【 資訊安全】金融機構提供自動櫃員機系統安全作業規範（Part 3）

前言：本文接續上一篇文章（文章連結），繼續介紹《金融機構提供自動櫃員機系統安全作業規範》（以下簡稱「作業規範」）

第六條
架構區隔
一、應透過設備隔離機制（如防火牆、虛擬私有網路（ Virtual Private Network， VPN）、網閘等）管制ATM、ATM之相關伺服器，其中針對 ATM及ATM之相關伺服器應限制不得連接網際網路、開發測試網段及內部辦公區網段，惟防毒伺服器及網域控制伺服器因提供服務之目的（如更新病毒碼、時間校時、DNS查詢、身分確認等）除外。
二、執行派版作業之工作站應設置於經管制之作業室，且不得連接網際網路。
三、ATM 之派版伺服器僅能於執行作業（如 ATM派版、資安作業、系統更新）時開機或連線，並於作業完畢後立即關機、離線或停用連線埠，惟增加下列安全防護機制者除外。
（一）僅能透過本機或執行派版作業之工作站登入。
（二）依最小授權原則進行派版伺服器各項安全控管設定（如派版功能僅限授權派版專用帳號）。
（三）採用兩項以上技術進行身分確認，並使用硬體設備保護敏感資料；該硬體設備應具有資料輸出管控機制、遮蔽作用之塗層保護機制、破壞偵測與歸零清除保護機制、開機自我測試機制、防止電磁干擾保護機制或其他足以保護設備內敏感資料之安全設計（如 動態密碼產生器）。

實務上，ATM、ATM相關伺服器會置於專用網路區域，並以防火牆控管連線。此外，ATM、ATM相關伺服器不得連線至網際網路。評估人員可以檢視防火牆規則，確認金融機構是否落實存取控制。

金融機構會透過工作站（專用個人電腦）連線至ATM相關伺服器，這台工作站應置於控制室。控制室應以門禁管制進出，且控制室內的工作站不得連線至網際網路，評估人員可以請經辦開啟瀏覽器，並輸入網址，確認有無限制連線。

無論金融機構有沒有額外的補償措施，通常建議在未使用時關閉伺服器，這應該是最有效率的安全機制。

第七條
監控警示
一、應監控ATM、ATM之相關伺服器及網路設備之系統事件及連線紀錄，如有異常應及時處理。
二、連線至 ATM派版伺服器之工作站與其他網段之資料傳遞，應留存連線紀錄以利追蹤異常存取。

金融機構大多有資安事件管理平台（SIEM），並在平台上建立關聯性規則。評估人員應確認SIEM有沒有收容ATM、ATM伺服器日誌（連線日誌、稽核日誌），最好能實際抽樣一筆事件處理紀錄，瞭解受評機構的作業流程。

第八條
汰換計畫採用IP連線之 ATM，若該設備之作業系統原廠已不再提供安全更新者，應於107年底完成汰換或提供補強措施（如採用具Virtual Patching功能之WAF或IPS），以防範已知資安漏洞。

目前ATM大多採用舊版作業系統（Windows 7 Professional），由於相關軟體主要支援舊版作業系統，考量系統穩定性、相容性等問題後，多數金融機構尚在觀望，未徹底實施系統升級。最多採購可相容新作業系統（Windows 10）的ATM。

幸好法規提供另一個選項：要求金融機構提供補償措施，補償措施如應用程式防火牆（WAF）、入侵防禦系統（IPS）。

第九條
人工派版
一、採用USB、CD-ROM人工派版者，須由指定人員使用經銀行確認之ATM應用程式進行換版。
二、應定期對指定人員（如保全）進行查核。

實務上，金融機構不會採用人工派版，畢竟任一間銀行都有上百台ATM，每一台ATM都要人工派版的話，不曉得要做到何年何月？因此多數金融機構並不適用第九條。

第十條
資安防護與演練
一、ATM 之相關伺服器、伺服器之工作站應安裝防毒軟體，並確認正確來源之病毒碼後即時更新；派版伺服器應先更新病毒碼後再進行作業。
二、應每半年針對ATM相關之伺服器進行弱點掃描。
三、應建立監控與事故應變機制並每年進行程序演練。

ATM相關伺服器、工作站應安裝防毒軟體，並在派版前更新病毒碼，最好在派版前進行惡意程式掃描。

評估人員應徵求ATM相關伺服器有的弱點掃描報告（每半年應掃描一次），並確認掃描完整性；如果掃描結果發現弱點，應確認金融機構有依據內部程序，落實弱點修補作業。

多數金融機構有導入資訊安全管理制度（ISMS），管理制度應包含事故應變機制，評估人員可以向金融機構徵求相關程序書；部分金融機構會針對ATM辦理獨立演練，評估人員可以嘗試向金融機構徵求相關演練紀錄。

以上就是《金融機構提供自動櫃員機系統安全作業規範》的介紹，歡迎讀者留下寶貴的意見。如果文章中有什麼錯誤，或者解釋不清之處，也請留言讓我知道，謝謝！