你一定要知道的企業資安防護機制(下)

我們在上一篇文章你一定要知道的企業資安防護機制(上)，提到了三種提升企業資安防護力的方法，分別是建立身份識別機制、確保裝置安全以及完善網路安全設計。接下來，我們繼續了解還有哪些機制呢?

工作程序可被稽核或控制

在設計工作程序時，要加入稽核概念，也就是哪個使用者在什麼時間點做了什麼事，如此一來，工作程序才可以被稽核與控制。另外，針對一些重要的程序，也要加入控制的概念，例如：對於存取許可權、使用權限需要特別確認和審核；另外，異常警示和定期稽核也是不可少的。

案例一：離職人員帳號管理程序與稽核

理想程序：公司的規範是人員離職後，資管必須將離職人員的帳號、Mail停用或者刪除帳號。

現實狀況：年底檢查時，發現很多離職人員的帳號沒有被停用，離職員工仍可以收發Mail，可以登入到企業內部相關系統。

現況檢討：人員離職後，當程序流到資訊部門時，資管是否有確實執行帳號密碼停用的動作，很多公司沒有進行稽核、確認，因此，這個部分需要加強稽核與控制。

案例二：特權\委外管理的工作程序與稽核

現實狀況：公司內部可能有一些設備或系統需要委託廠商協助處理，這時就需要給予廠商一些特權，例如：允許廠商連線，這樣連線者就擁有很大的權力，一般都是這台DB Server或是AP Server管理者，連線者可以更改資料庫，更改程式，但是公司卻無法知道他到底做了什麼。

改善措施：在零信任架構基礎下，公司可以增加一些因應機制。

1. 設置側錄機制

當連線者執行某些關鍵程序，比如說變更註冊檔或者啟動某些執行檔，可以進行告警，這樣公司可以判斷是否有危險，是否需要終止他的行為。

2. 帳號生命週期管理

連線者使用的帳號密碼有生失效的時間，例如：帳號只能使用一天，時間到期立刻失效。

在零信任的架構基礎上，人是不可以被信任的、是有惰性的，因此，公司制定規範的同時，還要能夠對工作程序進行稽核與控制，確保按照規範執行。

強化資料存取控制

一、檔案、資料、系統使用最小化授權

零信任架構就是不信任人，不信任人的操作、不信任整個資訊安全架構的安全性，所以任何事情必須要可以被稽核、要有Log記錄，以及要能夠告警。在零信任基礎上，提升企業資安防護力的資料存取有以下幾個重點：

1.最小化授權：如果要存取NAS，使用者只需要用一個檔案，資訊人員就不要開啟整個資料夾的存取權限。

2.不過度授權：使用者僅需執行ERP的某個程式，管理者就不要開放整個模組的使用權限。

3.使用記錄可查詢：整個過程有Log記錄可被查詢，哪個使用者登入做了哪些事情都要可以被追蹤。

4.異常示警：存在異常使用時能夠及時告警，例如：沒有存取ERP的權限，非系統帳號不斷地在存取測試。

5.定期稽核。

二、取得資安防護與工作效率、成本的平衡

資訊安全防護往往會和工作效率成反比，資訊安全防護等級越強化，工作效率會越差；資訊安全要做得越好，成本越高。假設公司資料被勒索病毒攻擊後，資安人員提出兩個方案給老闆選擇。

方案一：允許5分鐘的資料落差，投入成本100萬；

方案二：允許4小時的資料落差，投入成本15萬。

資安人員必需和老闆詳細討論架構規範，並分析存在的風險，最後由經營者根據產業特性，決定選擇哪個方案，這裡沒有完美的方案，只有資安防護、工作效率跟成本之間的平衡。

想要進階學習《企業網路安全》相關議題，推薦您相關課程資訊

【面授課程】：企業網路安全攻防

立即下載折扣碼享課程優惠