7.1.2 最低授權原則 (the principle of least privilege)
專家論點
關於保護資訊、系統與帳號管理的原則,重要的電腦科學家、麻省理工學院教授Jerry Saltzer37早於其1975年的經典論文中,即提出「每一支程式與每一位系統授權的使用者,應在使用最少量必要權利的情況下來完成工作。」("Every program and every privileged user of the system should operate using the least amount of privilege necessary to complete the job.")
在1983年美國國防部提出的「可信賴電腦系統評測標準」(TCSEC,俗稱橘皮書) 中,也有類似的概念,此項原則在設計有資訊安全考量的電腦軟體時相當重要,至今不變。
權限管控的重要性
ERP系統因為牽涉到交易型態控管、跨部門資訊分享、集團資料交換與全球運籌管理,層次控管選項 (系統權限設定) 深入且功能相牽連,如果權限風險做得不到位,則其影響會超乎想像。ERP系統授權風險可源於使用者存取權限過大,亦即某使用者被授予了在他完成工作時完全使用不到或不需要的權限。
例如,原本應單獨屬於會計主管的會計主檔維護權限同時也被授予他人,不當的授權使得外部人變成了內部人 (「存取控制」資安服務失靈),會計資料可能會被不當的異動/竄改,造成相關作業錯誤 (破壞了資料完整性),影響了財務報表與成本結算的正確性。
然而錯誤或舞弊事件發生時,無法及時找出問題所在加以解決,於發生後調查時,也難以釐清責任 (失去了可歸責性),讓企業曝露在極高的風險當中。這一切皆歸因在ERP系統導入階段的系統設定權限當時,即未能遵循最低授權原則,而致使系統使用後患無窮。
ERP應用層安全考量
在網路時代,ERP系統所牽涉到的安全問題可以從三個面相來討論,分屬於網路層、表現層與應用層 (network, presentation, and application layers) 三種類別。但就ERP系統用戶而言,我們聚焦在應用層 (即使用者直接操作的應用程式,如ERP系統各模組) 的安全考量上。
在應用層,ERP專家致力於保護商業資料與商業流程,而ERP系統業者在設計時,也會基於全盤安全設計的考量,選擇搭配所使用的資料庫管理系統 (Database Management System, DBMS) 本身即有的安全功能。
荷蘭資訊安全專家Van de Riet針對ERP系統的安全歸納了以下重點,作為本節的結束:38
1. 必須有安全政策與系統管理者。
2. 使用者身分驗證機制;
3. 分權管理,特定事只能由特定人員或職務執行。
4. 存取資源必須經過授權。
5. 使用時間的限制條件。
6. 日誌與可追蹤性。
7. 資料庫安全。
7.1.3 ERP系統安全問題的重要性與顧慮
ERP系統安全重要性
本節延續前面的介紹,我們整理了ERP系統安全的重要性,應有以下三點認知:
1. ERP系統包含了最多的商務功能,使得ERP系統的安全管控變得複雜。
2. ERP系統執行極為複雜,使用了成千上百的表格與選擇方案。
3. ERP系統的整合性若高,則對某一模組的變動,可能引發另一個模組難以預期的錯誤風險。
ERP系統運作五大安全問題
至於ERP系統運作時,企業必須考慮下列五大安全問題:
1. 對於存取控制、使用者背景檔案與使用者服務開通的管理不理想。
2. 未能偵測到異常交易的執行。
3. 資料缺乏保密性與完整性。
4. 當機問題的處置。
5. 職責分離之必要與稽核ERP系統:(1)交易起始 (籌獲或出售)、(2)交易授權、(3)交易紀錄、(4)資產保管、(5)固定資產調節與負債、(6)稽核ERP系統設計。
由於ERP系統牽涉到多樣且複雜的交易型態控管、跨部門跨公司間資訊分享、集團企業間資料交換與分享、全球運籌智慧管理等,各項作業之間互相關聯牽扯,與一般單一功能的資訊管理工具運作難以相提並論,其安全問題也相對變得複雜。以授權管控為例,就必須從導入開始就要做對做好,這也是拉長防禦縱深原理的實踐。
7.1.4 ERP系統的安全防禦授權管理
以角色為基礎的存取控制
資料庫管理系統通常預設使用者已經被電腦系統驗證過合法身分,所以,資料庫管理系統將重心放在資料庫中個別部分的存取控制防護機制上,存取控制權的限制範圍可含括到整個資料庫、個別的表單、表單中個別的行、列或欄位等。
此外,在資料庫或ERP系統的使用者中,個別的使用者所被授權存取的程式、資料或流程不盡相同,必須要根據個別的職務身分來指定不同項目的授權組合 (屬於自己的授權套案),此種模式由美國國家標準局提出,稱為「以角色為基礎的存取控制」(Role-based access control, RBAC) 模式。
MF2000的權限管理設計,採用結合資料庫管理系統與個別職務身分授權組合的方式,符合資訊安全防護之洋蔥式防禦模型 (圖7-3),拉長保護資料的防禦縱深,確保用戶的利益。39
應用層軟體的安全防禦縱深模式可舉例說明如下40。假設有一財務長在家中或出差在外,須要透過網路遠端簽入回公司的系統來更改某一客戶的資料。他必須以手邊的電腦透過網際網路與公司建立安全的連線 (VPN),方能進入公司的ERP系統。 |