實體安全管理也不可輕忽

引自:CNET 實體安全管理也不可輕忽

小陳是一家美容保養產品公司的MIS人員,隨著電視上有關美容保養的節目強力放送,使得美容DIY保養已蔚為風潮,公司從一開始接受傳真訂單銷售,到自行擴建了網路平台,短短幾年間就搖身一變成為以電子商務為主的網路購物公司,小陳也晉升成為一個MIS小組長。在公司機房主機的硬碟裡面,存放著這幾年來所有的客戶與交易資料,小陳每天都小心翼翼地注意機房的溫溼度、空調與電力系統,來維持這小型資料中心的正常運作,為了避免閒雜人等或是竊賊進入機房,小陳也建議公司設置了安全鎖,並且要求進出的相關人員必須填寫進出登記簿。

不過,總務部人員說,為了方便維護一些資產設備,也必須擁有一把鑰匙,所以小陳將另一把機房鑰匙交給總務人員保管,總務人員在鑰匙上貼了「機房」二字的標籤之後,就把它和一般的鑰匙都放置在桌上的文件盒裡,有委外維護的廠商需要進入機房時,只要向總務打聲招呼就能拿到鑰匙,總務並沒有仔細核對其身份,更沒有填寫進出登記簿,因為他認為只有公司的員工才需要去填寫。

管理問題重於技術問題

從上述的情況來看,小陳所有的努力,到了最後很可能會功虧一簣。因為經過總務座位的任何一個人,都有機會輕易地取得這把鑰匙,更何況上面還清楚地標示著「機房」二字,一旦有人成功竊取了機房鑰匙,或是以其他藉口獲得總務人員的信任,偽裝成維護人員進入機房,企業的重要設備或是儲存的資料,就會成為待宰的羔羊。

對於中小企業而言,若需要自行建置維護一個機房或是小型的資料中心,都會面臨到兩個問題,首先是預算與環境,因為要建置一個麻雀雖小、五臟俱全的機房,就必須要考慮機櫃、電力、空調、佈線、消防等硬體設施,不過這些都可以透過工程技術來加以克服。至於另一個也是最重要的問題就是機房管理,即使大多數企業都制訂了機房管理辦法或作業規定,但規定是否能真正落實,有沒有稽核機制來加以檢視,卻仍舊是個很大的問號,尤其是員工對於資安問題的警覺性與回報能力,可不是擁有一紙規定就可以統統達成的。

目前,許多企業對於所謂進出人員的管制,往往只是流於形式而已,這也是發生不當的內部資料存取與設備被竊的主要原因,惡意駭客只要透過「社交工程(Social engineering)」手法,像是冒充委外廠商的服務人員,或是尾隨在企業員工之後混入,甚至是假裝為同一公司員工,但是忘了帶門禁卡而請他人代刷,都可以輕易取得通行權進入企業內部環境,這時候,所有抵抗外來攻擊的網路安全設備已形同虛設,因為駭客早已另闢蹊徑,直接攻進了企業的核心。

資安強度決定於最弱一環

從BS7799/ISO27001標準的角度來看,對於「實體與環境安全」已有明確的管理要求,在附錄A9的控制措施中,即強調必須劃分實體安全邊界,並且實施實體進入的控制措施。另外,在本文條款的「4.3.3記錄管制」章節中,也要求對於資訊安全管理的各項記錄,必須加以妥善保存,像是人員進出機房管制區域的日期、時間,以及是否有人授權與陪同等,都需要有完整的文件記錄才行。

因此,企業該如何加強實體安全呢?除了參考BS7799/ISO27001的規範之外,讓我們回到一開始的小故事,文中提到的幾個情境都可以轉化成為資安觀念,作為加強實體安全時的參考:

1. 未核對委外服務廠商的身份─顯示出人員管制有疏失,企業對於委外服務的廠商,必須要確認其維護人員是否有事先申請,並且取得了管理階層的授權,在核對身份無誤之後才能進行相關作業,並且最好要有專人陪同。

2. 機房鑰匙未妥善保管─顯示員工的資安教育訓練應加強,在企業的存取控制政策中,更應明訂鑰匙和通行碼保管人須善盡使用保管責任。

3. 出入人員未填寫登記簿─顯示缺乏標準的作業程序(SOP),就算來訪人員經過身份確認之後,也必須配戴清楚的身份識別標示,並且詳實記錄進出機房的日期與作業時間。

在電影《300壯士:斯巴達的逆襲》中,斯巴達國王提到了他的戰士為何能夠以寡擊眾。原因就在於每位戰士的防禦戰鬥都是交互掩護,每個人都必須接受嚴格的訓練來習得防禦的能力,其中若有一個人無法發揮抵禦的作用,那就產生了一個缺口,整個防禦陣線也會因此分崩離析。反觀資訊安全的防護也是同樣的道理,資安的軟體、硬體、人員、管理、教育等層層相扣,每一個環節共同串起了資訊安全這條防禦鍊,而資安的強度就決定於其中最弱的一環,當某個環節出現裂痕,經不起外力的拉扯而斷裂時,無論其他環節多麼的強韌堅固,也發揮不了防禦作用,所以,千萬不要因為輕忽實體安全,而造成企業資安防線的潰敗。

網友回應