做好稽核及日誌管理　落實資安解決方案

Novell台灣區資深產品技術經理 蔡政霖。

許多政府或金融單位都已經開始重視資訊安全的管理，包括帳號整合、工具應用等，都積極進行集中化的控管及分析，對企業競爭力的影響也日漸提高。但台灣網威資深產品技術經理蔡政霖指出，很多企業常常一窩蜂跟潮流，道聽塗說，而忽略內部是否真的有需求；如果沒有建立正確的資安觀念，做好資訊安全規劃的難度勢必會提高。

帳號權限及稽核日誌管理都要做好

蔡政霖指出，資安規劃策略的依據，包括個人資料保護法、內部與外部威脅及目標，如建置符合IT GRC策略的方案架構，以達成帳號與權限管理自動化目標，符合法規稽核與日誌管理驗證要求等。值得注意的是，由於內部的威脅其實十倍於外部的威脅，許多IT人員也開始感覺到日誌管理的重要性。

解決IT資源與人員的複雜關係，更是IT人員的責任。其中使用者包括員工(駐外、內部、約聘、臨時雇員)、外包合作夥伴、廠商等，要考慮的管理範圍，包括密碼管理、存取安全、權限管理精準度、幽靈帳號、管理成本及作業效率、帳號資料一致性、認證與稽核等。

為了處理前述的複雜問題，蔡政霖認為，唯有透過帳號與權限管理，以及稽核與日誌管理，才能做到有效控管。如帳號與權限管理必須做到集中化的管理，稽核與日誌管理則是要做好保存的動作。

帳號與權限管理要做到自動化

帳號與權限管理首先要按規則做到自動化，如人員只要更換部門，帳號權限就會自動改變，或是按管理者的授權設定，執行自動化規則，如Lock、Reset、同步等。

蔡政霖指出，特殊權限的帳號，包括申請、核可及回收，其實很難管理，因此也可考慮按照申請與可的程序執行自動化，讓一般使用者能在企業入口網站做申請，或是在特定時間使用特殊權限，如安裝軟體、拷貝檔案。但一定要嚴加控管，申請才能拿到，用完就回收。

由於系統管理者等人經常共用特權帳號，往往會造成責任歸屬的問題，也經常帶來風險。因此，蔡政霖指出，即使是受信任的管理者，也不需要長時間使用特權帳號，如果沒有制度妥善管理，將會帶來非常大的風險。

做好稽核與日誌管理 才能釐清責任

蔡政霖根據Gartner Best Practices，建議企業在管理特權帳號時，要注意的重點，包括：減少特權帳號數量，以及持有特權帳號的使用者數量，只要能滿足作業需求即可；限制特權帳號只能在特殊的情況下使用；減少「共用」特權帳號的數量，以及使用的機會；不同類型的帳號，應該要透過自動化，有不同的作業流程，以控管特權帳號和密碼的使用；建立監控稽核機制，釐清責任，符合法規。

最重要的就是落實「最少權限原則(Principle of Least Privilege)」，最少的權限才是最安全的。此外，整體方案設計還必須考慮是否符合資安稽核的帳號管理、主機權限與稽核歸管理、日誌保存與即時安控管理。蔡政霖強調，由於風險難以杜絕，因此一定要做好稽核與日誌管理，才能找出需要修改的地方，讓風險發生的可能性降至最低。

蔡政霖指出，有了稽核與日誌管理的配合，可以有效補足並延伸帳號與權限管理方案中，有關稽核與報告的功能與視野，是想要落實資安政策執行的企業，值得參考的方向。