國內企業習慣遇到問題再決定解決方式,但往往只能治標無法治本,該如何才能正確解決資訊安全問題
解決資安問題可真一個大哉問,也讓這些行家傷透腦筋,有人認為資安問題永遠無法解決,有人認為要從安全政策做起,也有人認為買產品最有效,當然,找對「人」會是很重要的。
先搞清楚問題在哪裡
陳彥銘建議企業應該要先搞清楚資安問題在哪裡。廠商、產品及企業是一個「循環」,企業有資安需求,廠商開發出產品,再獲得企業回饋為產品做出修正,並持續循環下去,可惜的是,企業通常沒有足夠的知識與資訊去判斷需求,往往只能順從廠商的推銷。企業內部應該要有了解整體資安架構的人(資安架構師),讓資訊安全能與商業流程相結合。另外,國外已有法令(HIPPA、GLBA)規範企業強化資訊安全,所以適度投資資安設備,可以為企業增加競爭優勢,不過投資要適度而不過量,因為到一定程度後,整體效果就會往下掉。
林秉忠也表示相同的看法,企業該知道本身可以接受的資安底線在哪裡。一般企業都是碰上資安問題後才去尋找解決方案,缺乏完整的規畫,沒有全面性的了解資訊安全,自然就不知道資安底線在哪裡。此外,由於資安問題大多由技術單位負責,在沒有安全長(CSO)負責統籌,層級又不高的狀況下,無法發揮應有的功能。
楊士逸:「每個企業都有不同的資安需求,對ISP廠商而言,只要服務不停頓、不癱瘓設備就可以接受,所以不會擋下病毒的流動,但對一般公司而言,任何病毒都有可能造成感染與資安事件,所以會建置防火牆、VPN等安全設備,希望讓所有的網路封包都變的比較健康。」
對資訊安全存疑,只能控制資安風險
許偉健:「資訊安全永遠沒有辦法解決,只能把風險降低。」他建議企業可以從兩方面來降低風險,首先就是買產品來解決大部分的問題,像防火牆就是不錯的防禦設備,但是,如果管理者設定不正確或時常更改設定,仍然會發生問題,所以還是制定安全政策,規定誰可以更改設定、如何去改設定。
林育民:「國內企業對資安問題的解決方式往往是頭痛醫頭,腳痛醫腳,缺乏對資安的整體規畫,花費大量資安防護投資後,仍無法有效解決問題。若企業能建立資訊安全管理制度,有效管理人員、流程與技術,可將資安風險控制在合理範圍內。」
林佶駿表示,他不會告訴客戶該如何解決資安問題,而是會從如何降低風險著手。要解決資訊安全問題,必須由專家協助,並從各方面切入,考量風險、成本與效益,找出能夠解決問題的產品與服務,就像我們常講,花1000萬元保護5萬元的東西是不必要的投資。唯有從產品面、服務面與政策面三管齊下,才能夠解決問題。
就林泰瑋的經驗而言,現在大企業和政府的資安產品都已經「飽合」,該買的都買了,但大家依然對資安不放心。只要系統需要人來操作,就一定會有弱點,也就不可能安全,不過,該做的事情還是要去做,包括防火牆、IDS、內容安全、弱點管理等安全裝置,都需要建置。
問題出在於人,必須從企業文化與教育著手
要解決資訊安全的問題,萬幼筠常會講到三個字:「People、Process、Technology。」雖然這是老生常談,但一定要先從企業文化做起,企業必須創造員工保護機密的文化,然後再去談防護機制。以銀行為例,雖然所有的人都會接觸到資訊,但當我們講到資訊安全時,很多人會認為是資訊部門的事情,這樣就掛了,因為出問題的大都不是資訊部。從資訊部門開始是個正確的方向,但不能僅限於這個單位。資訊安全的最終問題是人的問題,但資訊安全的建置是一個過程,而沒有終結點,因為科技在進步,人在流動,制度在改革,企業環境也在變,所以要從根源(人)做起。如果你重視資訊安全,花資源(人、時間、錢)投入就是開始。
蒲樹盛也有相同的看法,他認為大部分的資安問題都是人的問題,駭客入侵只佔資安事件的5%以下,例如金融詐騙很容易成功,其實暴露大部分的人對資訊安全沒有概念。教育訓練是加強安全意識的手段,可以分成三個層次,第一層就是加強使用者的安全意識;第二層是對特定人員(資訊人員、非資訊人員)進行訓練(網路安全、緊急應變、軟體開發、密碼使用);更高層次是教育(培訓、再職進修),提升資訊安全方面的專業知識。如果訓練足夠,企業就有能力去判斷委外服務及產品是否合用;如果訓練不足,那企業就只能聽廠商的片面之詞,沒有能力進行產品測試與判斷。
林松儀也認為資安問題就是人的問題,每間企業都有建置防火牆和防毒軟體等安全設備,但仍有存在安全問題,原因就出在於是「誰管」這些設備,「誰安裝」這些設備,不同的人會有不同的效果,加上人會流動(新進、離職),安全教育的成效還是有限。在現實環境中,IT人員並沒有相對的權限,很難完全控管其他員工,所以制定安全政策時,需要有CEO等級的主管參與。
游源濱:「資訊安全問題永遠無法有效解決,因為到最後都是人的問題。」即使企業買了上百萬的系統,但系統仍然是由人在管,所以教育是解決資訊安全最有效的方式,但這不代表企業就不需要買產品,因為要叫軍隊去打仗,也需要槍和大砲等武器。
靠媒體宣導資安觀念
張裕敏表示,資訊安全最大的問題是「資安的教育」,大家都很熟悉病毒,知道出問題要如何解決,找防毒廠商、下載解毒包等,但防毒只是其中的一小部分,其他的地方就比較少警覺性,例如電腦執行速度減慢,或出現某些異常行為,很可能是遭到駭客攻擊,只是一般人通常要等到問題發生後(首頁遭置換、銀行帳號被盜用),才知道發生什麼問題。他認為透過媒體是最有用的教育方式,像防毒的觀念並不是防毒廠商廣告或病毒作家宣傳,而是媒體報導的結果,大家久而久之就會知道。此外,最近媒體報導駭客、駭客攻擊網站及總統府網站被駭等消息,企業已經開始注意網站是否安全。媒體報導越多,大家就會越有警覺,開始思考怎麼做防護。
但是,靠媒體或教育就可以改變使用者嗎?楊士逸表示,現在我們是因為遭受到攻擊,為了要活下去,所以要求使用者安裝防毒軟體或其他安全裝置,或改變他們的行為,但要改變使用者行為並不是那麼容易。
比較特別的是,大陸已經官方明文規定,資訊系統必須列出相當比例的預算來做資訊安全,所以他們的政府網站會比較安全,美國也在訂這方面的法令,臺灣目前則沒有。舉例來說,美國建置健保系統,要先通過HIPPA、BS7799等標準,資訊安全也跟著進去,但臺灣的健保系統則是系統先做完,然後再做資訊安全,應該在一開始就規畫資訊安全。張裕敏建議臺灣也可以效法大陸的方式。
採用資安委外服務,解決資安人力不足
朱保全認為解決資安問題需仰賴技術性產品,提升技術性產品效益卻需仰賴良好的管理,因此由好的技術人員運用好的產品,配合良好的管理制度,將能夠解決大部分資安問題。目前因為人力精簡問題,企業無法找到專門資安人材,大都以網管人員兼任資安人員,在一人管多臺機器的情況下,很容易發生嚴重的資安事故,最後更導致主管下臺。MSSP(Managed Security Service Provider)是非常適合企業的委外服務,同時可以解決DDOS攻擊,目前美國已經有超過27個以上的MSSP服務提供者。
施孟甫也認為委外服務是解決資安問題最好的方式。以中華數位實際客戶經驗為例,在導入郵件系統的過程中,由中華數位幫他們訓練人(系統工程師和操作員),提供郵件查詢、郵件攻擊、郵件稽核方面的經驗,讓他們能夠知其然也知其所以然,透過這樣的環境,廠商與企業的關係也能更密切。
蘇志隆表示,現在開始流行委外服務以降低人力成本與資安投資,但不管企業選擇委外或自行建置,都需要有效的稽核制度,確保這些設備都有在運作與執行,政府已經有這方面相關的規範,但一般企業就比較難建立這樣的稽核制度。當所有的東西都導入之後,「人怎樣去管」會是最大的問題,例如之前銀行的資料外洩事件,都因為內控問題,所以仍要透過人的管理來解決問題。
許偉健認為委外服務還存在一些問題,包括哪些(IT、安全)該委外、如何管理、合約怎樣制訂、費用如何計算、事件賠償……,以國外的IT委外服務為例,每增加一個服務就要錢,雙方的簽呈也比內部要花更長的時間。另外,法律顧問也會影響到委外服務,有的顧問是偏IT面,有的是偏業務面,如果是偏IT面,那麼是偏營運面,還是安全面,所以,法律顧問看資安問題的深淺,將影響合約的制定內容。目前委外服務仍然沒有很好的解決辦法,只能儘量做的最好。
制定安全政策與規範流程,降低人為問題發生率
陳彥銘:「臺灣是以產品為導向的市場,只要產品打廣告、炒熱話題,企業就會認為產品很重要,一窩蜂去買。」企業在建置安全架構前,並沒有一套計畫和步驟,只是盲目的採購,也許跟業務員聊天後,就將入侵偵測系統加到採購計畫中。企業在採購前,應先制定出資安政策、要用何種流程執行資安政策,以及該流程所需的工具,再依這些需求採購產品。
游源濱表示,訂定符合公司的安全政策與流程,可以將人的問題降到最小,例如SSL VPN存取、上下班刷卡、文件控管……等,雖然沒辦法百分百解決安全問題,但可以把安全問題壓到最小,等安全政策制定完成後,再去找適合產品或服務。另外,在BS7799當中有提到,如果解決方案所花的成本超過資產價值,那麼也就不需要了,千萬不要為了認證而認證,為了導入而導入。如果風險不能解決,就應該選擇將風險轉嫁,例如買保險。
許偉健:「有統計指出,75%的資安事件都是從內部而來,因為使用者知道內部流程與資料的價值,所以出事的機率會比IT人員高。」解決之道就是制定安全政策。雖然制定安全政策是好的,但政策制訂出來後,是否有在推動,推動後是否有持續維護,以BS7799為例,它是一個循環,但第一次導入可能只包含60%的安全,之後仍要再持續補強,才能越來越高。
「有事情解決,沒事情預防。」許偉健談到,有事件發生就與專家討論,尋求解決之道,有了經驗之後就能夠加以預防。另外,當企業內部發生資安事件時,一定要向上通報主管,讓他們知道發生什麼事,之後才會編列資安預算,協助解決這些問題,降低風險。
先解決問題吧!
聽完上面這麼多的看法,最後我們回到比較現實的一面。
蘇志隆:「一般我們看到的現象都是結果(電腦被攻擊、資料被偷),基本上,可以透過教育訓練與安全政策來解決資安問題,不過因為人總是會有惰性,所以才需要靠制度來約束。」顧問公司會建議由上往下做,先做風險評估、定義安全規範、建置安全設備,才能解決資安問題;而資安產品則由下往上看,先解決問題再說。對全新的企業而言,由上而下是比較完美的做法,例如政府A+單位的SOC是先簽顧問案,經過規畫之後才建置資安設備,能夠非常符合組識現狀,但對大部分的企業環境而言,這樣的過程緩不濟急,企業不可能等上幾個月的評估時間。
現實環境中,大家好像還是都先解決問題。文⊙陳世煌
資安行家給你好看林育民
賽門鐵克亞太區資訊安全技術顧問
學 歷:交通大學資訊科學研究所碩士
經 歷:金融系統及網路銀行安全機制之規畫與建置,企業資訊安全政策、標準與作業程序之制定,資訊系統安全檢測與滲透測試服務
專業證照:SCSP、SCSE、CISSP
好書分享:
我個人每周都會將公司內有訂閱的資訊雜誌瀏覽一遍,但在雜誌的閱讀上,主要是以快速得知最新的資訊產業相關新聞為主,並不偏好特定哪一本雜誌,原則上是所有手邊的雜誌都要掃過一遍。
只要我在臺灣,周末有空時,幾乎都會到天瓏書局去逛一圈,看看有沒有什麼新書出版或進口;原則上,只要是我認為那本書的部分內容是有用的,我通常就會買下來做為日後參考。在國外的話,只要時間允許,我也會抽空去逛逛當地的書店。在資訊安全相關書籍的部分,對於一些應用類的書籍,我通常只會研讀其中需要的部分,但對於資安理論相關的書籍,則會花時間精讀。個人比較偏好研讀資安理論相關的書籍,但每本書各有其特點,而且每個人的閱讀習慣及喜好不同,在此我不打算推薦任何一本書。
資安好站:
SecurityFocus
http://www.securityfocus.com
最新安全訊息、漏洞資訊與資安專業論述。SecurityFocus一直以來都以提供豐富的安全資訊著稱於資訊安全業界,在這個網站中,除了提供資訊安全相關新聞與全球最完整的漏洞資料庫(www.securityfocus.com/bid)外,更刊登了許多安全專家所撰寫的專業資安論述;此外,SecurityFocus 的資安論壇,亦是許多資安專業技術人士,重要訊息的來源。
SANS
http://www.sans.org
SANS除了著名的GIAC認證外,在SANS網站上的SANS' Information Security Reading Room(www.sans.org/rr)提供豐富的資安實務資訊,而 The SANS Security Policy Project(www.sans.org/resources/policies) 則是擬定資安政策的一項重要參考資訊來源。此外,Internet Storm Center(isc.sans.org)則是提供了網際網路上的即時資安狀況警示,是網際網路上的資安與威脅現況的重要參考資訊。朱保全
凌群電腦產品事業群資深安全顧問
學 歷:國立臺北科技大學
經 歷:遠傳電信電訊科技部工程師,鈺松國際行銷部經理兼顧問
專業證照:BS7799LAC、ISS產品認證、TIBCO產品認證(EAI Solution and Architecture & Design)
好書分享:
《QBQ!問題背後的問題》
作者以輕鬆幽默簡短的故事方式,說明何謂個人擔當,並且以實際的例子,教導讀者訓練出個人擔當,進而解決問題。目前的企業文化中,蠻普遍遇到的問題,就是缺乏個人擔當、諉過、抱怨與拖延,欠缺個人擔當的組織或個人,將無法達成公司所設定的目標、無法在市場上與同業一較長短、無法實現願景,更無法讓個人和團隊更上一層樓。因此如同作者米勒所提出解決的方法,別只是把「團隊合作」掛在嘴邊,而是問:「我該如何貢獻一己之力?」以及「我要如何改變現狀?」
《執行力》
公司內部經常會發生所謂的「口號管理」,我想透過執行力可以獲得解釋與改善。如果公司沒有將營運目標、戰術等執行方法列出里程碑,然後依據達成目標進度分別給予獎勵及懲罰,其實很難在現今微利科技時代,與其他公司相競爭。如果只是有執行力,卻沒有執行的熱忱,那就會形成後知後覺的執行力。因此當QBQ精神結合執行力時,相信「組織末梢神經麻痹症」的情況,一定可以大幅改善,對於問題及個人定有正面的幫助。
資安好站:
國家資通安全會報計術服務中心
http://www.icst.org.tw
這是國家級的網站,提供的資訊,內容非常多,包括資安漏洞檢測修復、駭客入侵手法、資安事件、技術與標準、公用軟體,以及訓練課程與研討展示活動等資訊,蒐集的資料涵蓋全球,非常值得參考。
Dshield
http://www.dshield.com
一個免費的SOC中心,提供全球即時性攻擊分析報告。當發生蠕蟲攻擊時,能在第一時間了解攻擊感染的分布趨勢,得到最新的全球化攻擊分析。林佶駿
敦陽科技專業技術建置服務群資訊安全顧問
學 歷:東海大學數學系
經 歷:TWCERT技術師,ISS資深技術顧問
專業證照:CISSP、美國 CERT/CC 講師
好書分享:
《The Secured Enterprise: Protect Your Information Assets》
從資訊安全的 ROI、資訊安全政策、相關技術、資安產品與服務等議題,做了深入淺出的介紹。這本書無論是在章節的編排或是在文字敘述方面,對於 IT 主管以及想要瞭解資訊安全的技術人員都有很大助益。此外,在導入資訊安全的各項議題上,本書也針對不同規模的企業,提出不同的建議。
《Hacking: The Art of Exploitation》
Buffer Overflow、Heap Overflow、Format String 都是常見的攻擊手法,本書帶你進入駭客的秘密世界,告訴你漏洞發生的原因及如何觸發這些漏洞,並撰寫自己的攻擊驗證程式,本書也針對網路的掃瞄、監聽以及密碼破解,做了相關的介紹,對於想深入技術領域或想成為Pen-tester的朋友,本書值得一讀。
資安好站:
SecurityFocus
http://www.securityfocus.com
身為資訊安全人員,不可不知SecurityFocus網站。首先要介紹的,也是最多人使用的mailing list服務,可以訂閱歷史悠久的bugtraq mailing list,能夠幫助大家隨時得知最新的弱點及專家建議。此外,網站也有新聞服務,提供資安相關新聞整理,另有 library archive,收集了其他相關網站的文章供大家參考運用。網站上對於資訊安全相關的連結,有極為詳盡的分類整理,可以快速地滿足大家對於相關資訊的需求。
Google
http://www.google.com
在SecurityFocus裡,不論是管理面或技術面,大家都可以獲得許多有關資訊安全的基礎知識。有了對資安的基本瞭解後,想要再進一步深入探討的話,Google網站絕對是通往更高深境界的必經途徑。SecurityFocus教你如何釣魚,而Google 則是廣闊的海洋。施孟甫
中華數位技術長
學 歷:東海大學統計學系碩士
經 歷:負責多家企業電子郵件通訊服務的專案開發與系統服務顧問,領導中華數位科技研發團隊
好書分享:
《2004年資訊科技與人文管理教育論壇—數位內容、數位教育與管理政策研討會》論文集
本論文集內容包含數位內容暨資訊安全技術實作及深入研究剖析,是產官學界針對數位內容安全管理及機制探討,不可多得之重要論文集。
論文集從人文教育、資訊科技、法律社會及心理等多種面向,提供「管理政策與技術管制」、「數位教育與法律社會」、「數位內容與資通安全」等相關技術或研究報告,針對現今及未來發展的資訊技術與管理方法應用在數位教育上。另一方面則探討因網際網路的普及和推廣而衍生的負面效應,如資訊濫用、網路色情、資訊犯罪及沉迷於網路的遊戲世界等社會犯罪問題。
《駭客現形:網路安全之秘辛與解決方案》
本書對於資訊安全實務有非常多的實例探討,無論是IT網路環境所面臨的威脅、弱點與暴露,都有深入的探討與解說,更提供防禦的因應之道,閱讀這本書,將會深入了解資訊安全的實務面。
新的駭客工具、技術、方法隨時都在變化,唯有了解各種攻擊技術的原創與意義,才能在以「人」為基礎的資訊安全,先從治標的防禦做起,再做到治本的教育。本書除了將資訊安全攻擊與防禦的實務面做深入探討之外,還收集了不少資訊安全專家必備的工具與網站。
資安好站:
SecurityFocus
http://www.securityfocus.com
各種系統的資訊安全訊息通報
資通安全資訊網
http://ics.stic.gov.tw
國家級資訊安全訊息網,有完整國家法令、計畫、研討會、期刊等等資訊。
熱門新聞
2024-11-20
2024-11-15
2024-11-15
2024-11-18
2024-11-12
2024-11-14
2024-11-12