政府單位必看!最新《資通安全管理法》要求事項總整理
《資通安全管理法》於最近新增新的規定事項,各級政府應該要及早部屬相關控制設施與管理設備來因應相關規範。
《資通安全管理法》於 108 年元旦在台灣正式實施後,將政府的資安防護要求從過去的行政命令提升至法令位階,提供完整的資安架構,讓重要機關加速完善資安系統,保障國家安全與維護社會利益。近期更是加入了資產管理的內容,讓各級機關能更有依據的進行資產盤點與管理。
這期內容將帶大家認識《資通安全管理法》中,對各級機關所要求的各項管理與控制重點。
《資通法》的管理控制項 — 降低資通系統安全風險
《資通安全管理法》的適用範圍為公務機關(如,中央政府、地方政府、行政法人)與非公務機關(主要為關鍵基礎設施提供者),將相關機構依重要性分為 5 個級別,其中對 A、B、C 三個級別有較多的資安規範。
《資通安全責任等級分級辦法》中將公務/非公務機關應辦事項分為管理面、技術面、認知與訓練,並將控制措施獨立為附表十。
管理面:要求各級機關應將資通系統防護需求分級,完成附表十的控制措施,並於規定時間內通過 ISO 27001 認證。
技術面:對資通安全系統的各項技術要求定時的檢視與維護。
認知與訓練:要求各級人員需進行資通安全教育訓練,資通安全相關人員須持有相關證照。
附表十、 資通系統防護基準:將控制措施分為存取控制、稽核與可歸責性、營運持續計畫、識別與鑑別、系統與服務獲得、系統與通訊保護、系統與資訊完整性,對於不同的防護級別有各自不同的控制要求。UPAS 與《資通安全管理法》
UPAS 與《資通安全管理法》的控制項
- UPAS 符合多數的 ISO 27001 控制項,可以減少在導入 ISO 27001 時所需耗費的成本與時間,並且 UPAS 系統可免安裝 Agent 的特性,使 UPAS 可以彈性適應各種環境,減少導入所需花費時間,用最快的速度提供完善的內網安全管理系統。
- PM 模組與 SIM 模組提供防毒軟體、病毒碼更新與安裝檢查,並可介接多項資產軟體與 WSUS 資料庫,強迫不合規電腦進行更新。
- UPAS 符合 4 項附表十控制措施的「高防護需求」,分別為:帳號管理、稽核紀錄內容、使用者識別與鑑別、軟體及資訊完整性;另可符合資通系統監控的「中防護需求」。
詳細對應項資訊請參閱:UPAS NOC 7.0 《資通安全管理法》 符規對照表
GCB 的正確套用 — 避免電腦設備成為安全破口
政府組態基準(Government Configuration Baseline,簡稱GCB)目的在於規範資通訊設備(如個人電腦、伺服器主機及網通設備等) 的一致性安全設定(如密碼長度、更新期限等),以降低成為駭客入侵管道,進而引發資安事件之風險。
GCB 其實就是一種由行政院國家資通安全會報技服中心所推出給公家機關使用的 GPO,其中包含了以下設備、應用程式的 GPO:
- 作業系統:Windows 8.1、Windows 10、Windows Server 2012 R2、Windows Server 2016
- 瀏覽器:IE 11、Chrome、Firefox、Edge
- 網通設備:無線網路、Juniper Firewall、Fortinet Fortigate、Cisco Firewall
- 應用程式:Exchange Server 2013、Microsoft IIS 8.5、Word 2016、Excel 2016、PowerPoint 2016、Outlook 2016、Apache HTTP Server 2.4
透過規範上述設備與系統的帳戶安全、網路連線、系統對外連線設定、安全性選項設定、使用者權限、Windows元件….等數量眾多的安全項目,建立公家機關的網路安全。
隨著應用程式與作業系統的推陳出新,技服中心也會不定時的推出新的 GPO 給予公家機關使用,以此來避免公家機關的網路、設備遭受侵害,機密資料遭外流。《資通安全管理法》中也強制 A 級與 B 級的公家機關需套用 GCB,否則不僅該部門會受罰,相關的人員也難逃相對應的責任,可見政府越來越重視資訊安全。
UPAS 如何協助政府機關完成 GCB 的導入與檢查-GPO 檢測模組
UPAS NOC 提供 GPO 檢測模組,在與高完成度的資產盤點配合下,對網域內設備進行GPO 檢查,使用網路阻斷強制未符規設備套用 GPO 政策,提供每台設備的 GPO 套用詳情,協助政府機關導入GCB,並透過以下功能完成所有環境一致的安全政策套用:
- 提供 GCB 管理功能,支援 TWGCB 規範最新頒布版本之檢測功能,檢查項次符合行政院資通安全辦公室頒布政府組態基準之內容。
- 在 AD 環境下,系統能對網域內設備進行 GCB 套用檢測,違規者則強制斷網,引導修補;在無 AD 的環境下,系統也可進行組態檢測,並提供符合 TWGCB 規範的檢測報告,標示符合、不符合及例外之項目。
- 可根據不同版本之 Windows 作業系統、IE 瀏覽器及 Chrome 瀏覽器提供報告(提供PDF及CSV格式,報表內容可自訂),並自動進行分類,同一台電腦當有作業系統或是 IE 版本升級時,報告內容可顯示不同 TWGCB 之檢測結果,並記錄歷次檢查結果。
- 提供統計功能,可進行組態合格項目和導入前後之合格數分析,可提供行政院資安健診 PC 之最新規定組態內容之統計。
- 提供排程功能,可以依照自訂群組設定排程檢查之時間,排程方式可以針對全部電腦、已完成之電腦或是未完成之電腦進行排程檢查。
- 提供 GCB 自動修補功能,可針對未套用設備進行組態派送,並自動回報套用結果、提供修補紀錄;系統可以針對自訂群組進行組態派送,也可自訂例外群組,排除可能影響機關資訊系統正常運作之組態。
- 系統提供還原設備至原GCB套用功能。
VANS,政府機關資安弱點通報機制
《資通安全管理法》在各級政府機關應辦事項中明文規定,資安責任等級A級機關在110年度須全部導入 VANS 系統,B、C級機關在111年度時也必須跟進。
VANS 政府機關資安弱點通報,提供機關登錄資訊資產,藉由系統自動與 NVD 弱點資料庫比對,羅列出資訊資產之弱點, 讓機關掌握可能面臨之資安風險,以強化資訊資產之資安管理。
簡單來說,由各機關負責盤點所有資訊資產,將資產以 CPE 的格式上傳至 VANS 比對 NVD 資料庫中是否有已知的資安弱點。藉由此種方式減少駭客進入網路進行破壞或竊取資料的機會。
高適用性的進階 VANS 導入解決方案
UPAS NOC 透過全面的資產盤點,將軟體資產盤查達到 98% 以上的完善率,並針對不同的客戶需求,提供兩種 VANS 系統解決方案:
已購置第三方系統協助導入 VANS
不需額外安裝 UPAS Agent
若您已經購置第三方廠商的資產管理系統,並完成該廠商 Agent 的部署,可將軟體資產轉換成 CPE 格式並上傳 VANS 系統,UPAS NOC 為您提供進階的解決方案,徹底消弭安全性漏洞。
因業界平均的 Agent 部署率及更新率僅達到 80%,導致軟體資產盤點的不全面,並造成嚴重的漏洞無法被察覺,使單位暴露在高度資安風險下。這些問題最根本的原因是在,第三方廠商多是採用 AD 主機直接派送 Agent,而派送的失敗或設備無法部署等原因,將導致該終端設備的資產軟體無法被盤點。
UPAS NOC 使用專利 ARP 封包解析技術,可大幅提升環境中設備的可視性,輕鬆盤點所有連網的終端設備;在高度可視的基礎上,UPAS NOC SIM 安全整合模組介接資產管理軟體資料庫,藉由比對完整的監測清單,即可毫無遺漏地找出未部署及未更新的設備,而針對不合規設備,以高安全性的阻斷網路機制強迫修補漏洞。
我們提供的進階解決方案,可以在不需額外安裝 UPAS Agent 的前提下,確保資產管理系統納管所有終端設備,確實的盤點軟體資產上傳至 VANS,通過更為全面的軟體漏洞檢查來有效消除資安風險。
尚未購置可協助導入 VANS 的第三方系統
需安裝 UPAS Agent
UPAS NOC PM 補丁管理模組可在終端設備全面盤點的基礎上,進一步盤點所有軟體資產,自動產出 CPE 格式軟體總表、一鍵上傳 VANS,輕鬆符合《資通安全管理法》對公部門的要求,並確保不遺漏任何終端設備的軟體漏洞。
該模組需要在終端設備安裝 UPAS Agent,除了可協助公家單位導入 VANS 之外,還可進行多項合規檢查,包含終端設備的 Windows 版號、防毒軟體、應裝軟體、禁用軟體和版權數量等,再透過 UPAS NOC 存取控制功能強制不合規設備修補漏洞。
