企业网路存取控制.ppt

,第五章 企業網路存取控制,教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心,第五章 企業網路存取控制,2,前言,5.1 存取安全政策制定、派送與管控 存取控制簡介5.1.2 存取安全政策制定 存取管控5.2 電子資料內容加密、實施權限控管 資料加密簡介 權限控管的實施5.3 稽核使用者存取,隨著網路的發展，企業對網路的依賴越來越重，網路已成為現代化企業不可或缺的一環。員工、訪客、合作夥伴等等的使用者，都需要藉由網路存取企業資源(包括企業的機密資料)。隨著透過網路存取資料的增加，企業網路被入侵的風險也日益增加。當用戶透過網路連進企業網路、或是遠距辦公時，很有可能在不知不覺中成為被攻擊的對象，進而成為有心人士入侵企業網路的跳板。此外若有員工將被病毒感染的裝置連接到企業內部網路中，在同一個LAN中的使用者很有可能會跟著遭殃，使得企業網路面臨嚴重的資安威脅。企業網路若沒有限制使用者的存取權限，任何訪客都可以使用未經管理的連線裝置，透過Internet連進企業網路，這將造成企業機密資料被竊取的危機。,存取控制簡介,如左圖所示，存取控制大概可分類為系統存取控制實體存取控制網路存取控制系統存取控制 即系統的使用權限控管與身分識別。實體存取控制 即對各種資訊設備的實體保護，例如門禁管制等等。網路存取控制 除了對內部系統與實體存取管控之外，對於外部連線 的網路存取也要有控管與保護。本節將著重在網路存取控制的介紹,第五章 企業網路存取控制,3,存取控制的涵蓋範圍,存取控制簡介,網路存取控制隨著網際網路的普及，企業使用網路存取資料的比重漸漸增加，以下介紹較常見的網路存取控制措施:網路服務的限制對於網路服務的提供應給予限制，避免疏於管理而造成重大的安全漏洞。也就是說使用者只能使用授權範圍內的網路服務，而且不能妨礙網路正常的運作。例如監控即時通訊軟體的通訊內容、禁止使用P2P軟體等等。使用者身分鑑別使用者透過外部網路存取企業內部網路資源時，應該要鑑別該使用者的身分，確認是合法的使用者且有對應的權限才執行存取的指令。網路區隔網路區隔的意思為利用網路技術將敏感性資料從企業網路區隔或設定為一獨立的網路，並限制一般員工或訪客的連結。左圖所示為將企業網路設定為三個獨立的子網路。網路連線作業控制我們應限制外部使用者只能執行特定的工作，例如只能使用E-mail、Http、存取特定的檔案等等。安全通道安全通道能確保用戶端與伺服端連線時，雙方資料傳遞的安全性。使用者透過外部網路存取企業內部網路資源時，應該要建立一條安全通道。,第五章 企業網路存取控制,4,將企業網路設定為三個獨立的子網路,存取控制簡介,網路存取控制的目的是為了確保使用者在任何時間、任何地點使用任何設備(例如筆記型電腦、桌上型電腦、等等)，存取資料的動作不會危害企業網路的正常運作，也不會造成企業的機密資料外洩。網路存取控制整合了使用者、網路設備、安全存取的相關技術；主要包含認證、授權、計費(稱為AAA)機制的實現，端點設備的整合及公司安全政策的管理及執行，網路隔離與修復區域的規劃等等。左圖為一個網路存取控制的示意圖，當內部使用者想要存取外部網路的資源時，網路存取控制主機會根據網路管理員所設定的安全政策來檢查該使用者是否可以存取外部網路的資源；而外部使用者想要透過網路存取公司內部網路的資源時，網路存取控制主機也會檢查該外部使用者是否符合網路管理員所設定的安全政策。網路存取控制主機的部署，可以根據各種需求而有不同的部署方案，左圖並非唯一的部署方案。,第五章 企業網路存取控制,5,網路存取控制示意圖,存取控制簡介,網路存取控制除了實現存取控制機制，還需執行使用者驗證及端點安全評估。網路存取控制的範圍很廣，比如說遠距工作的存取控管、企業內某一台電腦受到病毒的感染應立即隔離、訪客是否可以透過企業內部網路存取網際網路的資訊等等。執行網路存取控制的主機可分為政策管理主機、政策遵循檢查及端點檢查主機、強制執行安全存取政策主機等。左圖為端點安全檢查時的流程，當端點裝置連上網路時，系統會去找尋並安裝端點裝置(發現步驟)，當安裝完後，系統會去檢查該裝置有沒有違反任何安全政策(執行步驟)，若有發現任何問題，例如沒有更新修補程式，則會強迫該裝置更新(修正步驟)，最後會持續監控該裝置有沒有一直遵守安全存取政策(監控步驟)。,第五章 企業網路存取控制,6,端點安全檢查流程,存取控制簡介,由於市場需求，許多網路相關業者(Juniper、McAfee、Cisco、賽門鐵克、趨勢等等)都有推出網路存取控制的產品，因此造成一個企業網路可能存在多個執行網路存取控制的主機，但是網路存取控制機制是由不同廠商所開發的，造成各個主機彼此的存取安全政策可能沒有辦法統一存取控管(unified access control)。為了解決上述的問題，如左圖所示，可信任網路連結(Trusted Network Connect；TNC)的架構被提出，TNC為一開放式的產業標準，目的是讓多家廠商的網路存取控制產品可以互相搭配使用。(https:/),第五章 企業網路存取控制,7,第五章 企業網路存取控制,8,存取安全政策制定,存取資源的對象是誰？必須明確規範可以存取系統資源的使用者。如何將系統資源合適的分配使用？不同等級的使用者(例如員工、主管、訪客等等)有不同的存取權限，必須清楚定義不同等級的使用者可以存取的資源種類及範圍。使用者的授權者是誰？必須確實掌控存取資源的使用者是原先系統授權或是經由第三者授權，若不確實掌控是誰授權使用者，那麼一旦發生問題，可能沒有辦法清楚知道誰應該負責。哪些人擁有系統管理權？必須明確規範哪些人可以擁有系統管理權，若有人將系統管理者的帳號跟密號外洩，方便追查。使用者的權利及責任為何？必須明確規定使用者的權利及責任，而使用者也必須要了解並遵守企業所訂定的安全政策。管理員對使用者的責任為何？若有資安事件發生時，系統管理者可能會讀取使用者的私密資料，所以要明確規定系統管理者所能讀取使用者機密資料的程度。對於敏感性資料所採取的動作為何？在授權前，應先決定該資料的機密程度；若是屬於高機密的文件，那麼就不能允許將資料儲存在其他儲存裝備，以防機密外洩。,資料參考來源:RFC1244.txt,存取安全政策制定,上頁所提到的七個項目為一個通則，當制定安全政策時並不一定全部都要考慮進去，通常還是要根據企業網路實際應用的狀況及公司政策為考量重點。舉例來說，考慮一個小型的公司，公司資料分為三類:公開資料、會計資料及價格資料；存取資料的對象分為訪客、員工、客戶、廠商；給予存取權限的人為系統管理員或是老闆，根據上述的條件，該公司的系統應該實現如左表所示之一個簡單的存取安全政策。,第五章 企業網路存取控制,9,存取安全政策範例,5.1.3 存取管控,存取控管定義:使用者資料存取的權限應該要依照使用者工作職權來訂定，以降低未經授權存取系統資源的風險。存取控管是指對主體(Subject)存取客體(Object)的權限或能力的限制，以及限制進入物理區域(稱為出入控管)和限制使用資訊處理系統和儲存資料的過程(稱為存取控管)。存取控管分為物理存取控管和邏輯存取控管，邏輯存取需要進行兩類控管，一是預防性控管，即用於識別每一個授權使用者並拒絕非授權使用者的存取；另一類為探測性控管，即用於記錄和報告授權使用者的行為及非授權存取或存取企圖，或者說對系統的使用與存取情況進行監控。接下來介紹國際資訊安全管理的準則及規範(BS7799/ISO2701)，對存取管控的控制目標及控制項目。存取控管政策企業運作需要資訊的支持，一方面需要充分利用資訊資源，例如透過網路系統進行資訊共享；另一方面，要對資訊的使用進行一定的限制，以逹到保護資訊資產的目的。對資訊的存取應控管到何種程度取決於企業商務運作的要求與資訊安全要求。1.制定並實施存取控管政策企業應根據商務運作的需要，制定一個文件化的存取控管政策，並明確規定存取控管的商務要求，即存取控管規則和每個使用者或群組的存取權力在存取政策中要有清楚的定義。2.如何制定存取控管規則存取控管規則應該要明確規定允許和禁止的內容。,第五章 企業網路存取控制,10,5.1.3 存取管控,使用者存取管理為了防止非授權的存取，企業應根據存取控管政策對使用者(包括內部使用者及第三方使用者)存取權限進行管理。1.建立使用者登入過程為確保存取資訊系統和服務的使用者之合法性，企業透過建立一個正式的使用者登記(Registration)和解除登記(De-registration)的授權程序對使用者存取資訊系統和服務的權限進行管理。2.對特權實行嚴格處理特權(Privilege)是指使用者對資訊系統擁有特殊的權限。例如，系統管理員就擁有特權，其存取權限高於一般使用者。系統多餘特權的分發與使用，會造成系統被破壞的風險增加，例如發生資料篡改或是機密資料外洩等。3.使用者密碼管理密碼是用來驗證存取資訊系統和服務的使用者身分的一種通用方法。4.定期對使用者存取權限進行審核為避免非授權使用者或多餘使用者的存在，需要定期對使用者存取權限進行審核。一般來說特權使用者的審核週期要比一般使用者的審核週期短，建議特權使用者每三個月審核一次，而一般使用者每半年審核一次。若審核發現問題，應採取必要的措施並加以更正，例如取消過期的使用者帳戶。,第五章 企業網路存取控制,11,5.1.3 存取管控,使用者責任除了控管政策的制定外，授權使用者的合作是有效保護系統的基本條件，即使用者要體認到他們也有存取控管方面的職責，尤其是在使用者設備與密碼的安全管理。1.使用者要安全選擇與使用密碼大多數密碼都是由使用者自行選擇設定的，使用者應該要選擇較不易被破解的密碼，通常密碼長度最好要大於六個數字且不要採用跟自己相關的資訊，例如生日、電話號碼等等。2.對無人看守的設備應採取適當保護措施無人看守設備(Unattended Equipments)，如伺服器、無人看管的通訊設備，存在著可能被錯誤使用、竊取的危脅，因此我們需要依照設備所處的環境條件以及設備的重要性，給予相對應的保護措施。3.桌面淨空與螢幕淨空政策結束工作時，使用者應將其所使用具有機密性或敏感性的資料，妥善處理，以防非法使用者的盜用。,第五章 企業網路存取控制,12,5.1.3 存取管控,網路存取控管我們使用企業的內部網路或是外部網路，其目的為透過網路得到相關的資源或是服務；當我們在享受網路服務所帶來的方便與快速的同時，也存在內部與外部使用者、無意與惡意對企業網路未經授權的存取，因此我們需要對內部與外部網路服務的存取加以控管，藉此保護企業網路的安全。1.建立並實施網路服務使用的政策為確保網路服務的安全，使用者只能存取那些被授權的網路服務，這種控管對於連接到敏感性的商務應用、高風險使用者區域的網路特別重要。2.實施路徑控管從使用者到提供網路服務主機的路徑必須受到控管，以減少非授權存取的風險。限制路徑控管可以透過設置防火牆、路由器的存取控管規則來實現。3.對外部連接的使用者進行認證開放外部網路的使用者連接內部網路，可能使得非授權使用者可以存取企業相關的商業資料，所以外部連接使用者的存取必須經過一套身分認證(Authentication)機制，來對該使用者的真實身分進行確認，以防止非授權使用者的存取；身分認證機制可以根據使用者的生物特徵、所持設備、資訊等的組合來對使用者的身份做一個確認。4.網路設備識別節點(Node，可能是路由器、通訊閘、伺服器等等)可能成為非授權使用者存取企業網路資源的一個管道，因此，應該要對節點進行身分認證的動作；至於認證方法可以參考外部連接使用者認證的方法。5.遠端診斷埠與組態埠保護許多電腦和通訊系統都設有遠程診斷的功能，以便於維修工程師使用。若遠端診斷埠與組態埠沒有保護措施，那麼這些端口可能就會成為非授權使用者存取的管道。因此，企業網路應實現一個安全機制保護遠端診斷埠與組態埠。,第五章 企業網路存取控制,13,5.1.3 存取管控,6.網路區隔隨著網路相關技術的發展，資訊處理設備及網路設備的共享、互聯成為常態，使得傳統企業組織邊界的觀念被打破。當網路規模越大，受到未經授權存取的威脅就越大，所以企業組織應根據網路提供的服務以及存取政策，對企業內部網路實施適當的實體或邏輯隔離。7.網路連線控制企業網路若要實現存取控管政策，則要對使用者的網路連接能力進行限制。這些控管政策可以透過閘道器，按照存取規則來實現。8.網路路由控制對網路路由進行控管可以確保電腦連接和資料流不會違反存取控管政策。路由控管可以用來源位址和目的位址檢查機制來實現。9.確保網路服務的安全性網路服務的安全有單一或複雜的特性，例如由一個伺服器所組成的系統，其安全管理與維護相當簡單；而若由多個伺服器所組成的系統，其安全管理與維護則要複雜許多。網路服務安全的複雜程度與商務過程的安全需求、企業組織的安全政策密切相關，因此我們應提供一份所有網路服務的安全描述，即根據企業組織安全政策的要求，明確規定網路服務的安全性(或網路安全參數，如防火牆配置清單)，由授權的系統管理員進行參數配置與維護管理。,第五章 企業網路存取控制,14,5.1.3 存取管控,作業系統存取控制除了預防使用者對作業系統未經授權的存取，我們也要對已授權的使用者進行存取管控。例如，記錄成功和失敗、存取系統事件的目的、當系統安全政策被破壞時發出警告、限制使用者的連線時間等等。1.安全登入程序作業系統的登入程序應設計成不提供任何有關系統的資訊，以避免提供資訊給企圖入侵者。例如，只有在登入成功時才顯示登入資訊，若登入失敗則不能說明是哪裡錯誤、限制登入失敗的次數、限制登入程序最長與最短的時間，若超過最長時間則終止登入程序。2.使用者識別與鑑別每個授權使用者應該都要有一個唯一的使用者識別碼，而且要有適當的鑑別技術來確定使用者的身份。若有特殊情況，則可讓一群人或是某個特定工作的參與者共用一個使用者識別碼，當這種情況發生時，我們應該要額外的增加控制措施並詳加記錄；例如，執行嚴謹的身份鑑別。3.密碼管理系統密碼管理系統應為互動式且確保密碼的安全強度。舉例來說，允許使用者自行選擇及更改密碼、要求使用者密碼的選擇要嚴謹、保留使用者以前的密碼記錄以防止密碼的重覆使用、不在螢幕上顯示密碼等等。4.使用系統工具程式應該要限制並嚴密控制可以換置系統或是應用程式的系統工具。比如說，限制系統工具的可用性、記錄系統工具的所有使用情況、區隔系統工具及應用程式、對系統工具使用的授權等級加以界定並記錄等等。5.連線階段逾時當使用者一段時間沒有任何動作後，系統應該要關閉該連線及相關資源。管理者可以設定一段時間沒有任何動作後先清除螢幕的資訊，然後再過一段時間後關閉該連線的應用程式及網路連線。6.連線時間限制對於敏感的應用系統應該要限制其連線時間以確保其安全性，尤其使用者的上網位置是在高風險的場所(例如公共或外部網路等)。舉例來說，管理者可以設定系統每隔一段時間後就要求重新鑑別身分，把連線時間限制在正常辦公時間內。,第五章 企業網路存取控制,15,5.1.3 存取管控,應用與資訊存取控制管理者應該根據已經制定的存取控制政策，限制使用者對應用系統的存取，並提供保護措施防止應用系統中的資訊被未授權使用者存取。1.資訊存取限制管理者可以依照已經定義的存取控制政策限制使用者對資訊以及應用系統功能的存取，例如：設定使用者對檔案的存取權限(讀取、寫入、刪除和執行等權限)、確定來自敏感性系統的資訊輸出時只會包含與輸出用途相關的資訊，而且只會發送給被授權的終端機。2.敏感性系統的隔離敏感性系統應該要有隔離的電腦作業環璄，若在共用環境中執行敏感的應用系統時，應了解相對風險並取得敏感應用系統的所有人的同意。,第五章 企業網路存取控制,16,5.1.3 存取管控,行動式電腦作業與遠距工作當企業組織允許員工使用行動式電腦或是進行遠距工作時，應先考慮沒有任何保護的情況，企業網路所承受的風險，之後採取適切的保護措施。1.行動式電腦作業與通訊要制訂正式安全政策與實現適當控制措施，以確保使用行動式電腦作業與通訊(如筆記型電腦、行動電話等)不會影響企業網路的安全。行動式電腦的保護包括實體設備保護、密碼保護、存取控制、備份和防毒等等；行動式電腦的網路連線也要實現身份鑑別技術及存取控制機制，當所有的保護機制完備後才可以使用行動式電腦透過公用網路存取公司相關資訊。若行動式電腦存有公司的重要機密，則要上鎖或用特殊機制給予保護，並且評估行動式電腦失竊與損壞的風險。加強對使用者的安全訓練以提高他們對行動式電腦所帶來的額外風險及應採取控制措施的認知。2.遠距工作遠距工作場所應有適當的保護措施，比如避免設備及資訊遭竊、資訊遭未經授權使用者的洩漏、未經授權者遠端存取公司資源等等。遠距工作結束後，所有的授權、存取都要清除。遠距工作要考慮的因素有很多，例如，安全通訊管道的建立、使用者本人以外(如家人、朋友)可能會增加未經授權使用的威脅性、連線設備的安全性、使用者的防毒保護與防火牆的限制、在私有設備上發展有關智慧財產權的爭議、軟體使用權等等問題。因此企業組織必需針對以上的問題，提出適當的解決辦法，並對遠距工作提供稽核與監控的功能。,第五章 企業網路存取控制,17,第五章 企業網路存取控制,18,5.2.1 資料加密簡介,自古至今無論是軍事、商業或個人為了防止機密資料被盜取，除了對儲存資料的地方安裝重重的保護裝置(如將資料放在保險櫃、安排警衛看守等措施)，並對資料加密以增強資料的隱私性；因為一般人拿到加密的資料，若沒有相對應的解密方法，等於是拿到一堆無用的垃圾資料。在網路上傳遞資料，若不經任何的加密措施，對資料的隱私性是沒有任何的保障；因為在電腦網路上要做到竊聽資料是跟在電話系統上竊聽人們談話一樣的容易。左圖說明資料經過加密後在網路上傳送的過程，通常未經加密的資料稱為明文(plaintext)，加過密的資料則稱為密文(ciphertext)。明文經過系統的加密裝置成為密文，密文經由網路抵達接收端，此時接收端將密文經過系統的解密裝置即可還原為原來的明文。要注意的是傳送端的加密裝置與接收端的解密裝置需要有關聯性，如使用相同的加解密演算法；此外加密或解密裝置在運算時通常會要求使用者輸入一參數稱為加密鑰匙/解密鑰匙(Encryption Key/Decryption Key)。,圖5-3.,資料加解密流程,5.2.1 資料加密簡介,資料加解密的主要目的是為了防止資料被盜取或篡改，目前大多數的系統利用DES、AES(對稱性加解密法)及RSA(非對稱性加解密法)來保護資料的私密性，利用SHA-1或MD5(雜湊函數)來保護資料不被更改。對稱性加解密法 此加密法的特點是：發送端與接收端必須擁有相同的加密/解密鑰匙，該共同的鑰匙被稱作秘密鑰匙(Secret Key)。如左圖，明文經一秘密鑰匙加密之後產生密文，欲得知明文內容，須使用同一秘密鑰匙方可將密文解回原本的明文。此種加密方式通常被稱作對稱性加解密法(symmetric cryptography)，對稱性加解密法的安全完全依賴收送雙方對此秘密鑰匙的保密。,第五章 企業網路存取控制,19,對稱性加解密,5.2.1 資料加密簡介,非對稱性加解密法(Asymmetric cryptography，又稱公鑰加解密法public-key cryptpgraphy)，是由美國史丹福大學的Diffie與Hellman於1976年共同提出的，每一位使用者都擁有兩把鑰匙P,S，其中P為公開鑰匙(public key)，S為私有鑰匙(private key)；公開鑰匙的內容與私有鑰匙不同，即P S。從字面上的意義可以得知，所謂的公開鑰匙其鑰匙內容不必保密，可以對外公開；但是擁有者必須妥善保管好私有鑰匙，即私有鑰匙的內容不可被其他人知曉。左圖說明當某一網路使用者A要將訊息秘密傳給另一網路使用者B時，只須用B的公開鑰匙對欲傳送的訊息做加密；當B收到訊息後，再用自己的私有鑰匙解密。因為只有B才知道自己的私有鑰匙，故只有使用者B才能解開A用B的公開鑰匙加密過的密文。雖然使用者B的公開鑰匙是公開的，但要由公開鑰匙計算出相對應的私有鑰匙是甚為困難的，故非對稱性加解密法不必考慮公開鑰匙在不安全通道上遺失或被竊時所造成的風險。,第五章 企業網路存取控制,20,非對稱性加解密,5.2.1 資料加密簡介,第五章 企業網路存取控制,21,對稱性加解密法與非對稱加解密法的比較,5.2.1 資料加密簡介,雜湊函式的功能可以讓使用者在網路上公開訊息，且有效阻止有心人士任意篡改訊息內容。如政府利用網路作政策宣導，需利用雜湊函式保護資料完整性的功能，以防止任何人修改或破壞政策宣導的內容。雜湊函式（Hash Function）是一單向的數學函數，目的是將一任意長度的訊息雜湊成一較短的固定長度的數值，該固定長度的數值被稱作訊息摘要（message digest）。雜湊函式的特性如下：雜湊函式是一單向的數學函數。我們用H:M D來表示一雜湊函式，M是表示H的輸入值，D是表示H的輸出值。單向的數學函數是指對於任何已知的輸出值D，要從輸出值D找到相對應的輸入值M幾乎是不可能的事。雜湊函式的輸入可以是任何長度的訊息。雜湊函式的輸出必定是固定長度的訊息摘要。對於任何的輸入訊息，雜湊函式可以輕易的算出其相對應的訊息摘要。要從訊息摘要推算出相對應的輸入訊息幾乎是不可能的事。不同的輸入訊息一定會有不同相對應的訊息摘要。,第五章 企業網路存取控制,22,利用雜湊函式提供資料在網路傳送的完整性,5.2.2 權限控管的實施,權限控管，簡單來說，就是先將系統內的各種資料依照其價值和風險性分出不同的等級，並將企業內的人員依照職務或是其它的方式給予不同等級的使用權與可信賴性；之後對這二者的等級做出適當的管理行為。管理者應該要定期的檢查並評估使用者的存取權限，例如管理者應立即將離職員工的存取權限取消。通常作業系統都會提供基本的權限控管機制，以Windows作業系統為例，它讓管理者可以對下列項目實現權限控管:允許透過終端機服務登入以批次工作登入以服務方式登入本機登入同步處理目錄服務的資料作為作業系統的一部分更換處理層權杖系統關機取得檔案或其他物件的所有權左圖為管理者在Windows作業系統設定透過終端機服務登入之權限控管畫面。,第五章 企業網路存取控制,23,5.2.2 權限控管的實施,權限控管除了設定系統提供的服務有誰可以使用外，也可以針對各別的電子文件設定存取權限。電子文件存取權限可以根據角色和職責指派檔案存取權限可以不同級別來設定檔案存取權限未經授權的使用者無法存取及使用電子文件未經授權的使用者無法執行列印及複製電子文件等動作以Microsoft Office文書處理軟體來說，若到Microsoft網站下載IRM(Information Rights Management)模組，並與之整合，之後所有的Microsoft Office電子文件就可以針對各別的使用者設定其存取權限。左圖為Microsoft Office整合IRM之後對電子文件存取權限的設定畫面；對各別的使用者的存取權限可以設定為完全控制，或可使用此文件的到期日，列印、複製、程式存取、編緝、儲存等等權限。,第五章 企業網路存取控制,24,5.3 稽核使用者存取,稽核(Audit)的目的管理者應該啟動系統稽核功能，讓使用者執行特定動作時(例如，使用者修改檔案)留下記錄在系統的日誌檔；日誌檔通常會記錄使用者所執行的動作、使用者帳號、修改時間、登入與登出時間、來源位置等等。一旦發生資安事件，讓管理者可以尋線追踪；管理者也必須定期檢驗日誌檔，及早發現可能的入侵行為或系統漏洞；例如，當使用者成功登入系統為一個正常事件，但如果有使用者多次嘗試登入系統但卻失敗，這表示可能有人以別人的帳號在嘗試入侵系統。需設定合適的稽核原則若企業組織的系統沒有啟動稽核功能或稽核的門檻太低，一旦有安全性事件的發生後，可能就無法提供足夠的線索進行分析。反過來說，若需要稽核的事件設得太多，則會使系統的日誌檔擁有太多無意義的記錄。建議需要稽核的事件包括使用者登入記錄、連線記錄、存取記錄與操作記錄等；而且系統的日誌檔至少要保留三個月。系統的稽核項目:系統存取失敗使用者識別碼不正常的使用特權帳號的使用特定的系統事件敏感性的資料存取 系統時間的校正 系統時間應要定期的檢查校正，以確保稽核記錄的正確性及可靠度，做為事後資安事件的處理依據。,第五章 企業網路存取控制,25,5.3 稽核使用者存取,如左圖所示，Windows作業系統可以提供以下之稽核項目：稽核目錄服務存取稽核系統事件稽核物件存取稽核原則變更稽核特殊權限使用稽核帳戶登入事件稽核帳戶管理稽核登入事件稽核程序追蹤稽核目錄服務存取針對微軟所提供的動態目錄服務執行稽核的動作。稽核系統事件記錄使用者重新啟動電腦或關機、會影響系統安全性的事件，建議管理者啟動該項設定。稽核物件存取記錄使用者存取系統存取控制清單中物件的事件。稽核原則變更 每次權限指派原則、稽核原則或信任原則變更時都要記錄，這項資訊有助於帳戶管理及事後鑑識，以確定是誰成功地修改了網域中或個別電腦上的稽核原則。,第五章 企業網路存取控制,26,Windows作業系統提供之稽核項目,5.3 稽核使用者存取,稽核特殊權限使用每當有人使用權限時，就產生稽核事件。稽核帳戶登入事件每當使用者登入或登出系統時，就產生稽核事件。這項資訊有助於帳戶管理和事後鑑識，以確定誰成功的登入及登入哪一台電腦。稽核程序追蹤記錄程序事件，包括程式啟用、處理程序結束、間接物件存取等等。啟動這項稽核功能在資安事件發生時可從詳細的記錄檔中追蹤曾經被執行過的程序以及執行的時間等等，但缺點是會產生大量的記錄。稽核登入事件記錄使用者每次登入、登出或網路連線事件。稽核帳戶管理記錄系統上每個帳戶管理的動作，例如建立、刪除帳戶或群組，變更帳戶管理等等，當發生資安事件時，這項資訊可以用來追踪是誰建立、變更或 刪除帳戶。左上圖為設定稽核項目的畫面，選項可以複選；左下圖為Windows日誌檔的畫面，黠選控制台系統管理工具事件檢視器安全性就可以看到相關的事件記錄。,第五章 企業網路存取控制,27,設定稽核特殊權限使用,Windows日誌檔,參考資料,網路安全與管理,伍麗樵,陳世仁資安手冊(上、下),I-Security,NII產業發展協進會網路存取控制標準的重要性,Juniper NetworksTrusted Network Connect,Juniper NetworksSite Security Handbook,RFC 1244資訊安全管理,曾龍CNS 17799,經濟部標準檢驗局以角色為基礎之強化型存取控管架構研究,孫彰鴻,吳銜容,王怡婷數位典藏系統之權限控管,張益嘉,林金龍,何建明電子郵件與文件安全,周世雄TechNet資訊安全,微軟電腦應用概況報告,行政院主計處,第五章 企業網路存取控制,28,