Module11-2使用者存取管理.ppt

資訊安全管理;課程模組大綱;Module 10：通信與作業管理 Module 11：存取控制 Module 12：資訊系統的取得、開發及維護 Module 13：資安事故管理 Module 14：營運持續管理 Module 15：法令、政策、標準、及技術的符合性 Module 16：內部稽核 Module 17：管理審查 Module 18：持續改進;Module 11 存取控制 ;學習目的;資訊資產的存取控制（Access Control）;存取控制主要目標;Module 11 存取控制;Module 11-1：存取控制的營運要求;Module 11-1：存取控制的營運要求 ;組織設定存取控制政策時，可考慮下列要點： 個別應用系統之安全需求。 辨識所有與應用系統有關之資訊與其所面臨之風險。 訂定資訊揭露的政策，例如： 最小需求原則(Need to Know)、 資訊分類原則或 資訊安全等級等。;不同資訊系統或網路間之安全政策應保持一致性。 法規或合約上應負之責任。 一般同仁共同遵守之資安規定。 考量透過網路的存取權限管理。 存取授權之職責分工。;存取權限之正式申請程序。 存取權限之正式授權程序。 應定期覆核使用者權限之適當性。 存取權限之取消程序。 應遵守的規定與原則性規範兩者之間需界定清楚。;基於保守原則，有關資訊安全的規定 應盡量依據「凡事都禁止，除非經過允許」 而不要設定成「凡事都允許，除非禁止」 應由使用者決定資訊標籤之異動。 應由授權人員決定使用者權限之異動。 辨識清楚哪些規定應經過適當之法律核准。 ;使用者存取管理主要目的是讓授權的使用者 可以依其權限，適當存取資訊系統 並防止未經授權之使用者存取資訊系統 使用者的存取權限也有其生命週期，都應經過適當的程序。 從使用者權限申請、 權限異動 到取消權限 ;Module 11-2：使用者存取管理;Module 11-2：使用者存取管理 ;一、使用者註冊;使用者之授權權限應適當文件化。 應要求使用者於授權文件上簽名，以彰顯使用者清楚其授權情形。 當使用者轉換工作內容、職位異動或離職等，應立即移除或暫停其權限。 應定期檢查，移除不適當之帳號。 應確保多餘帳號並未有人使用。;職位（Role Based）為主的授權方式;罰則明訂;二、特殊權限管理;授權特殊權限管理時，應考量下列要點： 針對不同的資訊系統，如作業系統、資料庫管理系統或應用系統的特殊權限，應該依據不同的需求適當賦予特殊權限給使用者。 特殊權限的授權應該以使用者最小需求（Need to Use）為原則，不可以賦予過多的權限，以防止不適當之授權。;特殊權限的賦予應該經過正式的授權，並適當留下紀錄。在未完成正式授權前，不應提早開啟帳號。 日常的作業不應使用特殊權限登入。 開發應用系統時，不應使用特殊權限登入。 特殊權限的帳號應適當的更改成不同於一般的習慣用名稱， 例如：系統管理員盡量不用Root或Admin來命名，以防止被破解。;特殊權限管理;三、使用者通行碼管理;密碼的賦予，應有正式的管理程序來控制。這些程序可考量下列要點： 應清楚地要求使用者盡到保護密碼的責任，且不得洩漏給其他人。 若是共用密碼，也應要求不得告訴非屬於同一群組的人。 以上要求應於聘僱合約上簽訂，以及時告知使用者其保護密碼之責任，確保資訊系統安全性。;在第一次給予使用者密碼時，為避免系統管理者因其工作職掌而知曉使用者密碼之風險。 應強制使用者在使用第一次密碼時，必須修改該密碼，以降低密碼賦予過程中，密碼外洩之風險。 在修改密碼或賦予臨時密碼前，應有一套適當的身分識別程序，以防止不適當授權。 密碼應以安全的方式交付給使用者，盡量避免透過第三者交付或利用電子郵件以明文的方式交付給使用者。 ;交付給使用者的密碼應該是唯一的，而且具備不易被猜測性。 使用者應該確認且告知其已收到密碼。 密碼不可存於電腦系統中，也不可以不安全的方式存放。 軟體廠商或供應商所使用的初始密碼，在系統安裝完成後應立即更改其密碼。;密碼是使用者在存取資訊系統前，資訊系統辨識其身分及授權的一種方式。 身分辨識技術有 指紋、視網膜、簽名等 硬體權杖（Hardware Tokens） 例如：晶片卡等。 換言之，在不同的環境中，可以考量適當的身分識別及授權方法。 ;四、使用者存取權限的審查;使用者如果是調動部門，雖然還在同一個組織內，但可能因工作內容有差異，也應檢視其權限之適當性。 使用者調動部門時，通常很容易僅申請其新職位的權限，卻未將前一個職位之權限取消，因此容易造成授權不當之情形。這也是組織在覆核權限時，最容易發現的缺失。 ;管理者對於特殊權限使用者的權限檢視，應該比一般使用者更為頻繁。 如果一般使用者是6個月，則特殊權限者可能3個月須檢視一次。 特殊權限帳號之異動，應被適