近年來資安事件頻傳,攻擊手法也日新月異,A銀行為提升資安強度,邀請精誠協助導入「資訊安全標準評估與檔案/組態安全異動監控稽核」解決方案。在專案期間,精誠發揮「異質平台資安管理」的核心技術能力,建立符合主管機關要求的檔案與系統組態異動稽核制度,協助A銀行持續落實企業安全政策實施,達成一致性與完整性之管理目標。
客戶背景與需求
由於A銀行的DMZ(Demilitarized Zone)區與內網中,建置了許多提供對外客戶業務服務的重要伺服器,多年來皆持續擴充不同類型的資安產品,期能強化A銀行的資安防護系統。然而,面對層出不窮的資訊攻擊,以及主管機關日益嚴格的安全查核,A銀行希望能回溯根源,從基本安全組態管理開始著手,嘗試導入國外資訊安全標準的最佳實踐與安全審核機制,並保留所有檔案與系統組態異動的數位證據。
精誠團隊在了解A銀行需求後,判斷A銀行需建立作業系統層級資訊安全標準評估與矯正、作業系統與應用系統變更之數位證據保全與稽核,與安全組態設定一致性評估等重要機制,同時透過黑白名單的即時持續監控,在危機發生的第一時間內,就將非法的變更警示即時地通知給相關的負責員工,縮短重要資安事件的通報反應時間,更重要的是需符合主管機關規定,將所有變更記錄與資訊變更單互相勾稽,定期列出異常變更統計表以供檢核,防止未經授權的變更使系統發生異常或服務中斷,造成企業損失。
解決方案
精誠團隊盤點整理出A銀行的4大需求,包括:1. 作業系統層級資訊安全標準評估與矯正、2. 重要伺服器作業系統檔案設定檔/參數檔/程式系統變更之數位證據保全、3. 資訊變更單勾稽、4. 安全組態設定一致性評估,並利用Tripwire Enterprise加上專業顧問服務,完成以下5大目標:
- 建立支援以下作業系統版本的資訊安全評估與變更稽核機制,包含:Windows/AIX/HP Unix/Solaris/RedHat/SUSE/AS400/SunOS。
- 提供國際資訊安全標準ISO 27001/PCI DSS於各作業系統的最佳實踐模版,並建立評估審核機制與修正程序。
- 即時與持續監控重要伺服器的安全配置設定、檔案、設定檔、參數檔及程式等之異動,留下who、when、where、what、before/after之數位證據。
- 建立資訊變更單勾稽機制,查出未經授權的變更,並以email方式發送通知給相關負責人員,以執行應變措施。
- 建立同系統不同伺服器之間的安全組態設定與應用系統檔案內容一致性評估與修正程序,加強風險管理。
創造價值
精誠團隊了解完善的資訊安全組態管理稽核機制對金融單位的重要性,也了解主管機關對於金融單位資安機制的管理要求,因此提供與國外同步的最新資訊安全組態管理與變更稽核解決方案,經由專業顧問服務調適成符合A銀行的實際環境,落實管理、增進安全、符合法規,現已成為A銀行新系統上線前伺服器中必要的安全機制之一。
【導入效益】
- 高風險伺服器的作業系統與應用系統組態安全設定符合ISO 27001/PCI DSS標準
- 持續性與一致性的組態安全合規監控,無空窗期
- 具備完整資訊系統變更之數位證據保全機制
- 具有應對未經合法授權所執行變更之安全管理機制
- 符合主管機關對於高風險營運主機之變更管理要求