Professional Documents
Culture Documents
可攜式媒體安全管理
與
電子資料保護
行政院 國家資通安全會報
技術服務中心
鍾榮翰顧問
Email: barbet@icst.org.tw
March 6, 2008
1
課程大綱
•新聞回顧
•可攜式媒體安全管理
•電子資料保護生命週期
•結論
1
C
神盾機密外洩,日防衛相下臺
•2007年3月,神奈川縣警局調查非法入境案,意
外發現海上自衛隊士官家中硬碟有大量神盾艦系
統資料,經查係由自衛隊第一術科學校流出。
•日本神盾艦(Aegis)系統資料外洩案持續擴大引
起美方高度關注,這是日本自衛隊近年來傳出多
起資料洩密案後首度遭警調單位強行實施住宅搜
查的案例。
•美日安保條約中明文規定,關於洩漏美方軍武機
密的罰則,視情節嚴重涉案人最高將被判處10年
有期徒刑,而日本國防部長(防衛相)小池百合
子也已因此案下台以示負責。
3 資料來源:iThome online 2007-08-30 張嵐霆/編譯
全新硬碟植木馬 個人資料全都露
•Maxtor在泰國生產的三點五吋、500G可攜式硬
碟,遭植入木馬程式,調查局於十月間接獲民眾
報案,實地購買同款硬碟,送交資安鑑識實驗室
分析、測試,證實確有autorun.inf及ghost.pif
(惡魔程式)木馬程式。
•該木馬程式會感染其他插入的隨身碟,並感染
autorun.inf、windows.scr檔案,且會主動連線
及上傳資料到外部網站。
•使用者只要安裝該硬碟,電腦程式就會自動連線
上述特定網址,電腦資料變成「全都露」。
• 2007/11/10自由時報記者楊國文、何瑞玲/台北報導
2
C
可攜式裝置「毒來毒往」駭客最愛
•資訊安全業者表示,2007年危害最大的惡意程式
WORM_SPYBOT.IS 及 WORM_GAOBOT.DF,
都是透過感染USB裝置來散布,這類可攜式裝
置已成為資訊安全漏洞。
•2008年資訊安全的威脅將持續攻擊社交網站、購
物網站、線上遊戲網站,藉釣魚手法盜取帳號或
植入木馬,可攜式裝置如智慧型手機、MP3隨身
聽、隨身碟等,近年成為駭客利用突破安全防線
之主要媒介。
• 自由時報:2008/02/23報導
課程大綱
•新聞回顧
•可攜式媒體安全管理
•電子資料保護生命週期
•結論
3
C
這是你要的嗎?
可攜式媒體介紹
•所謂的可攜式儲存媒體泛指一般不具運算
功能,但可儲存大量資料的小型資訊硬
體,例如:外接式硬碟、燒錄機、隨身
碟、數位相機記憶卡…等等。
4
C
可攜式媒體的特色
•輕巧,易於攜帶
•增加工作效率,提高生產力
•不受工作環境的限制
•有利於大量資料的傳遞
•有益於資料的可用性(availability)
常見可攜式儲存媒體
USB拇指碟
外接式硬碟 外接式光碟燒路器
5
C
常見可攜式設備
11
未來發展趨勢
•價格大幅降低,運算能力更強,使用將更為深入
一般作業,也將更為普及於一般人
•設計上將更趨於輕便,更易於攜帶
•外觀及功能設計上與其他隨身用品結合(如PDA)
•通訊能力將更為完備與並且成為標準配備
•企業將大量使用可攜式設備,並安裝企業應用系
統
•資料承載的容量更高、傳輸速度更快、傳輸距離
更遠
•將解決可攜式設備的電力持續問題,而使運作的
時間更長
12
6
C
未來發展趨勢
13
何謂風險?
風險(risk):
已知威脅利用單一或一群資產的脆弱性,造成資產損失或損壞的潛在可能性。
資產
14
7
C
風險處理矩陣圖
技術性控制措施
高 除硬體外
不適用於
降低風險 轉嫁風險 其他資訊
資產類別
事
故
衝
擊
程
度
接受風險 避免風險 操作性控制措施
低 事故發生機率 高
15
風險管理要素關聯圖
利用
威脅 脆弱性
防止 增加 暴露
增加
防護措施
(控制措施)
降低 風險 資產
被滿足 指示 增加 有
防護需求 價值
16
8
C
可攜式媒體可能遭遇之風險(一)
•因為其輕便性,易於遺失或遭竊。
•外型設計多樣化,容易通過安全檢查,不易偵
測。
•功能多樣化,在管理政策中難以定義,實際作業
上不易杜絕員工使用。
•存於可攜式設備及儲存媒體多數為重要或具機密
性之資料,資產價值較高,容易成為有心人士竊
取的目標。
•可攜式設備及儲存媒體常被共享使用,讓資料的
不當存取及病毒擴散情形更為嚴重,甚至進入內
部網路進行擴散,可視為另一種型態之社交工程
攻擊。
17
可攜式媒體可能遭遇之風險(二)
•有心人士可利用進入內部網路機會,進行不法竊
取機密的活動。
•作業系統提供了內建的驅動程式,讓具有USB隨
插即用功能的可攜式儲存媒體能輕易的與內部系
統連結,下載資料。
•缺乏適當管制措施之下,有心人士可透過可攜式
通訊設備將機密資料傳出。
•大多數可攜式設備及儲存媒體無法產生事件記
錄,故無法追蹤其使用過程
•可攜式設備和儲存媒體的使用,增加管理者在非
法軟體管制上的難度
18
9
C
認識 USB
•「通用串列匯流排」 (Universal Serial Bus, USB)
• USB是一種標準的連接界面,即插即用(Plug-
and-Play),不必重新配置規劃系統,也不必打開
機殼調整界面卡的設定值。
•電腦會自動識別這些周邊設備,並且配附適當的
驅動程式,無需使用者再另外重新設定。
•統一介面包含通訊、印表機、顯示器輸出、音效
輸出入、儲存設備等。
•具有「熱插拔」(Hot Attach &Detach)的特性,在
作業系統的已開機的執行狀態中,隨時可以插入
或拔離USB裝置。
• USB最多可以連接127個周邊設備,傳輸速度可支
援1.5Mbps、12Mbps、480Mbps。
19
USB惡意程式之運作
•USB惡意程式與一般電腦病毒類似,只是此種類
型的病毒通常會搭配Autorun.inf檔案,並從USB
隨身碟感染電腦。
•原本Autorun.inf檔案是希望電腦在存取外接式媒
介時,能自動讀取相關資料並執行程式,系統會
先尋找Autorun.inf檔案,並執行相關的程式指
令。
•電腦病毒也是利用此方式,將病毒及對應的
Autorun.inf檔案寫入在USB隨身碟,並隱藏起
來,所以就算使用者從本機電腦的「我的電腦」
資料夾中,查詢USB隨身碟資料,也不一定能查
覺出問題。
20
10
C
Autorun.inf 語法剖析
•[autorun]
•open=XXXX (“惡意程式檔案名稱”)
•shell\open\Command=File\XXXX.exe
(檔案路徑)
•shell\open\Default=1
•shell\explore\Command=File\XXXX.exe
21
八種關閉AutoRun的方法
區 分 效 果
SHIFT按鍵法
群組原則設定法
硬碟內容屬性設定法
NoDriveTypeAutoRun機碼編輯設定法
Tweak UI設定法
檔案總管操作法
電腦管理服務設定法
22
MountPoints2機碼編輯設定法
11
C
SHIFT 按鍵法
•插入USB隨身碟的時候按住SHIFT鍵, USB
隨身碟就不會自動執行
有用嗎?請看示範!
23
群組原則設定法
•開始→執行→gpedit.msc
有用嗎?請看示範!
24
12
C
硬碟內容屬性設定法
•我的電腦→選擇USB磁碟→右鍵→內容
有用嗎?請看示範!
25
NoDriveTypeAutoRun機碼編輯設定法
•開始→執行→regedit
•HKEY_CURRENT_USER\Software\Micro
soft\Windows\CurrentVersion\Policies\Expl
oer主鍵下
•於右窗格中找到「NoDriveTypeAutoRun」
•將其數值資料改為FF(十六進位)
26 有用嗎?請看示範!
13
C
Tweak UI設定法
•Tweak UI這個 PowerToy 可讓您存取未在
Windows XP 預設使用者介面公開的系統設
定,包括滑鼠設定、檔案總管設定、工作
列設定等等。
有用嗎?請看示範!
27
檔案總管操作法
•開始→我的電腦→右鍵→檔案總管
•點選左邊窗格USB硬碟→開啟檔案
有用嗎?請看示範!
28
14
C
電腦管理服務設定法
•開始→我的電腦→右鍵→管理→電腦管理
•停用Shell Hardware Detection服務
有用嗎?請看示範!
29
MountPoints2機碼編輯設定法
HKEY_CURRENT_USER\Software\microsoft\Windows\
CurrentVersion\Explorer\MountPoints2 機碼之Everyone 的權限進行
限制,USB 裝置仍可以正常使用,但不會再執行autorun.inf 檔中的設定。
30
15
C
八種關閉AutoRun的方法
區 分 效 果
SHIFT按鍵法 O
群組原則設定法 O
硬碟內容屬性設定法 O
NoDriveTypeAutoRun機碼編輯設定法 O
Tweak UI設定法 O
檔案總管操作法 P
電腦管理服務設定法 P
31
MountPoints2機碼編輯設定法 P
資訊殘存導致機敏外洩
•Office軟體提供自動復原功能,會將文件自
動備份,並隱藏於暫存區,殘存之資訊,
可能導致機敏外洩,應將之清除。
32
16
C
制定管理政策
• 制定相關的安全政策,明確定義可攜式設備的使用規範及
使用者的相關權責,並同時訂定誤用及濫用的罰則。
–組織政策層面,組織必須訂定明確的政策,告知同仁
什麼樣的可攜式設備及儲存媒體可以使用或不可以使
用,並且讓同仁瞭解應該遵守之規範。
–人員認知教育層面,提升人員的資訊安全認知,使人
員瞭解可攜式設備及儲存媒體的風險、因應對策及使
用程序,避免可攜式設備及儲存媒體誤用濫用的情形
發生
–作業程序層面,藉由使用規則的制訂,要求使用者使
用前申請、使用後檢查等程序,避免未經授權的可攜
式設備及儲存媒體使用。
–技術管制層面,利用資訊技術對可攜式設備及儲存媒
體進行備份、管制及使用記錄,確保可攜式設備及儲
存媒體均為授權內的使用,並確保其安全機制,以避
免因遺失所造成的損害。
33
使用者自我管理(一)
• 切勿自機關辦公室電腦複製未經授權存取或與職務無關的
文件資料。
• 如果是業務上必須使用,且所儲存或傳遞的資料具有機密
敏感性,則所使用的設備應具備有多重因子身份驗證的功
能(例如指紋辨識或智慧卡)或利用加密程式將重要資料予
以加密。
• 應避免將具機密敏感性的資料長期置於可攜式設備及儲存
媒體,定期檢視所儲存的資料內容,如有無須儲存於其上
的重要資料,應立刻移除。
• 應該妥善保管相關設備與媒體,以免遺失、遭竊導致資料
遺失。
• 若可攜式設備及儲存媒體上儲存有經常性使用之重要資
料,使用者應養成定期備份的習慣,以免重要資料因設備
的遺失、遭竊及毀損而無法使用。
34
17
C
使用者自我管理(二)
• 使用者應定期自行檢視可攜式設備及儲存媒體裏的資料內
容,如有來源不明的程式或資料及非法的軟體,應立刻進
行移除及進行掃毒。
• 個人的可攜式設備及儲存媒體,如被允許使用,使用者在
連接至辦公室設備之前,應先自行或委請資訊人員進行掃
毒。
• 可攜式設備及儲存媒體如為機關內共同使用,使用者切記
在使用完畢後將所有的資料文件移除,以免資料遭他人誤
用。
• 可攜式媒體使用完畢後,應將暫存檔清除,避免資訊殘
存,導致機敏資料外洩
• 而同仁在使用可攜式設備及儲存媒體時,如果發現異常狀
況發生(如發現有未經授權的使用、設備或媒體遺失
等),應立即向業管單位進行通報,才能使損失降到最
低。
35
課程大綱
•新聞回顧
•可攜式媒體安全管理
•電子資料保護生命週期
•結論
36
18
C
電子資料保護生命週期
處理
資料生成
蒐集
資
訊
安 技術性
傳送
全 控制措施
政
策 流通
資料消滅
儲存
37
電子資料保護架構
38
19
C
資料之蒐集
39
資料之處理
40
20
C
資料之傳送
41
資料之儲存
42
21
C
資料之流通
43
技術性控制措施
44
22
C
功能需求評估
45
資訊安全管理─木桶理論新解
如何決定一個由長短不同的木板構成的木桶之
「容水量大小」?
–(1) 木板長度?
•(X) 取決於其中「最長」的那塊木板
•(X) 取決於全部木板長度的「平均值」
•(O) 取決於其中「最短」的那塊木板
–(2) 這個木桶是否有堅實的「底板」?
–(3) 木板之間是否有「縫隙」? 資訊安全管理系統
資訊安全領域
資安事件通報應變機制
資訊安全管理系統驗證
46
23
C
政府資安成熟度評鑑模式
資安成熟度等級【一】 資安政策制訂
(Policy Developed, P) 規劃(P)
資安成熟度等級【二】 資安作業程序發展
(Procedure Developed,
P)
資安成熟度等級【三】 資安控制措施實作執行 執行(D)
(Do, D)
資安成熟度等級【四】 資安控制措施測試檢查 檢查(C)
(Check, C)
資安成熟度等級【五】 資安控制措施整合行動 行動(A)
(Act, A)
47
24
C
「指引特性」資安成熟度檢查表
評量理論架構
• 由「指引撰寫人」根據 NIST SP800-53 勾選適合
該指引之「資安成熟度」評量類別與項目 NIST SP800-26 作為「資安成熟度等級」類別
•由「審查顧問」根據「導入機關」資安調查
• 由「指引撰寫人」根據「控制措施」填入 實況,勾選「符合」之「評量項目」。
「相對評量項目問題說明」與相對「資安成熟
度歸屬等級」。 •運用「木桶理論」進行「評量類別」之「資
49 安成熟度」等級歸屬。
1 2 3 4 5 6 7
C
導入前資安成熟度分析(一)
50
25
1 2 3 4 5 6 7
C
導入前資安成熟度分析(一)
51
1 2 3 4 5 6 7
C
導入前資安成熟度分析(二)
52
26
1 2 3 4 5 6 7
C
導入前資安成熟度分析(二)
53
1 2 3 4 5 6 7
C
實務導入案例
•電子檔案
–建議導入具有加密機制、認證授權、操作稽核
之電子資料保護解決方案
•資料庫
–建議導入可有效記錄資料庫活動並具有便利有
效分析工具之資料庫安控稽核軟體
54
27
1 2 3 4 5 6 7
C
導入後資安成熟度分析(一)
55
1 2 3 4 5 6 7
C
導入後資安成熟度分析(一)
56
28
1 2 3 4 5 6 7
C
導入後資安成熟度分析(二)
57
1 2 3 4 5 6 7
C
導入後資安成熟度分析(二)
58
29
C
結 論
•機關應審慎評估電子資料之風險。
•資訊管理單位須制定電子資料的保護程序及相關
權責。
•落實正確、安全使用可攜式媒體訓練,才是根本
防範之道。
•使用者配合機關內制定的管理制度並加強自我管
理。
•資訊安全的維持靠全體同仁一起努力。
59
30