資訊安全的存取控制可以說是決定了整個資訊安全的完整度及強度!當未經授權的人取存了極敏感的資料,是否會產生更大的安全衝擊?
而資安存取控制中,共分為三大類型及七大控制種類,每一類型中均可以七大控制種類來進行存取控制。資安的目標是做到事事有人管
而如何管、怎麼管…等,有相當多的建議做法(ISO-27002),但每一項算是何種控制種類,可能就比較難以分清楚。
資訊安全的存取控制可以說是決定了整個資訊安全的完整度及強度!當未經授權的人取存了極敏感的資料,是否會產生更大的安全衝擊?
而資安存取控制中,共分為三大類型及七大控制種類,每一類型中均可以七大控制種類來進行存取控制。資安的目標是做到事事有人管
而如何管、怎麼管…等,有相當多的建議做法(ISO-27002),但每一項算是何種控制種類,可能就比較難以分清楚。
在類型中共分為有:Administrative(行政面)、Technical; Logical(科技面、邏輯面)及Physical(實體面),
那七大控制種類又有那幾七種呢?
Preventive(預防):依照資訊資產的價值及其功能,預先預防可能發生的問題,而加以控制,例如:防撞立柱(Bollards)
Directive(管理):依照訂定下來的規範告知使用者,並且做有效的管理,例如:資安條例(IS Policy)
Deterrent(嚇阻):以告誡使用者違範規定的事項可能會受到的懲處,例如:內有惡犬(Beware of Dog)
Detective(偵測):當未經授權的狀況要發生前,必須要能夠被記錄下來,例如:閉路電視(CCTV)
Corrective(矯正):當已經發生風險,要做的控制措施,例如:滅火器(Fire Extinguisher)
Recovery(回復):在處置好已發生的風險後,必須將其狀態回復至預期可用的狀況,例如:重建(Reconstruct; DRP)
Compensating(補償):為了避免再次發生同樣的問題,必須針對現有的控制再次補強,例如:重深防禦(layered defenses)
以上的七項控制措施中,Detective與Corrective是相互搭配的,例如CCTV偵測到人員入侵時,馬上派出警衛前往處理以避免事端擴展。
以上的七大控制,Jason背訟的方法是:
意外要「預防」、事物要「管理」
放狗「嚇阻」他、雷達「偵測」到
派員去「矯正」、「回復」可用性
「補償」免發生。
而根據CISSP CBK中所舉的例中子,下表是各項控制種類及存取類型的綜合表,可供大家參考:
Controls | Administrative | Technical | Physical |
Preventative | User Registration | Passwords, Tokens, IPS | Fences, Bollards |
Directive | Policy | Violation Report | Security Guard |
Deterrent | Demotion | Warning Banner | ‘Beware of Dog’ |
Detective | Report Reviews | Audit Logs, IDS | Sensors, CCTV |
Corrective | Employee Termination | Connection Management | Fire Extinguisher |
Recovery | DRP | Backups | Reconstruct, Rebuild |
Compensating | Supervision, Job Rotation | Keystroke Logging | Layered Defenses |
當然,落實這一些安全控制並不是萬無一失了,各項安全存取控制一定也還有相關的感脅
我們即然已經做了這些安全存取主要就是希望在整個資訊資產的A.I.C.都能面面俱到,但是還是會受到感脅,常見的威脅如下:
DoS:我們對網路已經有做好了所有的控制,但是當你遇到DoS(Denial of Service)時,你該如何處理呢?
畢竟我們做的安全控制是由內而外,但DoS確是由外而內的造成你的服務不可用。
Password crackers:雖然我們訂義了登入密碼的長度、複雜度,但是你確躲不掉使用者以John來暴力的取出密碼,或是L0phtCrack、Brutis等等的威脅。
Spoofing/Masquerading:Spoofing(欺騙)是一種主動的攻擊手法,透過已有的可信機制,將以假的資料遞送給其它設備
使其它設備誤以為假系統所發出的資料是真系統,以取得較敏感的資訊。Masquerading(偽裝):則是直接像其它用戶端進行攻擊,使其它用戶端誤以為假系統是真系統,而去存取假系統。
Sniffers:是一種非主動式的攻擊,透過網路上的封包傳遞的過程中,將各種封包收集至一定程度之後,進行分析出所收集到的封包中
有那一些可用的資訊是明碼傳遞,其中成有網管人員進行網路效能除錯的功能,因此雙面刃看用於殺人或救人了。
Shoulder surfing:此種攻擊方式是屬於惡意的監看有用的資訊,這種攻擊手法像是當你在提款機前輸入密碼時,從背後窺視你的PIN碼,
用在電腦中就像是帳號密碼記錄器,這種攻擊手法稱為「肩窺」。
Dumpster Diving:是一種實體威脅,顧名思義,當對手收買走我們公司的廢棄物處理廠商,而將屬於較機密的廢棄文件給取走,間接的將敏感資訊洩露於其它人,當敏感的資訊沒有監銷程序時,就容易產生,雖然有做粉碎的動作,但…若有心人人都辦的到重組文件的可能性。
其它的威脅像是有:Buffer Overflow(緩衝溢位)、Mobile code(行動碼)、Malware(惡意軟體)、Eavesdroppers(竊取)、Emanations(列舉)、Tapping(掛線)、Data Remanence(資料殘餘)、Unauthorized Data Mining(未授權的資料採礦)、Back Door/Trap Door(後門/活門)…等等,都是常見的存取控制的威脅。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security