Ch6_資訊安全架構與設計

Report
潘天佑博士 主編
版權聲明:本教學投影片僅供教師授課講解使用,投影片內之圖片、文字及其相關內容,
未經著作權人許可,不得以任何形式或方法轉載使用。
第二篇 第6章
Information Security Fundamentals and Practices - 6
2

TQM (total quality management) 中文翻譯為「全面品質管理」,由美
國教授戴明 (Edward Deming) 在日本提出的品質改進循環,從1980年代
開始就極受歡迎,它是 ISO 9001 與許多其它管理標準的基礎。



國際標準組織 (ISO) 對它的定義為:「TQM 是以品質為中心的管理方法,以
全員參與長期成功為基礎,由於客戶滿意,使得組織與社會共蒙其利。一
個主要的目標是每個程序都能降低變化的程度,因此工作結果能有更大的
一致性。」
簡單的說,TQM 的觀念是:1. 品質可以被管理;2. 管理應該程序化。
ISO 9001 的最新版為 2008 年之 “ISO 9001:2008 Quality Management
Systems – Requirements.”

雖然這個標準一開始為製造業所訂定,但現今已被建置在各種不同行業組
織中。在 ISO 詞彙中,一個需要品質要求的「產品」可以是一個實體物品、
軟體、或服務。
Information Security Fundamentals and Practices - 6
3


PDCA 循環就是由規畫 (Plan)、執行 (Do)、檢查 (Check)、及行動 (Act)
四個程序所構成的一連串追求改善的行動,也稱為「戴明循環」。
PDCA 是一個持續改善的循環:




首先要做規劃,例如一個資訊安全管理計畫。
接著,要依據計畫作建置,例如人員刷卡進
出、資料每週備份、安裝防火牆等。
在過程中,要不斷地檢查組織改善的狀況,
並設法發現缺失。例如駭客入侵成功率是否
降低,復原損失是否減少等。
發現缺失後,即採取處置行動、力求改善;
這些改善措施會被整併到下個計畫裡。例如
資訊安全管理計畫第二版裡,改為資料每天
備份。PDCA 循環依此持續進行。
Information Security Fundamentals and Practices - 6
Plan
Act
Do
Check
4


ISMS (Information Security Management System) 中文翻譯為「資訊安全
管理系統」,它整理了資訊安全最佳實務 (best practice) 並予以條文化,
訂定為國際標準 ISO 27001:2005。
ISMS 依據以下六個步驟來建置:

定義一個資訊安全政策:由組織最高層指定方向、展現決心。

定義一個實施 ISMS 的範圍:例如以電腦機房或是以資訊中心為範圍。

實施資訊安全風險評鑑:找出範圍內的安全弱點與可能遭遇的威脅。

管理風險:將風險分類後,有的風險需要降低、有的風險可以忽略等。


找出適合的控制項目來應用:ISMS 提供許多控制項目 (即安全防禦的做法),
應依據範圍內所需要降低的風險,選擇適當的項目來實施。
將這些項目寫成「適用性聲明 (statement of applicability, SoA)」。
Information Security Fundamentals and Practices - 6
5

依據ISO 27001:2005的定義,ISMS包含以下11個領域,39個管理目
標,和133個控制項目。
A.5 資訊安全政策
系
統
框
架
管
控
作
業
風未
險來
有符
效合
A.6 資訊安全組織
A.7 資訊資產管理
A.8 人力資源
安全
A.9 實體與環境
安全
A.11 存取控制
A.10 通訊與作業 A.12 資訊系統
管理
取得、開
發、及維
護
A.13 資訊安全事件管理
A.14 營運持續管理
A.15 遵循性
Information Security Fundamentals and Practices - 6
6

ITSM (Information Technology Service Management) 中文翻譯為「資訊
技術服務管理」,是廣受支持的資訊服務最佳做法,並被訂為國際標
準 ISO 20000。它的主要特色如下:



將組織內、外各單位當做資訊部門的「客戶」;與客戶訂定服務約定,並
量化各項服務的價值,藉此評估資訊部門的貢獻度與投資報酬率。
「技術」固然是資訊服務不可或缺的成分;但資訊服務還要從組織、流程、
與人員等方面做管理,藉以降低人事與系統更動所帶來的衝擊。
強調完整服務 (end-to-end service) 的觀念。使用者只應感受到資訊服務的可
用性,卻不需要看到複雜的基礎架構與技術。資訊部門有一套內部流程可
以處理從簡單到複雜的問題,並且累積經驗。
Information Security Fundamentals and Practices - 6
7



CMMI (Capability Maturity Model Integration) 是由美國國防部所支持,
卡耐基美隆大學軟體工程學院 (SEI) 所制定。目的是為軟體產業建立一
套工程制度,使個人及組織在軟體發展上能有持續改善的依據。
CMMI 已成為許多大型軟體業者於改善組織內部軟體工程所採行的軟
體評估標準,CMMI 亦陸續應用於系統工程、整合的產品與流程發展、
及委外作業,成為國際間認同且廣泛通用的一種流程改善的標準。
流程改善的好處如下:

改善時程與預算之預估能力

增加客戶滿意度

改進設計週期

改善員工士氣

提高生產力

增加投資的回收

改善品質

減少因品質問題所造成的成本
Information Security Fundamentals and Practices - 6
8
第五級
最佳化階段
經過量化回饋機制,產生新的想法與新
的技術,藉以最佳化相關流程。
第四級
產品成果和發展過程都可以用數量方式控制;可
量化管理階段 以找出流程變異的原因,並矯正該原因。
第三級
開發活動與管理活動已經標準化,且可以整理成為組織
已定義階段 的標準作業流程。
第二級
已管理階段
建立了基本的專案管理過程,已可以依照進度發展系統並追蹤費
用;相似的專案,可以重複使用以前的經驗。
沒有固定的流程,無法提供穩定的環境與資源;無法正確地評估人力,無
第一級
法掌握時程與預算。無法重複成功經驗,偶而的成功也只有靠少數有經驗
初始階段
的人才能完成。
Information Security Fundamentals and Practices - 6
9

組織管理與資訊安全管理之間有一個重要的重疊處,就是資訊機密等
級劃分 (information classification)。使用科技或獎懲讓每個人都只能讀
或寫權限所允許的資訊,是維持機密性與完整性的有效方法。




一個組織中大約有七成的資訊是屬於內部使用或是私人的,包括一般電子
郵件以及會議記錄等。這些資訊不該讓外人看到,卻不一定刻意設防。
大約有兩成的資訊是提供給外人用的,例如網站、廣告文宣、產品型錄等。
公開訊息需要審批過程,以免機密誤遭公開。
最後大約有一成的資訊屬於機密性質,若被揭漏會嚴重傷害組織,例如營
業秘密、重要製程配方、行銷策略等。
依據以上概念,一般美國企業將機密等級分為四種:不設限的是「公
開 (public) 資訊」,不想公開的是「敏感 (sensitive) 資訊」,再高一些
的是有隱私考量的「私密 (private) 資訊」,最高等級的是「機密
(confidential) 資訊」。
Information Security Fundamentals and Practices - 6
10
美國軍方機密等級劃分
機密等級
定義
舉例
不列管
Unclassified
資料不敏感且不列管。
電腦使用手冊
新兵招募文宣
敏感但不列管
Sensitive but
unclassified
較不嚴重的機密;
洩漏後會造成一些損害。
醫療紀錄
考試成績
秘密
Confidential
洩漏後足以使國家安全或利益遭受損
害之事項。
電腦程式原始碼
一般人事資料
機密
Secret
洩漏後足以使國家安全或利益遭受重
大損害之事項。
軍隊移防計畫
核彈部屬位置
最高機密
Top secret
洩漏後足以使國家安全或利益遭受非
常重大損害之事項。
新型武器設計圖
核彈發射密碼
我國公務機密之等級區分法為:「絕對機密」、「極機密」、「機密」三等級
為國家機密;一般公務機密列為「密」等級。
Information Security Fundamentals and Practices - 6
11

除了資訊的機密性質需要劃分,在安全管理流程中每個人的角色與責
任 (R&R) 也需要清楚劃分,以下是幾個主要的角色:



所有人 (owner):資料的所有人決定資料該被如何使用和保護,通常由組織
中的資深經理人或決策者擔任。
管理人 (custodian):資料的管理人負責維護與保護資料,通常是資訊部門
的人員。
使用者 (user):資料的使用者是使用資料的人或部門。
Information Security Fundamentals and Practices - 6
12

主體 (subject)



主體這個詞被用來描述一個實體,它會要求
存取 (access) 一個資源,但必須要符合某些
條件。
使用者
程式
電腦
檔案
一位使用者或是一個電腦程式都可以是一個
主體。當一個程式存取一個檔案時,程式是
主體而檔案是資源 (或稱為物件)。
主體
物件 (object)


物件這個詞被用來描述一個系統中需要受到
安全保護的資源。通常物件會被分級並標示,
以識別它在組織內的價值。
資料庫、伺服器、檔案等都可以是物件。
Information Security Fundamentals and Practices - 6
物件
印表機
伺服器
磁碟片
檔案
資料庫
程式
13



TCB (trusted computing base) 中文譯為「可信任的運算基礎」,為美國
國防部橘皮書 (Orange Book, TCSEC) 所提出的概念:是指一個電腦系統
中防禦機制的完全組合 (total combination of protection mechanism)。
TCB 要確定不論使用者的輸入為何,它所涵蓋的組件 (包括硬體、軟體、
與韌體) 都忠實地執行安全政策,並且能抵禦外部的干擾與攻擊。簡單
的說:TCB 是一個可以識別的區域裡所有組件都是可以信任的。
TCB 的概念最常被使用於作業系統的核心 (kernel),因為那裡最需要
「可信任的運算」。早期的作業系統 DOS 或 Windows 3.1 都沒有TCB;
Windows 95 進入 32-bit 後,即建置 TCB。
Information Security Fundamentals and Practices - 6
14



Trusted Computer System Evaluation Criteria (TCSEC) 又稱為橘皮書
(Orange Book),起源於美國軍方,用以驗證作業系統、應用軟
體以及其他產品。檢查項目包括安全政策、責任性、保證性、
與安全文件等四大項。TCSEC 以檢查產品的 confidentiality 為主。
Information Technology Security Evaluation Criteria (ITSEC) 是歐洲
制定之準則,目的是同時為政府及企業所採用,並且產品在一
個國家評估的報告,可被所有會員國家採納。相較於 TCSEC,
ITSEC 較富彈性,並且補充對 integrity 的評估。
共同準則 (Common Criteria, CC) 是全球最新也最嚴謹的安全系統
評估準則,正逐步取代各區域性之安全評估準則。
Information Security Fundamentals and Practices - 6
15





「保護剖繪 (protection profile)」 描
述針對特定環境內所存在之威脅的
一個安全需求。例如針對「防火牆」
就可以有一套保護剖繪。
保護剖繪
「評估目標」是指需要進行安全評
估的產品。例如微軟ISA產品。
安全目標
「安全目標」是廠商的書面說明為
何安全的功能與安全的保證能符合
安全需求。
評估則是針對產品與安全目標進行
測試。
最後則是確認安全層級,並完成驗
證報告。
Information Security Fundamentals and Practices - 6
評估目標
安全功能
需求
安全保證
需求
評估
確定安全
層級
16

共同準則的評估確認等級稱為 Evaluation Assurance Level (EAL) 。
等級
簡述
補充說明
EAL-1
功能測試
驗證產品的功能如其文件所述。
EAL-2
結構性測試
經由評估來測試產品結構,包括產品的
設計歷史及測試。
EAL-3
系統化測試
在產品設計階段進行評估,公正的查證
開發者的測試結果、弱點檢查、開發環
境控制等。
EAL-4
系統化設計、測試和審查
更深入的分析產品的開發及安裝,需要
更高的工程成本。
EAL-5
半正規化設計與測試
EAL-6
半正規化查證、設計與測試
EAL-7
正規化查證、設計與測試
要求使用更正式的方法 (如數學模型或狀
態圖) 於產品開發與安裝,證明產品在極
高風險的環境下,可承受攻擊。
查證 (verification) 是指以較正式的方法確
保設計之正確性。
Information Security Fundamentals and Practices - 6
17




在狀態機模型 (state machine model) 裡,驗證一個系統的安全與否使
用它的「狀態」,意思是每當一個主體存取一個物件時,就要捕捉下
當時系統的狀態。
許多活動都會造成狀態轉變 (state transitions),例如下一頁的圖示中,
一位使用者將某個程式的設定由 abc 改成了 xyz,系統狀態就轉變了。
系統設計者要建立狀態機模型,列出所有可能的狀態轉變,並評估這
個活動是否造成一個安全的狀態被轉變成了不安全的狀態。如前例,
系統進入新的狀態前應確認該使用者是否為合法使用者 (身分認證),
是否有權限變更該程式的設定值,同時該程式之設定從 abc 改成 xyz
是否符合安全政策。
如果一個系統中所有被允許的活動都不會違背安全政策使系統陷入不
安全的狀態,那麼這個系統就符合安全的狀態機模型。
Information Security Fundamentals and Practices - 6
18
應用軟體 A
設定變數 1:1022
設定變數 2:abc
設定變數 3:f311
其他軟體
1. 系統的初始狀態必須
是安全的。
作業系統
應用軟體 A
設定變數 1:1022
設定變數 2:xyz
設定變數 3:f311
其他軟體
作業系統
2. 一位使用者嘗試著要
變更某個設定變數。
應用軟體 A
設定變數 1:5000
設定變數 2:xyz
設定變數 3:f311
其他軟體
3. 系統查驗這個主體的
身分認證。
4. 系統確定這個變更不
會使它陷入不安全的
狀態。
5. 系統允許狀態轉變。
6. 系統繼續處理其它的
狀態轉變。
作業系統
Information Security Fundamentals and Practices - 6
19

Bell-LaPadula 模型 (圖示於下頁) 由 David Bell 與 Leonard LaPadula 所創,
這個模型形成了橘皮書的基礎。

這個模型是一種階層式的狀態機模型,它說明系統如何維護保密性。

存取 (access) 關係有三種基本模式:


唯讀 (read-only)

唯寫 (write-only)

讀及寫 (read and write)
一個主體與一個物件之間的存取關係的規則可被定義如下:

主體的權限 (clearance) 與物件的機密等級 (classification) 有對應關係。

每個主體對某些物件會被給予一定的存取模式。

為避免機密資料未經授權地洩漏,資料只允許被擁有對應權限以上的主體
所存取。
Information Security Fundamentals and Practices - 6
20



No read up:可以讀被指
定的機密等級的物件或
較低層,不能讀較高層
的。
No write down:可以寫
被指定的或較高機密等
級的物件,不能寫入較
低機密等級的物件。
Constrained:如果同時
有讀與寫的權利,只能
讀寫被指定的機密等級
的物件。
較高層的
機密等級
被指定的
機密等級
讀
寫
No read up
No write down
讀與寫
較低層的
機密等級
Information Security Fundamentals and Practices - 6
Constrained
21

Biba 模型 (圖示於下頁) 發表在 Bell-LaPadula 模型之後,兩者的概念類
似,但是一些特性正好相反。Bell-LaPadula 模型關心的是資訊的保密
性 (confidentiality),Biba 模型則關心資訊的完整性 (integrity)。


在考慮保密性時,情報官 (一個可以知道比較多機密的人) 可以讀下級幕僚
的文件,但是下級幕僚不能偷看情報官的文件;同時,下級幕僚可以幫情
報官寫日誌,但是情報官不能幫下級寫任何東西,(因為他知道的機密太多
了)。這是 Bell-LaPadula 模型。
但是在考慮完整性 (或正確性)時,就不同了。財務經理 (一個知道正確財務
數字的人) 可以幫市場總監 (不太清楚財務數字的人) 寫公司年度財務計畫,
但是市場總監不能變更財務報告,因為他的數字很可能是錯的;同樣的,
市場總監可以讀財務經理的財報,但財務經理不該讀或引用市場總監不可
靠的財務數字。這就是所謂的 Biba 模型。
Information Security Fundamentals and Practices - 6
22



No read down:可以讀
被指定的或較高層的正
確等級的物件,不能讀
較低層的。
No write up:可以寫被
指定的或較低正確等級
的物件,不能寫入較高
正確等級的物件。
No higher invocation:禁
止使用較高正確等級的
服務或執行較高正確等
級的程序。
較高層的
正確等級
被指定的
正確等級
讀
寫
No read down
No write up
送出服務
命令
較低層的
正確等級
Information Security Fundamentals and Practices - 6
No higher
invocation
23


主要是「機密等級」與
「正確等級」並不相同,
一個資訊可能有很高的保
密性卻很低的正確性,例
如許多軍事情報都是如此。
相反的,上市公司的公開
財報並沒有保密性,但卻
要求極高的正確性。
較高層的
機密等級
被指定的
機密等級
讀
寫
No read up
No write down
讀
寫
No read down
No write up
讀與寫
較低層的
機密等級
Constrained
較高層的
正確等級
被指定的
正確等級
送出服務
命令
較低層的
正確等級
Information Security Fundamentals and Practices - 6
No higher
invocation
24





一個「主體」就是使用者。
一些「程式」稱做 transformation
procedures (TP),包括讀、寫、變
更等。
使用者
CDI
UDI
一些需要被保護的「物件」稱做
constrained data items (CDI)
主體要透過程式才能讀寫被保護
的物件。
還有不需要保護的物件 UDI
(unconstrained data items) 與維護
一致性的 IVP (integrity verification
procedures)。
Information Security Fundamentals and Practices - 6
CDI 1
TP
CDI 2
CDI
CDI
記錄
IVP
25



存取控制矩陣 (access control
matrix) 可用來同時規範機密性
與完整性。可以限制「讀」來
維持機密性;限制「寫」來保
護完整性。
物件
主體
A
B
C
D
E
F
User 1
W
W
W
R
R
R
User 2
R
W
R
R
R
R
如右圖所示,簡易的存取控制
矩陣以主體為欄,物件為列。
內容則是每個主體對每個物件
的存取權限。
User 3
R
R
User 4
R
R
R
User 5
R
R
R
R
在實際的系統裡,通常主體不
只一類,物件的成份也很多,
此外,權限的類型除了讀與寫
之外,還有變更與刪除等。因
此,完整的矩陣相當複雜。
User 6
R
R
W
W
W
W
User 7
User 8
R
W
W
User 9
R
W
W
Information Security Fundamentals and Practices - 6
R: read-only; W: read and write
26



不干擾模型 (noninterference model) 也是一種表達多層級安全屬性的方
法。這個概念主要是確定在高安全等級的活動不會影響或干擾低安全
等級的活動。如果任何低安全等級主體知道高安全等級的活動,就可
能推導出太多上層的訊息,形成洩密。
這是個簡單的模型,但在實做上並不輕鬆。在一個系統中,許多資源
是由不同主體所共用。一位擁有「最高機密」權限的將軍要與只有
「機密」權限的幕僚做資訊隔離就極困難,他們可能共用一台傳真機
且共用檔案伺服器,都有造成洩密的機會。
推斷攻擊 (inference attack) 是指沒有真正的洩密行動,但一些跡象讓
旁人能推斷出機密。例如平時幕僚可以讀寫的機密級作戰計畫突然被
改列為極機密,幕僚就能推斷作戰行動可能即將開始。
Information Security Fundamentals and Practices - 6
27




Brewer and Nash 模型又稱為「中國城牆 (Chinese wall)」模型,它是一
種可以動態改變的存取控制,主要用於商業組織防範「利益衝突
(conflict of interest)」。
這個模型也建構於資訊流模型之上,任何主體及物件之間的資訊流動,
如果會造成利益衝突,都不被允許。
這個模型陳述:一個主體被允許寫一個物件,唯有當他不能讀與該物
件有利益衝突的任何物件。
Brewer and Nash 模型在各行各業應用極廣。例如公司法所規範的「競
業禁止條款」就是避免經理人同時知道兩家競爭公司的機密資訊,造
成利益衝突。
Information Security Fundamentals and Practices - 6
28

如下圖所示,一家會計師事務所同時幫兩家 IC 設計公司查帳,某會計
師已經參與了 A 公司的查帳工作,就不可以再參與 B 公司的工作。這
種要求 (亦即 Brewer & Nash 模型) 可以建置在該會計師事務所的檔案
管理系統內。
公司 A
公司 B
公司資料
公司資料
公司資料
公司資料
中
國
城
牆
公司資料
公司資料
公司資料
公司資料
會計師
Information Security Fundamentals and Practices - 6
29


在本章最後,我們討論安全模式 (security modes)。一個系統在考慮以
下條件後,可選擇運作在不同的安全模式下:

直接或間接與系統連結的使用者的種類。

系統上所處理的資料種類,例如它們的安全等級與分類等。

使用者的安全等級、正式存取授權、與知的必要性 (need-to-know) 等。
專屬安全模式 (dedicated security mode)

系統內所有使用者的安全等級都與任何資料安全等級相等或更高。

系統內所有使用者對所有資料都具有正式存取授權。

系統內所有使用者對所有資料都具有知的必要性。

因此,所有的使用者可以存取所有的資料。一些軍事系統是運作在這種單
一安全層級的模式。
後頁續
Information Security Fundamentals and Practices - 6
30

系統高安全模式 (system high security mode)



但使用者對資料未必具有知的必要性。一些使用者可能可以存取所有的資
料,但另一些使用者因業務關係不需要全知道。
隔間的安全模式 (compartmented security mode)



系統內所有使用者的安全等級,都與任何資料安全等級相等或更高;且對
所有資料都具有正式存取授權。
系統內所有使用者的安全等級,都與任何資料安全等級相等或更高。
但使用者對資料未必具有正式存取授權或知的必要性。這時資料可以依類
別隔開,在類別內所有的使用者可以存取所有的資料。
多層級安全模式 (multilevel security mode)

使用者的安全等級、正式存取授權、與知的必要性都未必符合存取資料的
條件。Bell-LaPadula 模型就運作在多層級安全模式。
Information Security Fundamentals and Practices - 6
31
簽署保密合約
適當的資訊隔離
正式的存取核可
有效的知的必要性
Dedicated security mode/
專屬模式
系統上所有的資訊
系統上所有的資訊
系統上所有的資訊
系統上所有的資訊
System high security
mode/系統高安全模式
系統上所有的資訊
系統上所有的資訊
系統上所有的資訊
系統上部份的資訊
Compartmented security
mode/隔間的安全模式
系統上所有的資訊
系統上所有的資訊
系統上部份的資訊
系統上部份的資訊
Multilevel security mode/
多層級安全模式
系統上所有的資訊
系統上部份的資訊
系統上部份的資訊
系統上部份的資訊
Information Security Fundamentals and Practices - 6
32

similar documents