資安法規
對應 DBSAFER 功能
控制措施 01:資通系統閒置帳號應禁用.
- Session Lifecycle Manager(會話生命週期管理)
- Access Account Manager(帳號管理)
- DB Session Kill(數據庫會話強制終止)
- Policy Violation Report(政策違規報告)
- Admin Action Tracker(管理員行為追蹤)
- Secure Login Options(安全登入選項)
DBSAFER可以設定如果帳號超過30天未登入直接鎖定帳號無法登入,需開單請管理者解除帳號鎖定。如AD帳號被標記為閒置的帳號也會同步到DBSAFER。
1.Access Account Manager(帳號管理)
監控系統內部帳號的使用狀況,當帳號長時間未使用(閒置)時,自動停用或刪除。可設定閒置時間限制,如 30 天未使用的帳號將被停用,90 天未使用則刪除。
2.Session Lifecycle Manager(會話生命周期管理)
設定帳號的使用條件與存續時間,確保長期未使用的帳號被自動禁用或限制存取。
3.DB Session Kill(數據庫會話強制終止)
若發現閒置帳號仍保持登入狀態,系統可自動終止其連線,防止未授權存取。
4.Policy Violation Report(政策違規報告)
定期產生帳號使用狀態報告,發現長期未使用的帳號並標記高風險帳戶。針對超過預設閒置時間的帳號,自動通報管理員並執行停用動作。
5.Admin Action Tracker(管理員行為追蹤)
追蹤管理員是否有定期檢查並停用閒置帳號,確保符合機關或企業的資安政策。
6.Secure Login Options(安全登入選項)
可設定自動失效機制,確保帳號在超過閒置時間後自動被停用或刪除。
控制措施 02:定期審核資通系統帳號之申請、建立、修改、啟用、停用及刪除。
- Admin Action Tracker(管理員行為追蹤)
- Policy Violation Report(政策違規報告)
- Access Account Manager(帳號管理)
- Approval Workflow Manager(帳號審批流程管理)
- Session Lifecycle Manager(會話生命周期管理)
- Secure Login Options(安全登入選項)
可以在DBSAFER設定每30天或60天自動審核所有帳號狀態。
1.Access Account Manager(帳號管理)
集中管理系統帳號,包含申請、建立、修改、啟用、停用及刪除的完整生命週期管理。允許設定帳號存續期限,確保臨時或閒置帳號不被長期保留。
2.Admin Action Tracker(管理員行為追蹤)
記錄管理員對帳號的操作歷史,包括帳號創建、權限變更、刪除等,確保變更可稽核與追蹤。可產生帳號管理報告,供資安負責人進行定期審查。
3.Approval Workflow Manager(帳號審批流程管理)
強制帳號變更需經過多層審批,確保申請、修改、啟用、停用等流程符合安全政策。記錄審批歷史與決策過程,確保符合合規要求(ISO 27001、CNS 27001、PDPA)。
4.Policy Violation Report(政策違規報告)
定期產生帳號審核報告,監測帳號異常變更,如:
未經授權的帳號啟用或停用
異常帳號申請與權限變更
發現違規行為時,自動通知管理員或資安負責人。
5.Session Lifecycle Manager(會話生命周期管理)
針對已停用或刪除的帳號,自動終止所有存取會話,防止帳號遺留風險。
6.Secure Login Options(安全登入選項)
設定帳號自動停用條件,確保長期未使用或過期帳號不會被濫用。
控制措施 03:建立帳號管理機制,包含 帳號之申請、建立、修改、 啟用之程序。
- Access Account Manager(帳號管理)
- Approval Workflow Manager(帳號審批流程管理)
- Admin Action Tracker(管理員行為追蹤)
- Policy Violation Report(政策違規報告)
- Secure Login Options(安全登入選項)
- Session Lifecycle Manager(會話生命周期管理)
在WORKS內可以事先設定好審核人員,任何的新增、變更都需經過審核人員審核過才可生效。
1.Access Account Manager(帳號管理)
管理所有帳號的生命周期,包括帳號的申請、建立、修改、啟用、停用與刪除。可設定不同類型的帳號,如臨時帳號、特權帳號、一般使用者帳號等,確保安全管理。
2.Approval Workflow Manager(帳號審批流程管理)
帳號變更需經過審批機制,確保新帳號申請、權限變更、帳號啟用符合組織的安全政策。允許設定自動審批或多層審批機制,提升帳號管理流程的安全性與合規性。
3.Admin Action Tracker(管理員行為追蹤)
追蹤管理員對帳號的操作歷史,確保帳號的申請、建立、修改、啟用流程有完整紀錄並可稽核。可生成帳號變更歷史報告,以供資安人員定期審查。
4.Policy Violation Report(政策違規報告)
監測帳號管理機制是否有異常,如:
未經授權的帳號建立或啟用
異常權限變更(例如普通使用者帳號被提升為管理員)
若發現異常行為,系統可自動通報資安負責人。
5.Secure Login Options(安全登入選項)
可設定帳號啟用條件,如強制進行雙重驗證(2FA)、密碼策略管理,確保帳號安全性。
6.Session Lifecycle Manager(會話生命周期管理)
確保帳號在啟用後有明確的存取時間、閒置時間與過期時間,避免帳號被長期未授權使用。
控制措施 04:採最小權限原則,僅允許使用者(或代表使用者行為之程序)依相關任務及業務功能,完成指派任務所需之授權存取。
- DBPermissionGuard(數據庫權限控制)
- SQL Privilege Manager(SQL 權限管理)
- Access Control Preferences(存取控制偏好設定)
- Admin Action Tracker(管理員行為追蹤)
- Policy Violation Report(政策違規報告)
- Approval Workflow Manager(帳號與權限審批流程管理)
DBSAFER可限制約聘人員只能在DB使用Select語法。
1.DBPermissionGuard(數據庫權限控制)
依據使用者角色、IP 位址、帳號、應用程式等條件設定最小權限存取,確保僅授權使用者能存取指定資料。可設定表格/欄位級別的權限,限制敏感資料的存取範圍。
2.SQL Privilege Manager(SQL 權限管理)
控制使用者執行 SQL 指令的權限(DML、DDL、DCL),確保僅允許符合業務需求的操作,避免過度授權。限制特權帳戶的操作範圍,防止濫用權限。
3.Access Control Preferences(存取控制偏好設定)
允許設定基於角色(RBAC)或屬性(ABAC)的權限管理,確保每位使用者僅擁有完成其業務所需的最低權限。可根據工作職責、存取時段、設備、地理位置等條件設定存取政策。
4.Admin Action Tracker(管理員行為追蹤)
監控管理員是否依最小權限原則配置權限,防止未經授權的權限變更或濫用。記錄所有權限調整的歷史,供資安管理員審查。
5.Policy Violation Report(政策違規報告)
監測是否有違反最小權限原則的異常行為,例如:
使用者存取超出其業務需求範圍的資料或功能
不必要的管理權限賦予普通使用者
發現違規時,自動通報資安負責人,並可產生稽核報告。
6.Approval Workflow Manager(帳號與權限審批流程管理)
確保所有權限變更需經過審批,避免管理員過度授權或未經核准的權限變更。記錄權限申請與核准歷史,確保合規性。
控制措施 05:應記錄資通系統管理者帳號所執行之各項功能。
- Admin Action Tracker(管理員行為追蹤)
- Secure Log Seal(安全日誌封存)
- Policy Violation Report(政策違規報告)
- Real-Time Command Monitor(即時指令監控)
- Session Log Search(會話日誌搜尋)
- DBAccessShield(數據庫存取防護)
可在 Enterprise manager 內的Log功能查詢到所有的操作動作。
1.Admin Action Tracker(管理員行為追蹤)
監控並記錄所有管理員帳號的操作行為,包括:
帳號與權限變更(新增/刪除使用者、調整權限)
系統設定變更(防火牆、存取控制、日誌設定)
數據庫與系統管理操作(登入、資料存取、指令執行)
確保所有管理員行為有完整日誌記錄,可供稽核與合規檢查。
2.Secure Log Seal(安全日誌封存)
確保管理員操作日誌不可篡改,所有行為記錄都經過加密與完整性保護。
符合 ISO 27001、CNS 27001、PDPA、GDPR、PCI-DSS 等日誌保護規範。
3.Real-Time Command Monitor(即時指令監控)
記錄並監控管理員在系統內執行的指令(SQL 操作、系統命令、配置變更)。若發現異常操作(如未授權刪除日誌、批量修改帳號),可即時警報或封鎖行為。
4.Policy Violation Report(政策違規報告)
自動偵測未經授權的管理員行為(如非工作時間登入、異常權限提升)。定期產生管理員行為報告,確保所有操作符合法規與內部政策。
5.Session Log Search(會話日誌搜尋)
允許管理員搜尋並分析所有管理員操作日誌,快速定位異常行為。支援時間範圍、使用者、操作類型的篩選與關鍵字查詢,確保可追溯性。
6.DBAccessShield(數據庫存取防護)
記錄管理員對數據庫的所有存取與操作行為,確保數據庫安全合規。可限制管理員的數據存取範圍,避免過度授權與濫用權限。