中小企業對資訊安全之存取控制

　　新版個人資料保護法在立法院三讀通過後，擴大了資料保護的範圍。而企業公司組織深怕該企業所掌管的個人資料外洩而造成高額賠償或公司核心技術資料外洩而造成企業競爭力下滑，都會讓企業組織遭受極大的損失。因此企業紛紛採取採購資安設備來對應，例如：網頁應用程式防火牆(WAF)、資料庫監控稽核（DAM）、防制資料外洩(DLP)、網路行為控管側錄等設備。

　　但是資安設備的價格不低，從數十萬至百萬都有，其費用對一般台灣的中小企業來說是個沉重的負擔。因此，筆者建議中小企業在花錢購買資安設備之前，可以針對企業內部的資訊系統之存取控制加以自我檢視及深入強化安全機制，可讓企業資訊安全性提高且不必花費太高的金額。

存取控制範疇

　　存取控制定義是『對於資訊系統的存取保護，防止任何未經授權的系統存取、破壞』，而存取控制的實踐是『應依資訊安全需求，對於資訊存取、資訊處理設施與程序建立管控，確實管理資訊系統的存取與權限配置』。知道存取控制的定義及實踐方式後我們再來看存取控制的範疇，存取控制的範疇包含了資料存取控制、系統存取控制、網路存取控制，其彼此間的關係如圖一。

【圖一】

資料存取控制

　　可分為資料分級、檔案權限管理、密碼的使用及保護等三方面來說明。

• 資料分級

1. 定義資料分級標準。例如：極機密、機密、密、普通。

2. 識別資料擁有者，設定重要等級。確認誰是資料擁有者，對資料的保護與使用負最終責任的人。

3. 重要資料等級所需的安全管控措施。例如：與客戶簽訂的合約書等機密性文件，不允許非相關人員讀取。

• 檔案權限管理

檔案系統設定某個使用者或群組能夠存取檔案及資料夾，以及可以使用的權限。以Linux作業系統EXT4檔案格式為例：EXT4檔案格式可設定哪一使用者或群組 能夠存取檔案及資料夾，以及使用權限。如圖二、圖三。

【圖二】

【圖三】

• 密碼的使用與保護

密碼的設定是最基礎的保護方法，也是使用者自己就能做到的方法，個人密碼保護方式如下：

1. 使用強式密碼（密碼長度至少六個字元，須包含英文字母+數字+特殊碼）。

2. 防止密碼外洩。

3. 定期更改密碼的良好習慣。

4. 勿使用自動登入儲存密碼。

5. 勿多個帳號使用相同密碼。

密碼的設定政策雖然越嚴謹其安全性愈高，但是太過嚴謹的密碼政策會造成使用者在密碼設定上的困擾。太過複雜的密碼會讓使用者記不住，使用者為了不會忘記密碼，常常將密碼寫在可目視到的地方，這樣反而失去設定密碼的目的了。

系統存取控制

　　系統存取控制以權限管理最重要，其作法有下列四項：

1. 存取控制表 Access Control List，簡稱ACL

定義某帳號允許其讀寫或修改等的權限，是常用的系統存取控制方法，其在系統上設定一份清單，這份清單包含使用者與核可使用的權限記錄，當使用者要存取系統資源時，即查核清單上的對應權限，核予使用。

2. 帳號密碼管理

• 新購置之應用軟體或系統，安裝完成後應立即更新預設之密碼，並刪除或關閉不必要之帳號。

• 帳號的新增與異動，須經申請，並經權責主管核可。

• 每一使用者應有獨立帳號；除非特殊情況，否則不應有共用帳號。

• 應妥善管理久未登錄系統之帳戶，若超過3個月未曾登錄，則需要清除閒置帳號。

• 使用者帳號密碼的告知，應有適當保護措施以防止外洩。

• 離職人員（含留職人員）應依處理程序立即鎖定、停止或移除其帳號。

• 使用者密碼資料應分開存放並加密儲存。

• 作業系統上任何帳號的密碼需加密。如圖四。

 |
【圖四】

3. 系統登入管理

• 系統應限制連續登入失敗次數上限，次數達上限時應暫時鎖定該帳號。

• 重要系統登入時，可顯示前一次登入成功或失敗之時間等訊息。如圖五。

【圖五】

• 設定允許使用的時間，以及設定閒置逾時自動登出之機制。

4. 權限管理

• 使用者權限之申請，應由權責主管依使用者職務需求核准其工作所需最小權限。  

• 系統管理人員不得逕自變更未經核可之權限異動。

• 如有系統遠端維護之需求，應限制必須為核可的遠端連線來源。

網路存取控制

　　網路存取控制的範圍可深也可廣，就看企業組織的考量而訂，那一般網路存取控制常運用到的措施為網路服務與連線限制、網路區隔、身分鑑別與安全性通道。

1. 網路服務與連線限制

• 使用者應在授權範圍內使用網路系統服務項目（例如：MSN軟體使用管控）。

• 限制使用者不得干擾或妨害網路正常運作（例如限制逕自架設FTP、使用P2P軟體）。

• 只允許使用特定通訊協定（如:http、DNS ）。

• 只允許存取特定的電腦資源（如:特定檔案）。

• 依安全性需求考慮只允許從特定的IP連線。

• 依安全性需求考慮規定資料傳輸量上限。

2. 網路區隔

網路系統應依其性質之不同，分開成不同的領域，各領域應以特定的安全設施（如防火牆及網路閘門）加以保護，以降低可能的安全風險。

3. 身分鑑別與安全性通道

• 使用者由遠端網路連線作業時，應鑑別遠端使用者身分。

• 當鑑別網路使用者身分與資料傳輸時，應使用適當的資料加密技術。

• 由遠端網路連線作業，考慮建立適當安全性通道（如:SSL VPN） 。

結論

　　資訊是有價的，所以需要保護，而存取控制是資訊安全的基礎，它確保對的人隨時可以使用對的資訊。因此，中小企業把內部存取控制做好，不用花大把銀子買資安設備，仍然可以提升中小企業資訊安全的層級。

　　然而，任何資訊政策的推隊都需要公司內部高階主管來支持推動，其成功率才會提高。資訊安全政策的推動對使用者而言多少會造成使用資訊系統或資訊設備的不便，尤其在存取控制政策的制定及推動上，使用者的反彈及阻力會更明顯，唯有獲得公司內部高階主管來支持推動，才能使資訊安全政策順利推動，發揮保護電子資料的功效。

【參考資料】

• 存取控制概觀  邱瑩青 著
• 資訊安全概論與實務  潘天佑 著