資安知識庫協助中華郵政安全成長

行政院這幾年大力推動資安，希望各政府單位具備應付來自內部、外力、天然災害或突發事件的影響。歷經1999年921大地震、2004年殺手（Sasser）病毒造成部分自動提款機（ATM）系統當機，去年7月海棠風災導致系統停擺等多起天災與事件，中華郵政資訊處處長呂平佑更是有深刻的體認：資安工作有其必要性與困難度。

中華郵政因為事關儲匯與郵務等民生重大資訊，被行政院分為A級單位，除了必須取得BS7799／ISO17799資安認證，也必須採用資安監控中心（SOC）服務。呂平佑表示，因為在人力有限的情況下，除了將50％資訊系統的開發與維護委外，將資安工作委外也是勢在必行。也因為系統必須逐步開放，行政院要求政府機關取得BS7799認證與導入SOC的規定，等於對接下來不得不開放的網路應用系統增加多重防線，並提供持續改進的方針。

BS7799認證與SOC導入，為網路應用系統增加多重防線
2003年底，中華郵政由勤業眾信顧問輔導導入BS7799／ISO17799，範圍涵蓋資訊處除了郵務處理外的5個科室、臺北郵局網管中心及北門郵局儲匯股等2地、7個單位，一併成立資安專屬組織、建立資安政策、資產清冊，針對核心儲匯系統的資安風險進行評估，並提出風險應變處理計畫，歷時1年3個月，在2005年初正式取得安全認證。

他認為，導入認證最大的效益，就是依據標準建立資安政策和組織，提升全體員工的資安意識與觀念，讓資安工作的運作更為嚴謹外，任何系統在規畫之前，都會進行嚴格的安全評估與審核。

談到資安的重要，呂平佑說，儲匯核心仰賴資訊系統甚深，與大多數金融產業相同，早期多採用大型封閉系統，包括儲匯、物料、財會、人事等重要系統至今仍採用封閉型主機，但隨著政府單位編制萎縮，讓資訊人力逐年精簡，委外範圍也越來越廣，郵局計畫兩年內陸續將人事和財會等次要系統開放委外。

由封閉系統逐步走向開放，資訊安全首當其衝
至於每日處理500萬到800萬筆不等的交易，等於每個月處理約1.4億筆的交易資料的儲匯系統，必須兼顧時效性與安全性，因此仍堅決維持封閉和自行維護，而與中央銀行、聯合信用卡中心等外部網路連外業務。就採用雙層防火牆的防護來加強安全性。

但隨著網路應用的蓬勃發展，網路郵局、自動提款機等新型服務則逐步採取開放，但資安問題與需求也緊跟著浮現，郵局部分的櫃員系統開始採用微軟開放架構時，就面臨資安的嚴峻挑戰。

2004年5月3日可以說是中華郵政難忘的一天，因為殺手病毒（Sasser）的出現，讓1／3的郵局受到波及，420處的電腦系統癱瘓，約有100萬的存戶受到影響，後來只好改採人工作業因應。讓這類微軟系統「漏洞」的老問題，持續受到郵局的關注，將入侵防禦與弱點偵測修補列為重要工作。

「資安知識庫」累積事件發生、處理、回應與追蹤過程
呂平佑進一步解釋，以資訊人員的必修課程「修補程式」來看，業務運作與系統安全通常無法兩全其美，尤其是儲匯這類「不能停擺」的重要系統，必須先在虛擬環境進行測試，確定相容性後再正式安裝修補程式，但中間的難以跨越的漏洞出現到修補「時間差」，就是資訊處必須面對的風險來源，因為這對時間容易受到針對該漏洞的攻擊。

他強調，弱點已經存在，但如何執行才是問題，先要針對弱點進行評估，考量優先順序，針對這個弱點應該做哪些措施，必須在什麼時間完成，在BS7799的規範下，郵局資訊處都必須做詳實的記錄，而這類資料必須定期通報給資訊與資安主管。

對於漏洞修補的修先順序，資訊處也研擬出一套因應之道，要求每一個人員詳細記錄每一個漏動從發現、評估、測試到修補、後續影響等過程的詳細記錄，經由數年的經驗累積，建立一個所謂的「資安知識庫」。後來也繼續將每次資安事件的發生或處理、回應與追蹤過程放進資料庫中，甚至將重大資安事件列為「資安事件專輯」，作為資安供應商、和資訊人員日後事先防範或事後因應的良好教材。

這一個知識庫方法也套用在所有資安監控上，目前中華郵政的資安監控委外的範圍包括防火牆、防毒、入侵偵測與網頁監控、弱點評估管理等等，呂平佑建議，企業在簽定這類委外合約時，多參考專業顧問公司的建議，比較能夠擬出完善無「後顧之憂」的合約，除了每月固定的合約報告，最好要求各個供應商半年提供一次綜合性報告，提醒企業應該注意的環節與改善建議。文⊙高雅欣

CIO觀點
設立CISO拉高資安工作層級
公家機關礙於人力缺乏，多以兼任方式成立資安管理組織，中華郵政也是其中之一，一邊導入BS7799的同時，中華郵政在2004年初成立專責的資訊安全管理委員會，由總經理擔任召集人，由副總和各處事主管兼任資安委員，每季開一次資安工作審議與稽核會議，從資安委員開始推動資安知識並建立資安意識，屬於中華郵政資安工作的「精神領袖」。

呂平佑表示，為了遵照交通部推動的「資訊安全長（CISO）責任制度」，中華郵政在去年年底，特地正式設置資訊安全長（CISO）一職，由原本的財務副總擔任，負責內部資安組織管理與安全工作的控管。

不僅如此，除了管理組織，中華郵政還成了資安推動小組，由資訊安全長擔任召集人，負責資安工作的實際運作，像是資安系統或產品的導入與維運，小組基本成員包括資訊處各單位與備援中心主管，遴選成員則是資訊安全長從其他各處室選出。

雖然資訊處的職位層級在資訊安全長之下，與資安相關的資訊作業都必須直接向CISO報告，呂平佑卻認為，一方面資安工作不限於資訊部，拉高層級有利於跨部門的工作推動，尤其是各部門間不同意見的協調與溝通，層級越高越有利於管理。另一方面，在公家機關，等同於機構副首長的權責，更能夠突顯整個單位對資安工作的重視，對於各級基層員工的上行下效有很大幫助，大家對資安工作也比較「當一回事」。

資安工作成本高、又常常與業務目的背道而馳，績效也難以評估，他強調，資安組織的建立有助於提升系統安控的嚴密性，也能強化員工的資安意識，也能真正建立社會大眾對郵政事務的信心，資安的目的就是讓資訊系統處於可用性、完整性與資料機密性的完美平衡。文⊙高雅欣

CIO小檔案－呂平佑
中華郵政資訊處處長
●學經歷：逢甲學院企業管理學系、郵局股長、科長、視察員、郵政一等甲級郵局局長、一等乙級責任中心郵局經理、中華郵政總公司郵遞管理處處長、資訊處處長
●簡介：中華郵政為國營公司，成立於1896年，目前儲匯業務帳戶超過2300萬個，遍布全臺城鄉離島各地的營業據點超過1300個，設置自有車隊，透過網路連線串聯郵儲壽等業務，目前正積極發展電子商務服務窗口。依據修正通過的郵政法，業務範圍涵蓋遞送郵件、郵政儲金、郵政匯兌、郵政簡易人壽保險，販售集郵與相關商品以及郵政資產營運等等多項業務。

公司檔案－中華郵政
●成立時間：1896年
●營業項目：郵務、儲匯、簡易人壽保險
●員工人數：行政人員約2萬5000多名。
●IT部門人數：204名，分科辦事。