【資訊安全】金融機構辦理電腦系統資訊安全評估辦法（Part 3）

前言：本文接續上一篇（文章連結）的內容，繼續介紹《金融機構辦理電腦系統資訊安全評估辦法》（以下簡稱「評估辦法」）的第五條。

（三）網路設備、伺服器、端末設備及物聯網等設備檢測
1.辦理網路設備…
2.檢測終端機及伺服器是否存在惡意程式…
3.檢測系統帳號登入密碼複雜度…

以下概述「網路設備、伺服器、端末設備及物聯網等設備檢測」的評估方式及重點：
1.銀行大多有弱點掃描（Vulnerability Assessment）工具（例如：Nessus），並制定弱點掃描相關程序書，程序書通常會說明掃描範圍、掃描頻率、弱點修補期限和補償措施。評估的重點會是掃描完整性及改善情形，換言之，受評系統伺服器、網路設備、端末設備和物聯網設備是否確實辦理弱點掃描，以及相關弱點是否完成修補，會是檢查重點。

2.談到惡意程式檢測，基本上所有銀行都會部署防毒軟體（例如：Symantec、Trend Micro），評估人員應瞭解銀行是否定期更新病毒特徵檔、設定掃描排程和處理可疑程式。此外，部分業者會請資安廠商辦理惡意程式檢測，惡意程式檢測一般是將代理程式（Agent）派送至檢測標的，執行完成後再將結果送回管理平台，常見工具例如：ThreatSonar、Cycarrier。

3.部分銀行會建立參數基準，規範內部系統的密碼原則（例如：最小密碼長度、密碼複雜度），並定期辦理參數檢視，更好的做法會是建立組態基準管理平台，集中監控系統設定。評估者也可以從活動目錄（Active Directory）的群組原則物件（GPO）著手瞭解。
有關外部連接密碼的部分，評估人員可以針對開啟特定通訊協定（例如：FTP）的系統，瞭解開啟通訊協定目的，並檢視使用者如何保管系統密碼。

（四）網路設備、伺服器及物聯網等設備且連線至Internet者應辦理下
列事項
1.進行滲透測試…
2.進行伺服器應用系統…
3.檢視伺服器之目錄…
4.檢視伺服器是否有授權連線遭挾持…

以下概述「網路設備、伺服器及物聯網等設備且連線至Internet者應辦理下
列事項」的評估方式及重點：
1.銀行一般委請資安廠商針對對外服務網站、可連線至網際網路的設備進行滲透測試（Penetration Testing），資安廠商通常會依據OWASP公布的資安風險進行測試。評估人員應確認有對外服務的受評系統（例如：個人網路銀行）、網路設備是否確實辦理滲透測試，並依據內部規範完成漏洞修補。

2.銀行通常有程式原始碼掃描（Source Code Review）工具（常見工具例如：Checkmarx、Fortify），針對應用程式或網頁進行原始碼掃描。評估的重點與弱點掃描雷同，請把握住以下兩個重點：（一）檢測完整性；（二）弱點改善情形。

3.評估人員可以請客戶提供伺服器的目錄權限（例如：透過ls -al指令列出目錄權限），確認權限是否回收、集中控管。

4.銀行通常會針對伺服器效能（CPU使用率、記憶體使用率、硬碟使用量）進行監控，評估人員應瞭解銀行目前採用的監控工具（例如：Tivoli），以及讀數高於閾值（Threshold）時的處置辦法。
部分銀行會導入資料庫稽核工具（例如：Guardium、Imperva），透過這些工具監控資料庫的使用情形（例如：無限制筆數查詢）。稽核工具運作機制與SIEM雷同，評估人員應瞭解稽核工具收容範圍、監控規則。