K書筆記本-Access controls(01)

Access controls(存取控制)是整個資訊安全中極重要的領域,資訊的交流、不同機密等級問題,甚至人員的進出
不管是從人、事、物,都應該有不同的資訊機密等級,因此在判斷何者可做那種資訊的讀取
或是其它人員對這個人員是不是會造成資訊外洩的問題,是否都是一個必須列入存取控制的的措施…

Access controls(存取控制)是整個資訊安全中極重要的領域,資訊的交流、不同機密等級問題,甚至人員的進出
不管是從人、事、物,都應該有不同的資訊機密等級,因此在判斷何者可做那種資訊的讀取
或是其它人員對這個人員是不是會造成資訊外洩的問題,是否都是一個必須列入存取控制的的措施

前一個domain不斷的提到人是最大的資訊安全主因,在整個資訊安全的事件發生中,人為的錯誤佔80%
因此好的access controls是可以降低天然、自然、非人為的問題發生,但是人為的問題必須透過好的管理來降低
access controls有幾個基本的要求:Security(安全)、Relability(可信賴)、transparency(通透)、Scalability(可延展)。
Security:在思考每一個控制項目時,必須考量是不是真的有達到安全的需求,若只是增加流程而沒有達成安全只是在虛耗整個企業的資源。
Relability:建構了一個安全管控的系統,但是它本身是不安全的,或者是可用性不高時,那麼就不能被信賴,這樣的控制也是等於沒做。
Transparency:任何一種控制項目應該要達成無阻礙,並且讓導入的衝擊降到最低,不能因為導入控制措施而使業務停擺。
Scalability:在設計存取控制時應該要先考量到系統可能變更、相容的範圍,進而使系統不因變更的因素而造成系統停擺。

那麼在存取控制有幾個重要的概念:Separation of duties(職責分工), Least privilege(最小權限), Need-to-know(僅知原則)。
Separation of duties:意指將一個重要的工作或職責分散給多個人做保管,以防止這個重要資訊被洩露出去,即使被攻擊只有取得部份的資訊。
Least privilege:最小權限是指完成一件任務時,所需要的使用到的人、事、物有那些,那麼只需要開放完成工作所需的權限時可。
Need-to-know:僅知原則,字如其意呀,完成一件任務所需要知道的內容及所需要知道的流程,僅給予完成工作的最少量的應知事項即可。

即然…人、事、物都應該分級,那麼最重要的資訊載體是不是也應該要有所分類呢?
因此在information classification(資訊分類)的部份則有那些議題:
Objectives(目標):以商業風險關係鑑別資訊保護需求,確保敏感或是機密資訊避免未經授權的揭露,以較低的成本來保護某此等級的所有資訊,並且告知授權的所有者去保護所應負責的資產安全。
Benefits(好處):資訊有被分類出其機密、敏感等級後,依照其分別配予適當(Commensurate)具有成本效益的控制措施,並且可以針對不同等級資產的所有者來加強保護已分類好的重要資訊資產。
Compartmentalized information(區隔資訊):這個部份是需要被管理的,當有特殊需求經授權的使用者必須存取已分類的資產,透過控制措施,只需附予完成工作所需要最少量的應知事項。

那麼資訊分類的程序又有那一些呢?透過Scope(定義範圍)、Process(處理流程)、Marking and labing(標示及識別)、Assurance(確保),來執行達成資訊分類的目標。
Scope: Risk Analysis(風險分析)及BIA;Business impact analyses(商務衝擊分析)都必須要完成,必須掌握組織內所有經過分析的資料,並且可以有效的去管理敏感、機密的資產。
process: 基於風險及商務衝擊分析所產生,必須依照資訊分類的等級做資訊及標準化的控制存取,資安政策及程序必須與資訊分類取密的結合,且資產的Owner有責任去完成資訊分類,主要的目的是為了去建立完整的資訊分類的流程,包含建立資訊分類教育訓練機制,當然Owner也有責任去確保覆核資訊分類的正確。不止是分類的過程,處理過程必須著重於可信度(Responsibility)及解密處理(Declassification)的程序。
Marking and labeling: 完成分類的流程後接下來就必須依其機密、敏感級給予標示及識別包含不論正資訊資產、磁性或光學媒體或是文件,均需明確的標示其等級,文件則必須明確的標示於文件中,並以明確的顏色或是底圖來確保機密文件能被注意到,避免被惡意的複製、散播。
Assurance: 整個分類處理的過程必須要確保公正、客觀,不可因外力來影響分類的程序或是分類資訊資產的政策。

資訊分類是相當多業務安全的基礎,包括要做存取控制、BCM、RM必須完成資訊分類才能找出極敏感、機密的資訊資產或是重要的商務流程。因此做好資訊分類的標準,才能做好資訊安全。


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security