【資訊安全】金融機構辦理電腦系統資訊安全評估辦法（Part 4）

前言：本文接續上一篇（文章連結）的內容，繼續介紹《金融機構辦理電腦系統資訊安全評估辦法》（以下簡稱「評估辦法」）的第五條。

（五）客戶端應用程式檢測
針對銀行交付給客戶之應用程式進行下列檢測：
1.提供http, https, FTP者…
2.程式原始碼掃描…
3.敏感性資料保護檢測…
4.金鑰保護…

以下概述「客戶端應用程式檢測」的評估方式及重點：
1. 客戶端應用程式一般指行動應用程式（以下簡稱「APP」），評估者人員應留意APP伺服器是否都有進行弱點掃描，以及弱點改善情形。

2.雖然評估辦法讓銀行擇一執行（原始碼掃描「或」黑箱測試），但普遍做法是針對所有APP進行原始碼掃描「和」滲透測試。值得注意的是，《金融機構提供行動裝置應用程式作業規範》另有提到APP應執行的檢測項目。

3.檢測廠商通常將敏感性資料保護納入滲透測試或APP基本資安檢測（以下簡稱「APP檢測」，部分業者又稱「工業局檢測」）的檢測項目，評估人員應確認檢測報告是否提及相關測項。有興趣的話可以搜尋「APP基本資安檢測基準」。

4.如同上一點，滲透測試或APP檢測通常會納入金鑰保護的相關檢測項目。

（六）安全設定檢視
1.檢視伺服器…
2.檢視防火牆…
3.檢視系統存取限制…
4.檢視作業系統…
5.檢視金鑰…

以下概述「客戶端應用程式檢測」的評估方式及重點：
1.這個應該不用多說，評估辦法寫得很清楚，評估人員請瞭解伺服器密碼原則、帳號鎖定原則。如果受評機構的系統採用單一簽入（SSO），則這一點與上一篇文章（連結）提到的「檢測系統帳號登入密碼複雜度」近乎相同。

2.除了《金融機構辦理電子銀行業務安全控管作業基準》有列舉「具有安全性風險的通訊埠」（例如：FTP），部分銀行會自行定義有風險的通訊埠，無論如何，銀行應定期辦理防火牆規則檢視，並針對高風險通訊埠特別進行討論。評估人員應徵提檢視紀錄，確認所有防火牆都在檢視範圍，並瞭解銀行如何處置非必要的規則。

3.實務上，大多數銀行都導入特權帳號管理平台（例如：CyberArk），集中納管系統管理者帳號。評估人員應瞭解特權帳號申請流程，並確認帳號使用過程是否留下稽核軌跡或錄影，更好的做法是定期覆核帳號使用情形。

4.由於作業系統（尤其Windows）不斷推陳出新，舊作業系統會被宣告停止銷售（EOS）或停止支援（EOL），如果評估人員發現銀行仍採用已經EOS或EOL的作業系統，那麼恭喜你，找到一個缺失項目了！
防毒軟體一般都會透過排程自動更新，較無疑慮；辦公軟體（例如：Adobe Acrobat Reader）及應用軟體（例如：Chrome）則有版本過舊的問題。部分銀行會透過資產管理系統偵測軟體版本，如果沒有的話，應指派專人定期抽測終端電腦的軟體版本。

5.銀行基本上都建有硬體加密模組（HSM，部分銀行又稱「硬體亂碼化設備」），評估重點就是金鑰的生命週期（例如：產生、保存、銷毀）。能說出HSM這個名詞的話，受訪單位應該不會太為難評估人員（吧）。

（七）合規檢視
1.檢視電腦系統是否符合本會制定之「金融機構資訊系統安全基
準」…
2.檢視電腦系統是否符合本會制定之…
3.檢視電腦系統之SWIFT系統…

「合規檢視」臚列7個資安法規，每個法規都值得另闢專章探討，在這裡僅列出各個法規的發布日期（截至2020/10/3），方便讀者確認手邊的規範是否為最新版本：
1.《金融機構資訊系統安全基準》（民國100年8月）
2.《金融機構辦理電子銀行業 務安全控管作業基準》（民國109年7月7日）
3.《金融機構提供行動裝置應用程式作 業規範》（民國109年4月17日）
4.《金融機構提供自動櫃員機系統安全作業規範》（民國107年5月15日）
5.《金融機構運用新興科技作業規範》（民國109年4月17日）
6.《金融機構使用物聯網設備安全控管規範》（民國107年7月2日）
7.《SWIFT Customer Programme》（version 2020，2019/7/4）

二、第一類電腦系統應依前款辦理資訊安全評估作業…

這一項提供銀行一個融通的管道：銀行可能因為人力、預算或時程等種種因素，沒辦法針對所有第二、三類系統進行評估，這時可以選擇性的將評估作業延期，待明年度再次進行評估。
實務上，銀行會依辦法定期進行評估，少有銀行援引這一條規範。