作者:陳啟煌 / 臺灣大學計算機及資訊網路中心程式設計組助理程式設計師兼副組長
隨著校務全面E化,雖帶來便利性卻也帶來了資安的隱憂,如何持續提昇資訊系統安全性成為資訊單位最嚴峻的挑戰。
隨著校務行政E化系統陸續建置完成,原本需要臨櫃辦理的業務,進化成24小時不打烊且無遠弗界的網路服務;雖為全校師生帶來了許多方便,但同時也帶來了其他隱憂,如個人資料外洩、資料庫遭到竄改及線上系統受到攻擊停擺等等資訊安全威脅,故如何提昇資訊系統安全性成為資訊單位最嚴峻的挑戰。
所謂知己知彼,百戰不殆,防衛系統安全首先應分析敵人底細。目前駭客攻擊的手法大多是利用駭客工具發動第一輪自動化攻擊,以散彈打鳥的方式大範圍試探網際網路上主機是否存有漏洞,進而建立後門或蒐集相關資訊傳回特定主機群,作為第二輪特定對象攻擊的依據;若主機存在駭客感興趣的機敏資料,駭客可能發動第二輪攻擊,利用工具半自動甚至手動針對性的攻擊。
為防範駭客攻擊,針對校務系統資訊安全防護我們增設了下列三重防護網:
第一重--建置防火牆
建置防火牆雖僅為治標的作法,但其有立竿見影的效用,期抵擋住駭客的第一輪攻擊。在這部分我們導入Layer 7 (應用層)防火牆,將重要校務系統主機納入防火牆保護範圍。Layer 7 防火牆可分析到OSI Model 第七層應用層的運作,可以針對連結校務系統應用程式的封包進行過濾。駭客工具不外乎是利用已知的系統漏洞寫出的攻擊程式,此防火牆會針對各項應用程式參數進行學習,並可阻擋不合理或攻擊的封包並將其導向特定網頁。此外,防火牆會持續更新阻擋攻擊的patterns,以持續阻擋駭客第一輪新攻擊。守住第一道防線替主機管理及程式設計人員爭取一些時間來補強或修正系統/程式的弱點,以利第二輪攻擊的防守。
第二重--導入資安管理制度
許多的資安漏洞在於人的因素,如無完善的管理制度,設置再好的設備亦無法杜絕系統漏洞;為了建立有效的資訊安全管理制度,本中心導入ISO 27001 資訊安全管理系統,挑選影響中心營運之核心業務,透過技術面及管理面進行落差分析。在技術面進行風險評估、弱點修復、安全防護、風險履勘等步驟以評估系統安全防護實際提升成效。且在管理面,訂立資訊安全政策及各項作業之程序書,並進行資產清查及風險評鑑,清查各項資訊資產並評估其價值及風險值,擬定相關的風險改善計畫,將風險控制在可接受範圍內。
並加強人員教育訓練,延聘具資安認證之講師進行一系列教育訓練,內容涵蓋ISO 27001資安認證架構及條文解析、風險管理及評鑑、營運持續計畫與管理等資訊安全管理面課程。另外聘請專家教授系統安全、安全程式撰寫及系統安全漏洞剖析等技術面課程,透過資安教育訓練提升中心人員的資訊安全認知及能力。
第三重—導入 Code Review and Audit 機制
資訊系統的漏洞絕大部分來自於程式碼本身的缺陷,正本清源之法還是該面對問題,致力於提升資訊系統的品質。以往要求對的程式,通常是功能相符,運作正常,未來還要加上經過弱點掃瞄,驗證無資安弱點才可算是合格。過去雖曾進行人工的code review ,但面對需要補強的營運中校務系統的漏洞似乎有點緩不濟急;為此本中心在今年初購置一套程式碼弱點掃瞄工具(Fortify Source Code Analysis),可透過此一工具掃瞄校務系統原始碼,主動發現存在的弱點,依照弱點的危害等級,作為系統修正優先順序,逐步修正。有別於其他公務機關,臺大的校務系統多數由校內資訊同仁自行開發完成。這套工具有提供相關的plug-in嵌入程式開發人員平常的開發環境,如此可以矯正其不安全的程式撰寫習慣,從源頭提昇資訊系統的品質。另外系統的改版在正式上線前,亦要經過弱點掃瞄,如此才能持續為系統安全把關。
增設以上三道防線,期能有效防護校務資訊安全;但面對日新月異的駭客攻擊手法,我們亦將持續提昇自我防護能力,以阻擋駭客一波波的攻擊。