前言
當今數位時代,證券商的資安發展變得尤為重要,隨著證券電子交易佔比率愈高和客戶資料的數位化,證券商面臨著越來越多的網路威脅和資料洩露風險,資安防護不完善可能會導致服務中斷及外洩客戶的重要資料,破壞市場的穩定性和信任度。自109年9月總統府公告「資安即國安」資安戰略報告,將資安提升至國安層級,分別為打造國家資安機制,確保數位國家安全;建立國家資安體系,加速數位經濟發展;推動國防資安自主研發,提升產業成長。因此,強化資安已成國家發展之重點,又證券業擔負著我國資本市場健全營運之重責大任,如何確保證券商資通安全及提供不中斷的交易服務已成為證券業的重要目標,但資安必須持續不斷地投入資源,卻難以精準量化其成效,故組織常囿於其難以估算成效,而不易分配妥適的資源,得以持續投入精進資安防護,又組織的規模大小往往牽動市場風險比重,這些因素的種種影響下,要如何將有限的資源精準運用在資安防護上,是現在資安防護推動的一大難題,因此金融監管理委員會證券期貨局(以下稱主管機關)係參考資通安全管理法(以下稱資安法)之責任分級原則,將證券商依實收資本額或指撥營運資金作為分類依據,共分為四個級別,依據前揭條件新台幣達200億以上為第一級證券商,100億以上未達200億為第二級證券商,40億以上未達100億為第三級證券商,未達40億為第四級證券商,臺灣證券交易所再依各所屬級別訂定「建立證券商資通安全檢查機制-分級應辦事項附表」,以確保所屬各級證券商得以落實法規要求,以達資安防護最大綜效。本文係說明上開分級防護應辦事項附表內強化措施之內容,並提供建置之相關建議內容,期望可以對於相關措施有進一步瞭解。
證券商資安分級防護應辦事項之設置
臺灣證券交易所於109年8月25日就「證券期貨商資訊安全防護標準研究報告-以資通安全管理法為基準」方案之建議事項,並參照「資通安全管理法」之「資通安全責任等級分級辦法」修訂之建立證券商資通安全檢查機制-分級防護應辦事項附表,相關強化措施之適用範圍及說明如下:
- 一、資訊安全管理系統之導入及通過公正第三方之驗證:
適用於第一至三級證券商,前揭證券商應導入資訊安全管理系統(ISMS),並通過公正第三方之驗證,導入範圍為核心系統,如核心系統為初次受核定或等級變更後之二年內,需完成導入CNS 27001 或ISO 27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準,或其他公務機關自行發展並經主管機關認可之標準,於三年內完成公正第三方驗證,並持續維持其驗證有效性,本項措施重點如下:
-
- 完成風險評鑑:
- 分析組織面臨的風險,辨別外部威脅來源與內部脆弱點,釐清降低風險的安全控制點,進行衝擊分析,計算並決定可接受風險等級。
- 建議風險管理機制(如降低、移轉、避免或接受),選取適當的安控目標與控制點,完成風險處理計畫並通過組織審查。
- 建立ISMS系統四階文件:依計畫進度完成符合ISO 27001資訊安全管理系統標準要求,遵循內部控制制度之相關四階文件並完全通過組織審核。
- 內部稽核:修訂 ISMS 系統內部稽核制度及訂定年度稽核計畫,並持續改善ISMS流程。
- 委請第三方驗證,並就所見缺失進行改善:確保組織核心系統之ISMS運作符合ISO 27001標準,委請公正第三方驗證,並進行後續兩年之追查稽核。
- 完成風險評鑑:
- 二、資安人員取得資通安全專業證照(參考資安法資通安全專業證照清單含管理類及技術類):
適用於全體證券商,於初次核定所屬級別或變更後一年內資通安全人員應依所屬分級取得數發部資通安全專業證照清單之證照。本項措施重點為強化證券市場之整體資安防護量能,並因應金融資安行動方案之深化資安治理構面項下加強資安人才培育之具體措施,以利證券市場資安之全面防護,完備各組織內資安維運所需職能。
- 三、資訊系統分級:
適用於全體證券商,對於初次受核定或等級變更後之一年內,針對自行或委外開發之資訊系統完成分級;其後應每年至少檢視一次資訊系統分級妥適性,本項措施係以風險基礎進行考量,為確保資源有效運用於重要系統,現行證券商多以二分法方式區分核心系統與非核心系統,並就核心系統聚焦資源配置及訂定相關資安控管措施,以提升營運韌性及強化資安防護。
- 四、建置網路防火牆:
適用於全體證券商,組織應擬訂網路防護策略,降低惡意攻擊的風險,避免組織資訊系統造成重大損害,建置網路防火牆之實作方式如下:
-
- 規劃組織網路架構。
- 挑選妥適之防火牆網路設備。
- 依據組織網路架構確定防火牆之位置。
- 設定防火牆之規則。
- 檢測防火牆有無正常運作。
網路防火牆有以下類型:網路層封包過濾、狀態偵測防火牆、代理伺服器防火牆、整合威脅管理 (UTM)防火牆及新世代防火牆 (NGFW)。惟考量防護能力建議應含有以下功能:
-
- 規則可以依黑名單或白名單方式設定。
- 具備使用及設定紀錄儲存,並支援遠端存放功能。須提供即時告警功能、具備 VPN 功能。
- 可識別應用程式、防護加密流量。
- 五、導入防毒軟體:
適用於全體證券商,組織應訂防毒策略,降低惡意攻擊之風險,避免對重要系統造成重大損害,另防毒軟體建議應可自動更新並部署至各設備,且經防毒軟體評鑑機構評鑑如AV-Test、AV-Comparatives、Virus Bulletin等;並能偵測:病毒、蠕蟲、木馬程式、間諜程式、廣告軟體、Bot、零時差 (Zero-Day) 攻擊威脅、Rootkit 等惡意程式,以確保其防護能力。另建議實作方式如下:
-
- 制定組織防毒軟體規範
- 管控所有進出連線
- 建立惡意網站黑名單
- 設置獨立專用媒體掃描設備
- 強化員工資安意識
- 六、電子郵件過濾機制:
適用於全體證券商,近年來網路釣魚與社交工程攻擊案例頻傳,除人員訓練管理外,透過強化電子郵件系統之監控,可以降低組織遭受前揭攻擊之頻率,電子郵件過濾機制建議應含以下功能:
-
- 可以過濾垃圾郵件、惡意威脅信件、進階威脅特定信件、病毒攻擊信件、社交工程信件等規則之機制,杜絕外來黑名單等不正當信件的入侵。
- 具有郵件紀錄備份備援、附件管控、遠端調閱、密碼強度檢測、防偽偵測、進階防禦等功能。
- 提供完善鑑別日誌,以供後續稽核之用。
- 七、系統滲透測試:
適用於第一至三級證券商,應依所屬資安分級定期辦理,周期為1~2年,滲透測試係透過模擬特定方之攻擊模式,對系統、網路與相關連網設備進行安全強度的測試,以找出資安漏洞,並提供改善建議及協助修補相關漏洞後再次複測,以確認完成修補作業,有效降低資安風險。本項措施應就以下類型之類別項目進行測試:
-
- 作業系統類別:遠端服務、本機服務。
- 網站服務類別:設定管理、使用者認證、連線管理、使用者授權、邏輯漏洞、輸入驗證、Web Service、ajax。
- 應用程式類別:電子郵件服務模組、網站服務模組、檔案傳輸模組、遠端連線服務模組、網路服務模組。
- 密碼破解類別:密碼強度測試。
- 無線服務類別:無線服務弱點測試。
另執行系統滲透測試作業之相關人員應受過訓練及具專業證照如CEH、CPENT、CompTIA PenTest+、CPSA、OSCP或其他資安相關專業證照,且相關實作流程建議如下:
-
- 確認測試範圍及期間。
- 確認測試的方法及使用相關的工具。
- 資訊蒐集及弱點掃描。
- 取得與提升系統權限。
- 分析攻擊結果並出具測試報告。
- 就報告結果進行修補與測試。
- 八、資通安全健診:
適用於第一至三級證券商,依其所屬資安分級定期辦理,其週期為1~2年,本項措施係透過專業的程序,檢查及評估組識的資通安全狀況,嘗試發現組織潛在資安風險,並透過分析前揭風險制定相關防護措施或調整配置架構,以強化組織整體資通安全。資通安全健診建議包含以下項目:
-
- 網路架構檢視。
- 網路惡意活動檢視。
- 使用者端電腦檢視。
- 伺服器主機檢視。
- 目錄伺服器設定檢視。
- 防火牆連線設定檢視。
- 九、建置資通安全威脅偵測管理機制:
適用於第一至三級證券商,資通安全威脅偵測管理機制,一般稱為SOC監控服務 (Security Operation Center),係透過建立平台整合組織內部各平台或設備之資安訊息,收集範圍包括全組織環境,以提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析結果及強化建議措施,有效管理各種資安警訊,並透過整合性平台資安監控,讓組織可以即時瞭解內外部資安威脅,發現可能產生的資安風險,在第一時間內對資安事件做應變處理,將傷害降至最低。有關建置資通安全威脅偵測管理機制之建議實作方式如下:藉由架設事件收集器主機,納管防火牆 (Firewall)、入侵防禦系統 (IDS/IPS)、網站應用防火牆 (WAF)、防毒系統、端點防護(EDR/MDR)、資料外洩防護 (DLP) 等資安設備、重要系統及作業系統日誌,分析後進行關聯分析,判斷是否有潛在資安全威脅。
- 十、建置入侵偵測及防護機制:
適用於提供網路下單之全體證券商,本項措施係指證券商應建置入侵偵測防護系統(IDS,Intrusion Detection System)或入侵防護系統 (IPS, Intrusion Prevention System),其中IDS係為可偵測入侵並發出告警及記錄入侵資訊之資安防護系統,而IPS同為資安防護系統,不僅可偵測入侵,還能主機進行阻斷,防止進一步的攻擊發生。本項措施係建置前揭防護機制透過監視網路或網路設備的網路資料傳輸行為,當偵測到不正常或具有攻擊性的網路資料傳輸行為時,能夠採取適當的防禦措施,免受惡意攻擊之影響。有關建置入侵偵測及防護機制之建議實作方式如下:
-
- 建立蒐集主機資訊及相關網路連接資訊、作業系統資訊、應用程式資訊及網路特性資訊等蒐集能力。
- 建立可識別事故 (Incident) 型態的能力,例如阻絕服務攻擊、後門程式(Backdoor)、違反政策 (PolicyViolation)、通訊埠掃描 (Port Scan)、惡意軟體 (Malware)( 如蠕蟲、特洛伊木馬、惡意碼等 ) 及未經授權應用程式 / 協定,諸如 P2P 的使用。
- 建立供執行分析、確認告警正確性、事件及事件紀錄關連,包含郵戳(Timestamp)、事件型態、事件來源與處理方式等 機制及相符的 CVE 編號與影響程度等資訊,以修正政策設定如變更白名單 (Whitelist)、黑名單 (Blacklist)、定限 (Threshold) 等安全能力。
- 十一、建置應用程式防火牆:
適用於提供網頁下單服務之證券商,應用程式防火牆(Web Application Firewall)是一種專門用來保護網頁及網站的防火牆,與一般的防火牆不同,主要能針對檢測和防止網頁應用程式的各種攻擊,例如常見SQL注入、跨網站腳本攻擊(XSS)、阻斷式攻擊(DDoS),實務上常見到其應用。本項措施係為導入前揭資安防護系統,用於保護網站及網頁避免其遭受惡意攻擊。有關應用程式防火牆建議含以下功能:
-
- 可針對最新版 OWASP TOP 10 攻擊行為進行偵測與攔截。
- 符合信用卡國際組織 PCI DSS標準。
- 可防止或降低 DOS/DDOS 之攻擊。
- 具備辨識敏感資料洩露功能,例如身份證字號、持卡人資料。
- 十二、建置進階持續性威脅攻擊防護措施:
適用於第一級證券商,本項措施係為因應進階持續性威脅 (Advanced Persistent Threat,APT) 攻擊滲透的策略與手法,透過精心策劃的鎖定目標攻擊,不同於傳統特徵碼導向的安全機制,藉由長期潛伏在組織的系統當中並避免偵測,待適當時機進行攻擊,進階持續性威脅之網路攻擊主要可以分為七個階段:偵察、誘餌、重導、漏洞攻擊、下載檔案、回報通訊、竊取資料,組織必須不斷提升資通安全防護能力,才能偵測並防止這些新興攻擊和持續滲透。建議實作內容如下:
-
- 提升資安意識:提升組織內全體人員資安意識。
- 即時入埠分析:對於外部連至內部的連線應有分析能力,如對惡意程式分析及下載掃描、分析動態網頁內容及機器人網路攻擊偵測等。
- 即時連外防護、外洩防護及內容分析:分析對外傳輸之可疑文件、阻擋駭客客制化加密、偵測系統密碼外流、防止惡意程式下載及對外異常連線告警。
- 十三、交易相關網路直接連線設備不得使用危害國家資通安全產品:
適於全體證券商,本項措施係考量四合一及主機共置服務網段對市場交易之重要性,爰參考數位發展部之「各機關對危害國家資通安全產品限制使用原則」,要求不得使用危害國家資通安全之產品。
- 十四、業務持續運作演練:
適用於第一至三級證券商,範圍為核心資訊系統,並依其所屬資安分級定期辦理,本項措施係為確保作業韌性,並實證組織等備份與備援環境運作機制於關鍵時刻能有效運作,爰辦理業務持續運作演練,並就演練結果,持續調整精進。業務持續作演練應含以下內容:營運持續計畫,核心系統備援措施、人員職責、應變作業程序、故障復原程序、資源配及演練結果檢討改善。
- 十五、網路活動異常監控:
適用於全體證券商,本項措施係為組織應對異常及不明來源IP連線進行監控分析及留存紀錄,如有發現下列情形,應設有警示機制,並定期檢視以確認機制有效運作:
-
- 同一來源IP登入不同帳號達一定次數以上。
- 同一帳號在一定時間內由不同國家登入。
- 發現異常來源(如金融資安資訊分享與分析中心F-ISAC公布之黑名單或國外IP)嘗試登入。
- 十六、核心系統重要組態設定檔案加密:
適用於第一至三級證券商,組織應對核心系統重要組態設定檔案及其他具保護需求之資訊進行加密或以其他適當方式儲存。本項措施經分析駭客攻擊之資安事件,發現部分駭客係透過存取重要組態設定檔案,取得重要或核心系統帳號,進而造成資安事件之發生。
- 十七、核心系統帳號使用管控:
適用於第一至三級證券商,本項措施係為組織應訂定對核心系統之閒置時間或可使用期限與核心系統之使用情況及條件(如:帳號類型與功能限制、操作時段限制、來源位址限制、連線數量及可存取資源等),本項措施係為避免帳號淪為外部攻擊使用,藉由限制帳號之閒置及可使用期限併來源位址限制等相關措施,有效控管帳號之使用。
- 十八、交易主機建置異地備援機房:
交易主機建置異地備援機房:適用於第一至三級證券商,組織之交易主機應建置異地備援機房,本項措施係為強化組織持續營運作業韌性,確保組織於核心系統遭受中斷事故,可有效執行應變措施,將損害降低至可承受範圍,以達成營運不中斷目標。建議實作方式:
-
- 瞭解電腦機房異地備援需求。
- 發展電腦機房異地備援機制策略。
- 制定和實施電腦機房異地備援機制。
- 藉由演練、測試與持續改善異地備援機制。
臺灣證券交易所推動成果
為協助證券商落實資安分級防護應辦事項之相關法規,本公司採獎勵補助方式持續輔導,謹以技術與管理面向說明本公司推動成果:
- 技術面:為優化證券商資通安全環境,並考量第四級證券商規模及資源限制,本公司推動第四級提供網路下單服務之證券商建置網路資安防禦機制,補助前揭證券商建置入侵偵測與警示系統(IPS/IDS)及網頁應用程式防火牆(WAF)二項防護措施,並於112年開始持續提供5年獎勵方案,期間符合建置條件之證券商均已完成前揭二項防護措施,並正式運行。自109年底公布證券商資安分級防護應辦事項後,實行已歷經三年,證券商業已陸續完成相關應辦事項,且具相當成效,證券商藉由建置網路防火牆、應用程式防火牆、入侵偵測及防護機制建立外部防線,透過建置資通安全威脅偵測管理機制整合主機及連網設備之事件收集並分析識別風險,構築縱深防禦資安防護架構,導入電子郵件過濾機制及防毒軟體,以防止惡意程式及垃圾信件等攻擊。為識別內部脆弱節點,透過資通安全健診與系統滲透測試,瞭解並修補相關弱點,以全面提升資安防護能力。
- 管理面:輔導證券商核心系統導入ISMS架構,並通過公正第三方驗證,以強化資安治理;並配合主管機關發布之「證券期貨業永續發展轉型執行策略」及「金融資安行動方案2.0」之資安強化措施,增設證券商資安人員及輔導其取得資安證照。為此,本公司規劃並開辦ISO27001主導稽核員相關課程,獎勵補助第四級證券商之資安人員取得相關資安證照,補助27家證券商之資安人員取得國際專業資安證照,以達深化資安治理之目標。強化市場作業韌性,本公司亦為落實「營運持續」及「故障復原程序」演練作業,派員偕證券商進行相關備援演練作業,實際瞭解持續營運量能及合理性,另輔導證券商建置異地備援機房,降低服務中斷之風險,以強化證券市場之作業韌性。
結語
冰凍三尺,非一日之寒,資安風險的產生係由外部威脅與內部弱點交互作用而成,近年證券商陸續因發生DDos攻擊,駭客攻擊、撞庫攻擊造成系統異常,進而導致交易服務中斷或是重要資料外洩,而每一次資安事件的發生往往都可歸因於日常防護的不足,以及未落實辦理資安規範,故輔導證券商落實法規要求,進而提升資安防護能力,才能有效降低資安事件發生的頻率;然而提升資安防護能力並非一蹴可幾,而是要有良好的管控制度與優秀的人才及先進的工具相輔相成,方能水到渠成。近幾年來,臺灣證券交易所在主管機關領導下,持續輔導證券商強化資安防護,已完成相關法規、內控規範等修訂,並偕周邊單位陸續完成5本資安指引,強化了新興科技資通安全、資通系統安全防護基準、網路安全防護、供應鍊風險管理、資訊作業韌性等幾個面向,並參考上開指引內容持續精進並完善資安法規。我們都知道,資通安全是不可缺失的一環,但是要構築資安無疑慮的環境,是需要一步一腳印,逐一地完成每一項應準備的作業,若裹足不前,必會有今天不作,明天就會後悔之缺憾。強化資安是一條只能前進的道路,在道路的周邊不斷會有新的事物與新的威脅迎面而來,惟有不斷強化自身防護能力及掌握情勢變化與時俱進,才能站穩腳步,持續前進並配合主管機關打造追求安全、便利、不中斷的金融資訊服務及穩健的資本市場。