2017 年

2017-03-29

提升政府整體郵件資安防護能力,從導入一致性的安全組態基準開始
企劃處

行政院資安處於 2017 年推動「資安旗艦計畫」主要透過強化關鍵基礎設施的資安防護措施,提升整體國家資安防護能力。而政府推動組態基準(Government Configuration Baseline, GCB)目的即是為了有效降低惡意行為的入侵管道,避免產生資安事件的疑慮,因此組態設定安全為政府重要的資安防護措施。

 

電子郵件系統組態基準架構

政府推動組態基準的初期計畫,主要是針對使用者環境進行一致的安全設定規範,包含電腦端作業系統 (ex.Windows)與使用者瀏覽器設定(ex.IE, Chrome)開始,將組態基準的規範延伸到系統端,而電子郵件系統(Email system)已是政府機關資安防護措施的重點項目之一,能夠對郵件功能項目提供安全性規範設定,則政府機關可以不用耗費時間,更有效率地完成安全性設定。

 

[電子郵件組態基準架構]

                                        

從電子郵件組態基準架構來觀察,基準分類範圍應包含功能設定、報表盤點、安全監控、使用環境等項目,在從各項目規範安全建議值。以下針對各基準分類說明應該注意的建議設定項目。

 

1.功能設定關閉容易產生資安疑慮設定

主要規範將自動轉寄功能強制關閉,包含登入安全、密碼原則等防止資料外洩設定的安全性設定,例如員工使用自動轉寄功能,將公務信箱信件自動轉寄到個人免費信箱混合使用,如公務信箱發生遭盜用登入,則有心人士可將機敏信件設定透過自動轉寄到指定外部信箱,造成資料外洩的資安事件發生。

 

2.報表盤點帳號是否合法使用為觀察重點

主要規範帳號啟用與關閉的狀況、代理人設定與自動轉寄件盤點報表等,例如有心人士取得權限後將單位「久未登入」的使用者帳號,重新設定啟用,再透過此帳號進行不合法郵件發送行為。因此就安全性而言,系統針對這類型的帳號進行盤點產生報表,提供單位可針對長期未登入使用者可以評估是否關閉該帳號。

 

[盤點久未登入帳號]

 

  [自動轉寄異動報表]

 

3.安全監控異常帳號收發行為主動告警通知

系統針對特殊發信行為、使用者 IP 來源、服務異動進行分析監控。例如檢查短時間大量寄信的帳號,提供系統主動告警,管理者收到通知可以檢查帳號使用相關紀錄,判斷是否為合法的發信行為。

 

4.使用環境:可被信任的環境下進行郵件收發

規範使用者操作環境設定、登入驗證機制、是否使用遵循 CSP規格的瀏覽器

[Content Security Policy Reference] 

資料來源 : CSP 規範說明網站 https://content-security-policy.com

 

透過組態基準可以讓機關落實郵件安全防護,除政府機關導入外,企業單位亦可參照內部資訊安全政策評估,例如,可以立即關閉不合法的自動轉寄或提供機關定期的監控報表,能夠避免因不安全的設定疏忽而造成資安事件。提升電子郵件使用與管理安全是政府機關必須優先重視且刻不容緩的課題。