【 資訊安全】金融機構提供自動櫃員機系統安全作業規範（Part 2）

前言：本文接續上一篇文章（文章連結），繼續介紹《金融機構提供自動櫃員機系統安全作業規範》（以下簡稱「作業規範」）

第四條
交付派版
一、派版單位應驗證開發單位交付檔案之完整性（如 MD5）及來源辨識性（如ZIP加密）。
二、派版單位應掃描開發單位交付檔案有無惡意程式（如病毒、插件、後門等）。
三、派版單位應於派版後進行覆核作業，確保無不當派版情形。

上一篇文章提到，金融機構大多落實專業分工，第四條即針對派版單位進行規範。

開發單位提出派版申請時，除了第三條提到的若干文件外，還會附上檔案的雜湊值（Hash）。雜湊值是利用演算法（例如：MD5）計算出來的一個字串，如果檔案內容有任何異動，就會產出不一樣的雜湊值，藉此確認檔案的完整性。派版單位利用校驗工具（又稱「Checksum」）計算檔案的雜湊值，並將計算結果比對開發單位提供的資訊，若比對吻合的話，就可以確認檔案未經竄改。另一方面，開發單位應將檔案壓縮加密，並避免使用紙本交付密碼。建議透過電話照會取得密碼，以加強來源辨識性。

派版單位取得檔案後，應針對檔案進行病毒掃描，確認交付檔案未包含惡意程式。建議派版單位進行掃描前，先取得最新病毒特徵檔。

派版單位可以透過檢視日誌（Log）等方式確認檔案是否確實派送。針對派版失敗的機器，應釐清原因並再次派送檔案。

第五條
存取限制
一、應刪除ATM不必要之作業系統服務及應用程式（如附件）。
二、應禁止ATM之作業系統啟用AutoPlay功能。
三、採用IP連線之 ATM其可執行程式應建立白名單管控，白名單異動作業
應經兩人以上授權或採用兩項以上技術進行管控；異動 ATM可執行程式前，ATM應驗證異動作業來源正確性。
四、以具異動權限之帳號登入派版伺服器、監控伺服器及安全更新伺服器之作業系統或應用程式者應採用兩人以上授權或採用兩項以上技術進行管控。
五、ATM BIOS應指定可開機之儲存媒體並移除不必要之設備（如CD-ROM外接式儲存媒體）。
六、本款規定公布後新採購之ATM，其吐鈔模組與ATM控制主機間之通訊指令應受保護並具有授權機制，以防止植入未經授權程式、竄改指令或竄改韌體。

一、法規有提供「不必要之作業系統服務及應用程式」清單，建議評估人員趁ATM定期保養時，請維修廠商於命令提示列（cmd）輸入相關指令（例如：arp -a），確認指令無法執行。評估人員應盡量避免操作客戶的系統，以免系統中斷時產生爭議。

請評估人員留意：依據《金融機構辦理電腦系統資訊安全評估辦法》（以下簡稱「評估辦法」），相同作業系統的ATM應至少抽測一台。換言之，如果受評機構使用Hitachi、NCR和Diebold的ATM，那麼評估人員應各抽測一台！

二、金融機構透過白名單機制（例如：Safe Lock）禁止AutoPlay。建議評估人員趁ATM定期保養時，請維修廠商或受評機構窗口準備一支隨身硬碟並插入ATM，如果可以跳出自動播放視窗，就與法規牴觸了！

三、派版單位執行派版前，會先將檔案加入白名單機制。簡單來說，就是將檔案的雜湊值加入白名單，如此才能順利派版。白名單異動作業大多採用兩人以上授權控管。

四、登入ATM相關伺服器時，應做好存取控制。除了四眼原則（Four eyes principle）外，金融機構可建立電腦室及專用工作站，限制存取伺服器的管道，並留存操作過程錄影資料。

五、建議評估人員趁ATM定期保養時，請維修廠商於進入BIOS（開機時按下F2），並至「Boot」頁籤確認已指定可開機的儲存媒體，其餘開機順序應為未啟用（Disabled）。一般來說，可開機的儲存媒體指硬碟。

六、此點規範ATM的規格，建議評估人員徵提ATM採購合約，確認合約內容是否載明法規要求事項。