滿額折
商品簡介
作者簡介
目次
書摘/試閱
商品簡介
章節主題包含:
‧資安長與資安推動組織
‧核心業務及核心系統
‧高階風險評鑑方法改良
‧詳細風險評鑑方法改良
‧資通系統集中化管理
‧強化資安認知訓練
‧委外辦理資通業務
‧委外資通系統廠商須知
‧各單位主管的支持
‧全員日常資安對策
‧利害關係人與通報管理
‧資安融入內部控制制度
‧資安稽核常見問題說明
‧鑑往知來、預作準備
‧資安長與資安推動組織
‧核心業務及核心系統
‧高階風險評鑑方法改良
‧詳細風險評鑑方法改良
‧資通系統集中化管理
‧強化資安認知訓練
‧委外辦理資通業務
‧委外資通系統廠商須知
‧各單位主管的支持
‧全員日常資安對策
‧利害關係人與通報管理
‧資安融入內部控制制度
‧資安稽核常見問題說明
‧鑑往知來、預作準備
作者簡介
陳育毅
現職
教育機構資安驗證中心主任
國立中興大學資訊管理學系專任教授
經歷
國立中興大學計算機及資訊網路中心主任
國立中興大學資訊管理學系特聘教授
美商智旺科技公司首席顧問
現職
教育機構資安驗證中心主任
國立中興大學資訊管理學系專任教授
經歷
國立中興大學計算機及資訊網路中心主任
國立中興大學資訊管理學系特聘教授
美商智旺科技公司首席顧問
目次
推薦序
1. 資安長與資安推動組織
1.1 資通安全實地稽核項目第二構面
1.2 資通安全實地稽核項目第一、三構面
1.3 讓資安長掌握資通系統盤點之重點概念
1.4 讓資安長掌握業務持續運作之重點概念
1.5 讓資安長掌握必要資安防護機制之重點概念
1.6 讓資安長掌握資安人員配置訓練之重點概念
1.7 全機關導入ISMS 資安長應掌握重點
2. 核心業務及核心系統
2.1 界定機關核心業務
2.2 從業務角度盤點核心資通系統
2.3 非核心業務及說明
3. 高階風險評鑑方法改良
3.1 高階風險評鑑做法建議
3.2 依資通系統防護基準執行控制措施
3.3 程序書修訂參考
4. 詳細風險評鑑方法改良
4.1 威脅及弱點評估做法改良
4.2 識別既存控制措施做法改良
4.3 程序書修訂參考
5. 資通系統集中化管理
5.1 基本安全保障
5.2 系統本身安全?
5.3 資通系統集中化管理的推動過程
5.4 網路維運中心(NOC)及安全維運中心(SOC)
5.5 網站共構系統或將網站移置外部較安全平臺
6. 強化資安認知訓練
6.1 資安通識教育訓練實施方式
6.2 資安通識教育訓練配套措施
6.3 辦公室張貼資安宣導海報
6.4 強化新進人員資安宣導
6.5 資安專業教育訓練實施對象
7. 委外辦理資通業務
7.1 資通系統、資通服務
7.2 委外考量
7.3 選任適當受託者
7.4 監督受託者資通安全維護情形
7.5 資訊服務採購案之資安檢核事項
7.6 限制使用危害國家資通安全產品
7.7 資通安全稽核檢核項目之委外相關構面
7.8 委外承辦人員落實教育訓練
7.9 程序書修訂參考
8. 委外資通系統廠商須知
8.1 對資通系統防護基準有更多認識
8.2 資通系統防護基準之存取控制
8.3 資通系統防護基準之事件日誌與可歸責性
8.4 資通系統防護基準之營運持續計畫
8.5 資通系統防護基準之識別與鑑別
8.6 資通系統防護基準之系統與服務獲得
8.7 資通系統防護基準之系統與通訊保護
8.8 資通系統防護基準之系統與資訊完整性
8.9 資通安全稽核檢核項目相關構面
8.10 各類資訊(服務)採購之共通性資安基本要求
9. 各單位主管的支持
9.1 督導並要求落實資安文件
9.2 督導並要求落實清查IoT
9.3 督導並要求落實資安措施
9.4 督導並要求參與資安教育訓練
9.5 督導並要求遵循採購規範
9.6 配合稽核
9.7 資安的價值
10. 全員日常資安對策
10.1 資訊安全管理系統之導入
10.2 全員日常資安重點
10.3 全員日常資安-落實資安措施
10.4 全員日常資安-資安事件通報與社交工程
10.5 全員日常資安-資安通識教育
10.6 全員日常資安-IoT 適當管控
11. 利害關係人與通報管理
11.1 利害關係人地圖
11.2 利害關係人關注紀錄與回應處置
11.3 資通安全事件通報作業規範之考量
12. 資安融入內部控制制度
12.1 內部控制及稽核制度實施辦法
12.2 上市上櫃公司資通安全管控指引
13. 資安稽核常見問題說明
13.1 Part A:一、核心業務及其重要性
13.2 Part B:二、資通安全政策及推動組織
13.3 Part C:三、專責人力及經費配置
13.4 Part D:四、資通系統盤點及風險評估
13.5 Part E:五、資通系統或服務委外辦理
13.6 Part F:六、資通安全維護計畫與實施情形
13.7 Part G:七、資通安全防護及控制措施
13.8 Part H:八、資通系統發展及維護安全
13.9 Part I:九、資通安全事件通報應變
13.10 請持續關注查檢重點與依據
14. 鑑往知來、預做準備
14.1 基於ISO 27001改版調整委外查核表(Part1)
14.2 基於ISO 27001改版調整委外查核表(Part2)
14.3 基於ISO 27001改版調整委外查核表(Part3)
14.4 基於ISO 27001改版調整委外查核表(Part4)
14.5 基於ISO 27001改版調整委外查核表(完成)
14.6 基於資通安全實地稽核表改版做準備
14.7 資安管理工作的投入
1. 資安長與資安推動組織
1.1 資通安全實地稽核項目第二構面
1.2 資通安全實地稽核項目第一、三構面
1.3 讓資安長掌握資通系統盤點之重點概念
1.4 讓資安長掌握業務持續運作之重點概念
1.5 讓資安長掌握必要資安防護機制之重點概念
1.6 讓資安長掌握資安人員配置訓練之重點概念
1.7 全機關導入ISMS 資安長應掌握重點
2. 核心業務及核心系統
2.1 界定機關核心業務
2.2 從業務角度盤點核心資通系統
2.3 非核心業務及說明
3. 高階風險評鑑方法改良
3.1 高階風險評鑑做法建議
3.2 依資通系統防護基準執行控制措施
3.3 程序書修訂參考
4. 詳細風險評鑑方法改良
4.1 威脅及弱點評估做法改良
4.2 識別既存控制措施做法改良
4.3 程序書修訂參考
5. 資通系統集中化管理
5.1 基本安全保障
5.2 系統本身安全?
5.3 資通系統集中化管理的推動過程
5.4 網路維運中心(NOC)及安全維運中心(SOC)
5.5 網站共構系統或將網站移置外部較安全平臺
6. 強化資安認知訓練
6.1 資安通識教育訓練實施方式
6.2 資安通識教育訓練配套措施
6.3 辦公室張貼資安宣導海報
6.4 強化新進人員資安宣導
6.5 資安專業教育訓練實施對象
7. 委外辦理資通業務
7.1 資通系統、資通服務
7.2 委外考量
7.3 選任適當受託者
7.4 監督受託者資通安全維護情形
7.5 資訊服務採購案之資安檢核事項
7.6 限制使用危害國家資通安全產品
7.7 資通安全稽核檢核項目之委外相關構面
7.8 委外承辦人員落實教育訓練
7.9 程序書修訂參考
8. 委外資通系統廠商須知
8.1 對資通系統防護基準有更多認識
8.2 資通系統防護基準之存取控制
8.3 資通系統防護基準之事件日誌與可歸責性
8.4 資通系統防護基準之營運持續計畫
8.5 資通系統防護基準之識別與鑑別
8.6 資通系統防護基準之系統與服務獲得
8.7 資通系統防護基準之系統與通訊保護
8.8 資通系統防護基準之系統與資訊完整性
8.9 資通安全稽核檢核項目相關構面
8.10 各類資訊(服務)採購之共通性資安基本要求
9. 各單位主管的支持
9.1 督導並要求落實資安文件
9.2 督導並要求落實清查IoT
9.3 督導並要求落實資安措施
9.4 督導並要求參與資安教育訓練
9.5 督導並要求遵循採購規範
9.6 配合稽核
9.7 資安的價值
10. 全員日常資安對策
10.1 資訊安全管理系統之導入
10.2 全員日常資安重點
10.3 全員日常資安-落實資安措施
10.4 全員日常資安-資安事件通報與社交工程
10.5 全員日常資安-資安通識教育
10.6 全員日常資安-IoT 適當管控
11. 利害關係人與通報管理
11.1 利害關係人地圖
11.2 利害關係人關注紀錄與回應處置
11.3 資通安全事件通報作業規範之考量
12. 資安融入內部控制制度
12.1 內部控制及稽核制度實施辦法
12.2 上市上櫃公司資通安全管控指引
13. 資安稽核常見問題說明
13.1 Part A:一、核心業務及其重要性
13.2 Part B:二、資通安全政策及推動組織
13.3 Part C:三、專責人力及經費配置
13.4 Part D:四、資通系統盤點及風險評估
13.5 Part E:五、資通系統或服務委外辦理
13.6 Part F:六、資通安全維護計畫與實施情形
13.7 Part G:七、資通安全防護及控制措施
13.8 Part H:八、資通系統發展及維護安全
13.9 Part I:九、資通安全事件通報應變
13.10 請持續關注查檢重點與依據
14. 鑑往知來、預做準備
14.1 基於ISO 27001改版調整委外查核表(Part1)
14.2 基於ISO 27001改版調整委外查核表(Part2)
14.3 基於ISO 27001改版調整委外查核表(Part3)
14.4 基於ISO 27001改版調整委外查核表(Part4)
14.5 基於ISO 27001改版調整委外查核表(完成)
14.6 基於資通安全實地稽核表改版做準備
14.7 資安管理工作的投入
書摘/試閱
Chapter 5資通系統集中化管理(節錄)
高等教育深耕計畫資安強化專章的績效指標主項目「確保資通系統管理量能」有兩個次要項目:資通系統集中化管理,資通系統資安管理作業原則集中至學校資訊(安)單位或其他具備資通安全專業能力之團隊統籌辦理,並因應集中化管理需求增聘適當人力;適度降低資通系統數量,汰換整併校內資通系統網站以降低資通系統數量。要加強閒置網站及因應臨時需求建置網站之管控,下架或限制存取。
5.1 基本安全保障
資通系統集中化管理可有效聚焦資安防護範圍,提升安全防護效能,這章就來談談資訊中心通常可以提供的基本安全保障:
1.虛擬主機:資訊中心若已建置虛擬主機(Virtual Machine, VM)服務,比只是主機代管(Co-location)更佳,因為通常會對虛擬主機做快照備份,一旦系統出狀況就很容易從快照還原讓系統快速重啟。
2.網路防火牆:基於防禦緃深的安全考量,除了獨立於虛擬主機外的網路防火牆,資訊中心也可協助建立本機防火牆。
3.恆溫空調:適當的溫度是主機正常運作的重要因素,資訊中心機房設置恆溫空調,為主機提供了最佳的運作環境,大大提高主機穩定性。
4.穩定的電力:資訊中心通常備有不斷電系統及柴油發電機,不論是例行維護或意外事件中斷電力,都可以即時提供充足的備援電力,確保網站服務不受影響。
資訊中心針對虛擬主機至少每天備份快照一次並保留一定天數,當網站遭受意外損壞時(如:誤刪資料、遭加密勒索等),可還原出另一臺最近版本狀態的虛擬主機,將系統與資料復原。另外,資訊中心還可以協助在系統環境升版更新前對虛擬主機做快照,若作業遇到暫時無法解決的問題,就能快速回復到異動前的正常運作狀態,或是先複製一臺測試用虛擬主機確認升版更新成功,再進行正式主機的更新作業。
資訊中心通常會以多臺實體主機建立虛擬主機的叢集資源池,如果某臺實體主機故障,所承載的虛擬主機可自動在運作正常的實體主機上重新啟動,避免因為單一實體主機硬體故障而造成網站無法服務。系統重新上線時間依虛擬主機所啟用服務的複雜度而定,多半在幾分鐘至幾十分鐘內可完成。所以,在機制正常運作情形下,建立於虛擬主機上的系統復原時間目標(RTO)可縮短為幾十分鐘。
這項功能特色,就是對全校各單位宣導鼓勵租用虛擬主機服務的一大賣點,畢竟各單位建置網站或系統應該不會有備援機制,一旦系統出狀況就會停擺一陣子,但租用虛擬主機就可以安心多了。
依據《資通安全責任等級分級辦法》[1]應辦事項規定,網路防火牆及防毒軟體是一定要啟用的資通安全防護措施,而資訊中心通常會架設網路防火牆保護虛擬主機,並購買合法授權的防毒軟體提供各單位系統安裝,可達成法遵基本要求。
適當的溫度是維持主機正常運作的重要因素,資訊中心機房一定有做環境溫度控制,甚至採用冷熱通道分離的節能設計,配合多臺冷氣機交替運作,為主機提供了最佳的運作環境,也大大提高了主機的穩定性。另外資訊中心的實體伺服器主機都在不斷電系統的保護下,可防止供電瞬間的電源突波對機器造成損害,通常也另外設置柴油發電機在市電中斷時立即透過ATS 系啟動發電,以提供更長時間的穩定備援電力來源。
5.2 系統本身安全?
雖然資訊中心提供基本安全保障,但別讓各單位誤認為就不再有資安問題,因為安全與否還取決於網站運作的三個層面。
第一是接受網路HTTP(S)請求並回應的網站伺服程式,如:Apache、Nginx、IIS、Node.js 等。
第二是網站設計採用的程式語言、第三方套件或架站套裝軟體,如:HTML、PHP、ASP、jQuery、XML、Javascript、Node.js、Wordpress、Joomla、Drupal 等。
第三是網站後臺的資料庫系統,如:MySql、MariaDB、MS SQL、PostgreSQL 等。
以上三者在網站提供服務時是緊密相關的,可能分別存在不同的安全漏洞。網站伺服程式及資料庫系統可透過主機弱點掃描工具(簡稱主機弱掃),判讀軟體版本並提出修補建議;自行開發或是採用第三方架站軟體所開發的網站,則要透過網站應用程式弱點掃描工具或是源碼檢測工具來發現漏洞。
網站所在的主機環境,還包含了作業系統、提供網站服務的相關套件以及開放的連線方式。
常見的作業系統可分成Windows 及Linux 兩大類。微軟的Windows Server 則都是要付費購買的作業系統。Linux 又可分為免費的Community版本以及需要付費的商業版本,這要看各個廠商所使用的版本,一般常見的有 Ubuntu、CentOS、Debian、Redhat、SUSE、Rocky 等。主機安裝的作業系統版本須注意是否仍在官方的維護清單,如果官方已經停止更新支援,就不建議繼續使用。
主機上的套件提供了對外開放的連線方式以及網站運作的必要軟體,如提供大眾服務的連接埠HTTP/HTTPS、遠端維護管理的SSH、遠端桌面(RDP)、PHP 程式、資料庫系統等,這些系統環境因子如果存在安全漏洞當然會影響網站運作。
不論是實體機或是虛擬機都需要安裝作業系統,網站也必須透過前面提過的網站伺服器及資料庫等套件才能正常運作。要發現作業系統或是網站的漏洞,就要定期進行主機弱掃。
由於主機弱掃所檢查出的系統漏洞都是已經公開的資訊,駭客或有心人士會優先嘗試透過這些漏洞來攻擊系統,進行入侵、破壞、竊取資料等行為,對於系統運作及資料安全造成嚴重的影響。如果發現系統有關鍵或是高風險漏洞,一定要找系統開發者或委外廠商負責解決,降低風險並預防系統遭駭入的可能性。
高等教育深耕計畫資安強化專章的績效指標主項目「確保資通系統管理量能」有兩個次要項目:資通系統集中化管理,資通系統資安管理作業原則集中至學校資訊(安)單位或其他具備資通安全專業能力之團隊統籌辦理,並因應集中化管理需求增聘適當人力;適度降低資通系統數量,汰換整併校內資通系統網站以降低資通系統數量。要加強閒置網站及因應臨時需求建置網站之管控,下架或限制存取。
5.1 基本安全保障
資通系統集中化管理可有效聚焦資安防護範圍,提升安全防護效能,這章就來談談資訊中心通常可以提供的基本安全保障:
1.虛擬主機:資訊中心若已建置虛擬主機(Virtual Machine, VM)服務,比只是主機代管(Co-location)更佳,因為通常會對虛擬主機做快照備份,一旦系統出狀況就很容易從快照還原讓系統快速重啟。
2.網路防火牆:基於防禦緃深的安全考量,除了獨立於虛擬主機外的網路防火牆,資訊中心也可協助建立本機防火牆。
3.恆溫空調:適當的溫度是主機正常運作的重要因素,資訊中心機房設置恆溫空調,為主機提供了最佳的運作環境,大大提高主機穩定性。
4.穩定的電力:資訊中心通常備有不斷電系統及柴油發電機,不論是例行維護或意外事件中斷電力,都可以即時提供充足的備援電力,確保網站服務不受影響。
資訊中心針對虛擬主機至少每天備份快照一次並保留一定天數,當網站遭受意外損壞時(如:誤刪資料、遭加密勒索等),可還原出另一臺最近版本狀態的虛擬主機,將系統與資料復原。另外,資訊中心還可以協助在系統環境升版更新前對虛擬主機做快照,若作業遇到暫時無法解決的問題,就能快速回復到異動前的正常運作狀態,或是先複製一臺測試用虛擬主機確認升版更新成功,再進行正式主機的更新作業。
資訊中心通常會以多臺實體主機建立虛擬主機的叢集資源池,如果某臺實體主機故障,所承載的虛擬主機可自動在運作正常的實體主機上重新啟動,避免因為單一實體主機硬體故障而造成網站無法服務。系統重新上線時間依虛擬主機所啟用服務的複雜度而定,多半在幾分鐘至幾十分鐘內可完成。所以,在機制正常運作情形下,建立於虛擬主機上的系統復原時間目標(RTO)可縮短為幾十分鐘。
這項功能特色,就是對全校各單位宣導鼓勵租用虛擬主機服務的一大賣點,畢竟各單位建置網站或系統應該不會有備援機制,一旦系統出狀況就會停擺一陣子,但租用虛擬主機就可以安心多了。
依據《資通安全責任等級分級辦法》[1]應辦事項規定,網路防火牆及防毒軟體是一定要啟用的資通安全防護措施,而資訊中心通常會架設網路防火牆保護虛擬主機,並購買合法授權的防毒軟體提供各單位系統安裝,可達成法遵基本要求。
適當的溫度是維持主機正常運作的重要因素,資訊中心機房一定有做環境溫度控制,甚至採用冷熱通道分離的節能設計,配合多臺冷氣機交替運作,為主機提供了最佳的運作環境,也大大提高了主機的穩定性。另外資訊中心的實體伺服器主機都在不斷電系統的保護下,可防止供電瞬間的電源突波對機器造成損害,通常也另外設置柴油發電機在市電中斷時立即透過ATS 系啟動發電,以提供更長時間的穩定備援電力來源。
5.2 系統本身安全?
雖然資訊中心提供基本安全保障,但別讓各單位誤認為就不再有資安問題,因為安全與否還取決於網站運作的三個層面。
第一是接受網路HTTP(S)請求並回應的網站伺服程式,如:Apache、Nginx、IIS、Node.js 等。
第二是網站設計採用的程式語言、第三方套件或架站套裝軟體,如:HTML、PHP、ASP、jQuery、XML、Javascript、Node.js、Wordpress、Joomla、Drupal 等。
第三是網站後臺的資料庫系統,如:MySql、MariaDB、MS SQL、PostgreSQL 等。
以上三者在網站提供服務時是緊密相關的,可能分別存在不同的安全漏洞。網站伺服程式及資料庫系統可透過主機弱點掃描工具(簡稱主機弱掃),判讀軟體版本並提出修補建議;自行開發或是採用第三方架站軟體所開發的網站,則要透過網站應用程式弱點掃描工具或是源碼檢測工具來發現漏洞。
網站所在的主機環境,還包含了作業系統、提供網站服務的相關套件以及開放的連線方式。
常見的作業系統可分成Windows 及Linux 兩大類。微軟的Windows Server 則都是要付費購買的作業系統。Linux 又可分為免費的Community版本以及需要付費的商業版本,這要看各個廠商所使用的版本,一般常見的有 Ubuntu、CentOS、Debian、Redhat、SUSE、Rocky 等。主機安裝的作業系統版本須注意是否仍在官方的維護清單,如果官方已經停止更新支援,就不建議繼續使用。
主機上的套件提供了對外開放的連線方式以及網站運作的必要軟體,如提供大眾服務的連接埠HTTP/HTTPS、遠端維護管理的SSH、遠端桌面(RDP)、PHP 程式、資料庫系統等,這些系統環境因子如果存在安全漏洞當然會影響網站運作。
不論是實體機或是虛擬機都需要安裝作業系統,網站也必須透過前面提過的網站伺服器及資料庫等套件才能正常運作。要發現作業系統或是網站的漏洞,就要定期進行主機弱掃。
由於主機弱掃所檢查出的系統漏洞都是已經公開的資訊,駭客或有心人士會優先嘗試透過這些漏洞來攻擊系統,進行入侵、破壞、竊取資料等行為,對於系統運作及資料安全造成嚴重的影響。如果發現系統有關鍵或是高風險漏洞,一定要找系統開發者或委外廠商負責解決,降低風險並預防系統遭駭入的可能性。
購物須知
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。