【資訊安全】金融機構辦理電腦系統資訊安全評估辦法（Part 2）

前言：上一篇文章（文章連結）介紹《金融機構辦理電腦系統資訊安全評估辦法》（以下簡稱「評估辦法」）的第一至第四條，接下來將進入資訊安全評估的重頭戲：第五條 資訊安全評估作業。

評估辦法第五條內容繁雜，為了方便閱讀，這裡會把法規拆解並逐項介紹。

（一）資訊架構檢視
1.檢視網路架構之配置…
2.檢視單點故障最大衝擊…
3.檢視對於持續營運…

以下概述「資訊架構檢視」的評估方式及重點：
1.想快速瞭解銀行的網路架構配置，建議從網路架構圖（又稱「網路拓樸圖」）著手，網路架構圖應識別資訊設備及網路區域。評估人員應確認銀行有適當分隔網路區域（例如：非軍事區（DMZ）、SWIFT系統專用區域、正式主機區、測試主機區和辦公區等），並瞭解區域間如何進行存取控制（例如：防火牆）。
「資訊設備管理規則」則指設備的設定檔是否定期檢視、更新和備份（例如：是否定期更新入侵偵測/防禦系統（IDS/IPS）的特徵檔），建議評估人員先釐清銀行目前使用的資訊設備有哪些。

2.為了避免單點故障，多數的金融機構都建立高可用性（High Availability）機制，具體來說就是同地/異地備援，評估者應確認重要網路設備（例如：防火牆、核心交換器）及伺服器（尤其第一類系統）是否建立備援機制。評估人員可徵提備援機房的網路架構圖，瞭解備援環境是否與主機房環境相當。

3.營運持續管理（Business Continuity Management）是指機構為了在任何情境下持續提供服務，而採取的一系列措施。評估人員應確認銀行針對重要系統（第一類系統）建立營運持續計畫（Business Continuity Management，以下簡稱「BCP」），並定期辦理演練（BCP Drill）。

（二）網路活動檢視
1.檢視網路設備…
2.檢視資安設備…
3.檢視網路封包…

以下概述「網路活動檢視」的評估方式及重點：
1.使用者存取設備時，會留下稽核軌跡日誌（Audit Log），評估者應確認銀行是否定期檢視日誌紀錄，並釐清發現異常時會進行哪些處置。實務上，多數的金融機構都導入資安事件管理平台（SIEM，以ArcSight、QRadar為大宗），評估人員可以從SIEM收容哪些設備、建立哪些關聯性規則（例如：登入成功/失敗）著手進行評估。

2.評估辦法列舉許多資安設備，這些設備都具備告警機制，評估人員應釐清告警規則，以及銀行如何處理告警。實務上，銀行會將部分資安設備日誌導入SIEM，透過SIEM建立事件單或發送通知給對應經辦。
對於從事資訊工作的人來說，多數的資安設備早已耳熟能詳，這裡想特別提點「網路釣魚偵測」。網路釣魚偵測用於反制偽冒網站，多數金融機構向第三方購買相關服務（例如：RSA），評估人員應釐清銀行如何處理偽冒網站。

3.此點是指網路封包側錄。側錄設備的邏輯位置對於分析結果影響甚鉅，建議評估人員瞭解客戶實際需求（例如：如果架設在外部防火牆，那麼側錄結果通常很乾淨，難以瞭解端點網路使用情形）。實務上，金融機構通常自建網路內容篩選機制，評估人員也可以藉此瞭解網頁篩選機制。