iThome2004企業資訊安全大調查資安現況篇(上)─資安規範有待落實

你遵守公司的資安規範嗎？65.2%的企業員工並未完全遵循資安規範， 而且有39.2%的企業並未制定資安規範， 顯見資安規範的重視程度仍有待加強。

整體而言，54.3%的企業有制定資安規範，但也有39.2%的企業是沒有相關的規範，其中以金融（78.4%）、政府（67.6%）及電信（77.3%）是已經具備資訊安全規範的前三名；服務（50.0%）、醫療（47.6%）和製造（45.2%）則是沒有規範的前三名。

但制定了資安規範之後，員工是否就會遵守呢？調查數據告訴我們，多數員工並沒有全部遵循，高達65.2%，全部遵循的有19.1%的企業裏，有 8.9%是完全不予理會，可見企業資安規範的落實仍需補強。

員工沒有完全遵守企業資安規範的事件，小到使用隨身碟、利用即時通訊傳輸檔案，大到下載非法軟體或瀏覽危險網站，雖然這些行為所導致的資安問題乍看之下是外部攻擊，但事實上，卻是因為內部員工不遵守規範所造成的。應付性質居多，多從技術面著手規範

從產業別來分析員工遵守資安規範的程度，金融業由於時常稽核，所以員工通常必須遵循；資訊電子業本身的監控設備充足，藉此規範，因而迫使員工遵循；政府單位所反應出的結果倒也滿符合現況，大家都知道上有政策、下有對策，也反應政府單位本身的問題。

大多數的企業都有資安規範，但仍以應付的性質居多，尤其是政府單位。目前政府在大力推行的BS7799，只是政策上的規範，對實際的資訊安全並沒有落實，因此企業仍需制定實務面規範，才能落實資安政策。

稽核人員的專業性也是一個問題點，敦陽科技資訊安全事業處資訊安全顧問林佶駿舉一個例子，某單位的稽查人員是會計背景，要求防火牆的密碼由兩個人各自保管一半，雖然可以分散風險，但如果其中一人休假，不是無法進行調校，就是要將密碼告訴另一個人，這也會造成管理上的困擾，而且也沒必要把防火牆當成核彈。

資安規範絕對有很大的幫助，但必須有配套措施才能夠落實，以BS7799為例，每個控制項都有相對應的解決方案，但許多單位並沒有依實際狀況進行評估，而是隨意採購資安設備，反而無法達到防護的目的。舉例來說，資安規範就像是交通規則，但並不是每個人都會遵守，所以除了要有交通警察和紅綠燈，也還要有測速照相和托吊車等裝置。但目前的狀況則是，企業缺乏完善的規畫，不是訂了一堆政策卻沒有資安設備，不然就是買了太多產品而沒有政策搭配，實際的用處並不大。

另一個實例是一位對資訊安全概念的高階主管，徵求專家的意見製作一分檢查清單，要求MIS定期檢查這些項目，但MIS認為每天工作已經夠多，無法依照要求每周檢查一遍，只是隨便打勾應付檢查，敷衍了事，直到系統被植入木馬程式，事件才暴發出來。這代表在制度上沒有人可以稽核執行清單檢查的成效，即使公司已經投資很多資安設備，主管也制定資安規範，但如果沒有稽核制度，問題還是會發生。

國內各行業別缺乏特定並強制的資安規範，加上輔導人員的專業程度也不一，有人偏重技術，有人偏重理論，最好謹慎選擇。只准州官放火，不准百姓點燈

資安規範如果未結合人事懲戒，而只是消極約束，效果也不顯著。常見的狀況是，許多企業已經有制定相關的規範，但由於人為疏失，例如將帳號密碼貼在螢幕旁，而造成資安漏洞。所以，如果是情節嚴重的事件，應該要予以解雇。

要讓員工遵守規範主要有兩種方式，一種就是明訂罰則，並實際執行，另一種就是從設備中下手，阻擋不合規範的行為，積極防止員工違規。

有些行為可以用系統規範，但是人為本身的行為比較難強制規範，而老闆和研發部門就是資安規範的兩大破壞者。企業高層往往希望能享有特權，成為最會打破規範的使用者，因此，企業高層是否有決心去進行規範，也決定了規範是否能夠落實；研發部門則是更危險的一群，由於他們本身的技術能力和資訊取得都比較強，而且大都由公司配置專屬的線路，企業高層也願意給研發部門最大的方便，然而卻也擔心他們會洩密。「資訊安全是為了保護重要的核心價值，」萬幼筠說：「資訊電子業都是研發部門來找我們顧問協助，而不是IT部門。」

鈺松國際的做法則是在規畫網路架構時就切開研發部門和公司的網路，因為研發部門會丟出測試封包，同時也要在研發部門建置權限控管及內容監控等設備，以防止機密外洩。

科學園區有些高科技製造業，他們的研發部門無法透過網路直接向外連結，而是到另一個房間連結上網，可以把資料拿回來參考。透過這樣的規範設計，也可以較為簡單的作法減少資安的問題。

資安政策是人訂定的，也是人去執行的，當遇到特殊狀況時（如高層要求），很容易就無法落實規範，造成資安漏洞。

因此在規則訂定完之後，全權交由設備自主負責，可避免人為問題，Juniper亞太地區新興科技業務總監陳雄龍就認為，良好的稽核工具是不應該受人為影響。政策制定與實際執行仍存在落差

資安政策與設備是一體兩面不可分割的，鈕因任認為針對企業的需求面不同，要訂定的規章與採購的設備也不盡相同。如果企業提供的網路服務較少，甚至只需要嚴格要求員工遵守規範，就可用少量的設備達成所需的資安環境。

以國外的發展來看，資安部門應該凌駕其他部門之上，就如同獨立檢察官一般，不受其他主管的限制並嚴格執行，才能讓資安規範落實。

金融、電信和政府等產業，因為有受到較嚴格的法規要求，所以都有制定資訊安全規範，只是落實完備的問題。然而像是e化程度較低的傳統製造業而言，電腦作業的比例比較少，不見得會有資安規範。

甚至有些公司認為電腦內沒有機密資料，被入侵也就算了，只要用Ghost還原系統立即恢復運作，等到還原的時候再到Windows Update網站更新，重作一份Ghost即可，根本不理會廠商的建議，甚至覺得廠商太過大驚小怪。他們認為前端與後端資料庫是分離的，被入侵後只要立即復原，並不會對公司造成影響。也許這就是他們的資安規範。

總整而言，金融和電信業對員工的要求較嚴格，真正遵照資安規範，其他產業的員工則大多沒有遵守；而且政策訂出之後，與實際施行的狀況差距甚大也有，像政府也有訂定資安政策，但是承辦人並不了解資安規範，可能只是張貼在公布欄，或製成公文傳閱，並沒有實際體會與實踐內容。

其實資安政策也要包含在內部加強教育訓練，平常張貼一些與資訊安全有關的警示標語，或者定期測試員工的警覺性，相信從教育著手，讓員工先認知到資安的重要性，就不會造成上有政策、下有對策了，政令宣導應該會有不錯的成效。