the implication of internal network security, it will suffer from the lost of many valuable core technologies and technical information as well as patents.
Through the enforcement of information security management, policies, and regulations, this study uses RBAC (Role-Based Access Control) as the model to focus on different work tasks and duties. Taking the information monitors and management technologies into account and implementing different job contents that corresponding to access control and authority limitation, achievements on successful information security management and effective waste control on the cost of information system are reached.
Keywords : Role-Based Access Control, Information Security, Communication Monitoring, Information leakage
誌謝
首先誠摯的感謝我的指導教授吳美玉博士,在美玉老師悉心的教導下,使我 得以一窺使用 RBAC 模型應用於資訊安全管理領域下的深奧,美玉老師也常於 課餘時間中,不時的與我協同討論並指點我正確的論文寫作方向,使我在這兩年 中獲益匪淺,美玉老師對論文要求的嚴謹更是我輩學習的典範。
在研究所兩年的日子裡,與班上同學共同的生活點滴,學術上的討論、言不 及義的閒扯、一起趕報告的革命情感,感謝各位學長、學姐與班上的每位同學的 共同砥礪,有你們的陪伴讓兩年的研究所生活變得更絢麗多彩。本論文的完成另 外亦得感謝維強同學。因為有維強的幫忙以及每次與老師討論時,協助解決彼此 論文上的問題,讓我與老師能夠更專心的討論研究方向,使得本論文能夠更完整 而嚴謹。
對於女朋友慧軒在背後的默默支持與鼓勵,更是我在論文的寫作與前進的動 力,沒有慧軒的體諒、包容,相信此篇論文也無法如期完成,因為這兩年的生活 有慧軒的陪伴,讓我可以無後顧之憂全心全力完成本論文。
最後,謹以此文獻給我摯愛的雙親。
目錄
摘要 ...II Abstract... III 誌謝 ... IV 目錄 ...V 圖目錄 ... VII 表目錄 ...VIII
第一章 緒論... 1
1.1 研究動機與背景 ... 2
1.2 研究目的 ... 5
1.3 研究範圍 ... 6
1.4 論文架構 ... 7
第二章 文獻探討... 9
2.1. 資訊安全概述 ... 9
2.1.1 資訊安全定義... 13
2.1.2 資訊安全政策... 15
2.1.3 資訊安全措施... 16
2.2 存取控制相關研究... 17
2.2.1 存取控制的定義... 18
2.2.1 存取控制的方法... 20
2.3 通訊監測管理技術... 28
2.3.1 即時通訊 ... 29
2.3.2 郵件過濾 ... 31
2.3.3 網頁瀏覽 ... 33
2.3.4 檔案使用授權... 34
2.3.5 USB 裝置授權 ... 35
2.3.6 頻寬管理 ... 36
2.3.7 傳檔管制(http/FTP) ... 38
2.3.8 光碟機燒錄管制... 38
2.4 相關研究論文 ... 39
第三章 資訊安全稽核系統之規劃 ... 41
3.1 架構簡介 ... 41
3.2 資訊安全管理 ... 46
第四章 系統模型架構與分析... 71
4.1 系統流程架構 ... 71
4.2 分析與討論 ... 74
第五章 結論與未來研究方向... 76
5.1 結論... 76
5.2 未來研究方向 ... 78
參考文獻 ... 80
附錄一 使用到資訊設備職務... 83
附錄二 不會使用到資訊設備職務 ... 86
圖目錄
圖 2 - 1 資訊安全元件...11
圖 2 - 2 資訊安全... 14
圖 2 - 3 資訊安全管理... 16
圖 2 - 4 存取控制串列... 22
圖 2 - 5 能力串列... 23
圖 2 - 6 RBAC 基本運作原理 ... 26
圖 2 - 7 使用者與物件的關係 ... 26
圖 2 - 8 物件與操作者之間的關係... 26
圖 2 - 9 RBAC 模型之間的關係 ... 27
圖 2 - 10 以角色為基礎之存取控制... 28
圖 2 - 11 常見即時通訊軟體 ... 30
圖 2 - 12 常見的 USB 外接儲存裝置 ... 36
圖 2 - 13 常見的 P2P 連線軟體... 37
圖 3 - 1 論文研究架構... 41
圖 3 - 2 檔案傳輸方式... 42
圖 3 - 3 實作架構流程圖 ... 43
圖 3 - 4 以 RBAC 為基礎的資訊安全管理模型... 44
圖 4 - 1 業資訊安全系統架構圖... 72
圖 4 - 2 企業資訊安全系統流程圖... 73
表目錄
表 1 - 1 存取控制方法比較表 ... 4
表 2 - 1 加密技術分類... 12
表 2 - 2 資訊安全定義... 13
表 2 - 3 常見的即時通訊軟體及其說明... 31
表 2 - 4 郵件過濾器功能... 33
表 3 - 1 網頁瀏覽權限表... 47
表 3 - 2 即時通訊管理策略表 ... 48
表 3 - 3 郵件過濾管理策略表 ... 49
表 3 - 4 文件管制策略表... 50
表 3 - 5 無線網路使用權限表 ... 51
表 3 - 6 USB 管制權限表 ... 52
表 3 - 7 P2P 使用管制 ... 53
表 3 - 8 傳檔管制(http/FTP) ... 54
表 3 - 9 光碟讀取與燒錄權限 ... 55
表 3 - 10 雲端儲存系統管制 ... 56
表 3 - 11 電腦終端資料保全 ... 57
表 3 - 12 Web 串流媒體管制 ... 58
表 3 - 13 經營類型相關工作人員管制表 ... 59
表 3 - 14 人資類型相關工作人員管制表 ... 59
表 3 - 15 行政相關工作人員管制表... 60
表 3 - 16 總務相關工作人員管制表... 60
表 3 - 17 法務類型相關工作人員管制表 ... 61
表 3 - 18 行銷相關工作人員管制表... 62
表 3 - 19 企劃相關工作人員管制表... 62
表 3 - 20 專案管理類相關工作人員管制表 ... 63
表 3 - 21 業務相關工作人員管制表... 64
表 3 - 22 貿易相關工作人員管制表... 64
表 3 - 23 資訊軟體系統類相關工作人員管制表 ... 65
表 3 - 24 維修相關工作人員管制表... 66
表 3 - 25 資材相關工作人員管制表... 66
表 3 - 26 物流相關工作人員管制表... 67
表 3 - 27 製圖相關工作人員管制表... 67
表 3 - 28 設計相關工作人員管制表... 68
表 3 - 29 文字相關工作人員管制表... 68
表 3 - 30 傳媒工作相關人員管制表... 69
表 3 - 31 研發相關工作人員管制表... 69 表 3 - 32 財會金融專業類相關工作人員管制表 ... 70 表 4 - 1 ISAS 與傳統管理方式比較表 ... 74
第一章 緒論
隨著資訊科技不斷的發展與進步,企業員工往往會因為工作上的方便與需要 而連接網際網路或使用外接的儲存媒介裝置。但是水能載舟亦能覆舟,網際網路 與其他資訊設備能夠協助許多企業促進發展以及提高企業生産力;但在另一方面 卻也同時在工作效率、企業管理、IT 投資、資訊安全、法律遵從…等,各方面 給企業提出了各種不同的嚴峻挑戰與問題。而網際網路的快速發展也讓使用者有 了更多的選擇,許多的使用者也常常利用上班時間進行非一些與業務無關的操作 行為,由於部分的企業員工對於資訊安全意識比較薄弱,以致於造成容易將客戶 資訊、內部敏感資訊…等,在網際網路上隨便傳播,而且沒有加密,或是將重要 資料文件透過外接式儲存裝置攜帶回家作業,而這樣的資訊數據很容易被竊取修 改,甚至於有惡意的使用者還會利用上述所產生的資訊安全漏洞將機密資料檔交 由競爭對手企業,由此産生的洩密事件,也會給企業帶來巨大的損失,透過資訊 安全管理來訂定相關規範,以減少上述情事發生,確保企業資訊財產的安全是有 其重要性的,而且是刻不容緩的一件事。
然而在一個企業當中,單純的訂定相關資訊管理作業規範並不能解決所有的 問題,因為就算是一個完整的資訊安全規範也無法可以適用於企業內部所有使用 者,為了能更有效率的針對不同的職務屬性來建立相對應的安全管理,搭配資訊 安全管理的規範以達到管理最大效益,我們將透過資訊安全管理結合存取權限控 制,舉例來說,銷售、採購單位以及與外部協同作業的使用者可能需要上網,但 是像人事、工程設計與生産管理等部門,上班時間使用網際網路的機會就相對地 較少。為了有效管控企業內部可能造成的資訊安全漏洞,我們將透過資訊安全管 理訂定相對應的規範來採取不同的管制方法並針對不同的使用者職務與權限做 為區分管理的方案,此外並利用通訊監測技術來做為權限管制的執行方法。
透過資訊安全管理規範訂定出來的規範並結合 RBAC 模型區分出不同使用 者的權限後,則可利用通訊監測技術來達到即時通訊訊息紀錄稽核或阻擋、問題 網頁封鎖、儲存裝置管制、檔案伺服器權限控管、技術研發資料管制、電子郵件 監控…等,防止資訊安全洩密情事的產生。
1.1 研究動機與背景
企業內部所研發的核心技術,為企業研發單位的研究成果,這些研究的結果 可謂是企業的命脈,如何能夠防止內部有心人士,透過未經授權的手法,竊取研 究的成果,是企業老闆與資訊工程人員的重大課題,一旦發生資安事故時,企業 要有能力舉證,為自己辯護。威播科技(BroadWeb Corporation)的副總陳鴻彬 在網路威脅與防治方式的演講中提到,現在的資安事件有 80%來自於內部人員的 不當操作,20%資安問題才是來自於外部駭客的非法入侵[14],而譚學者在品質 月刊上所發表的[由“個資法”引申企業對資訊安全之認知]也提及資訊安全的威 脅,80%來自於內部,如心懷怨恨的員工、維護不良、疏忽與犯錯、不誠實的員 工…等,其餘的 20%才是來自於外部,如自然災害、駭客、競爭對手、商業間 諜…等 [19] ,也就是說外部發起的攻擊反而並非主要影響企業營運的關鍵。但 若為了防止機密資料外洩,進而全面防堵使用者使用網際網路,亦可謂是因噎廢 食,資訊安全政策就如同一個天秤,如何在方便使用與嚴格管制之間去取得平 衡,針對不同的使用者執行不同的權限與管控,避免權限的濫用或是過度的保護 而影響企業的營運發展。
隨著資訊科技的發展與進步,越來越多資訊產品充斥市場,系統管理者與使 用者之間也不斷的上演攻防戰,當新的資訊設備問世時,也同時考驗著系統管理 者的應變能力,而為了防範日新月異的資訊產品,企業必須不斷的修正資訊安全 管理政策,每次修改資訊安全管理政策時都必須付出不少的時間與精神,為了能 快速的面對隨時必須修改的資訊安全管理政策,有效的制定一套好的管理方法是 必須的,然而制定出來的管理方法卻不一定可以套用在每位使用者身上,必須針 對不同的使用者給予不同的權限或阻擋其功能,以期達到減少資訊安全事件的發 生,若是透過完整的資訊安全政策規範並以 RBAC 為基礎對於資訊安全管理是 可行並且能帶來更大的效益。此外若只是單純的制定方法卻無法落實所制定的方 法只是徒勞無功罷了,本研究將企業所制定出來的資訊安全管理方法並以角色存 取的控制方法為基礎並配合不同的資訊監測或管理技術,將可以把資訊管理政策 落實並且有效率的實施與管理。
針對資訊系統的執行權限管制的方式,其較常使用於系統模型的基本存取控 制概念有分為自主型存取控制(Discretionary Access Control, DAC)以及強制型 存取控制(Mandatory Access Control, MAC)兩種存取控制方式[10][17]。
因 MAC 的存取控制方式偏向於集中式管理方法,所以 MAC 較多適用於軍 事方面的系統架構,而企業存取方式則較多採用 DAC,此種存取方式是對於資 訊或物件(Object)屬個人使用者所擁有,對於開放資訊或物件的授予存取權,
完全取決於個人的自由裁量方式管理,不會牽涉到其他共同擁有者之資訊。因此 DAC 又稱為基於個體的(Identity-Based)執行權限管制機制;缺點是它對於資 訊的傳遞及控制並不嚴謹,無法有效防止資訊擴散,且無法保證系統中資訊流動 的正確性,因此存取的限制可以容易被跳過,面對現在快速變化的網際網路環 境,這種傳統的控管方式缺乏組織層級架構與權責區分的管理,無法完全符合企 業對資訊系統安全上的要求,於是以角色為基礎的存取控制 (Role-Based Access Control,簡稱 RBAC)[5]因應而生。RBAC 是以職務概念為核心,建立使用者 對資訊資源執行權限的管理,較貼近現今企業組織的運作模式,符合企業資訊系 統的需求,對於 DAC、MAC 以及 RBAC 三種存取控制方式的比較,如表 1-1 存 取控制方法比較所示。
表 1 - 1 存取控制方法比較表[17]
標準 DAC MAC RBAC 權限管理基本單位 個人 個人 群組
可分類管理 否 否 可
權限設定複雜度 極高 高 低
可歸屬於單一群組 否 否 是
可歸屬於多群組 否 否 是
整體管理複雜度 高 高 低
如表 1-1 存取控制方法比較表將 DAC、MAC 與 RBAC 做一個比較,在權限 管理基本單位上,MAC 與 DAC 基本單位為個人而 RBAC 則可以群組管理;RBAC 可做到分類管理, MAC 與 DAC 則不可;關於權限設定的複雜度,RBAC 則簡 單的許多;對於群組的歸屬方面,RBAC 則可一對一與多對多的群組,整體管理 的複雜度,RBAC 則低的許多。由於 RBAC 相對於其它的權限控制機制,具有 可制定角色權限,再將使用者設定給特定角色,而能使用該角色所預設的權限 [17],而 RBAC 具有多個使用者能擁有多個角色以及多的角色能被多個使用者所 擁有的特性,所以利用 RBAC 模型,針對不同的職務與使用者,透過實施不同 的通訊監測或資訊安全管控,達到有效的資源規劃與管理,並能完善的遏止資訊 安全洩密事件的產生。然而在一個企業當中,並不是所有部門的使用者都需要使 用網際網路,舉例來說,像銷售、採購等部門因需要與外部協同作業,所以該部 門的使用者則必須使用網際網路,但是像工程設計、研發等部門之使用者,於上 班時間使用網際網路的就相對的就較少。也就是説,我們可以使用 RBAC 模型,
來針對不同的使用者,控制他的權限並利用網路資訊監測系統,控制本地上網,
監控使用者上網行為,有無作出傷害企業的動作或是資安洩密的行為。本研究將 規劃資訊安全管理並且以 RBAC 模型作為權限管制的基礎,以 RBAC 的概念為 核心,利用使用者與職務之間的關係作為基礎,進而透過資訊安全管理政策來建 立使用者對資訊資源執行權限的管理,而之所以採取 RBAC 模型則是因為 RBAC
模型屬於較成熟的技術,也較貼近現今企業組織的運作模式,較符合企業資訊系 統的需求。
在本研究中我們將透過 RBAC 的模型配合資訊安全管理政策來針對不同職 務下的使用者給予不同的權限,若以資訊安全管理的政策面並針對不同職務性質 來區分,可分為以下幾種類別,製造部門員工、業務人員、高階主管、研發單位、
系統管理員、稽核單位、行政單位、財務單位…等。以製造部門來說,產線的作 業人員在職務上因不需配置電腦,所以對於產線人員較不需要針對資訊設備的權 限去做管控,在資訊安全管理上,對於資訊安全威脅等級,屬於較低的層級;而 業務部門人員因職務上的需求,大部分的人員需使用可攜式行動裝置(如筆記型 電腦、智慧型手機、外接式儲存裝置、平板電腦…等),對於業務人員的管理重 點則放在行動裝置與外接式儲存裝置的管理與權限控制上;而高階主管手中所掌 握的資源與資訊往往比一般使用者來的多,且大部分皆屬於企業的機密資料,如 何保護好高階主管資訊設備上的資料,不會因為人為操作上的錯誤造成機密資料 外洩,並且在不影響到工作的執行下,進行檔案的保全與保護;企業內部中,系 統管理員所擁有的權限往往是企業內部最大的,如何針對系統管理員在操作任何 資訊系統時,留下所有行為與稽核的紀錄,以防止系統管理員濫用職權、監守自 盜,進而破壞企業的資訊安全或是將企業內部機密資料洩密給競爭對手以換取相 對利益;而行政單位的使用者大部分工作內容所處理的業務可能時常需要透過網 際網路查詢資料,所以重點則放在加強網際網路與即時通訊軟體的安全性作為管 控,財務部門因涉及企業重要帳務,在資訊安全管理的政策規劃中,不建議讓財 務部門使用外部網路,僅針對內部報表系統與 ERP(Enterprise resource planning, 企業資源規劃簡稱 EPR)相關財務系統作為開放,以避免企業財務報表外流情形 產生,透過資訊管理技術可以減少因上述情事而造成企業無法估計的損失。
1.2 研究目的
資訊安全管理一直都是企業重視的問題,為了有效的且確實的做好資訊安全 管理,一個好的資訊安全管理政策是必要的,政策的定義與制定則必須是嚴謹並 且經過縝密思考的,也必須因應環境或是職務上的需求來做一個調整與改變,本
研究為了能夠有效的達到資訊安全管理以及可靈活的運用資訊安全管理政策,並 且將此研究的結果可以套用在中小企業甚至大型企業上,所以將資訊安全管理政 策結合 BRAC 以及資訊監控管理技術來達到企業內部的資訊安全管理。
本研究的目的主要是如何將資訊安全管理政策以 RBAC 為基礎作為將不同 的使用者與職務利用資訊監控技術設備執行不同的資訊安全管理管控,透過 RBAC 模型,可以減少不必要的資源浪費,不需要將不必要的資源用在不需要管 控的使用者或職務上,減少在購買設備上的授權數,以達到企業降低成本的要 求。而在系統設備的效能上因使用者有事先使用 RBAC 模型利用使用者與職務 的關係進行群組,故對於設備上的資源也可以達到有效的發揮,不至於將系統資 源應用在不需要管控的使用者或職務之上,讓資訊系統設備能夠達到最大的使用 效率。
一般中小型企業對於資訊安全監控管制設備所投入的資金有限,不像大型企 業對於資訊安全所投入的資金與人力那麼充裕,本研究就是希望透過 RBAC 來 達到利用有限的資源作為全面性的規劃以及節省不必要的浪費與支出,以 RBAC 為基礎利用使用者與職務之間的群組關係將企業內所有部門的職務透過資訊安 全管理政策給予不同的權限以及管理政策,再使用資訊監控管理設備執行不同的 監控或管制,以最小的資源來得到資訊安全管理政策上的佈署與實施,透過這樣 的政策規劃以及資訊安全管理,來達到有效管理以及降低管理成本並且得到最大 效益則是本研究最主要的目的。
1.3 研究範圍
本研究主要是利用 RBAC 模型上的使用者與職務之間的關係,加上在企業 內部的資訊安全管理政策,給予不同的稽核與限制,透過這樣的架構後,再使用 資訊監控管理相關硬體設備,作為行為記錄或者權限管理,本研究主要之研究範 圍在於企業內部員工所有的網路行為、訊息傳遞、資安控管…等,透過資訊安全 政策的規劃與 RBAC 模型中,使用者與職務之間的權限管制並透過資訊監控管 理設備來實現資訊安全政策所定義的管理項目。
對於資訊安全的要求,不應該因為企業規模而有所妥協,本研究的系統架構 可以應用在不同型態的產業以及員工人數規模不同的企業,而大型企業對於資訊 部門給予的預算以及人力足以應付不同的資訊安全威脅事件,但是中小型規模的 企業礙於經費與人力,對於資訊安全所挹注的人力與資金有限,故如何善用系統 管理人員手上有限的資源,並利用最少的預算與設備所擁有的資源,來達到最大 的使用與管理效率,來定義資訊安全管理政策並且將其落實並實施,以期改善企 業內部員工可能因為違反資訊安全政策而引發的洩密事件。
本研究將針對企業內部的使用者、組織、所屬部門、以及員工從事工作的項 目、職務權責上的區分,並對不同的使用者所賦予的工作項目作為職務上的區 別,來進行分析、比較,再將本研究分析過後的工作職務權限套用在資訊安全管 理政策上,最後再透過資訊監控管理設備來達到監控、側錄、阻擋與管制等行為,
透過這樣的管理方式,我們可以將設備上的授權數量以及運算資源做唯一個有效 的分配與使用,讓系統的資源用在該用的人員身上,以減少企業資源的浪費。
1.4 論文架構
本研究提出了適用於企業資訊安全政策的資訊安全稽核管理之模型,透過資 訊安全政策把職務所需求的人員權限與受管制的項目給予定義,進而降低資訊外 洩的風險與管理。本研究相關章節安排如下:
第一章為本篇論文的緒論,介紹了本篇論文的研究背景與動機、研究目的與 研究架構;簡略說明瞭目前的資訊安全設備發展情況,並把資訊安全政策的重要 性加以指明,同時也因為現有的存取控制模型鮮少探討資訊安全議題,因此將群 組的觀點加入其中,使本研究更為貼近企業實作與運作。
第二章將探討與本研究相關的數個領域,分別為:存取控制的相關研究、資 訊安全概述、通訊監測管理技術,以這些研究作為架構和理論基礎,作為資訊安 全政策的存取控制依據。
第三章為本研究之重點,將說明資訊安全政策的存取控制系統架構,所描述 研究內容中包含了本研究模型的架構與組成概念,並對架構下的元件做定義說 明,以及對於職務在資訊安全政策上的管制與規範。
第四章為本研究提出之雛型系統介紹, 利用第三章所說明的資訊安全政策 與 RBAC,假設一套可實作的系統 ISAS,藉以證明此架構的可行性並分析與討 論本研究與傳統的管理方式的差異。
第五章為本研究之結論與未來研究,說明本研究架構的現有特性,以及未來 可行研究的方向與內容,包含資訊安全內的職務特性與職務之間委任授權的安全 規範等。
第二章 文獻探討
本研究主要作為企業內部對於資訊安全政策的要求,在本章節中將分為三個 部份來做說明,其一為存取控制相關之研究,主要是採取以 RBAC 為基礎,作 為職務的權限給予、稽核或管制,第二部分則對於本章節中所有資訊安全的定義 以及資訊設備的監控方式做詳細說明,最後再深入探討幾篇與本研究較為相關的 研究論文,故文獻探討的部份將包含有資訊安全、存取控制、資訊監控設備以及 相關文獻探討。本研究的設計方向,除了著重存取控制對於資訊系統的安全外,
也探討了資訊安全政策以及資訊監控設備的安全議題,為了完成 RBAC 系統架 構的設計,本研究提供了資訊安全政策與資訊監控技術的使用,作為使用者身分 的稽核管理與監控措施。
本章節包含了存取控制相關技術、資訊安全、資訊監控技術…等。最後再根 據本論文所研究的議題,收集相關研究學者的著作及研究報告後,加以分析整理 以及歸納。
2.1. 資訊安全概述
資訊安全概述可分為資訊安全定義、資訊安全政策、資訊安全措施三個部份 來做說明。所謂的資訊安全泛指在開放式網路環境中,把企業所使用的區域網路 或是廣域網路,從其他的網際網路中區分開來,做為確保企業內之資訊的機密性
(Confidentiality)、完整性(Integrity)、可用性(Availability)之安全[7][8],以 及識別可能發生的資訊安全事件並消除其安全威脅和弱點,而所有的資訊系統都 不可能保證百分百的安全,只要是個人電腦或是企業伺服器能夠與其他設備連接 或是使用網路、隨插即用的外接裝置…等,就有著相對的風險。而在資訊安全原 則下的重點就是使用有效的解決方法,但不會額外增加合法使用者使用網路或是 隨插即用外接設備以及其他與個人電腦或企業伺服器所連結裝置存取所需資源
時,所造成的麻煩與不便。而針對資訊安全定義的部分在之後的章節會有更詳細 說明。
資訊安全標準是屬於一種強制性執行的規則,它定義有關系統、硬體或其相 關產品該如何在一個安全的環境下使用或執行。它並提供了一些手段或是方法來 保證企業中所使用的應用程式、特定技術…等相關技術不會觸犯資訊安全事件,
資訊安全標準以規定方式執行,常見的標準有 ISO 7498-2(開放式系統互連參考 模型)、ITSEC(Information Technology Security Evaluation Criteria, 資訊技術安 全評估準則)、BS7799(國際資訊安全稽核規範)、ISO 17799(資訊安全管理的 國際標準)、ISO 27001(資訊安全管理驗證服務)、ISO 27002(資訊安全管理之 作業規範標準)[13]。
在 ISO 7498-2 安全體系結構中將安全(Security)定義為將資產和資源缺陷 最小化。其中又將資產(Asset)定義為有價值的東西,而系統漏洞(Vulnerability), 是指任何允許侵入系統中的可被利用的弱點,而威脅(Threat)則是一種潛在於 系統內的安全破壞行為,ISO 7498-2 又進一步把威脅分為:偶然的或故意的,以 及主動的或被動的,ISO 7498-2 對安全服務的定義可分為身分驗證、存取控制、
資料保密、資料完整性[13]。
在歐洲, ITSEC 文件中的英國標準 BS 7799 概述了網路威脅和各種可以使 用的控制,這些控制減少被攻擊的可能性,BS7799 又包含了 10 大控制項目,36 個控制目標及 127 個控制措施,其目的是建立一套完整的資訊安全管理系統。為 達成此十大控制項目,BS 7799 定義了 36 個控制目標(Control Objectives)分別屬 於十大控制項目。這 36 個控制目標又由 127 個控制措施(Controls)來實現。ISO 17799 源自於英國的 BS 7799,是一個以安全為中心的 IT 資訊安全管理的國際標 準。目前已經有二十幾個國家列為國家的資訊安全標準規範,ISO-17799 主要是 協助企業去判別、管理及減少資訊在持續暴露所構成威脅的幅度。並提供企業滿 意及確定的了解企業所制定出來的規範,使用容易管理的控制,保護著企業內部 的資訊安全。提供制定開發或加強一個企業的安全性的流程架構。
ISO 27001 資訊安全標準是從英國標準協會(British Standards Institution)提 出之 BS 7799-2 標準,所延伸整合而成的國際資訊安全標準,是一種國際認可的 資訊安全管理體系,ISO 27001 資訊安全標準所制定的規範要求,是一般性並且 可以被廣泛應用的,可以適用於任何型式的企業,並且不會限制企業規模大小和 營業性質。而 ISO 27002 則為 ISO 27001 作業規範 ISO 17799,所正式更名為 ISO 27002。讓資訊安全管理認證的 ISO 27001,以及其作業準則的 ISO 17799,能共 同使用 ISO 27000 同一系列的編號。
資訊安全元件可分為企業安全策略、用戶身分驗證、加密、存取控制、稽核 與管理[13],如圖 2-1 所示。
圖 2 - 1 資訊安全元件[13]
圖 2-1 中的企業安全策略是指建立在安全系統下的基礎,有了適合企業內部 的企業安全策略並不能完全保證能夠消除外部的入侵攻擊和資訊遭到破壞,但是 企業安全策略提供了所有災後復原與應變所有行動的基礎,並允許建立可以執行 稽核網路的步驟與準則。
用戶身分驗證所提供的是系統與使用者之間的驗證,使用者出示所擁有的帳 號與密碼以證明是使用者所擁有的執行權限,透過 IP 位置並可以進一步的識別
使用者登入系統的位置在於何處,是企業內部亦或者是在企業外部,較為特殊的 用戶身分驗證的驗證技術還有 Kerberos 以及一次性密碼(OTP)[16]。
加密技術自有歷史以來就存在於人類的社群活動中,不同的時代有著不同的 加密方式,如暗語、口令…等,現今資訊系統中所有的加密技術都要使用演算法
(algorithm),它是一種較複雜的數學規則,被設計用來打亂資訊並重新組合,
一般加密技術大部分用於網路通訊和檔案加密技術,影響加密技術的強度有三個 主要因素,第一個是演算法強度,第二個因素是金鑰的保密性能,第三個因素是 金鑰的長度[13] 。加密的技術分類大致可分為幾種,如表 2-1 加密技術分類所示。
表 2 - 1 加密技術分類[13]
密碼學 說明
對稱技術 對加密和解密檔案進行資料加密時各使用同一個金鑰 非對稱技術 使用一對金鑰加密或解密資料。
雜湊(Hash)
技術
使用一種被稱做“雜湊函數”的數學方程式,在技術上打 亂資訊,使得資訊無法被恢復。
企業內部的使用者,無論其職務高低或工作特性,只要有需要使用到企業內 部的資源,就會涉及存取控制(access control),企業的內部管控機制保證每位 使用者和系統只能存取企業所訂定的資訊安全策略所允許的資源,而本研究所採 用的方式則為以角色為基礎的存取控制機制 RBAC 搭配企業所訂定的資訊安全 政策,最後以資訊監控技術來達到管控的目的。
為了有效的管控所有資訊設備,系統管理者擁有制定系統功能的權限,而稽 核(Auditing)的功能,是整個資訊安全策略規劃的核心部分,所有資訊化的作 業系統都應該把它們的所有的事件記錄到系統日誌中,透過這些系統日誌可以確 定執行安全措施的有效性,檢查活動日誌的檔案,通常是發現未被允許的活動與 事件是否發生以及如何發生,並且透過稽核的功能,還可以管制系統管理者監守 自盜的情形發生。
2.1.1 資訊安全定義
要討論資訊安全,首先要先定義什麼是資訊。資訊定義可解釋為使用電腦系 統處理、傳送、或儲存的資料,稱之為資訊。而企業為了能夠將資訊發揮最大的 價值,就必須提出一套有效的防止資訊、資料、檔案遭到竄改、竊取、破壞或是 遺失,而資訊安全主要四大防護重點的項目就是防毒、防駭、防災、防竊。以資 訊 安 全 的 角 度 來 說 , 就 是要 確 保 資 訊 的 機密 性 ( Confidentiality)、 完 整 性
(Integrity)、可用性(Availability),簡單來說就是保護資訊不被在未經授權的 情況下被存取、修改與損毀,針對機密性、完整性、可用性的解釋如表 2-2 資訊 安全定義所示。
表 2 - 2 資訊安全定義
特性 說明
機密性(Confidentiality) 為了保護重要資訊不被未經授權之存取或複製 完整性(Integrity) 確保資訊在任何階段沒有不適當的損毀或修改 可用性(Availability) 經由合法授權的使用者能適時的存取所需之資訊
資訊安全分為電腦安全與網路安全,如圖 2-2 所示,所謂的資訊安全就是利 用各種方法及工具來保護靜態資訊以及動態資訊,而靜態資訊就是指個人電腦或 伺服器內所有文件資料,動態資訊則是在網際網路上所有傳遞的檔案或郵件,而 資訊安全的威脅可分為來自於內部洩密與外部攻擊兩部分,來自於外部的威脅概 括來自於天然災害、駭客、DDOS(分散式阻絕服務攻擊)、病毒…等;內部的 威脅則來自於硬體損害(如故障或停電)、企業內部員工洩密、協力廠商、病毒…
等因素,整理來說所謂的資訊安全威脅分為來自於人為災害如駭客入侵、網路恐 怖份子、內部人員洩密、系統管理者、協力廠商、電腦病毒、阻絕服務…等,以 及來自於自然災害如地震、雷擊、火災、水患…等,和來自於硬體本身,如硬碟 壞軌、故障、停電…等。
圖 2 - 2 資訊安全
資訊安全定義主要在於如何保護及維護電腦本機資料的安全,包含資料的 使用、資料的傳遞、資料的處理、資料的儲存…等。而隨著網際網路傳輸速度越 來越高且越來越普及化後,資料的傳遞則變的愈來愈重要,對於資訊安全的要求 也越來越高,原本僅在本機的資料使用、傳遞、處理透過網路的便利性,可以提 供給使用者更多的方便,但也間接的造成了資訊安全的隱憂。而另有其他學者指 出資訊安全又包含網路安全、系統安全、安全管理三個部份。網路安全是指資料 在網路中傳遞與處理中,可能在網路上所遭遇到的威脅,常見的網路安全的威脅 有竊聽、竄改、重送、阻斷服務,而對於不同的網路安全威脅則有不同的保護方 法,譬如說,以竊聽手法來說,我們可利用在傳輸內容中,做一個加密來保護資 料,而竄改的手法,則可利用簽章的方式來防止資料遭到竄改,重送的手法,可 以利用身分驗證的方式來防止,而阻斷攻擊部分,目前尚無有效的解決方案,對 於用來防止網路上威脅常見的方法有 PKI、自然人憑證…等;而系統安全是指資 料在處理過程中所遭遇到的資訊安全事件,主要的威脅有駭客入侵、木馬屠城、
安全弱點、病毒蠕蟲、稽核管理、儲存系統…等,要防止這些資訊安全威脅,則 需要靠企業成立一套完整的資訊安全政策,並利用工具實施資訊安全管理和稽 核,並定期進行資安認知和教育訓練;安全管理則是指確保資料安全的機制,如 管理機制、安全認證…等。
2.1.2 資訊安全政策
隨著網際網路的普及與頻寬越來越快的,目前所有皆企業逐漸走向 E 化的 時代,資訊安全已是企業重要的目標之一,企業經由資訊安全政策之制定、實施 與維護之程序,來達到提升資訊安全的目標,因此,資訊安全政策之制定是企業 資訊安全之基礎建設。[6]
資訊安全政策是指建立任何成功安全系統的基礎。而資訊安全政策規劃首先 須執行風險評估以找出重要資產之風險所在,制訂組織安全防護政策並不能保證 能夠完全消除外部或內部的攻擊與入侵以及資訊損失,但資訊安全策略提供了所 有資訊安全規劃的基礎,並允許建立可以稽核使用者所有網路行為以及對於使用 者存取控制權限的步驟與規則。
資訊的風險是指容易遭受威脅的資訊資產或資訊設備與系統,如未定期更新 系統弱點程式或是使用不當的網路行為…等。當資訊系統在執行過程中,突然遭 受來自外部的不明攻擊或威脅時,因系統或設備本身所存在的漏洞或弱點,而可 能引發的各種威脅或資安事件,例如資料處理錯誤、網路損壞、設備或資料遭竊、
軟體的錯誤、網路釣魚或詐欺、未經管理者授權的非法存取、電腦元件的故障、
被人蓄意破壞、天然災害、設備誤用、病毒木馬,或是資訊服務停止…等。風險 的來源就是資訊安全策略的重要構成要素,而影響組織資訊策略的因素,主要來 自組織資訊環境的四個部份,分別是組織既有的資訊資源、組織特性、新興科技 與組織產業地位。企業則可根據資訊環境來制定資訊安全政策,而政策的制定則 由資訊風險辨識與評估過程開始,由企業內部資訊人員來針對不同的資訊設備所 存在的弱點來進行評估與規劃,找出符合企業內部的規則與政策,並達到防止資 訊安全漏洞外洩的危機。[4]
制定資訊安全政策的用意就是在於如何有效的避免或是防堵上述的風險所 造成的資訊安全事件與威脅,明確的定義出哪些設備不能使用,哪些系統不能操 作,哪些軟體需要被管制,以及哪些使用者的權限需要被稽核或阻擋,這些都是
能有效遏止資訊安全事件的發生,所以有效的制定出一套符合企業內部所使用的 資訊安全政策,才能做好企業內部的資訊安全管理。
由於目前資訊科技的發展日新月異,資訊安全威脅事件對於企業的影響衝擊 也相對的越來越嚴重。企業的資訊安全已經不能只是一項防禦性的政策,而是應 該進行較為積極的主動性的政策行動。因此從實務方面來看企業的資訊安全管 理,整體的資訊安全工作項目,應該制定完成資訊安全政策、資訊安全事件的風 險管理以及內部資料的存取控制與稽核行動…等,作為基礎的資訊安全管理架構 [11],如圖 2-3 所示。
圖 2 - 3 資訊安全管理[11]
2.1.3 資訊安全措施
有了明確定義的資訊安全政策後,就必須要有相對應的管理方式,例如網路 或系統的員工帳號,應該由權責單位,統籌設定與管理,員工帳號使用的密碼必 須要經常更換或設定為定期更換,並且對於密碼部分不得隨意洩露他人知道,並 於人員離職或職務異動時,註銷該員工帳號或是調整該帳號使用權限;使用網際 網路下載程式或資料時,必須先確認有無病毒感染或是木馬程式…等後,再行下 載。對於網際網路的連線設備應安裝防毒軟體及合法授權之軟體,並嚴禁隨意更
動原系統設定;為防範使用者電腦遭到外部非法入侵,企業應該要設置防火牆,
並設定警示訊號或警示郵件通知,隨時提醒系統管理員或相關使用人員處理突發 狀況...等資訊安全相關的防護措施。
此外所有企業的資訊系統資產,應該要建立一份與資訊系統相關的資訊資產 目錄清單,並訂定關於資訊資產的項目、擁有者及安全等級分類…等,資訊資產 項目可分為四大項,第一項為資訊資產應包含所有的應用程式資料庫及文件資料 檔案、系統原始檔、使用者操作手冊、訓練教材、作業性程式及系統支援程式、
業務永續營運計畫、備援作業計畫…等。第二項為系統軟體資產,應包含所有應 用軟體、系統軟體、研究發展工具程式以及公用程式…等。第三項為實體資產,
包含所有個人電腦、伺服器以及通訊設備及其他技術設備。最後一項為技術服務 資產,包含所有電腦及通信服務以及其他技術性服務(如電源及空調)。[12]
除了上述的資訊資產需要建立資訊資產目錄清單,此外對於企業資訊安全之 等級分類,應依據企業需求,建立資訊安全等級分類標準以及相對應之保護措 施。對於資訊安全分類之標準,應該考量資訊分享以及其限制之影響、未經授權 的系統存取或是系統損害對企業之業務所造成的衝擊,尤其必須考量到資料的機 密性、完整性及可用性。
所有的資訊安全等級分類,可依據企業需求,將其區分為機密性、敏感性及 一般性等三類。作為界定資訊安全等級之責任,應該由原始資料的產生者,或是 由指定的系統管理負責。當須執行或參考其他企業或機關團體訂定的資訊安全等 級分類時,應特別注意該企業對於工作職務的資訊安全等級分類,在定義及標準 上是否相同。
2.2 存取控制相關研究
二十一世紀是一個網路的時代,使用者隨時可以在透過網路,取得任何想 要的資訊。然而,由於網際網路是一種開放的架構,與網路相連的事物並沒有受 到完善的保護。因此,如何為上網的系統規劃制定一套良好的存取管控機制來管
理權限是一個非常重要的議題。截至目前為止,已有各種存取管控的管理機制被 提出,如存取控制矩陣(Access Control Matrix)、存取控制串列(Access Control Lists)、能力串列(Capability Lists)、以角色為基礎的存取控制(Role-Based Access Control)…等[2]。
本章節將對於存取控制的定義、存取控制的方法做一個詳細的說明,並對 於存取控制方法的幾種常見的控制方式做個介紹,在本研究中,採取的是以角色 為基礎之存取控制(Role-Based Access Control, RBAC)做為本研究的主要的架 構所使用的模型。
2.2.1 存取控制的定義
為了建立一套能夠有效管理並且能夠彈性適應不同組織企業的資訊安全管 理系統,我們需要一套有效的權限管理機制來協助我們達成這個目的,常見的存 取控制方法,可分為強制型存取控制(Mandatory Access Control, MAC)、自主型 存取控制(Discretionary Access Control, DAC)與以角色為基礎之存取控制
(Role-Based Access Control, RBAC)三種控制方式[2][10]。執行存取控制的主要 目的在於限制未經過授權的使用者進入系統對企業的資源或者資料進行存取。也 可以有效管制合法的使用者對於其可存取的範圍內,進行管理者所授予的職權來 完成或者執行工作,重要的是,我們可以防止未經授權的使用者操作系統,以維 護資料的完整性。
存取控制(Access Control)是當使用者請求一項服務時,判別使用者是否 有該服務存取之權限,進而限制服務操作之權限,避免使用者超出自身可作業之 權限範圍,造成不當的資訊外洩或資源存取。目前常見的存取控制方法有存取控 制矩陣(Access Control Matrix, ACM)、存取控制串列(Access Control List,
ACL)、能力串列(Capabilities List);存取控制方法是高階的指導原則,用以決 定存取如何控制及存取方法訂定,其中有自主型存取控制、強制型存取控制及以 角色為基礎之存取控制。
目前企業遭遇到最大的資訊安全威脅事件,並非是外部駭客入侵之攻擊行 為,而是來自於企業內部的員工洩密事件,對於有效的防止企業內部員工造成的 資訊安全洩密事件,我們必須做好存取控制的管理,而存取控制的定義是對於資 訊系統所提供的資源做確實的存取保護,以防止任何未經授權的使用者透過非法 的系統存取與破壞。對於其實踐的方式,應該依據企業的資安需求,對於資訊的 存取、資訊的處理設施與程序來建立管控,有效並確實的管理資訊系統的存取與 權限。
而存取控制由內而外分別為「資料」存取控制與「系統」存取控制以及「網 路」存取控制三種構面,若要作好資料存取控制,必須做好資料分級、檔案權限 管理、密碼使用與保護三項基本措施,對於資料分級必須確認誰是資料的擁有者 以及將不同的資料分為極機密、機密、密、普級文件…等不同的資料等級,對於 使用者也必須區分可以閱讀的等級與修改的權限。檔案權限的管理與控制則是必 須設定使用者或群組對於檔案或資料夾的執行權限,如唯讀、修改、完全控制等 不同的權限;對於密碼的使用與保護則必須設定較強式的密碼,安全性必須足 夠,何謂強式密碼,安全性足夠、不易被破解的密碼,如密碼最少長度及英數字、
特殊字元混用…等,不易破解的密碼,且透過定期更換密碼以及不自動登錄來防 止密碼外洩情形發生。系統存取控制包含下列四點,存取控制表、帳號密碼與系 統登入、權限管理、應用系統管理,對於系統存取控制來說,則是以權限管理最 為重要,最後,對於網路存取控制網路存取控制構面部份,可以很深也可以很廣,
當然也可以既深且廣,端就企業需求考量而訂定,不過通常是逐步漸進的慢慢強 化,畢竟對於許多企業來說,在於人力與技術及經費上所挹注的資金有限,不可
能一次全部到位,況且網際網路技術發展越趨複雜多變,不可能以一變應萬變。
然而基本建置還是必須要做,關於網路存取控制最常運用到的措施為網路服務限 制與作業控制、網路區隔、身分鑑別與安全性通道。
2.2.1 存取控制的方法
資訊系統在最初的設計上,存取控制的方式分為兩種,一種是強制型存取權 限控制(Mandatory Access Control,MAC),主要用途在於較嚴謹的環境需求(如 軍方)。強制型存取控制對於資訊安全政策以及資源屬性的制定都是由系統管理 者來統一管理,並且強制實行。使用者並沒有辦法去自行變更安全標籤(security label),故強制型存取控制(MAC)又稱為以規則為基礎(Rule-based)的存取 權限控制。
另一種稱之為自主型存取控制(Discretionary Access Control,DAC),主要 用於合作卻需要自主的環境需求(像學術界研究者)。自主型存取控制的核心概 念是以物件(object)的擁有者(owner)就是該物件建立者(creator),並且具 有該物件執行權管制設定(包含讀、寫、刪除與執行)[21][30]。
上述兩種存取權限控管雖然擁有各自的優點,但是卻不能完全符合企業內部 設計資訊系統的需求。所以,在 1992 年由 Ferraiolo 提出了以角色為基礎的角 色存取權控制概念(Role-based AccessControl,RBAC),並且說明了這個機制是 非隨意性的存取權控制,以角色為基礎的存取控制政策提供了一套不同於上述兩 種控制措施的方法,它不僅提供了傳統 MAC 的嚴格需求,也提供了一些繼承自 傳統 DAC 的彈性需求。它有效率的授權管理方式,更是另兩種政策所無法提供 的。之後,在 1996 年,Sandhu 等學者為 RBAC 所提出的基本模型,基本元件
包含了使用者(User)、角色(Role)、授權(Authorization)及角色執行時間(Session)
等四個重要的元素,其中使用者會可以被指派多個職務,一個職務也可以被多個 使用者來擔任。職務會對應到所擁有的職權,透過職務分派給使用者而取得職權 [10] 。常見的存取控制方法除了 MAC、DAC 以及 RBAC 以外另外還有 ACL、
ACM 以及 CL,以下將針對常用的存取控制方法做一個說明與介紹。
ACL(Access Control List, 存取控制列表)
ACL 的目的是讓檔案或資料夾能夠有多個使用者 (Multi-User)或多個群 組 (Multi-Group)的存取權限,如圖 2-4 所示。系統管理員設定檔案和資料夾 擁有者、群組、以及其他的使用者的存取權限。這些權限也有其限制性。例如:
不同的使用者必須配置不同的權限。存取控制列表(Access Control Lists,ACL)
就由此而生。ACL 就是和物件(如 Web 伺服器硬碟上的目錄或資料夾)有關的 個人用戶或群組的清單,一份與物件關聯的權限清單。此清單指定可以存取物件 的人員或電腦,以及可以對物件執行的作業,ACL 確保了較簡單的模式來列出 使用清單的存取物件。ACL 可以決定使用者或群組可以存取或修改的檔案或資 料夾,最常見的像是防火牆,正向表列加負向表列以及檔案伺服器中可供存取的 檔案清單。
ACL 是以物件給予每位使用者不同的存取權限如圖 2-4 所示,檔案 1 這個物 件在不同的使用者中有不同的權限,在使用者 A 時,僅提供讀取權限,而使用 者 C 則擁有讀取、寫入與修改的權限,但缺點是當要查詢使用者 A 擁有哪些檔 案的權限時,需檢視所有的檔案去檢視每個檔案是否有使用者 A 的權限以及擁 有哪些權限。
圖 2 - 4 存取控制串列[17]
在典型的 ACL 中,清單中的各個項目均指定一個主體和一項作業。用一個 情境案例來做舉例:某企業的軟體部門有兩位成員:A 和 B;硬體部 (HW)有 兩位成員:D 和 C。現今有一個專案,是由 A 和 C 來共同開發,為了開發過程 中的一些文件和資料,建立了一個叫 Project 的資料夾;但是,只能讓 A 或 C 可 以存取,B 和 D 不能存取。要解決這樣的問題,就必須靠 ACL 來設定 Project 這個資料夾僅提供 A 與 C 擁有修改或存取的權限,而對於 B 與 D 則不給予權限 或禁止讀取的權限。
CLs(Capability Lists, 能力串列法)
能力串列法的方法與存取控制列表 ACL 類似,但不同的地方在於兩者的控 制角色對象互換,存取控制列表(Access Control List, ACL)是以檔案或資料夾 作為主要物件,將檔案或資料夾提供給每位使用者不同的存取權限,能力串列
(Capability Lists, CL)則是以使用者為主,每位使用者對於不同的檔案擁有不 同的存取權限,如圖 2-5 所示,使用者 A 擁有檔案 1 的讀取權限以及檔案 2 的讀 取與寫入的權限,每一個使用者皆能對應不同的檔案,不同的檔案則又有不同的 控制權限,但是能力串列(Capability Lists, CL)的缺點與存取控制列表(Access Control List, ACL)相似,差別在於當要查詢某個檔案有哪些使用者擁有存取的 權限以及每位使用者有哪些讀取、寫入、修改權限時,則必須將每位使用者都檢
視過一遍。
圖 2 - 5 能力串列[17]
DAC(Discretionary Access Control, 自主型存取控制)
DAC 源自於信任電腦系統評估準則(Trusted Computer Systems Evaluation Criteria, TCSEC)[13],是一種可以自主選擇存取資料的模式,由資料的擁有者 來決定哪些使用者可以存取資料,因此系統管理員或是擁有者都可決定資料或檔 案夾授權管理並決定哪些使用者擁有存取權限。
大型資料庫管理系統幾乎都支援 DAC,目前的 SQL 標準也對自主存取控制 提供支援。定義一個使用者的存取控制權就是要定義這個使用者可以在哪些資料 物件上進行哪些類型的操作 。在資料庫系統中,定義存取控制權稱為授權
(Authorization),使用者控制權定義中資料物件範圍越小,授權的系統就越靈活。
MAC(Mandatory Access Control, 強制型存取控制)
MAC(Mandatory Access Control; 強制型存取控制),MAC 一樣源自於 TCSEC,經常使用於較為敏感等級的作業環境或系統,來做為區隔標示的一種 存取架構,在存取的過程中,受到規則(Rules)的限制,主要適用於介定組織 公開及保護機密的資料,最典型的存取控制模型就是 Bell-LaPaDdula Model(美
國空軍贊助 MITRE 公司所發展之模型),每個主件都有許可證(Clearance)、物 件都有分類等級(Classification)、統稱二者為安全等級,根據存取清單(Access Lists)及存取規則(Access Rules)決定資料是否允許存取,來依照人員所在的 機密等級給予權限。
但在強制型存取控制的模式下,並非所有的文件都是機密不可洩露,最大的 因素在於時間(time based isolation),基於 time base access control 之下,它確保 了資料的安全,依照其機密分類等級及其設置的保密時間,並結合 RBAC(Role based access control, 以角色為基礎的存取控制),使在保持有機密的時間內只有 特定的角色可以存取。(例如:軍方的機密文件只有陸軍參謀可以存取,那麼在 機密的保護時間內,任何一個擔任陸軍參謀的人,都可以存取這份文件)
所謂 MAC 是指系統為保證更高程度的安全性,按照 TDI/TCSEC(Trusted Database Interpretation, 可信賴資料庫釋義 Trusted Computer System Evaluation Criteria, 信任電腦系統評估準則)標準中安全政策的要求,所採取的強制型存取 檢查手段。它不是使用者能使用直接操作或進行控制的。MAC 適用於那些對資 料有嚴格而固定加密分類的部門,例如軍事部門或政府部門。
在 MAC 中,DBMS(Database Management System, 資料庫管理系統)所管 理的全部實體被分為主體和客體兩大類。主體是系統中的活動實體,既包括 DBMS 所管理的實際用戶,也包括代表用戶的各進程。客體是系統中的被動實 體,是受主體操縱的,包括檔案、目錄、索引、圖檔…等。對於主體和客體,
DBMS 為它們每個實例(值)指派一個敏感度標記(Label)。
敏感度標記被分成不同的等級,例如最高等級加密(Top Secret)、極機密
(Secret)、機密(Confidential)、公開(Public)等。主體的敏感度標記稱為許可
證級別(Clearance Level),客體的敏感度標記稱為密級(Classification Level)。
MAC 機制就是通過對比主體的標記和客體的標記,最終確定主體是否能夠存取 客體。
RBAC(Role-Based Access Control, 以角色為基礎之存取控制)
RBAC 由美國國家標準局(National Institute of Standards and Technology, NIST)所提出。在該模型裡面使用者將會透過會期而分配到適當的角色,而角 色則會依照限制的不同而擁有其所屬的資源存取權限。此外,以角色為基礎之存 取控制包含了最少授權(Least privilege)、權責區分(Separation of duties)及資 料抽象化(Data abstraction)等安全規範。同時也有了限制(Constraints)、角色 階層(Role Hierarchies)等權限繼承的規範和擴大應用範圍的設計。[29]
RBAC 最主要的動機在於提供企業執行安全上的政策以及簡化繁瑣的管理 程序,除此之外,RBAC 並提供詳細的設定控制細項和較為彈性的優點。在以往 企業內部系統在管理使用者時,這些使用者都有權限控制的設定,這些設定必須 花上較多的人力成本才能有效的管理,但是隨著 RBAC 的發展,企業導入 RBAC 時,可以將這種對「使用者」的權限控管,變更為以「角色」來作為管理的方式,
在企業或機構的應用上,不但能降低管理成本,而且藉由 RBAC 的管理,可以 讓企業得到更為安全的保護政策。同時 RBAC 可以執行多種規範的保護政策,
較適合必須對企業內部訂定資訊安全管理的對象。
RBAC 是以角色為基礎作為系統模型的設計,因此在管理使用者時,只須 將使用者加入到所設定的角色當中,這位使用者就能擁有這個角色所擁有的權 限,但要解除該名使用者所能行使的權限時,只須將角色群組當中這名使用者移 除即可,因此,在執行權限設定時,只需要對角色去設定控管的權限即可。
圖 2-6 說明 RBAC 基本的概念,在圖 2-6 中的雙箭頭代表著多對多的關係,
亦即使用者可以同時擁有多個角色,而角色也可以同時被多個使用者所擁有,因 此使用者與角色之間的關係為多對多,在圖 2-6 中,操作意指該角色能夠被允許 權限所能執行的操作,而角色與操作之間的關係也同樣是多對多,亦即角色同樣 可以同時擁有多項操作,而一項操作也可以同時被多個角色所執行。
使用者 角色 操作
圖 2 - 6 RBAC 基本運作原理
圖 2-7 說明 User 與 Subject 的關係,在前面定義也提到 subject 是使用者受 active 的過程,但每一個操作(Operations),都必須先經過受過 active 的使用者 才能夠進行,因此在圖 2-7 中,User 與 Subject 的關係為一對多,即代表使用者 在同一時間受到多次以上的 active 過程。
圖 2 - 7 使用者與物件的關係
圖 2 - 8 物件與操作者之間的關係
圖 2-8 則是繼續延伸圖 2-6,說明操作(Operations)的對象即是 Object,且 兩者的關係為多對多,但真正要執行操作前,必須確認是否受到圖 2-6 的關係圖,
操作者是否真正經過 Subject 的過程。RBAC 能擁有系統事先設定於此角色的資 源存取權限。整個 RBAC 為一個合併的架構,其概念主要包含了 RBAC0、
RBAC1,以及 RBAC2 三個模組:RBAC0,此為 RBAC 的基本概念[9],如圖 2-9 所示;RBAC1,為角色的繼承及階層概念;RBAC2,表示在 RBAC 的概念 中,各個參與個體所具備的特定條件。
圖 2 - 9 RBAC 模型之間的關係[9]
RBAC,是資訊安全領域中,一種較新的存取技術並且廣為使用的存取控制 機制,其不同於 MAC(強制型存取控制)以及 DAC(自主型存取控制)直接賦 予使用者權限,而是將權限賦予角色,完整的 RBAC 以角色為基礎之存取控制 模型主要的觀念是在使用者及資訊資源權限之間加入角色(職務)的概念,將所 需的權限指派該角色,再將使用者指派至所屬的角色上,以角色來決定使用者是 否執行某個物件的權限,是一種非隨意性的存取控制(non-discretionary access control)。RBAC 模型主要包括了四個元件,分別為使用者(User, U)、角色(Roles, R)、權限(Permission, P)、工作階段(Session, S),各元件關係圖如圖 2-10 所 示。[5][21][26][27][28][29]
圖 2 - 10 以角色為基礎之存取控制[5]
2.3 通訊監測管理技術
江學者在該研究中提到,從美國管理協會(AMA: American Management Association)與 e 化政策學會(ePolicy Institute) 2007 年調查的報告來與 2005 年 調查報告做一個比較,發現雇主解僱不當使用電子郵件的員工,從 2005 年調查 時的 25%,增加至 28%。而雇主解僱不當使用電腦網路資源的員工,也從 2005 年 調查的 26%,增加至 30%。兩年之內解僱員工的比例,增加的比例均超過一成[1]。
這顯示出,企業內部員工利用上班時使用網路與電子郵件與電腦時,若透過資訊 設備或網路將企業內部資料洩漏出去,為避免企業員工內部洩密,企業雇主對於 監看的權力也逐漸增長,而為了資訊安全,員工隱私權的空間已日漸限縮。
在通訊監察法相關法規中,錢學者提出通訊監察為調查犯罪的重要手段之 一,應用於犯罪偵查已行之有年,向來是偵查機關對抗犯罪的重要利器之一 [18],但是企業在維護資訊安全之同時,如何兼顧員工的個人隱私權益之保障,
防止以維護資訊安全為名,卻行侵害員工權益之實,因此如何制定一套完整的資 訊安全政策,明確定義哪些職務擁有稽核的權限以及何時可以調閱稽核的資料,
使得企業在維護資訊安全的同時,還能維護通訊權利的保障。
企業為避免員工洩密,通常採用通訊監測技術概括來說可分為即時通訊訊息 側錄與阻擋、郵件內容記錄與阻擋、網頁瀏覽記錄與阻擋、檔案使用授權、USB 裝置授權這幾種方式,透過不同的監控或管理技術,將企業內部所有訊息資訊做 一個過濾或篩選甚至阻擋,以減少企業內部洩密情事發生,就算機密資訊透過不 當管道流出,所留下來的訊息紀錄也可做為日後循法律途徑之有效證據。
2.3.1 即時通訊
即時通訊軟體 (Instant Messenger, IM),改變了使用者不同的訊息傳遞方 式,不需要撥打電話,也不需要開口說話,使用鍵盤即可輕鬆的將相關訊息傳遞 至遠方,常見的即時通訊軟體如 MSN、Skype、
QQ、Yahoo Message、ICQ…等,
如圖 2-11 所示。但資訊安全往往與方便性相牴觸。越便利的使用即代表違反資
訊安全的機率越高。以往曾發生企業內部的使用者利用即時通訊軟體將企業內部 的研發機密核心資料洩漏給競爭對手,而造成企業極大的損失。有鑑於即時通訊 軟體因便利性而衍生的問題,現在一般企業也越來越注重與即時通訊軟體相關之 問題,而利用企業內部行政的手段如公告禁止或道德勸說等方式,來減少即時通 訊軟體的使用與檔案傳遞,大部份企業甚至會購買即時通訊側錄軟體來監控使用 者在即時通訊軟體上的所有行為包含檔案傳遞。但一套即時通訊側錄設備的價格 往往卻不是一般小型企業所負擔的起。而對於使用者的被稽核授權數的價格又是 分開計價,因為企業內部所有員工並非都需要被稽核,僅針對於需要被稽核紀錄 的使用者安裝代理程式即可,因此本研究將透過 RBAC 將有限的被稽核的授權 數量提供在被需要稽核的使用者身上,方能減少企業在系統上需要購買的授權數量以降低資訊成本並達到最大功效。
圖 2 - 11 常見即時通訊軟體
常見的即時通訊軟體說明如表 2-3 所示,一般企業內部較常使用的即時通訊 軟體為 MSN、Skype,而早期 MSN 未普及時,則以 ICQ 與 Yahoo Message 為主 流,AIM 則大部分使用在麥金塔作業系統中,IRC 則為語音即時通訊的始祖,
Jabber/XMPP 則以目前竄起的 Google Talk 為主要代表性軟體。
表 2 - 3 常見的即時通訊軟體及其說明
2.3.2 郵件過濾
隨著網際網路的普及,訊息的傳遞從早期的紙本傳遞改為更為便利的電子郵 件,電子郵件可以省去郵件傳遞往返所耗費的時程,讓郵件能夠不受時間空間的 限制,在短短的時間內將郵件傳遞給收件人,但是由於傳遞的方便性也等於資訊 洩漏的方便性也大大的提高了,企業內部的核心資料或是機密文件也在不知不覺 中,透過電子郵件的方式,一點一滴的漸漸流失,由於電子郵件可以一次傳遞大 量的文字以及可夾帶附檔,所以對於機密資料的保全更是不可不加以重視,以往 的郵件過濾裝置主要功能在於阻擋廣告信件與垃圾信件,隨著企業對於資訊安全 的重視,郵件伺服器所提供的功能也逐漸的改變,由單純的提供郵件服務改變為
常用 IM 軟體
說明1.MSN
這是微軟所開發維護的即時通訊軟體,也是目前應用最廣泛的即時通訊 軟體。
2.Jabber/XMPP
是一種以 XML 為基礎的開放式即時通訊協定,XMPP 主要的關鍵特色在 於分散式的即時通訊架構,以及使用 XML 串流。目前以 Google Talk 為代 表性軟體。
3.AIM
(AOL Instant Messenger)
是一個由 AOL 以廣告收入來支持的 個人即時通訊軟體。
4.ICQ
意近英文「I seek you(我找你)」,為最早出現的即時通訊軟體之一。
5.Yahoo Message
由雅虎 (Yahoo) 開發維護的即時通 訊軟體。6.IRC
(Internet Relay Chat)
網路聊天室,為最早期的即時通訊軟 體。
6.Skype
常見的網路聊天軟體支援語音與視訊通話。
垃圾郵件阻擋與過濾,最後變成目前的型態:郵件紀錄與稽核,所有在郵件伺服 器上的郵件皆留一份備份,以供出現資安事件時的紀錄佐證,且稽核放行的功能 更提供主管審核所有寄出與收入郵件的放行權力,以減少資訊安全洩漏情事發 生,對於重點人物或是即將離職的使用者可做為一個有效的管理手段與方法。
透過郵件伺服器所提供的功能,系統管理者可以設定所有發送與接收的郵件 內容或主旨的關鍵字,當企業內部的使用者所發送或接收的郵件主旨或內文觸發 關鍵字時,系統會即時通知系統管理者或特定的稽核人員,告知該封郵件觸發了 系統所設定的關鍵字,系統管理者或是稽核人員再決定是否對於該封信件進行放 行或阻擋的動作,透過這個動作可以即時的阻擋機密資料外流,且讓系統管理者 或企業主管對於後續處理有個依據,以避免企業內部所有的核心與機密資料透過 電子郵件傳遞出去,而被競爭對手取得企業的研發成果,進而造成企業有形與無 形的資產損失。
一般常見的郵件過濾器所提供的功能如表 2-4 郵件過濾器功能所示。
表 2 - 4 郵件過濾器功能
功能 說明
病毒郵件過濾 提供郵件病毒、黑名單過濾。
頻寬流量控管 有效控制內部電腦上網頻寬流量,提供企業網路頻寬最 佳化。
連線存取控管 依不同電腦可設定不同的 IP 連線控管與網路存取權限控 制。
網路安全控管 支 援 軍 事 緩 衝 區 ( Demilitarized Zone, DMZ ) Port Mapping 並可抵擋阻斷服務(Denial of Service, DoS)之攻 擊以及 Ping of Death 等網路攻擊。
網頁瀏覽控管 網頁瀏覽透過 Transparent Proxy,可以自行設定拒絕瀏覽 的網頁黑名單。
NAT
(Network Address Translation)虛擬網址
具備 IP 分享器的功能,可讓多台電腦同時連上網際網路。
VPN
(Virtual private network)虛擬通道
提供 Internet 將兩不同地點的區域網路串聯對應成為同 網段。
防火牆 提供各系統模組獨立設定連線控管。
系統備份還原 支援近距離有線備份(Near Line Backup),提供模組資 料個別備份或全系統資料備份,支援排程備份與異地廣 域網路(Wide area network, WAN)端備援。
其他服務功能 提供網路郵局 Web Mail 支援簡、繁、英、日多語系。
2.3.3 網頁瀏覽
網路管理者最常碰到的問題,就是網路發生擁塞現象時,是誰使用哪些服務 造成的狀況,是否被攻擊或是攻擊別人,透過網路行為紀錄器這種設備,可以方 便系統管理員查看是否有異常的流量或使用記錄,能夠更快速的找出問題,並解
決問題。所謂的網路行為記錄器是一個功能強大的網路側錄、管理工具,好比一 台錄影機,可將人、事、物 100%完全都錄影存證,當發生異狀時可隨時調閱記 錄追查實情,協助企業保護資料安全,並遏止使用者利用企業網路資源從事私人 活動,有效提升工作效率,是企業網路安全系統中不可或缺的管理利器。
透過網頁瀏覽行為記錄器,系統管理人員可以過濾疑似病毒網站或是利用側 錄方式竊取個人資料的網站,亦可以阻擋加密的網站或是提供網頁郵件服務之網 站,如 Gmail、Yahoo mail、Hotmail…等網頁郵件服務之網站,以減少有心使用 者利用網頁郵件將機密資料透過其他管道將資料偷渡出去,網頁過濾的功能,使 得設備對於使用者網路行為的管理更趨嚴密,除了基本的黑、白名單之外,也可 以直接封鎖特定類別的網頁,而不需要逐一設定。
2.3.4 檔案使用授權
因為業務上的需要,企業必須在各部門之間以及對上游、下游之合作廠商進 行流通。往往因為不注意,機密檔案就因此而外洩。要如何防止重要的機密文件 外洩,並且有效稽核文件的流通軌跡與存取紀錄,是所有企業主管與資訊部門都 會遇到的棘手問題,一但重要機密檔案外流,所帶來的損失難以估計,若有心人 士突破了上述的所有阻擋,將檔案透過 USB、網頁郵件、企業郵件、即時通訊…
等任何一種管道將檔案傳遞出去,只要透過文件管理軟體將原始檔案進行加密的 動作,可作為遏止機密資料外洩的最後一道防線,從機密文件產出的那一刻起,
文件管理軟體立刻自動將機密文件內容加密保護,提供檔案終身的安全防護,就 算機密檔流落出去,拿到的檔案也無從打開。
文件管理軟體運用系統於作業系統後端來進行安裝的代理程式,透過即時加
