黃凱在中華大學就讀時唸的是工業管理系,但是當時個人電腦DIY的熱潮把他帶進了資訊領域。在興趣的驅使下,他在大三、大四時先後進入學校計算機中心與經濟部專業人員研究中心工讀。在專研中心工讀期間,恰好遇到經濟部撥款為所屬各單位建置網路的專案,憑著對相關技術的熟悉,他被指派擔任專研中心與承包商間的聯繫窗口,因此也跟著廠商學到不少經驗。隨著對資訊技術的鑽研日深,也讓他立定從工管轉往資訊領域發展的志向。
從資訊戰到資安管理
藉著學生時期累積的資訊工作經驗,黃凱入伍後被挑選到憲兵司令部通信隊服役。某日當他正在站哨時,突然被負責保防的長官召見,並以一個虛擬案例詢問他如何追蹤匿名郵件,他在不知就底的情形下便就自己所學,向長官解釋可用的追蹤方式與實作程序。事後他才得知,原來是隨著網路的普及,安全組組長感到網路所引起的資訊安全問題已逐漸成為不能忽視的問題,對軍事保防將會帶來前所未有的威脅,因此想從隊上挑選適合的人員組成資安小組,以求強化單位內部的網路安全,而擁有網路基礎功底的黃凱自然就成為上級屬意的人選。
黃凱接下來的役期便在軍方的資安單位度過,除了該單位負責的種種資安政策的執行外,比較特別的是該單位還特別針對滲透入侵技術做了相應的研究,在歷次演習中扮演攻擊方,藉由滲透各級單位的戰情電腦,找出各單位戰情網路系統中的弱點。6~7年前當時國軍各單位的資訊架構與資安觀念仍不很完善,因此他們在演習中取得的「戰果」相當輝煌。
黃凱退伍後先進入泰富科技工作,泰富科技的業務範圍含括了從網路設備的代理到各政府機關、金融機構、軍方單位及企業等的網路規劃、建置及維護,因此大大擴展了黃凱的視野。他在泰富時最重要的經歷就是參與為聯合信用卡中心建置資安監控中心(SOC)的專案,稍後當聯合信用卡中心決定將SOC改為外包給泰富後,他更被指派為泰富駐聯合信用卡中心SOC的專案工程師,負責為聯合信用卡中心提供網路安全的監控與諮詢服務,直到今年4月才轉到現在的關貿網路公司。
與資訊工作者鬥法
從服役時在憲兵司令部安全組服務起算,黃凱在資安領域已有5、6年的資歷。他以自身的經驗指出,人往往是造成資安漏洞的主要原因,以聯合信用卡中心為例,該單位的業務可說是由資訊系統堆砌而成,中心內含有大量承包不同服務的廠商,成員複雜,因此管理也困難。依照聯合信用卡中心的規定,由於核心系統保有大量敏感資料,因此必須維持封閉,禁止連接網路。
但是「上網可說是資訊人的基本生理需求」,政策上雖然規定不准連接外部網路,但工程師們往往還是難以抑制瀏覽網際網路的慾望,即便網路設置上也做了實體隔離,然而「生命自己會找出路」,利用種種變通方式連接上網的「怪招」層出不窮。如私設無線AP、繞過VLAN等等,SOC雖能從異常網路流量,以及分析封包察覺出這些非法連接,但也只能在非法連接出現後,才能偵測到並加以因應,這種「鬥法」總是處於被動。若無法解決「人」這個核心問題,還是會出現其他漏洞,因此單憑監控技術不能完全解決資安問題。
落實資安政策須從技術、流程與人員三管齊下
黃凱以自身經驗認為,唯有技術、流程與人員三管齊下,才能有效落實資安政策。但建置一套防火牆還是資訊監控都還算是相對容易的事,困難的是調整企業運作流程來配合資安的要求,如果流程或架構不當,如許多企業習慣在備份的測試用資料庫上,使用與線上的生產用資料庫相同資料,但測試用的備份資料庫伺服器在防護上往往不如生產資料庫完備,以致留下一個弱點。
然而最困難的還是讓企業所有員工配合資安政策的實施。就算把系統全部封死,不能連網、封住USB埠,再加上硬碟資料加密,「但有心人要洩漏資料的話,用紙筆也可以把資料抄出去」黃凱表示,所以資訊安全最終要解決的還是人的問題。而這就不是SOC或其他措施所能完全應付,須從平時的管理下手。
考量到外部要入侵設有防護的企業網路有許多困難,但若從內部下手,則要竊取資料的難度就要低上許多。依照FBI與美國電腦安全協會(CSI)的統計,在美國有高達50~80%的攻擊來自防火牆內部,因此即使是不與外界網路連結的企業資料中心自身,也有遭受來自內部的非授權存取的風險。所以重點便在於防範於未然,避免內部員工有竊取資料的動機與機會。如說平常時常關心下屬,就能掌握可能誤入歧途的員工,避免問題發生。黃凱舉例:「譬如說發現員工從澳門回國後,有神色與行動異常的現象,此時主管就要適時加以關心了解,以防發生不測」。
資安管理人員是助人又助己的工作
為了安全而導入防護與監控系統,不但不能任意存取網路,還要隨之改變已成習慣的工作流程,雖然乍看之下不但花錢,內部作業也更麻煩,但更重要的考量是一旦發生問題收拾善後所需付出的代價。與事後的種種麻煩相較,事先多花一分心力做好監控與管制,對企業來說絕對是合算的。
而就資安人員自身來說,從事管制稽核這種扮「黑臉」的工作往往也有吃力不討好的感慨,除造成與其他部門同事間人際關係緊張外,這種需要長期監測的工作也很容易造成倦怠。但黃凱表示,這就要求資安人員以管制、稽核是在幫助同仁,而不是「找碴」的心態來看待自己的工作。人性往往經不起起誘惑,他認為越嚴謹的管制,其實是在幫助同仁儘可能少犯錯誤,也是幫助自己避免事後收拾殘局的麻煩。反之若是為了方便而讓門戶洞開,反易誘使意志不堅的人冒險,且資安人員在危安事件發生後還須花去更多心力去彌補。因此嚴格執行資安政策絕不是找麻煩,而是既助人又助己。文⊙張明德
|
業務越敏感、關鍵的企業,越需要SOC |
| 許多企業都會懷疑,花費龐大的時間與金錢建立SOC真有必要嗎? 以目前資訊系統遭到入侵的頻率與程度,是否值得花大錢建立SOC?
黃凱表示,企業資訊系統面對的威脅超乎外界想像,現在各種駭客用的工具程式已到氾濫的程度,有心人士很容易就能找到用於入侵的工具,以他在關貿網路SOC的經驗為例,他們幾乎每天都會偵測到外界對內部存取節點的掃描,而試探性掃描只是入侵的第一步,緊接著就是針對特定主機的試探。 如果沒有SOC,企業就只能在問題爆發後才能發現,此時再行修補除了必須付出相當大的代價外,已外洩或因攻擊所導致的損失也無法恢復。而有了SOC以後,就能24小時監控網路行為,密切注意異常的傳輸,防患於未然。即使不幸因軟體漏洞等缺陷而遭到成功入侵,SOC也能早期發現、早期處理,必要時還可在設備原廠反應之前,就先行修補漏洞。因此對具有關鍵性業務的廠商來說,SOC將能發揮出相當大的效用。 當然要企業接受由SOC統一監控網路運作,並制定合乎實際的安全作業流程也非短時間就能達致。以他參與的聯合信用卡中心SOC為例,光是建置後的測試就花了半年以上的時間,針對客戶環境與測試中發現的問題逐一調整安全政策,還要訓練企業資訊人員,以便測試完畢後移交系統。只有透過承包商與企業間長期不斷的溝通與測試,才能圓滿完成SOC的建置。文⊙張明德 |
IT人物-黃凱
關貿網路網安服務組組長
●學經歷:中華大學工業管理系,泰富科技專案工程師
公司檔案-關貿網路
●成立時間:1996年
●營業項目:通關、金融、報稅、保險、地政與電子商務應用系統開發與建置。
●網址:www.tradevan.com.tw
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02