網路防火牆是企業資安防護的第一道防線。本文透過金融業對網路防火牆管理的案例,解析企業如何建置完善的網路防火牆管理機制,提出網路防火牆管理重點,作為企業完善網路安全機制,有效降低資安風險的參考。
監理要求下網路防火牆管理重點
針對企業進出網路的IP封包過濾不足,是常見的網路安全問題之一。為此,金融監督管理委員會(以下簡稱「金管會」)建議企業參考證交所發布的《上市上櫃公司資通安全管控指引》及數位發展部資通安全署的規範指導方針。《上市上櫃公司資通安全管控指引》第十八條指出,上市櫃公司應建立網路防火牆資安控制措施,以加強網路安全管理。若涉及對外服務的核心資通系統,應設置應用程式防火牆,確保解密封包中的資料,對網路流量深入檢查。此外,依據數位發展部資通安全署公布之《資訊安全業務內部控制制度共通性作業範例》指出,在網路存取控制方面,應依網路服務設有通訊閘道管制過濾網域間資料的存取(如網路防火牆);在作業管理方面使用網路防火牆應檢查符合組織需要之設定,並應設有檢測連線的來源位址與目的位址網路路由之控管措施。
個案公司簡介:深耕資訊安全,建構堅實防線
個案公司為金融服務公司,是金管會高度監理的行業,故需建立完善的資通安全管理措施,因此個案公司在資訊安全管理機制方面,資訊部門營運與客戶管理系統維運,已通過ISO 27001資訊安全管理系統(Information Security Management System)與BS10012個人資訊管理系統(Personal Information Management System)之外部稽核雙重驗證,顯見個案公司在資訊部門營運與客戶管理系統維運方面的資訊治理具有良好成效,資訊及個資安全領域均已和國際標準接軌。自2012年起已建置網路防火牆之安全控制管理機制,並將網路防火牆管理機制文件化,訂有網路防火牆管理辦法,運行至今已有十多年經驗。網路防火牆管理規範,主要針對網路防火牆之建置、維護與管理各階段之安全設定與安全管理,以確保維持網路連線之安全與正常運作的營運目標。同時,也將網路防火牆管理辦法列入內部控制年度自行評估範圍,每年自行評估防火牆管理內控制度設計與執行之有效性。
網路防火牆管理明確權責分工
個案公司在網路防火牆管理權責方面,主要由網路管理員執行網路防火牆規則設定、更新網路防火牆修正程式、保存網路防火牆相關事件紀錄;資訊部門主管負責覆核網路防火牆稽核與事件紀錄,並針對異常警示事項主動依循緊急反應機制通報;而內部稽核人員會定期執行網路防火牆稽核,確認網路防火牆管理內控制度設計與執行之有效性。
(相關報導:
觀點投書:駭客危機四伏─打造強韌資安文化,員工是核心力量
|
更多文章
)
完善網路防火牆管理政策與設定規則
個案公司針對網路防火牆的控制重點主要分為三部份,分別是(一)網路防火牆過濾規則(Rules)增修控制;(二)落實網路防火牆過濾規則;(三)定期覆核網路防火牆設定與紀錄。個案公司的網路防火牆規則是以存取控制清單(Access Control List:ACL)進行設置,藉此判斷是否接受連線的來源位址與目的位址之IP封包流量通過【即動作(接受Accept)封包通過/(拒絕Reject)不讓封包通過】。以下針對個案公司在網路防火牆過濾規則制定規範、落實網路防火牆過濾規則、網路防火牆設定與紀錄之覆核,以及網路防火牆之檔案備份、程式版本、人員及帳密、稽核紀錄管理機制,分別加以介紹:
嚴格防火牆過濾規則 保障網路安全
個案公司針對防火牆過濾規則已制定明確的書面規範,規定應設置網路防火牆機制,區隔內部網路(INTRANET)、非軍事區(De-Military Zone,以下稱DMZ)與外部網路(網際網路INTERNET、企業網路EXTRANET之連線),並明確規範將提供公開服務之主機(如:網站主機、郵件主機等)建置於DMZ;除特殊因素外,來自於外部網路僅允許連接至網站主機、郵件主機或其他提供對外服務之主機,並且任何來自於外部網路欲連接與進入中心內部網路之連線必須經過身分認證。網路防火牆與服務主機應開啟適當稽核功能,記錄連線狀況。針對過濾規則管理,主要規範內容如下:
1. 除特殊狀況與業務需求外,須指定來自外部網路連線之網路位置(IP),方可連線至位於非戰區(DMZ)提供檔案傳輸(FTP)服務之主機。
2. 除提供對外服務之通訊埠外(例如: 25、53、80、110、443),網路防火牆應限制位於DMZ之主機與外部網路的其他服務通訊,並拒絕DMZ主機主動連線至網際網路。
3. 除業務需求外,須限制自DMZ主機主動連線至內部網路(INTRANET),以有效隔離來自DMZ之入侵行為。
4. 自內部網路對網際網路之連線與存取應以業務需求為考量,分別予以適當限制;並且應限制一般使用者端可連外之服務通訊埠(例如: 23、135、139、445及其它大於1023之等TCP服務通訊埠,均應停止使用),以杜絕內部使用者因中毒或對位於網際網路之主機進行惡意破壞之行為。
落實過濾規則:網路防火牆操作實務
個案公司針對網路防火牆過濾規則設定要求規定,應盡量避免以「任何位址(ANY)」設定來源或目標位址及通訊協定,且應於網路防火牆過濾規則最後端,設置拒絕(Reject)全部服務的規則(Implicit Denied All),以預防因前述規則的疏漏,導致來自網際網路之入侵與非法連線。在建置完成網路防火牆初期,應檢查、修改或移除不適用之預設規則;除網路防火牆管理員得經由指定之網路位址及特定的連接埠經由加密方式(如SSL)登入管理外,網路防火牆應以鎖定規則,限制來自任何網路對網路防火牆的連線,並以此做為網路防火牆之基本過濾原則。在一般情況下丟棄(DROP)不符合規則的封包,且應該丟棄(DROP)所有不能與任何規則相符的封包。另外,個案公司也要求須詳細審查與檢視網路防火牆過濾規則,並考慮效能以及邏輯重複問題。
(相關報導:
觀點投書:駭客危機四伏─打造強韌資安文化,員工是核心力量
|
更多文章
)
定期覆核:網路防火牆設定與紀錄的管理流程
個案公司明確規定建立網路防火牆設定規則或更改規則時,應填寫【網路設備設定更改資料表】紀錄設定更改日期、更改目的、更改內容、更改人員及變更核准主管,經資訊部門主管核准後,始得變更;並且在完成網路防火牆過濾規則設定或更改後,應留存經核准文件備查。另外,個案公司「每半年」會由防火牆管理人員之主管對網路防火牆過濾規則進行審查,避免網路防火牆過濾規則可能因為時間或業務變更等因素,造成過濾規則不符合現狀使用,定期針對過濾規則審查適用性,並加以檢討修正。
備份與維護:檔案、版本、人員管理措施
個案公司針對網路防火牆之檔案備份、程式版本、人員及帳密、稽核紀錄亦建立各項管理機制,以強化網路防火牆安全管理。在檔案備份管理方面,每月備份網路防火牆上重要的檔案設定及規則;在程式版本管理方面,當有相關系統及網路防火牆修正程式發佈時,要求立即取得,經測試無誤後,於不影響正常營運的前提下,更新相關系統及網路防火牆的修正程式。在人員及其帳號、密碼管理方面,網路防火牆之管理帳號或權限僅授予防火牆管理員及其職務代理人,且至少每半年強制變更網路防火牆管理員帳號之密碼,並設定適當密碼強度。在稽核紀錄管理方面,會適當保留防火牆所產生之稽核紀錄,並定期予以檢視,針對異常狀況立即通報;且定期匯出網路防火牆稽核紀錄進行存放及備份,並限定只能由資訊部門主管、網路防火牆管理員及其直屬主管與內部稽核人員得以檢視及調閱,相關檢視應留下紀錄。
結論:八大管理範疇,打造堅固防火牆
隨著網路攻擊手段的不斷進化,網路安全面臨著前所未有的挑戰。本文通過分析金融業案例,總結了網路防火牆管理的八大關鍵範疇(如表2),分別是(一)網路防火牆設置、政策訂定與文件化;(二)網路防火牆設定控管措施;(三)檔案備份管理;(四)程式版本管理;(五)人員及帳密管理;(六)事件通報管理;(七)稽核紀錄管理;(八)定期自行評估,一般企業可以參考實施,加強管理網路流量,完善網路安全控制,優化資通安全管理機制,以提高資安防護力,打造企業永續經營所需建置的資訊安全管理基礎。
(相關報導:
觀點投書:駭客危機四伏─打造強韌資安文化,員工是核心力量
|
更多文章
)
