Page 178 - 銀行法令遵循策略與實務
P. 178
銀行法令遵循策略與實務
果。類似此類的作業,可評估將管理者的電腦或具操作權限的終
端電腦,使用 Thin client 虛擬桌面或利用 VPN 進行虛擬隔離,
且須將網域隔離,避免一套帳號密碼就可在內網走透透的單一認
證。
另依據風險判斷,將分行電腦、辦公區域電腦、伺服器,
甚至是核心作業的伺服器獨立不同網域 ( 網域切分越細,管理
成本越高 ),尤其使用 Windows 作業系統來安裝 SWIFT Alliance
Access (SAA),若有加入 Windows 網域 (Domain),更須注意網
域的獨立切分,避免因網域管理者帳號密碼外洩,讓駭客有機可
乘,潛入 SWIFT 系統進行操作。 最後,遠端存取使用雙因素認
證,提高認證強度,避免帳號密碼被駭客竊取後可輕易偽造電
文。
規劃核心系統監控機制
許多參與這次事件調查的專家不約而同指出一個重要的觀
點,應注意監控核心系統或關鍵終端機任何可疑的訊息,所有
不該出現任何警示的地方,就算只出現一次警示,都必須進行追
查。在多數的駭客內網入侵案例上,駭客並非一進到銀行內網就
馬上可以存取系統,並進行偽冒盜轉匯款作業。駭客通常須花一
些時間了解內網的環境與架構,在這段內網潛行的期間,駭客會
170

