網路防火牆是企業資安防護的第一道防線。本文透過金融業對網路防火牆管理的案例,解析企業如何建置完善的網路防火牆管理機制,提出網路防火牆管理重點,作為企業完善網路安全機制,有效降低資安風險的參考。
監理要求下網路防火牆管理重點
針對企業進出網路的IP封包過濾不足,是常見的網路安全問題之一。為此,金融監督管理委員會(以下簡稱「金管會」)建議企業參考證交所發布的《上市上櫃公司資通安全管控指引》及數位發展部資通安全署的規範指導方針。《上市上櫃公司資通安全管控指引》第十八條指出,上市櫃公司應建立網路防火牆資安控制措施,以加強網路安全管理。若涉及對外服務的核心資通系統,應設置應用程式防火牆,確保解密封包中的資料,對網路流量深入檢查。此外,依據數位發展部資通安全署公布之《資訊安全業務內部控制制度共通性作業範例》指出,在網路存取控制方面,應依網路服務設有通訊閘道管制過濾網域間資料的存取(如網路防火牆);在作業管理方面使用網路防火牆應檢查符合組織需要之設定,並應設有檢測連線的來源位址與目的位址網路路由之控管措施。
個案公司簡介:深耕資訊安全,建構堅實防線
個案公司為金融服務公司,是金管會高度監理的行業,故需建立完善的資通安全管理措施,因此個案公司在資訊安全管理機制方面,資訊部門營運與客戶管理系統維運,已通過ISO 27001資訊安全管理系統(Information Security Management System)與BS10012個人資訊管理系統(Personal Information Management System)之外部稽核雙重驗證,顯見個案公司在資訊部門營運與客戶管理系統維運方面的資訊治理具有良好成效,資訊及個資安全領域均已和國際標準接軌。自2012年起已建置網路防火牆之安全控制管理機制,並將網路防火牆管理機制文件化,訂有網路防火牆管理辦法,運行至今已有十多年經驗。網路防火牆管理規範,主要針對網路防火牆之建置、維護與管理各階段之安全設定與安全管理,以確保維持網路連線之安全與正常運作的營運目標。同時,也將網路防火牆管理辦法列入內部控制年度自行評估範圍,每年自行評估防火牆管理內控制度設計與執行之有效性。
網路防火牆管理明確權責分工
個案公司在網路防火牆管理權責方面,主要由網路管理員執行網路防火牆規則設定、更新網路防火牆修正程式、保存網路防火牆相關事件紀錄;資訊部門主管負責覆核網路防火牆稽核與事件紀錄,並針對異常警示事項主動依循緊急反應機制通報;而內部稽核人員會定期執行網路防火牆稽核,確認網路防火牆管理內控制度設計與執行之有效性。
