Embedded Files
👨⚖️依據資通安全責任等級分級辦法11條第2項:各機關自行或委外開發之資通系統應依附表九所定資通系統防護需求分級原則完成資通系統分級(普、中、高),並依附表十所定資通系統防護基準執行控制措施 。
在資通系統防護基準規定中,構面"系統與服務獲得"中,必須落實「安全系統發展生命周期(SSDLC)」,在需求、設計、開發、測試、部署與維運等五階段都必須實施的資安控制措施。
近兩年我們統計的稽核資通系統防護基準查核表結果中,前11名常見問題包括以下幾點,這些問題可能代表在開發系統時可能被忽視的控制項也是稽核委員常注意的項目。針對這些控制項,我們將提供說明,包括相應的做法等等⬇️。
👉建立帳號管理機制,包含帳號之申請、建立、修改、啟用、停用及刪除之程序。
👉建立帳號管理機制,包含帳號之申請、建立、修改、啟用、停用及刪除之程序。
構面:存取控制
措施內容:帳號管理
適用等級:普、中、高
內容說明:
需要建立一個資通系統的帳號管理機制,以適當地管理資訊通訊系統的使用者帳號、後臺主機作業系統帳號以及資料庫管理者帳號等。
內部使用者在使用資通系統時,應遵循機關所訂定的帳號管理程序,包括帳號申請、建立、修改、啟用、停用及刪除等操作規範,必須確實執行。除非出現緊急情況,一般情況下所有帳號的變動不得由系統管理者隨意調整,應由相關權責人員提出變動申請,經過審核程序後方可進行變動操作。帳號變動的流程通常可透過紙本或電子化系統完成,填寫相關表單(例如系統帳號/權限異動申請單)。
可以準備的佐證:
系統帳號/權限異動申請表
帳號權限審核紀錄
👉定期審核資通系統帳號之申請、建立、修改、啟用、停用及刪除。
👉定期審核資通系統帳號之申請、建立、修改、啟用、停用及刪除。
構面:存取控制
措施內容:帳號管理
適用等級:中、高
內容說明:
建議定期(例如每季)透過系統帳號清查活動,審核帳號的申請、建立、修改、啟用、停用和刪除等相關紀錄,以識別任何未經授權的帳號變更行為。
帳號審核範圍應涵蓋系統管理者帳號、後台主機作業系統帳號及資料庫管理者帳號等。此外,也可根據實際執行需求,考慮將機關內部及外部的一般使用者帳號納入範圍,並按照機關規定清查需禁用或刪除的帳號,如臨時帳號、緊急帳號及閒置帳號等。
可以準備的佐證:
1.資通系統帳號管理程序
2.資通系統帳號申請異動單
3.資通系統帳號清查紀錄
👉具備帳戶鎖定機制,帳號登入進行身分驗證失敗達三次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。
👉具備帳戶鎖定機制,帳號登入進行身分驗證失敗達三次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。
構面:識別與鑑別
措施內容:身分驗證管理
適用等級:普、中、高
內容說明:
系統應當實施帳戶鎖定機制,以防範密碼破解攻擊。在帳戶被鎖定的期間,該帳戶所有的登入嘗試都應該被禁止,超過鎖定時間後重新計算。機關可以根據系統使用的需求,自行建立失敗驗證機制,例如設定不同的鎖定觸發條件和鎖定期限,實施帳戶永久鎖定需由人工解鎖,或實施其他身分驗證強化機制等。
可以準備的佐證:
帳戶鎖定畫面
👉使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。
👉使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。
構面:識別與鑑別
措施內容:身分驗證管理
適用等級:普、中、高
內容說明:
根據資安政策和系統使用需求,應該設定適當的密碼複雜度、最短和最長使用期限等限制。
最低密碼複雜度的目的在於確保生成足夠數量的密碼組合,例如要求密碼長度或包含的字元種類等基本要求。
設定密碼最短使用期限是為了防止使用者試圖避開密碼歷程限制,經常在短時間內更改密碼。
強制設定密碼最長使用期限可以避免使用者長期使用同一組密碼而增加被破解的風險,建議原則上不超過六個月。
對於非內部使用者,例如資訊通訊系統服務提供給一般民眾使用,可以依照機關的規範進行處理。
實作建議:
(1) 設定密碼組合規則:
強制要求密碼必須包含以下條件的任意三種:大寫字母、小寫字母、數字及特殊字元(例如 !@#$%^&*),且密碼長度至少為 8 或 12 個字元。這可以通過配置系統的驗證模組來實現,例如在 Windows Active Directory 或 Linux 系統中設定密碼策略。
(2)設定密碼週期性更換:
配置密碼效期管理,要求密碼每 90 天(應依程序書規定)必須更換,並限制新密碼與舊密碼不可重複,要有一個資料庫紀錄上次更新密碼的時間,如超過規定時間,跳出訊息通知要求更換密碼。
可以準備的佐證:
1.密碼變更頁面提示畫面截圖
2.直接測試/操作供稽核
3.如有套用GCB,可提供GCB設定畫面
👉密碼變更時,至少不可以與前三次使用過之密碼相同。
👉密碼變更時,至少不可以與前三次使用過之密碼相同。
構面:識別與鑑別
措施內容:身分驗證管理
適用等級:普、中、高
內容說明:
資通系統密碼歷程紀錄至少須保留三代,不可重覆使用。
對非內部使用者,可依機關自行規範辦理。
實作建議:
(1)儲存密碼 Hash 並比較歷程:
流程:
- 當使用者設定或變更密碼時,對密碼進行Salt並使用安全的Hash函數生成Hash值。
- 將生成的Hash 值儲存到密碼歷程記錄中(僅儲存Hash 值,而非明文密碼)。
- 在使用者設定新密碼時,對新密碼進行相同的Hash 運算,並與歷程中的Hash 值進行比對。
- 若新密碼的Hash 值與歷程中的任何一個Hash 值相同,則拒絕該密碼,要求使用者設定不同的密碼。
可以準備的佐證:
1.密碼變更頁面提示畫面截圖
2.直接測試/操作供稽核
3.如有套用GCB,可提供GCB設定畫面
👉對資通系統之存取採取多重認證技術。
👉對資通系統之存取採取多重認證技術。
構面:識別與鑑別
措施內容:內部使用者之識別與鑑別
適用等級:高
內容說明:
內部使用者存取高級資通系統時應該使用「多重認證技術」。多重認證技術係指採用「兩種以上」不同身分驗證因子。
身分驗證因子依類型分為:1.所知之事、2.所持之物、3.所具之形
1.所知之事:使用者所知內容進行身分驗證,如:密碼、PIN碼及安全問答等。
2.所持之物:使用者擁有之實體或非實體物品,如:憑證、晶片卡、SMS簡訊驗證碼、符記(Token)及一次性密碼(OTP)等。
3.所具之形:使用者具有之生物特徵辨識技術,如:臉部、聲紋、指紋及虹膜等。
可以準備的佐證:
1.系統發展維護辦法
2.資通系統功能規格書
3.資通系統身分驗證功能測試紀錄
👉應定期審查機關所保留資通系統產生之日誌。
👉應定期審查機關所保留資通系統產生之日誌。
構面:事件日誌與可歸責性
措施內容:記錄事件
適用等級:中、高
內容說明:
應定期檢查和分析資通系統產生的日誌內容,以確定在這段期間內是否發生了重要的資安事件,如異常的存取行為或重大系統錯誤等。
日誌管理(Log Management)或資安事件管理(Security Information Event Management,SIEM)解決方案的功能包括自動收集各種系統元件或設備產生的日誌,並根據資通安全政策和相關法規要求,進行日誌存儲、事件分類、日誌關聯分析、日誌監控、觸發警告和生成報表等操作。這些功能可以協助相關責任人員進行日誌分析和管理審查,減輕管理人員的工作負擔。
應根據制定的日誌保留政策決定日誌審查的周期。例如,如果機構規定日誌保留期限為6個月,則至少每6個月應完成一次或多次審查。
實作建議:
(1)自動化日誌警報通知:
方法:
配置日誌管理系統(如:SIEM、Rsyslog、Graylog)或伺服器的日誌監控功能,當檢測到特定異常行為時,自動發送警報電子郵件給負責人。
步驟:
- 設定關鍵事件的觸發規則,例如:多次登入失敗、非授權存取、或系統資源異常使用。
- 配置 SMTP 伺服器,讓系統自動發送警告電子郵件,包括詳細日誌內容或摘要。
- 針對不同級別的事件,設定不同的郵件通知頻率(例如高優先級事件即時通知,低優先級事件每日摘要)。
可以準備的佐證:
1.資通系統日誌檢核表/紀錄
👉針對系統安全需求(含機密性、可用性、完整性),進行確認。
👉針對系統安全需求(含機密性、可用性、完整性),進行確認。
構面:系統與服務獲得
措施內容:系統發展生命週期需求階段
適用等級:普、中、高
內容說明:
自行開發或委託外部團隊進行的系統,應在系統生命週期的早期階段(如系統開發初期或大規模改版時)納入安全需求的考量,並將其納入需求規劃過程。不僅要考慮功能性需求,還應執行安全需求的確認作業。資訊系統的安全需求應至少符合系統防護基準,以便根據普、中、高安全等級採取相應的安全控制措施。
建議採用檢核表進行安全需求的確認,這樣可以提供基本且必要的安全控制項目,避免遺漏。在實務操作上,可自行設計專屬的系統安全需求檢核表,也可參考技服中心提供的「資通系統委外開發RFP資安需求範本(V3.0)-附件1資通系統資安需求項目查檢表」作為參考。不過,建議機關在應用時需進行調整,以符合該專案的系統特性與最新的資安法規。
對於一些已經開發完並使用多年的系統,如果在最初設計開發時未充分考量安全需求,為符合當前的防護基準,建議進行現有安全控制措施的盤點,並儘速補足缺失,留存相關檢核紀錄作為安全需求確認的稽核依據。
可以準備的佐證:
1.資通系統功能規格書
2.資通系統安全需求檢核表
3.安全需求確認相關紀錄
👉應儲存與管理系統發展生命週期之相關文件。
👉應儲存與管理系統發展生命週期之相關文件。
構面:系統與服務獲得
措施內容:系統文件
適用等級:普、中、高
內容說明:
系統發展生命週期之相關文件應以書面或電子化形式保存,並被納入管理程序。
可以準備的佐證:
1.機關文件管理程序
2.實體發展生命週期之相關文件
👉系統之漏洞修復應測試有效性及潛在影響,並定期更新。
👉系統之漏洞修復應測試有效性及潛在影響,並定期更新。
構面:系統與資訊完整性
措施內容:漏洞修復
適用等級:普、中、高
內容說明:
應定期修復和更新軟體元件,包括作業系統、資通系統伺服器、開發框架以及第三方函式庫等。
系統管理者應確認作業系統等相關更新對資通系統的影響,建立技術脆弱性資訊的獲取管道,評估可能帶來的風險,避免在正式環境中貿然應用修補程式或更新元件版本,從而因相容性問題對系統服務運作造成意外影響。例如,可以先在測試環境中應用更新,確認不會對系統服務造成危害後,再在正式環境中進行更新。然而,當發生重大安全漏洞時,為了爭取修補時效可能無法進行全面測試,建議仍應測試主要功能流程未受影響後,再進行修補更新。
可以準備的佐證:
1.系統發展維護辦法/程序
2.系統更新紀錄
👉應定期測試備份資訊,以驗證備份媒體之可靠性及資訊之完整性。
👉應定期測試備份資訊,以驗證備份媒體之可靠性及資訊之完整性。
構面:營運持續計畫
措施內容:系統備份
適用等級:中、高
內容說明:
常見的資料儲存媒體,如磁碟、光碟、磁帶和硬碟等,可能因使用方式和保存環境的不同,導致壽命縮短,進而損毀備份資料。因此,應定期檢查儲存媒體的運作情況,確保其仍可正常使用。對於系統資料,建議定期進行資料還原測試,以確認備份資料的正確性和完整性。
可以準備的佐證:
1.營運持續計畫
2.營運持續計畫測試紀錄
Page updated
Report abuse