1
◎資訊安全宣導
公務人員於外地處理公務資料時,應設計妥適之資安保護措施。
─保障外地存取公務資料安全─
壹、 緒論
行政院國家資通安全會報技術服務中心(以下簡稱技服中心)於 98 年下旬 舉辦「公務機密資料防護推廣巡迴講習」,並於 99 年 3 月舉辦「公務機密資料 防護整合方案情境展示」,目的在使各級機關之公務人員,對於操作機密資料可 能遭遇之風險及在資料防護措施方面能有初步的認知,同時讓機關人員透過實 地參觀的方式,了解技服中心所建議的資安防護方案,作為政府機關自行導入 防護技術方案時之參考。本文以公務人員身處外地存取公務資料時可能遭遇之 風險為出發點,介紹防護整合方案之範例與要點,供有外地存取需求之機關參 考運用。
貳、 外地存取風險分析
由於機關所投入之資安防護措施,大多為了保護在機關內部辦公之同仁,
或是為了保護提供對外服務之網站,防護政策通常為阻擋由外部對內部之惡意 行為,因此公務人員若於外地存取公務資料時,並無法有效利用這些定置於機 關內部之防護措施。根據美國國家標準和技術研究院(NIST)的分析,在外使 用網路的人員常受到主動式的偽冒(Masquerade)、重播(Replay)、信息竄改
(Message Modification)及服務阻斷(Denial of Service),或被動式的竊 聽(Eavesdropping)與通信分析(Traffic Analysis)等 6 種特定模式之攻擊。
公務人員若於外地存取網際網路或使用公開場所之網路環境,容易遭受以下幾 項風險威脅:一、網路監聽當使用公開場所提供之區域網路或無線網路時,須 注意防範網路監聽之攻擊方式;透過網路監聽達成之攻擊手法通常可在使用者 無法發覺之背景下進行。茲針對幾項主要的攻擊方式說明如下:(一)封包截取:
封包截取常是網路監聽藉以攻擊的手法,攻擊者透過網路設備複製(mirror)
資料流量,或使用各種欺騙式攻擊(snooping)重新導向流量;將資料收集至 攻擊者主機後,利用分析的方式,擷取流量中具有價值的資料如檔案文件或帳 號密碼等加以利用。(二)重送(Replay Attack):重送是一種透過網路監聽的 方式,攻擊者在大量收集登入伺服器的成功連線特徵之網路封包後,利用側錄 特定網路封包,修改後再重新發送與伺服器交談,藉以欺騙伺服器取得權限的 一種攻擊方式。二、惡意無線存取點(Rogue AP)使用公開場所提供之無線網 路服務時,須注意服務之提供者,是否為受信任之站台。惡意無線存取點若為 攻擊者所私自架設之惡意無線站台,即可藉由模仿或覆蓋,取代現有存取點等 方式,誘騙使用者登入存取網路資源,藉以盜取使用者的連線封包。三、社交 工程攻擊:社交工程攻擊是透過電子郵件或相似網址等各種方式,利用人性之 弱點或是疏忽,欺騙使用者登入內容相似的偽造網站,以竊取正確的登入帳號 密碼,或是導向帶有惡意程式之網頁,藉以注入惡意程式之一種攻擊方式。在
2
外地存取公務資料時,除可能遭遇來自網路之各種風險外,若是利用可攜式儲 存媒體將資料攜出機關時,還須注意實體設備遺失的風險;若是處理公務資料 時使用外地之公用電腦,也有遭受惡意程式竊取資料之威脅。針對以上外地存 取公務資料可能發生之風險,以下提供防護措施範例供機關參考。
參、 外地存取情境案例與防護措施
技服中心舉辦「公務機密資料防護整合方案情境展示」,實際模擬當公務人 員於外地處理公務資料時,以設計妥適之資安防護措施進行保護;展示中分別 提供「專屬網路通道」、「憑證式檔案加密機制」及「整合式實體隔離架構」等 三項防護機制,用以降低外地辦公時可能遭遇之資料外洩風險。
本章節將利用展示之防護機制,說明外地存取公務資料時之安全防護措施 與要點:
一、機關私有網路通道:在外地存取機關內之公務資料時,若透過網際網路傳 遞資訊,容易遭受前述幾項風險的威脅;為提供公務人員方便且兼顧安全性之 外地存取資料機制,技服中心配合中華電信 MDVPN 與政府網際服務網 GSN VPN 服務,設計出機關專屬 3G 網路通道,供外地公務人員進行資料防護。MDVPN 使 用 3G 網路 建立專屬通道,提供隨處可用、隨時可用之便利性;其專線通訊之 特性,可使公務資料之傳遞不需經過網際網路,防止網路監聽與社交工程欺騙 式之攻擊。機關私有網路通道主要為防止資料傳遞過程遭受攔劫之惡意行為,
若機關已建有 SSL-VPN 虛擬私有網路之機制時,也能透過此機制達成類似的效 果,但公務人員須注意以下幾項安全防護事項:(一)不隨意使用來源不明之無 線存取點。(二)不隨意信任不明之網站或連線憑證。(三)通訊全程使用加密 保護,不讓來自網路上的惡意攻擊者有截取資料連線的可乘之機。
二、身分鑑別檔案加密機制:私有網路通道可以保護資料傳遞過程之安全,但 若公務人員使用儲存媒體攜出資料,或於外地下載、儲存公務資料時,對於已 被攜出機關外之資料檔案,便需要透過檔案保護機制進行防護。技服中心透過 實體憑證式檔案加密機制,結合了自然人憑證與微軟 RMS(Rights Management Services)服務,設計出具備身分鑑別能力之檔案加密機制;檔案存放於機關 內部時利用 RMS 技術加密保護,當資料需要攜出機關時,因 RMS 加密之檔案無 法在機關外被開啟,因此可強制要求將檔案轉換為以攜出人之自然人憑證加密,
俾限制開啟檔案的人員身分;若資料遭惡意程式竊取或儲存媒體遺失,因憑證 為實體憑證並分開保存,可確保資料無法再被利用。一般 DRM 檔案防護機制之 限制,必須回機關內經伺服器驗證後才可開啟使用;而使用實體憑證則可提高 使用之方便性,確保在外地隨時可以使用,同時以其身分鑑別能力,也能確保 使用者身分,阻絕未授權使用事件的發生。
三、公務家辦安全防護:若公務人員於下班後仍有繼續處理業務之需求,而將 資料攜回家中使用時,須注意家中電腦之安全性與資料傳遞之保全措施。惟家 中電腦操作環境無法提供如同於機關內部所設置之多重資安防護措施,安全性 無法管控,技服中心乃結合虛擬化與實體隔離技術,設計出 OA 虛擬辦公環境。
3
OA 虛擬辦公環境之精神在於將使用者操作習慣之環境,由個人電腦所組成之分 散式架構,更改為機關統一提供作業伺服器之主從式架構,OA 辦公區域使用作 業系統代理之方式,則由機關統一製作虛擬主機,公務人員可於機關內或離開 機關後,利用虛擬私有網路連回伺服器上操作,不需將業務資料攜出機關;若 需要使用保存更高程度機敏文件之網段,則應透過應用程式代理服務,避免使 用者直接接觸資料,由操作之路徑防堵機敏文件的外洩管道。
肆、結語
當公務人員自外地存取公務資料時,由於身處環境之不確定性,安全性無 法衡量等因素,可能面臨各種來自網路上之威脅,單靠機關提供之資料保護手 段不足以抗衡,人員對於資訊安全之教育訓練及素養益顯重要。為降低因外地 存取公務資料所造成之風險,機關應盡力提供公務人員足以有效延伸至機關外 之資安防護措施,並強化人員對於各種資料外洩風險的了解,提升個人資安素 養;而公務人員更應秉持資料防護重責大任於己身與防患未然的精神,為落實 資通安全而努力。
