給NxO組織的資安實作建議(二)網站系統-地端租用空間
本圖由Adobe Express產生
從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。
【資產種類】網站系統-地端租用空間(您不會進機房)
這個部分先不談組織自己建機房(或組織有租機房) 和 雲端(如:Azure) 的部分喔(後面的篇幅會談),這裡通常是您的組織和廠商(例如: 中華電信、遠振、捕夢網、戰國策、網軟...之類的)租了一個網站服務,有合作的開發廠商將網站的程式放在他們機房的主機中,讓民眾可以來連線這個網站,獲取我們組織的資訊(就是類似 官網 啦)。在您組織的作業中,您是不需要有人員到機房裡面管理電腦機器,網站系統的管理就全部委外了。
若您的資訊系統是屬於網站系統的類型,此類系統通常會分為 前台 和 後台 兩個部分,以下分別說明:
前台部分
通常是給一般民眾使用。若您的資訊系統網站是只允許組織內某些同仁使用,並不開方給一般大眾使用的話,我們把他先歸類至後台系統,資安注意項目與後台相同,稍後再說。
以組織官方網站為例,公開給大眾看到的部分就是前台,因為是公開的,大家都可以連線上的,他的資安措施簡單建議如下:
1.要啟動 SSL 安全憑證。
就是人家連您網站時,網址列上至少要有 "鎖頭",代表是走 SSL 安全通道,避免傳輸的訊息被竊取。
另要注意,網站主機上 SSL 憑證到期日是什麼時候到期,要提前進行更換憑證(或 續約)動作,不要到期了不知道(如果您有啟用下述的 WAF,沒更新憑證,搞不好聯網站都連線不到喔),影響網站連線。
2.如果系統內有高機敏資料,建議加購 WAF(網頁應用防火牆)服務
舉例,如果網站是捐款網站,網站內的資料有捐款人姓名,聯絡電話...這就算是機敏資料了,那麼一定會有些人(駭客)嘗試竊取那些資料,它們會利用程式攻擊您的網站,嘗試撈取那些"可利用"資料出來,WAF 就是阻擋那些攻擊的服務。
WAF 的防護原理很簡單,當您啟用 WAF 服務後,廠商會幫忙進行相對應的設定,要進入您網站或流出網站的資料,會讓 WAF 先行檢查,進來的網路流 WAF 會看看是否夾帶有攻擊指令碼,流出去的資料也會進行一些過濾,看是否有可疑的機敏資料。
大概原理如上啦,但每家主機廠商的 WAF 可能不盡相同,就看您租用的廠商有什麼樣的 WAF 服務囉。
WAF 服務不便宜喔,一個月大概 10000 元台幣上下。看看貴組織能否考慮看看。
3.必要的話,請至少進行過一次網站的弱點掃描。
弱點掃描原則上是要花錢購買的(找網站服務商),以網站網域計價,一個網站要個八千元~一萬多一點吧(再殺個價),看您有幾個網站要進行弱點掃描!
若有規劃要弱點掃描,要跟 網站服務商 和 程式開發合作廠商 先講好,通常是挑晚上半夜來執行,比較不會影響網站的正常運作。
如果真的執行了弱點掃描,您會拿到一份弱點掃描報告,落落長,一堆英文(如果您有拿到中文版的請告知我一聲,我也想用那家公司的),沒關係,裡面有寫到 "重大缺失(可能會分三或五個等級)" 的,務必請網站程式開發廠商修正程式,修正好後,應該可以再掃描一次,至少要沒有中度以上的風險才可以。
另,若網站有進行重大改版之後(比如說網站程式大升級,下述!),是要考慮重新進行弱點掃描,確認改版後的網站安全!
4.前端使用的程式語言是否該升級
這可能是個大工程,網站的設計是透過各式各樣程式語言的,程式語言用久了,程式語言中的漏洞就會被發現的越來越多,這些程式語言的漏洞,慢慢就會被有心人士利用,因此網站程式語言(或主機上程式環境)的升級與改版,是必須定期(可能3~5年)更新的,但的確會是一個大工程,要確認廠商是可靠可信任的,再來進行,或者乾脆整個換一套新系統,或許也是個方法。
5.如果有會員機制,會員是否應該要定期變更密碼(或啟用二階段驗證呢?)
這個問題,就是視會員個人資料內,是否有機敏資料來做抉擇,如果有,其實應該要十分注意,做好基本防護是必要的。
您可以自己設身處地想想,如果您在某一個網站上,有您的聯絡資料,有您每次捐款的時間(或購物的明細),當有人打電話來,細數您的捐款紀錄,是否就能取得您的信任,然後您就被詐騙了呢?
若您網站有客戶資料,千萬要注意呀! 一定要善盡客戶資料保護責任。
6.網站的隱私權申明與個資使用申明
這點非常重要,務必要在網站上顯眼的地方放上隱私權申明與個資使用申明,這部分我沒有那麼瞭解,如果您網站上還沒有,要去網路上多查查資料,要去研究一下。
在此推薦一個網頁,可以過去看看範例與說明:
隱私權政策是什麼?網站絕不能缺少的頁面。
後台部分
後台的部分其實包含了內部系統(就是同仁操作,並不開放給大眾知道的系統,例如:個案管理系統)。
1.鎖定後台可進行登入的 IP
後台的使用者通常是有限的使用者,就以捐款系統,舉個實例來說,我們只允許後台的維護同仁在辦公室登入捐款系統後台,所以後台系統就只能接受辦公室的 IP 位置,只允許在辦公室連線。
後台的登入權限非常重要,務必最好能做到限制使用者的 IP,不是合法的 IP 就連登入介面都連不到(非法 IP 導址向前台網站),這是必要的。
2.登入時需要二階段驗證
除了鎖定使用者 IP 之外,後台每一個帳號登入時,一定要使用二階段驗證,花點錢請軟體廠商加上去,尤其,若您系統的使用情境是使用者無法在辦公室處理業務的,也就是無法讓使用者以固定 IP 登入的話,二階段驗證必不可少。如果沒有的話,快找網頁軟體設計廠商進行新增吧!
3.定期檢查使用者權限區分(必要的)
後台每個使用者的管理與使用內容的權限原本「應該」就有明確的律定了,但提醒您:
要定期檢視每個使用者的使用權(最小權限存取原則)是否要進行調整,因為使用者可能有其職務調動,或甚至調單位、離職...各種變化,若無定期檢視,可能會讓某使用者有不當的使用權限(或不該登入),增加資料不當使用的風險。
4.系統是否有要求後台使用者定期變更密碼功能
如果可以,系統最好有定期要求使用者變更密碼的功能。當然。若已經有二階段驗證,或許密碼的變更週期可以放寬一點,我個人覺得無妨。
5.登入與使用紀錄
系統一定要設計登入記錄以便事後查核,不只是登入,重要的後台動作都應有紀錄以供稽核或是後追查。若系統中有機敏資料,這部分一定要予以補強,而且,系統管理員要定期檢視或不定期抽查。
檢視的注意要點如下建議:
A.登入記錄是否有多次的登入錯誤? 登入的 IP 位置是合法的嗎(有鎖 IP 的話,應該不會有此問題)? 哪些使用者常常登入錯誤,總要去關心一下。
B.使用者登入時間是否有疑慮? 比如同仁凌晨三點登入系統,不會怪怪的嗎? 當然,系統如果有鎖定登入 IP,或許被人偷用的機率不大啦。但也要注意。
C.重要功能的使用頻率是否恰當? 次數如何? 使用時間是否合理。
其他,就自行想想囉。
6.下載(匯出)資料與外寄信件功能
如果系統有需要以 EMail 寄送資料 或 設計有大量資料的下載(匯出) 方式,請務必... 下載的資料要設計密碼保護,看是已經律定好密碼(不建議 or 需要定期變更),或是下載功能將檔案加密後,以 EMail 通知下載者密碼,此時,接受密碼的信箱一定要律定為組織(公司)使用的信箱,不能允許寄送到非組織(公司)擁有的信箱,也就是說EMail 出去的資料或密碼要在組織(公司)的控管之下,不能是外面的個人信箱。
若後台有這樣的匯出和信件寄送密碼的功能,後台的功能權限設計,要限制一般的使用者可以自行變更聯絡Email信箱的功能,或者在變更時要予以限制(特別鎖定或再次認證)和警示系統管理員,因為在一般狀況下,使用者在組織內信箱是不會變更的。會不會是有人入侵(或竊取到)使用者帳號,而嘗試想要匯出並收取密碼。這點要留意。
7.機敏資料在畫面上的顯示是否該顯示部分即可
若網站的後台有機敏資料,比如說: 身分證號,信用卡號(最好不要有)... 之類的,在進行個人資料查詢時,一定需要顯示出來嗎? 什麼情境需要顯示出來? 以上面這身分證號,信用卡號為例,需看到完整資料的使用情境應該是十分特定的,因此,該功能在權限上就應認真釐清哪些使用者可以用(特定少數),或者,使用(要看到完整內容)前要再度進行權限認證且此認證應該要有時效性(逾時操作應要再度驗證),以確保資訊安全。
8.資料庫內的機敏資料是否應該加密儲存
其實,我們的能力很難確認資訊廠商的資料庫保護措施如何? 萬一廠商的整個資料庫外洩(被打包下載),我們要如何保護(保證)資要庫中的個資不會被利用,這是一個相對困難的問題,因為(很久)以前的系統設計並不會考量到此一方面,而且此功能通常會影響系統效能,也不利使用者搜尋。
如果可以,某些特定非常機敏的資料,儲存到資料庫內時,可以進行加密後再進行儲存,如此一來,就算整個資料庫被下載,也無法以明碼直接看到資料了。這點參考一下囉,或者能否請廠商多多加強資料庫安全,以避免資料庫直接外洩的可能。
系統備份重點提示
備份很重要! 備份很重要! 備份很重要!
由於是租用網站的服務,機器不在自己組織中,所以只能信任廠商了,要跟廠商明確溝通以下的問題,了解他們的備份週期,與災難復原預估會需要多少時間。
以下可能會分成兩種情況(或許也有其他我沒想到的狀況啦):
1.您網站的合作廠商,整合服務,網站服務是一體包辦,只要付一份費用就好。
您使用他的服務,您不用管他主機在哪裡,反正付費(年、季、月)就有得用,有網址可以公布,有後台可以登入。一切都那個廠商負責,那麼簡單! 就問清楚他們的備份機制如何(有沒有異地備援)? 備份頻率如何? 最好有到每日備份,"應該"就可以了。
至少要去問喔! 雖然可以說是一切託管,但,有時候是不問不知道,一問嚇一跳。如果他們回答的支支吾吾,要小心,一定要問到明確資料。
2.網站軟體設計有廠商,機房還有廠商,兩邊都有費用。
這有點複雜:
A.問一下機房廠商那邊,我們組織的主機(或 租用空間),備份機制如何呢? 有沒有異地備援呢? 通常是沒有(如果要異地備援,要花錢買喔)! 備份頻率如何? 最好有到每日備份,就可以了。
機房廠商通常會有基本備份的,原則上您租用的空間,裡面就會有一份網站程式在了,所以機房廠商備份時,會連程式一起備份到,但,反而,要特別再詢問一下資料庫的備份情況與頻率如何,以我的經驗來說,因為我們之前是租用獨立主機,整機備份時自然會連資料庫一起備份到,但若您租用的只是某台主機的某部分空間(就是和別人家和租啦),我就不確定他們的資料庫的備份情況如何了,資料庫說不定是在您們租用空間外的其他主機,要特別問一下。
如果您組織的網站服務,是有機房的話,要多花點心思跟機房端問清楚資訊喔!
B.網站軟體設計廠商那邊,也要問一下網站程式的備份狀況
續上所述,補充說明: 網站軟體設計廠商~ 通常是不會幫忙備份網站資料庫,因為如果他們有幫忙備份資料庫的話,那麼,您組織的資料,廠商有一份,不是很奇怪嗎? 他們不該擁有資料的,私下探尋一下,要注意,如果程式設計過程需要資料,應以測試資料來進行,不建議使用正式資料。
網站程式通常是網站的程式的合作廠商會有最新版,所以原則上,只要有保持好良好的合作關係,風險不大(公司倒掉、設計師離職不算啦),每年有交保護費(維護費),他們手邊應該會有最後更新的版本。
就問問您們程式有好好地備份吧?,"通常" 就可以了。
系統災難復原提示
以下只是通則參考,不是標準或一定要如此。而且以下內容寫得很隨便,可能實際狀況不如以下輕描淡寫就可以解決的。
1.廠商聯絡電話與聯絡人資訊
網站軟體設計廠商的和機房的,平時就要準備好。
2.釐清問題發生原因
如果網站沒有任何反應(完全連線不到)通常是機房的問題,先找機房詢問。若連得到網站,只是某些網頁錯誤,或者網站被入侵,網頁被篡改過的,先聯絡網站軟體設計廠商。
網站被入侵,網頁被篡改過~ 其實問題就很大了,硬體和軟體廠商都要聯絡,釐清問題,加強軟硬體資安。(見下方第四點)
3.請相關廠商復原或修正
如果是機房廠商主機壞了,他們應該會有備援機,使用備援資料復原。也有可能是主機零件壞了、硬碟滿了...不是很大的問題,換個零件重新開機後通常就正常了。
4.是否產生資安危害
如果有產生資安危害(如資料外洩,或網頁內容被篡改...等),問題就複雜了,有資安危害,第一步是報警。而後,前文提過的應變小組就要開始運作了。
此時要跟廠商討論的是: 要不要先關站,然後請廠商調出後台登入記錄,調出網站連線記錄,一方面可能需要轉交警方,另一方面,要從此記錄中找出蛛絲馬跡,了解是如何被入侵與資料外流的。
... 情況繁雜與複雜,要耐心處理,一定要釐清原因,修補資安漏洞後(如: WAF 和 弱點掃描),網站才能再度開放。
5.系統復原或修補漏洞後,開站。
結語與作業
如果您組織中有此類系統,請認真想想,您主機內資料的機敏程度,並檢視 前台 與 後台 是否還有需要加強資安措施喔。如果不知道如何與廠商溝通,也可以直接分享此文章給合作廠商,讓他們看看,他們是否有什麼想要建議的。
