贰、资讯安全风险评监-TKUIMWebmailSystem欢迎使用TKUIM.doc

資訊安全風險評鑑導引 樊國楨1,2, 鄭彩萍1,方仁威2 1.鈺松國際資訊安全股份有限公司 2.國立交通大學資訊管理研究所 摘要 風險管理是建置資訊安全管理系統的礎石，在此，植基於風險管理核心工作，分別簡析資訊安全架構功能強度與資訊安全管理執行成熟度之風險評鑑方法。囿於篇幅的限制，有關資訊安全架構機制強度等級、深度防禦、數位戰爭等資訊安全風險管理的議題則未探討，有興趣的讀者可以參考本文源池──國科會科資中心預定於今（2002）年底出版之「資訊安全風險管理導引」。 關鍵詞 成熟度（Maturity） 功能強度（Strength of Function） 風險評鑑（Risk Assessment） 壹、前言 一、源起 隨著電子科技的一日千里、個人電腦的普及、網路通信結構的改進以及全球資訊網的風行，網際網路以驚人的速度成長，使得資訊傳播無遠弗屆。每天都有數百萬的人們在網際網路上蒐尋各種資訊，而這些資訊有些是儲存在半個地球之外的電腦上；雖然大部份的使用者都是合法地存取資料，但仍常有非法入侵與存取其它電腦資料的事情發生，而老練的駭客更經常苦心鑽研安全漏洞藉以闖入他人的電腦系統。除了來自外部的攻擊外，內部人員也有入侵系統可能；這些攻擊可能只是想造成組織運作暫時的混亂，如：阻斷服務（Denial of Service）；在結合自我複製、緩衝區溢位（Buffer Overflow）與阻斷服務的紅色警戒（Code Red）網蟲事件等，已造成組織資訊架構的巨大損傷。在網路發達與入侵事件頻傳的今天，資訊安全與資訊戰的概念已從實驗室中神秘難懂研究，轉變成社會大眾關心的主要議題之一。 百分之百的通資訊安全是無法達成的目標，為確保通資訊基礎建設的安全性，防禦性資訊系統已成為先進國家通資訊安全研究的重心之一，防禦性通資基礎建設的安全的目標在於：「從確保通資訊資源的合法存取，到在所有可能遭受通資訊攻擊的階段，提供完整（Complete）、未中斷的通資訊系統運作。」，其功能性典範（Functional Paradigm）可經由下面這三個措施加以說明： 防護（Resistance） 識別（Recognition） 回復（Recovery） 防禦性的技術必須能防止硬體、軟體與使用者資料遭受來自外部或內部的威脅。其牽涉的範圍可能從簡單的金鑰管理機制到複雜的存取控制機制與資訊完整性機制。這些機制在設計時應考量風險管理（Risk Management）的概念，而風險管理隱含著在通資訊科技的脆弱性（Vulnerability）與利用這些弱點的威脅效力間取得平衡。 二、美國聯邦政府資訊安全風險理內涵簡述 美國重大基礎建設保證部門（Critical Infrastructure Assurance Office，簡稱CIAO）為達成：「任何對這些關鍵功能的中斷或操緃必須是短暫的、罕見的、易於處理的、地理上孤立的，以及對美國繁榮最低限度的危害。」之資訊安全標的所公佈之柯林頓總統批准的「美國通資訊系統保護之國家計畫（2000~2003）」1.0版[1]中，美國國防部提出之深度防禦（Defense in Depth）已成為美國聯邦政府資訊系統對威脅技術保護之實作標竿[2]；資訊系統技術面之安全框架實作暨完成後之稽核，則以安全等級之差距分析（Gap Analysis）做為風險評鑑的核心工作。 美國聯邦政府今（2002）年正式要求參照資訊安全管理系統自我評鑑指南[3]中所示之美國國家標準與技術研究院（National Institute of Standards and Technology，簡稱NIST）的安全，隱私，與基礎建設委員會（Security, Privacy and Critical Infrastructure Committee），在2000年11月28日，提出之聯邦資訊技術安全評鑑框架（Federal Information Technology Security Assessment Framework，簡稱FITSAF）中之資訊安全管理系統等級一~五之定義[3]。進行資訊安全管理系統（Information Security Management System，簡稱ISMS）之差距分析（Gap Analysis）。 三、資訊安全管理系統風險管理實作簡析 一個如圖1.1.1所示之ISMS，其資訊安全架構（含技術控制），如同建築物之結構；譬如期望加強磚造的22層大厦，能承受5級地震的威脅，是不切實際的。ISMS現有之功能強度與其可能面對威脅應有之功能強度間的差異，為ISMS風險管理的第一階段之工作。一棟鋼骨結構應能承受6級地震的大厦，施工時偷工減料，完工後拆樑換柱大幅違建，其後果未必能承受5級地震的威脅。於前述FITSAF中，則植基於成熟度的方法，就ISMS