一網打盡 資訊安全關鍵技術研討會

「市面上資安產品那麼多樣，品牌也不少，我該怎麼買，才能讓公司的資訊系統更安全？」多數企業資訊部門一定會面臨到上述的問題，似乎公司的所有資訊安全任務，都應該由資訊部門負責，事實是如此嗎？另外，買資安產品就能確保企業安全無虞嗎？除此之外，客戶還有哪些安全需求廠商沒有看到？

由iThome電腦報周刊主辦，賽門鐵克、中華數位、趨勢科技、達友科技、碩琦科技、巨匠電腦、桓基科技、Juniper、優碩資訊、金揚資訊、合勤科技、奕瑞科技等協辦的企業資訊安全技術研討會中，勤業眾信會計師事務所副總經理萬幼筠針對「企業資訊安全管理與技術規畫」一題，分享其專業和經驗，內容整理如下：

勤業眾信會計師事務所副總經理萬幼筠：

行政院資通安全會報將於2005年到2008年推動「資通安全機制建置計畫」，影響層面非常廣，2004年已經有20家已經通過BS 7799，其中有幾個技術的布建是大家可以注意的：第一個是異地備援、DCP、電子郵件、IDS、防火牆、SOC等，都是政府規定一定要遵守。政府帶頭做資安

政府的資安策略也影響政府如何看待所屬機構和民間單位，如果是上市櫃公司，要符合政府對安控的規定和標準，目前對資安的法令面、需求面和技術的演變，大概是從美國911之後遞散到全球的。

明年這個計畫會做得更大，包含無線網路的安全、電腦鑑識、網路安全（network security），資訊安全的範圍是大於資訊系統安全，大於電腦安全，如果一個政府單位通過BS 7799，他們買的防火牆不是只有一家兩家，而是20家或30家，內部都要依照業務性質、嚴重致命的程度做區分，不同的邏輯、使用工具不一樣。

那大家會問，到底怎麼布建才好？為什麼要買那麼多產品？哪些產品放在哪些位置好？這些都是和策略有關，這也是為什麼我要講這個題目的原因。很多採購決策或設備的使用，應該都是從管理層面訂定出來的，而不是想到買什麼就買什麼，買來才發現，組織可能沒有足夠的認知（awareness）、訓練、人力或技術。先擬管理政策，再決定產品採購

管理政策是決定產品或技術規格的一個指標或來源，在這樣的目標下，未來的四年有幾件事會很重要：一個是加強國際安全合作，合作就會引進國外先進的技術，如電子化文件的控管，將是新興的趨勢。在這樣的前提下，民間產業也有幾個進展，目前其實從金融業、電信業、高科技製造業和政府等，都可以看到這些產業導入國際安全標準，都如鴨子划水地緩步進行著。

前面提的機制計畫影響的單位如下列數字：行政院有3753個行政機構、上市櫃公司或公開發行的公司有1200多個，都要符合機制計畫中某些精神。日本資安市場是臺灣的17到18倍

從vendor的角度來看商機很大，但是從執行者或從業人員角度來看，你們過去執行的資安工作，已經無法滿足上級長官或經營者的要求，且有很多單位來要求你說，這樣是不行的，還要做很多額外的布建或規畫，這樣的管理內容或技術要有連結，這一定要做到。

第二是很多和國外合作的廠商，或是這些大廠合作的下游廠商都一定要做，因為國外客戶會告訴他們，如果不做，可能就沒有單子，因為國外大廠要確定自己的東西在你這裡是安全的。日本內閣官方會議規定全國上市櫃公司一定要通過BS 7799，所以日本的資訊安全市場的成長規模是臺灣的17到18倍。

銀行的腳步和資安技術需求更多更快，這裡也要提示大家，在技術面或使用上，即便有很多產品都有相同的功能，它在金融業的使用不見得能完全比照，廠商就要思考，什麼技術布建符合未來產業需要？導入時要先行風險評估

各位要先注意，一定要做企業內部的風險管理評估報告。技術面使用一定要對應到政策面的執行，否則會變成買了這個產品或賣了這個產品，最後還是沒有解決問題的情形。

在一兩年內，國內的銀行或金控應該都會大量投資在資訊安全採購，未來幾年都會把焦點放在資訊安全領域。同樣的，如果具有資訊安全專業的從業人員要進金控IT部門，未來會更有利基。

第二、行政院資通安全會報在三年前就發布了公文給所有行政機構，把所有政府機構和所屬經營事業，分成ABCD四級、十個單位和二十個系統，他們必要在年底前通過BS 7799外，還要附相關物件，可能是SOC、防火牆、IDS或access control等，這一筆投資也是數十億，對資安市場如雨後甘霖。

明年將是資安管理收穫的一年

我必須評論說，明年將會是資訊安全管理收穫的一年。意思就是說，明年初開始以後會是資訊技術產品或技術強力導入的一年，企業已經很清楚自己的安全需求和政策，要做哪些事情？哪些人要管哪些事情？這些都逐漸確定了。

過去企業都認為，網際網路已經保護好就是安全了，可能不清楚內部網路或內部資訊系統的管理，要經過必要的管理策略規畫動作之後，才能確定哪些部分要補建的。

美國911之後，全球對於國土安全（Homeland Security）都相當重視，政府也是採用類似的規畫。好的資訊安全建置方式不是直接找工具來強化，文管軟體在日本很盛行，因為牽涉到資安管理的完整性。如果你是資安從業人員，你會發現未來在維護文件的時候會非常辛苦，從現在開始相關的資安稽核，如果沒有好好管理文件，可能會被判定為fail。

以後政府稽核，沒有一個專責單位watch安全，且不是高階主管的話，這也是會被判定fail的。這裡還有一個值得思考的是，很多資訊安全的失敗，都是高階主管的不支持。總結五件事情：第一個是高階主管要支持，第二個遊戲規則要講清楚，哪些安全管理規則要訂定，要做全公司的、網路的、或是主機系統的、或是應用軟體的、或是資料庫的，都要講清楚的。

應用軟體（ERP或CRM等）仍缺乏保護

會有很多長官問說，你之前不是才買兩套防火牆嗎？我們資安應該很好阿？抱歉，這只有保護到內容，還沒有保護到ERP或SCM。高階主管必須針對風險評估的結果，給予支援。例如高科技上市櫃的ERP中，有很多交易軌跡是要保護的，多數會在AP上面安裝log monitoring的機制。

在行政院的統計，去年發生的資訊安全事件中，只有12％是從Internet來，88％是內部人員舞弊，第二個是疏忽、不是故意的，第三個是內部系統疏漏，最多是中了DDoS在裡面。使用什麼技術是一回事，技術擺在哪裡又是一回事，這是管理面注意的一個要點。

行政院並沒有規定異地備援系統要建在30公里外，真正的作法是應該經過風險分析後才開始導入。國內有幾區是隔離在斷層帶外的布建區，例如內湖、林口、龍潭、台中、高雄，很多企業乾脆委外出去給廠商經營，提供委外SOC的服務和幫企業內部建SOC需求會出現，去年SOC才20家。

最後才是軟體控制，所有軟體的設定管理（configuration management）或問題管理，大部分都是委託廠商作。路徑走到最後是稽核，稽核（audit）是顯學，會變成這些內容的關鍵，因為每一個點都要去評估控管實施的有效性。需求面和布建要和所有的管理結合。

臺灣是日本外資安產品最普及的地方

臺灣是除日本之外，資訊安全普及率最高的地方，連美國的防火牆布建程度都沒有臺灣好。未來資安市場主流會是Identity management，也就是權限整合或調查防禦、single sign on（單一簽入）、Token PKI這類技術，前半段如防毒、防火牆等必須要有的東西，後面是整合所有，提高管理效率的技術工具。

國內有個缺點，買產品的時候都是只有規畫一年，不是長期的，把公司放在同心圓之上，從最核心保護的資料，一直畫到外圍，每一塊要怎麼布建，應該要有藍圖，這樣比較容易讓稽核員、長官或是部門主管認知，否則東補一個，西補一個，還是可能會出狀況。

為了符合政府規範，大家都在說BS 7799或ISO13335等，這些標準都Ok，但就只有一個結論，就是資訊安全一定要經過風險分析和權責控管，然後再導入技術。

現在國內最大的訓練是所謂的BS 7799，在我們心目中這不叫訓練，這叫建立訓練的平臺。以後談資安，就是BS 7799規定的五大控管，也就是人員控管、存取控管、作業與通訊控管（包含系統管理、網路管理、備援計畫、）等。

各位會問，無線網路安不安全？可不可以導入？其實目前知名的無線網路標準都已經被破解，安全仍有疑慮。金融業哪裡最重要？我的認知搞不好不是資訊部門，可能是信用卡部，因為信用卡或現金卡直接對客戶，或是做衍生性金融商品操作的，都是高風險區域。

安全也有績效指標（KPI）

不是網路銀行，網路銀行該布建都布建了，那新的需求會在哪裡產生？這問題值得我們思考。很多人會把資訊安全責任歸在資訊部門，不過，從國外的趨勢看，其實可以在管理績效上看到。很多人都在炒公司治理，高階層有效管理，安全管理也是一種管理，談的都是風險管理，看到很多安全產品就可以評估風險高低？安全應該要納入績效指標（KPI），可以用量化來表達和管理相呼應。

臺灣要普遍接受這個觀念，可能會慢個3到5年，任何安全管理都要和營運策略面結合。現在做安全如果沒有安全指標，就會遇到挑戰，因為資訊安全管理體系的認證，就是安全指標，而且每年都要審核。對資訊科技的投資是不能間斷的，不能只有做一次的。

另外一個趨勢搭，就是所謂的資訊服務科技管理（ITIL）或ISO 15000，這些將是國內政府採用委外服務的一個參考標準。

千萬不要把single sign on和access management和Identity management混在一起，在國外是由HR部門設權限，所有的sign on是要經過規畫，哪些人是用哪些權限？哪些可以讀？要經過規畫、設定和分析，就有rule base access management，國內有相關產品如IBM、CA、網威或微軟都有，還有商用軟體的integrity，我們和國外的Gap還滿大的，應用軟體的integrity未來值得投資。

如果企業決定了風險後，參考BS 7799去布建資安解決方案，有幾個角度，第一是隱私，第二是identity management，第三是AP integrity，第四是infrastructure，包括log monitoring、reporting、系統和網路基礎架構管理、資產保護等。

log要時時分析，安全要包含虛實

大家看資訊安全，不能只有看到網路的安全，information security不等於information success security不等於Network security不等於computer security；我們今天談network security，就等於information security，這是一個迷思。

我們會建議企業或政府這樣做，ERP或CRM、內部的portal、e-Learning、內部策略規畫工具等，這些通通都要納入安全裡面，因為公司導入工作流程，授權在其中，我看過有人sniffer公司上級主管的密碼，修改裡面的請假單。管理的需求出現才能確定採用何種技術，技術才有價值。

國內非常缺乏log、monitor和reporting工具，我指的是防毒之後的警示，有沒有定期去分析IDS或file integrity。談log分析，千萬不要當成是防火牆、IDS的log而已，應用軟體的log也要看。