暗網潛航——虛擬戰場生死最前線 (八) 一言而為天下法

  上回談到信息安全監控中心(SOC)利用鑑識控制台(Forensic Console)的功能取證,今次則介紹另一重要的取證功能法規監察 (Compliance Monitoring)。

  信息安全一般會按照國際信息安全標準管理ISO 27000準則行事。例如當中訂明,系統沒有密碼管理,如強密碼長度及構成、密碼更新頻率、密碼管理規則等,就等於沒有信息安全管理。不過ISO 27000並沒有具體操作,不會告訴你怎樣做才是最好的密碼構成和管理,因為不同行業所使用的系統及其面對的風險環境不同,設置上會有差異。

  各行各業都特別針對個別營運環境和流程,為其信息安全設置規則或底線。這些規範及行為就是行業安全法規,又或者是行業安全法例要求。例如電子支付系統行業,其信息安全法規名叫「支付卡行業數據安全標準」(PCIDSS),不管是信用卡還是儲值卡,又或者相關的處理器材如自動櫃員機、信用卡讀卡器等,都要符合 PCIDSS 訂下的要求。

  PCIDSS文件說明,電子支付行業的密碼管理,必須包括ISO 27000的要求,但實際設置會更具體:強密碼不可少於7個字符,而且必須由亂數構成,每90日為一個強制更新周期,而且在三次更新周期之內不可以重複使用相同的密碼。

  進行漏洞掃描時,PCIDSS 則要求電子支付行業依循兩組規則。第一是每季必須進行最少一次漏洞掃描,漏洞如果達到漏洞標準level 4以上必須馬上整改,否則不能於真實支付環境中運行;第二是如果公司對系統進行技術更新,必須把季度掃描的內容重新運行一次。

  營運SOC最重要的事情,就是要明白其保護的目標:究竟目標系統做甚麼業務?面對甚麼風險?要重點保護的地方在哪裏?這些重點往往在行業信息安全法規的文件內。如果不理解法規,不但面對極大的信息安全風險,還有可能令客戶系統設置錯誤,遭受罰款甚至被告上法庭!

  看到這裏,相信讀者們應該明白:SOC其實是針對單一行業系統保護,而非萬能,這個世界沒有跨行業的SOC。如果有人宣稱能夠做到,那個不過是日誌收集中心罷了,根本不可能對系統進行全面保護!

TOZ聯合創辦人

龐博文


hd