【 資訊安全】金融機構使用物聯網設備安全控管規範(Part 1)

Chin-Cheng
Oct 18, 2020

--

金融監督管理委員會(以下簡稱「金管會」)為確保金融機構使用物聯網設備之安全,制定《金融機構使用物聯網設備安全控管規範》(金管銀國字第10702093510號)。

本文將逐條說明法規內容,並提出評估方式供各位讀者參考。建議讀者上網查詢有無最新法規(參考連結)。

第一條
中華民國銀行商業同業公會全國聯合會(以下簡稱本會)為確保金融機構使用物聯網(Internet of Things,IoT)設備之安全性,降低相關作業風險,特訂定本規範。

毫不意外,法規的第一條通常在交代立法目的。

第二條
本規範所稱物聯網設備係指具網路連線功能並連線於Internet或Intranet之崁入式系統(具有小型作業系統)設備(以下簡稱設備),包含自動化辦公設備(如數位錄影機、電話交換機、傳真機、錄音設備、影印機等)及不具備遠端操控介面功能之感測器。

凡是有連網功能的設備,無論是連結網際網路或企業內部網路,都屬於物聯網設備的範疇。對金融機構來說,最常見的物聯網設備包含事務機(印表機)、監視錄影器和補摺機。

第三條
應建立物聯網設備管理清冊並至少每年更新一次,以識別設備用途、網段、存放位置與管理人員,評估適當之實體環境控管措施及存取權限管制。

金融機構應建立物聯網設備的資產清冊,並且每年更新一次,清冊應清楚標示設備的用途(如事務機、監視錄影器或補摺機)、網段(IP位置)、實體存放位置和管理人員。

考慮到物聯網設備的種類、數量繁多,部分金融機構有導入設備管理解決方案(如Dr. IP),利用全網段掃描,確認設備清冊的完整性。管理系統還可以透過MAC address判定設備種類/製造廠商。

第四條
設備應具備安全性更新機制,以維持設備之整體安全性。

金融機構和廠商簽訂採購/租賃合約時,合約中應載明廠商會協助進行安全性更新。部分金融機構會建立檢查表,在安裝設備前,評估是具備更新功能。

第五條
為確保經授權之使用者始得進行資料存取、設備管理及安全性更新等操作,設備應具備身分驗證機制,並應進行初始密碼變更,密碼長度不應少於六位,建議採英數字混合使用,且宜包含大小寫英文字母或符號,並以最小權限原則針對不同的使用者身分進行授權。

以事務機為例,使用者操作前應先進行身分驗證(如輸入密碼、感應識別證),評估人員可以實地觀察操作流程,確認有啟用身分驗證功能。

在可行的情況下,無論是設備管理者帳號,或一般使用者帳號,都建議變更初始密碼。

因為金融機構基本上會套用組態設定(如GCB),如果設備綁定AD帳號,在密碼長度、複雜度方面比較沒有疑慮;但如果是獨立帳號,那就要留意密碼設定原則有沒有符合法規要求。

第六條
設備以無線連接網路者,應採用具加密協定之無線存取點連接網路,並以網路卡卡號白名單等機制進行設備綁定。

實務上,除了在分行端供客戶操作的設備(例如平板電腦),金融機構很少允許設備使用無線網路。如果評估人員從設備清冊中看到有上述的情形,那就要瞭解金融機構有沒有啟用WPA、WPA2等無線加密協定,並在網路設備(如路由器)將設備納入白名單。

--

--