操作安全是一個綜合三個控制類型(實體、科技、行政)的領域,而對於台灣的IT環境,一個MIS同時是Operator也是Administrator也是Security Administrator,有沒有搞錯,這樣玩的話一個人走就變成什麼都帶走了,那麼,在這樣的環境之下,是不是人就成了一個公司服務品質的最大主因,大家還記得嗎?我們在前面有討論到,做職責分割,職務輪調的用意是為了確保防止共謀、相互監控及達成人員的可用度…
Operation Security其中一個很重要的一環就是Change Control Management(變更控制管理),這個部份讓我不禁將ITIL的內容連結,
在ITIL也就是ISO-20000的Best Practices,其中最難做的就是變更管理(組態管理),透過ITIL的觀念中,整合商務與IT的變更控制,
是變更管理中應該要注意的部份,導入這個控制重點是在於降低變更或是維護時,造成的風險衝擊,…
對於伺服器在各項Redundant的設計中,尤其是在於power、Disk Array,是針對Operation的可用性提高可用的彈性,
而對磁碟陣列的規劃中,各家想法不同,例如對於檔案伺服器在有限的資金下,希望做到系統高可用度與資料磁碟備援,
以最少的資金規劃,又不希望系統的效能太差,那麼系統碟用2顆硬碟做RAID 1,資料碟則以3顆硬碟做RAID5,若預算夠的話 …
操作安全似乎是一種很抽像的東西,與資訊安全的邊似乎沾不上,但是呢?!因為操作安全最大的鋌主體就是人,
人左右了所有的安全的政策,並且透過教育訓練降低人為的因素,而在於最大的洩密問題就是承載資訊的媒體,
而媒體的管理就成了操作安全中的一個重點,操作安全中,對於媒體安全管理是一個不能間斷的流程 …
啥!Operation 還有啥Security呀! Operations Security可嚴重了,根據統計(好幾年了,還在根據統計)Human-Made佔整個資安事件中的85%,
那您認為人為因素有沒有關係呀!這個領域算是一個綜合領域,跨越了實體、科技、行政三個類型,
而這個章節主要的目的有控制及保護資料處理的資源(像是媒體管理、備份及還原、變更控制)、保護的進入端點控制(避免授權或未經授權的人 …
BCP走到這裡也要接近尾聲了,經過了演練與檢討後,也要開始進收尾善後的步驟了,那麼也要再次強調Recovery及Restoration的不同,
Recovery是整個回復的過程而Restoration是回到原站點的過程,包含有撒離的內容,當撒離完成後,也隨著各項的資料回復,
並將所有業務回到原站點,最經由EOC Team宣布災難結束,並向相關利害關係者宣佈災難結束,並報告整個回復過程中的內容 …
經過一連串的規劃設計,包含備援點的屬性、備援點的選定都只是完成了DRP的回復及BCP的永續的部份,
若這部計劃光說不練,只是規劃好看的,那麼有和沒有又有什麼差別呢?然而一部計劃不是擺好看的,
就有如軍人、警察一般,若沒有平常沒有做演練、演習,那麼在真的遇到兇神惡煞,不要說槍怎麼開 …
前面有討論到相關的備援備援政策及相的程序選擇,但是這備都只能說是做了安全控制,但若無經過確認備份的有效性,
那麼這個備份就等於是沒有做,因為無法確認備份的有效性,那麼再好的備援政策也是空談,那麼最常見的就是應用於off site,
首先在執行一個有效的備份政策後,應該必須經過另一者的確認,以驗證這個備份是有效的,而備份的過程中,有分為幾項程序 …
透過了BIA找到了最Critical Business Process後,定義了RTO, RPO, MTD,針對以上三者設定對映的Continuity and Recovery Strategy,
那這個就算是完成了BCP了嗎?充其量只有完成了DRP,而BCP的部份不可能只是規劃完災難處理方法的映對後就告一個段落,
更重要的是在於計劃的持續改善,接下來還有緊急回應的程序、人員的訓練…一托拉庫的事情要做呢…
RTO決定了復原政策,RPO決定了備份政策,那麼,沒有有效的備份政策,怎麼在災難發生或是備援需求產生時,
如何確保每個策政的執行是正確的,隨著MTD的數值愈小,可以選擇的方案RTO及RPO的數值也必須愈小,
上篇筆記本中介紹了RTO所需要的復原政策,那麼復原政策也必須與備份政策環環相扣,那麼備份政策有那些可供選擇呢…
上篇文章中已經將BIA所分析出來的最重要的商業流程找出來了,那接下來呢?與RM的處理方法相同嗎?
如果和RM相同,那幹嘛還搞一個BCP&DRP呢?所以呀!你嘛幫幫忙,都有給你新玩具了,也搞一些新的玩法嘛!!!
BCP&DRP最重要的是讓商業流程能不中斷的永續運作下去,那麼該做的就不會像RM做風險的處理 …
從前面兩篇一直在提到BIA、BIA、BIA…講個不停的,前面不斷的說企業最重要的流程或商業命脈是透過BIA來找出來,
那麼BIA到底如何做,又有那一些目標?即然BIA是一種衝擊的分析、假想,那麼還是得要有個目標來做分析吧!
分析的流程可以從威脅分析(Threat Analysis;與RM相同嗎?)、緊急事件評估(Emergency Assessment;從過往的記錄取出?)…
BCP&DRP是一門分析企業重要命脈,並且在發生衝擊前先加以預防及突發事件造成流程中斷的永續規劃,
而風險管理與BCP最大的差別是在於RM是以全面性的風險視別、降低、規避…等等方法來找到降低衝擊的方法,
也可以說,風險管理是先處理可以預期的到的衝擊,而BCP則是當衝擊產生,且無法抵禦時,馬上使流程延續下去的計劃 …
Business Continuity Plan叫做企業永續計劃,又稱為BCP; Disater Recovery Plan叫做災後復原計劃,又稱為DRP,
企業永續的部份在近期內有相當多的企業都在推展,而這個計劃在資訊安全之中,IT人只重視DRP,
其實這個是一個相當錯誤的觀念,多數的人員在導入BCP&DRP時,只有觀注在DRP的部份…
延續上一個章節的內容,針對基礎建置支援系統(Infrastructure support systems)的部份,可以說與BCP的內容息息相關,
一個基本的基礎建置支援系統像包含有水、電等系統,在規劃的時侯沒有考慮周延可能造成無法捥回的錯誤,
而這些基礎建設包含有:電力、水/配管、蒸氣管、瓦斯管線、暖氣管線、通風管、污水管線…等等
實體安全中的縱深防禦是最重要的精神,但是,這個是以防禦為主,那有沒有預防的措施呢?
就有如風險管理一般,當已經預知會有相關的問題產生,是否可以先導入一個安全的防範呢?
這些都是一個安全環境的設計,我們把它稱為是CPTED(Crime Prevention Through Environmental Design) …
實體安全中,最重要的是做好存取控制,而在各方面的制度面做的最落實的,就屬軍方,
即使軍方隨著現在時代的進步,還是以禦防做主要政策,尤其是人力部份,什麼都沒有就是人最多,
五分鐘巡一次也還人力過剩都有呀!
而實體安全中,我們最常見的方法就是以分層(Layers)做控制,就有如管理的密度…
實體安全,那不就是保安囉!保安!保安~~!這個不是周星馳的電影,實體安全是資訊安全防止竊取等等的事件,
可能在實際環境上會發生的問題,進而威脅到資訊安全,因此在於實體安全是一個相當重要的議題,
那麼在安全的金三角中可以說A.I.C.是三者並重,但是…在實體安全之上有一個特別的規範那個叫做”People first”(人命關天) …
法律問題…
上篇提到密碼學的應用會有法律上的問題,見鬼了,用應用密碼會有什麼問題呀,其實密碼學的應用是為了隱藏不想讓別人知道的秘密,
若今天黑道份子在傳遞一些交易訊息時,利用了密碼系統將這段訊息重重的加密,並且用的是較高階的密碼系統,
那麼…情治單位真的拿他們沒辦法了,因此在密碼學法律問題常就有三個議題類型:輸出控制、輸入控制及國內使用控制…
密碼學是一門這麼複雜的應用數學,但是應用在資安領域中,重點不只是只有在於機密性,更重要的是確保了完整性,
很多人往往都只有把密碼學定義在機密性,但等等所看到的內容,全部都與完整性佔了相當大的關係,
使用密碼系統大致有下列幾項應用:資料儲存的安全(Data storage)、E-mail、網路協定(Network Protocols)…
