三十年一路走來,資拓宏宇始終以成為「專業化、大型化與國際化之資訊通訊服務的標竿公司」自我期許,近年致力研發創新產品,期盼為全球客戶提供深具競爭力的智慧化解決方案與服務。有鑑於各界積極擁抱數位轉型之際,卻引發駭客乘隙而入、衍生諸多資安事件,與客戶同一陣線的資拓宏宇逐年加強投資於資訊安全領域之人員訓練、軟體、硬體設備升級等強化資安作為。
歷經一年琢磨,資拓宏宇正準備接受 BSI 評鑑、獲取 ISO27001 證書;據悉其資訊部門早先已通過 ISO27001 認證,但為了展現高度重視資安的決心,決定以全公司為範圍再次挑戰 ISO27001 認證,確保全員上下都具備資安警覺與防護意識。另外更重要的,資拓宏宇成立資通安全暨資訊服務部,專責推動資安整合服務,同時延聘擁有深厚資訊與資安管理歷練的張文彬,接掌資安長一職。
張文彬強調,資安如同打仗,欲取得勝利,一定要有充分的武器,因此他將把過往在中華電信服務期間累積的資安管理經驗,快速複製到資拓宏宇,並援引中華電信早已準備就緒的專業資安服務資源,助推資拓宏宇資安再強化。
此外張文彬也將扮演溝通協調的角色,不僅協助制定資安政策與措施,並努力取得各部門的共識,確保人人遵守規範;畢竟資安要靠紀律來維繫,任何人不管工作再忙再累都必須恪遵紀律。如此資拓宏宇才能善盡資安管控,將萃取好的經驗,以專業服務型式擴散到客戶端,落實現今政府非常重視的供應鏈安全目標。
身經眾多專案歷練,深諳資安漏洞補強之道
張文彬指出,他在 1997 年從中華電信基隆營運處調職至數據分公司,負責執行 HiNet 業務供裝服務系統的程式設計與開發,並於 2003 年擔任系統負責人。由於此系統攸關中華電信的業務績效,故中華電信每年都為它排定許多內外稽核,藉由接受這般磨練,讓張文彬養成高度的資安意識。
2010 年他調職到中華電信總公司,負責規劃 BCM、CMMI -ACQ 及 OLA 等重要制度導入。2013 年重回數據分公司服務,爾後升任資安處副處長,負責經營資安服務業務,期間參與世大運、九合一中央選舉、將來銀行等重大資安規劃與執行專案。
值得一提,他當時負責帶領資安專案、檢測、鑑識與顧問輔導等四個小組成員,考量組員中不乏白帽駭客等級高手,為確保彼此之間順暢溝通,他自我嚴格要求充實資安技能與知識,一連考取 PMP、CEH、CHFI 及 ISO27001 LA 等多張證照。在此過程中,他屢屢看到駭人聽聞的鑑識報告,感嘆駭客手法越來越高明,也越來越懂得運用企業資安漏洞與社交工程等手段,輕易攻陷各個企業;久而久之,張文彬與各組別同仁都清楚企業普遍存在的資安弱點,也清楚如何有效補強防禦機制。
透過縱深防禦、雙因子認證,限縮駭客入侵途徑
張文彬於 2020 年 11 月轉赴資拓宏宇服務,在此之前,他已預先瞭解資拓宏宇既有防護架構,也請網管團隊提供對外連線數據。經過一番理解,他到任後很快就針對資拓宏宇的網路邊界實施多項補強措施,首先收斂網路出口數量,最終朝向單一出口發展,以利公司能集中動員最好的專業人員、最強的防禦設備來守護網路邊界。其次採取雙品牌次世代防火牆(NGFW)部署策略,將不同品牌的 NGFW 分別架設於緊鄰網路邊境的第一、二層,達到縱深防禦效果,再於邊境的最外圍佈建DDoS、WAF,藉此提高駭客突穿入侵的難度。
緊接著,每一個有意進入內網的訪客,皆須接受雙因子身份驗證。再來到了 OA 區,即是張文彬形容的「零信任區」,意指不能保證員工接收 E-mail 或上網等行為一定安全無虞,因此要求所有電腦必須安裝防毒、防駭及 MDR(託管式偵測及回應)等保護機制。張文彬進一步說,憑藉 MDR 服務背後的專業團隊,理應有助於提升公司內部數位資產的安全,但對於重要的關鍵資產,則需搭配更進階保護機制。
任何使用者欲存取關鍵資產,皆須接受雙因子身份驗證,即使驗證無誤獲准進入,也只能經由跳板上進行存取,張文彬稱這個環境為「安全堡壘」,在堡壘中任何一舉一動皆被側錄,且相關日誌(Log)會立即送往遠端 Logger 保存,讓駭客毫無機會抹除 Local Log。後續假使出現資安事件,資安服務部便可藉由日誌來按圖索驥,釐清駭客的入侵途徑及影響範圍。
不僅如此,張文彬嚴格要求,不論處於傳送、儲存或備份任何狀態的資料皆須加密,且為了嚴防備份資料亦遭勒索病毒加密,甚至在思考諸如「資料保全避風港」等更安全的備份策略。
到任至今約兩個月,張文彬密集拜訪各部門,希望理解個別部門的業務流程與重要資產,據此分析潛在風險,再因地制宜實施不同防護措施。此外他也將全公司 300 位開發人員分四梯次送往中華電信學院接收「安全程式碼」課程訓練,意在從 AP 開發的源頭做好資安把關。
總之,今後張文彬將繼續貫徹最小出口、最小權限、縱深防禦、分區隔離及資料加密等基本原則,與全體同仁並肩作戰,全力強化資拓宏宇的資安水平。
資通安全暨資訊服務部 資安長 張文彬
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02