行家告訴你資安問題如何解

國內企業習慣遇到問題再決定解決方式，但往往只能治標無法治本，該如何才能正確解決資訊安全問題

解決資安問題可真一個大哉問，也讓這些行家傷透腦筋，有人認為資安問題永遠無法解決，有人認為要從安全政策做起，也有人認為買產品最有效，當然，找對「人」會是很重要的。

先搞清楚問題在哪裡
陳彥銘建議企業應該要先搞清楚資安問題在哪裡。廠商、產品及企業是一個「循環」，企業有資安需求，廠商開發出產品，再獲得企業回饋為產品做出修正，並持續循環下去，可惜的是，企業通常沒有足夠的知識與資訊去判斷需求，往往只能順從廠商的推銷。企業內部應該要有了解整體資安架構的人（資安架構師），讓資訊安全能與商業流程相結合。另外，國外已有法令（HIPPA、GLBA）規範企業強化資訊安全，所以適度投資資安設備，可以為企業增加競爭優勢，不過投資要適度而不過量，因為到一定程度後，整體效果就會往下掉。

林秉忠也表示相同的看法，企業該知道本身可以接受的資安底線在哪裡。一般企業都是碰上資安問題後才去尋找解決方案，缺乏完整的規畫，沒有全面性的了解資訊安全，自然就不知道資安底線在哪裡。此外，由於資安問題大多由技術單位負責，在沒有安全長（CSO）負責統籌，層級又不高的狀況下，無法發揮應有的功能。

楊士逸：「每個企業都有不同的資安需求，對ISP廠商而言，只要服務不停頓、不癱瘓設備就可以接受，所以不會擋下病毒的流動，但對一般公司而言，任何病毒都有可能造成感染與資安事件，所以會建置防火牆、VPN等安全設備，希望讓所有的網路封包都變的比較健康。」

對資訊安全存疑，只能控制資安風險
許偉健：「資訊安全永遠沒有辦法解決，只能把風險降低。」他建議企業可以從兩方面來降低風險，首先就是買產品來解決大部分的問題，像防火牆就是不錯的防禦設備，但是，如果管理者設定不正確或時常更改設定，仍然會發生問題，所以還是制定安全政策，規定誰可以更改設定、如何去改設定。

林育民：「國內企業對資安問題的解決方式往往是頭痛醫頭，腳痛醫腳，缺乏對資安的整體規畫，花費大量資安防護投資後，仍無法有效解決問題。若企業能建立資訊安全管理制度，有效管理人員、流程與技術，可將資安風險控制在合理範圍內。」

林佶駿表示，他不會告訴客戶該如何解決資安問題，而是會從如何降低風險著手。要解決資訊安全問題，必須由專家協助，並從各方面切入，考量風險、成本與效益，找出能夠解決問題的產品與服務，就像我們常講，花1000萬元保護5萬元的東西是不必要的投資。唯有從產品面、服務面與政策面三管齊下，才能夠解決問題。

就林泰瑋的經驗而言，現在大企業和政府的資安產品都已經「飽合」，該買的都買了，但大家依然對資安不放心。只要系統需要人來操作，就一定會有弱點，也就不可能安全，不過，該做的事情還是要去做，包括防火牆、IDS、內容安全、弱點管理等安全裝置，都需要建置。

問題出在於人，必須從企業文化與教育著手
要解決資訊安全的問題，萬幼筠常會講到三個字：「People、Process、Technology。」雖然這是老生常談，但一定要先從企業文化做起，企業必須創造員工保護機密的文化，然後再去談防護機制。以銀行為例，雖然所有的人都會接觸到資訊，但當我們講到資訊安全時，很多人會認為是資訊部門的事情，這樣就掛了，因為出問題的大都不是資訊部。從資訊部門開始是個正確的方向，但不能僅限於這個單位。資訊安全的最終問題是人的問題，但資訊安全的建置是一個過程，而沒有終結點，因為科技在進步，人在流動，制度在改革，企業環境也在變，所以要從根源（人）做起。如果你重視資訊安全，花資源（人、時間、錢）投入就是開始。

蒲樹盛也有相同的看法，他認為大部分的資安問題都是人的問題，駭客入侵只佔資安事件的5%以下，例如金融詐騙很容易成功，其實暴露大部分的人對資訊安全沒有概念。教育訓練是加強安全意識的手段，可以分成三個層次，第一層就是加強使用者的安全意識；第二層是對特定人員（資訊人員、非資訊人員）進行訓練（網路安全、緊急應變、軟體開發、密碼使用）；更高層次是教育（培訓、再職進修），提升資訊安全方面的專業知識。如果訓練足夠，企業就有能力去判斷委外服務及產品是否合用；如果訓練不足，那企業就只能聽廠商的片面之詞，沒有能力進行產品測試與判斷。

林松儀也認為資安問題就是人的問題，每間企業都有建置防火牆和防毒軟體等安全設備，但仍有存在安全問題，原因就出在於是「誰管」這些設備，「誰安裝」這些設備，不同的人會有不同的效果，加上人會流動（新進、離職），安全教育的成效還是有限。在現實環境中，IT人員並沒有相對的權限，很難完全控管其他員工，所以制定安全政策時，需要有CEO等級的主管參與。

游源濱：「資訊安全問題永遠無法有效解決，因為到最後都是人的問題。」即使企業買了上百萬的系統，但系統仍然是由人在管，所以教育是解決資訊安全最有效的方式，但這不代表企業就不需要買產品，因為要叫軍隊去打仗，也需要槍和大砲等武器。

靠媒體宣導資安觀念
張裕敏表示，資訊安全最大的問題是「資安的教育」，大家都很熟悉病毒，知道出問題要如何解決，找防毒廠商、下載解毒包等，但防毒只是其中的一小部分，其他的地方就比較少警覺性，例如電腦執行速度減慢，或出現某些異常行為，很可能是遭到駭客攻擊，只是一般人通常要等到問題發生後（首頁遭置換、銀行帳號被盜用），才知道發生什麼問題。他認為透過媒體是最有用的教育方式，像防毒的觀念並不是防毒廠商廣告或病毒作家宣傳，而是媒體報導的結果，大家久而久之就會知道。此外，最近媒體報導駭客、駭客攻擊網站及總統府網站被駭等消息，企業已經開始注意網站是否安全。媒體報導越多，大家就會越有警覺，開始思考怎麼做防護。

但是，靠媒體或教育就可以改變使用者嗎？楊士逸表示，現在我們是因為遭受到攻擊，為了要活下去，所以要求使用者安裝防毒軟體或其他安全裝置，或改變他們的行為，但要改變使用者行為並不是那麼容易。

比較特別的是，大陸已經官方明文規定，資訊系統必須列出相當比例的預算來做資訊安全，所以他們的政府網站會比較安全，美國也在訂這方面的法令，臺灣目前則沒有。舉例來說，美國建置健保系統，要先通過HIPPA、BS7799等標準，資訊安全也跟著進去，但臺灣的健保系統則是系統先做完，然後再做資訊安全，應該在一開始就規畫資訊安全。張裕敏建議臺灣也可以效法大陸的方式。

採用資安委外服務，解決資安人力不足
朱保全認為解決資安問題需仰賴技術性產品，提升技術性產品效益卻需仰賴良好的管理，因此由好的技術人員運用好的產品，配合良好的管理制度，將能夠解決大部分資安問題。目前因為人力精簡問題，企業無法找到專門資安人材，大都以網管人員兼任資安人員，在一人管多臺機器的情況下，很容易發生嚴重的資安事故，最後更導致主管下臺。MSSP（Managed Security Service Provider）是非常適合企業的委外服務，同時可以解決DDOS攻擊，目前美國已經有超過27個以上的MSSP服務提供者。

施孟甫也認為委外服務是解決資安問題最好的方式。以中華數位實際客戶經驗為例，在導入郵件系統的過程中，由中華數位幫他們訓練人（系統工程師和操作員），提供郵件查詢、郵件攻擊、郵件稽核方面的經驗，讓他們能夠知其然也知其所以然，透過這樣的環境，廠商與企業的關係也能更密切。

蘇志隆表示，現在開始流行委外服務以降低人力成本與資安投資，但不管企業選擇委外或自行建置，都需要有效的稽核制度，確保這些設備都有在運作與執行，政府已經有這方面相關的規範，但一般企業就比較難建立這樣的稽核制度。當所有的東西都導入之後，「人怎樣去管」會是最大的問題，例如之前銀行的資料外洩事件，都因為內控問題，所以仍要透過人的管理來解決問題。

許偉健認為委外服務還存在一些問題，包括哪些（IT、安全）該委外、如何管理、合約怎樣制訂、費用如何計算、事件賠償……，以國外的IT委外服務為例，每增加一個服務就要錢，雙方的簽呈也比內部要花更長的時間。另外，法律顧問也會影響到委外服務，有的顧問是偏IT面，有的是偏業務面，如果是偏IT面，那麼是偏營運面，還是安全面，所以，法律顧問看資安問題的深淺，將影響合約的制定內容。目前委外服務仍然沒有很好的解決辦法，只能儘量做的最好。

制定安全政策與規範流程，降低人為問題發生率
陳彥銘：「臺灣是以產品為導向的市場，只要產品打廣告、炒熱話題，企業就會認為產品很重要，一窩蜂去買。」企業在建置安全架構前，並沒有一套計畫和步驟，只是盲目的採購，也許跟業務員聊天後，就將入侵偵測系統加到採購計畫中。企業在採購前，應先制定出資安政策、要用何種流程執行資安政策，以及該流程所需的工具，再依這些需求採購產品。

游源濱表示，訂定符合公司的安全政策與流程，可以將人的問題降到最小，例如SSL VPN存取、上下班刷卡、文件控管……等，雖然沒辦法百分百解決安全問題，但可以把安全問題壓到最小，等安全政策制定完成後，再去找適合產品或服務。另外，在BS7799當中有提到，如果解決方案所花的成本超過資產價值，那麼也就不需要了，千萬不要為了認證而認證，為了導入而導入。如果風險不能解決，就應該選擇將風險轉嫁，例如買保險。

許偉健：「有統計指出，75%的資安事件都是從內部而來，因為使用者知道內部流程與資料的價值，所以出事的機率會比IT人員高。」解決之道就是制定安全政策。雖然制定安全政策是好的，但政策制訂出來後，是否有在推動，推動後是否有持續維護，以BS7799為例，它是一個循環，但第一次導入可能只包含60%的安全，之後仍要再持續補強，才能越來越高。

「有事情解決，沒事情預防。」許偉健談到，有事件發生就與專家討論，尋求解決之道，有了經驗之後就能夠加以預防。另外，當企業內部發生資安事件時，一定要向上通報主管，讓他們知道發生什麼事，之後才會編列資安預算，協助解決這些問題，降低風險。

先解決問題吧！
聽完上面這麼多的看法，最後我們回到比較現實的一面。

蘇志隆：「一般我們看到的現象都是結果（電腦被攻擊、資料被偷），基本上，可以透過教育訓練與安全政策來解決資安問題，不過因為人總是會有惰性，所以才需要靠制度來約束。」顧問公司會建議由上往下做，先做風險評估、定義安全規範、建置安全設備，才能解決資安問題；而資安產品則由下往上看，先解決問題再說。對全新的企業而言，由上而下是比較完美的做法，例如政府A+單位的SOC是先簽顧問案，經過規畫之後才建置資安設備，能夠非常符合組識現狀，但對大部分的企業環境而言，這樣的過程緩不濟急，企業不可能等上幾個月的評估時間。

現實環境中，大家好像還是都先解決問題。文⊙陳世煌

資安行家給你好看林育民
賽門鐵克亞太區資訊安全技術顧問

學　　歷：交通大學資訊科學研究所碩士

經　　歷：金融系統及網路銀行安全機制之規畫與建置，企業資訊安全政策、標準與作業程序之制定，資訊系統安全檢測與滲透測試服務

專業證照：SCSP、SCSE、CISSP

好書分享：
我個人每周都會將公司內有訂閱的資訊雜誌瀏覽一遍，但在雜誌的閱讀上，主要是以快速得知最新的資訊產業相關新聞為主，並不偏好特定哪一本雜誌，原則上是所有手邊的雜誌都要掃過一遍。

只要我在臺灣，周末有空時，幾乎都會到天瓏書局去逛一圈，看看有沒有什麼新書出版或進口；原則上，只要是我認為那本書的部分內容是有用的，我通常就會買下來做為日後參考。在國外的話，只要時間允許，我也會抽空去逛逛當地的書店。在資訊安全相關書籍的部分，對於一些應用類的書籍，我通常只會研讀其中需要的部分，但對於資安理論相關的書籍，則會花時間精讀。個人比較偏好研讀資安理論相關的書籍，但每本書各有其特點，而且每個人的閱讀習慣及喜好不同，在此我不打算推薦任何一本書。

資安好站：
SecurityFocus
http://www.securityfocus.com
最新安全訊息、漏洞資訊與資安專業論述。SecurityFocus一直以來都以提供豐富的安全資訊著稱於資訊安全業界，在這個網站中，除了提供資訊安全相關新聞與全球最完整的漏洞資料庫（www.securityfocus.com/bid）外，更刊登了許多安全專家所撰寫的專業資安論述；此外，SecurityFocus 的資安論壇，亦是許多資安專業技術人士，重要訊息的來源。

SANS
http://www.sans.org
SANS除了著名的GIAC認證外，在SANS網站上的SANS' Information Security Reading Room（www.sans.org/rr）提供豐富的資安實務資訊，而 The SANS Security Policy Project（www.sans.org/resources/policies） 則是擬定資安政策的一項重要參考資訊來源。此外，Internet Storm Center（isc.sans.org）則是提供了網際網路上的即時資安狀況警示，是網際網路上的資安與威脅現況的重要參考資訊。朱保全
凌群電腦產品事業群資深安全顧問

學　　歷：國立臺北科技大學

經　　歷：遠傳電信電訊科技部工程師，鈺松國際行銷部經理兼顧問

專業證照：BS7799LAC、ISS產品認證、TIBCO產品認證（EAI Solution and Architecture & Design）

好書分享：
《QBQ!問題背後的問題》
作者以輕鬆幽默簡短的故事方式，說明何謂個人擔當，並且以實際的例子，教導讀者訓練出個人擔當，進而解決問題。目前的企業文化中，蠻普遍遇到的問題，就是缺乏個人擔當、諉過、抱怨與拖延，欠缺個人擔當的組織或個人，將無法達成公司所設定的目標、無法在市場上與同業一較長短、無法實現願景，更無法讓個人和團隊更上一層樓。因此如同作者米勒所提出解決的方法，別只是把「團隊合作」掛在嘴邊，而是問：「我該如何貢獻一己之力？」以及「我要如何改變現狀？」

《執行力》
公司內部經常會發生所謂的「口號管理」，我想透過執行力可以獲得解釋與改善。如果公司沒有將營運目標、戰術等執行方法列出里程碑，然後依據達成目標進度分別給予獎勵及懲罰，其實很難在現今微利科技時代，與其他公司相競爭。如果只是有執行力，卻沒有執行的熱忱，那就會形成後知後覺的執行力。因此當QBQ精神結合執行力時，相信「組織末梢神經麻痹症」的情況，一定可以大幅改善，對於問題及個人定有正面的幫助。

資安好站：
國家資通安全會報計術服務中心
http://www.icst.org.tw
這是國家級的網站，提供的資訊，內容非常多，包括資安漏洞檢測修復、駭客入侵手法、資安事件、技術與標準、公用軟體，以及訓練課程與研討展示活動等資訊，蒐集的資料涵蓋全球，非常值得參考。

Dshield
http://www.dshield.com
一個免費的SOC中心，提供全球即時性攻擊分析報告。當發生蠕蟲攻擊時，能在第一時間了解攻擊感染的分布趨勢，得到最新的全球化攻擊分析。林佶駿
敦陽科技專業技術建置服務群資訊安全顧問

學　　歷：東海大學數學系

經　　歷：TWCERT技術師，ISS資深技術顧問

專業證照：CISSP、美國 CERT/CC 講師

好書分享：
《The Secured Enterprise: Protect Your Information Assets》
從資訊安全的 ROI、資訊安全政策、相關技術、資安產品與服務等議題，做了深入淺出的介紹。這本書無論是在章節的編排或是在文字敘述方面，對於 IT 主管以及想要瞭解資訊安全的技術人員都有很大助益。此外，在導入資訊安全的各項議題上，本書也針對不同規模的企業，提出不同的建議。

《Hacking: The Art of Exploitation》
Buffer Overflow、Heap Overflow、Format String 都是常見的攻擊手法，本書帶你進入駭客的秘密世界，告訴你漏洞發生的原因及如何觸發這些漏洞，並撰寫自己的攻擊驗證程式，本書也針對網路的掃瞄、監聽以及密碼破解，做了相關的介紹，對於想深入技術領域或想成為Pen-tester的朋友，本書值得一讀。

資安好站：
SecurityFocus
http://www.securityfocus.com
身為資訊安全人員，不可不知SecurityFocus網站。首先要介紹的，也是最多人使用的mailing list服務，可以訂閱歷史悠久的bugtraq mailing list，能夠幫助大家隨時得知最新的弱點及專家建議。此外，網站也有新聞服務，提供資安相關新聞整理，另有 library archive，收集了其他相關網站的文章供大家參考運用。網站上對於資訊安全相關的連結，有極為詳盡的分類整理，可以快速地滿足大家對於相關資訊的需求。

Google
http://www.google.com
在SecurityFocus裡，不論是管理面或技術面，大家都可以獲得許多有關資訊安全的基礎知識。有了對資安的基本瞭解後，想要再進一步深入探討的話，Google網站絕對是通往更高深境界的必經途徑。SecurityFocus教你如何釣魚，而Google 則是廣闊的海洋。施孟甫
中華數位技術長

學　　歷：東海大學統計學系碩士

經　　歷：負責多家企業電子郵件通訊服務的專案開發與系統服務顧問，領導中華數位科技研發團隊

好書分享：
《2004年資訊科技與人文管理教育論壇—數位內容、數位教育與管理政策研討會》論文集
本論文集內容包含數位內容暨資訊安全技術實作及深入研究剖析，是產官學界針對數位內容安全管理及機制探討，不可多得之重要論文集。

論文集從人文教育、資訊科技、法律社會及心理等多種面向，提供「管理政策與技術管制」、「數位教育與法律社會」、「數位內容與資通安全」等相關技術或研究報告，針對現今及未來發展的資訊技術與管理方法應用在數位教育上。另一方面則探討因網際網路的普及和推廣而衍生的負面效應，如資訊濫用、網路色情、資訊犯罪及沉迷於網路的遊戲世界等社會犯罪問題。

《駭客現形：網路安全之秘辛與解決方案》
本書對於資訊安全實務有非常多的實例探討，無論是IT網路環境所面臨的威脅、弱點與暴露，都有深入的探討與解說，更提供防禦的因應之道，閱讀這本書，將會深入了解資訊安全的實務面。

新的駭客工具、技術、方法隨時都在變化，唯有了解各種攻擊技術的原創與意義，才能在以「人」為基礎的資訊安全，先從治標的防禦做起，再做到治本的教育。本書除了將資訊安全攻擊與防禦的實務面做深入探討之外，還收集了不少資訊安全專家必備的工具與網站。

資安好站：
SecurityFocus
http://www.securityfocus.com
各種系統的資訊安全訊息通報

資通安全資訊網
http://ics.stic.gov.tw
國家級資訊安全訊息網，有完整國家法令、計畫、研討會、期刊等等資訊。