[觀點] 回顧過去，展望未來 - 資安工作重點提醒

面對全球不景氣的年代，隨著新的一年開始，究竟資安工作該如何加以落實與推動，將是一個值得重新思考的問題，尤其是在缺錢又缺人的情況下，企業該如何維持資訊安全的水準，同時達到預先設定的目標，本文所提出的建議可作為參考。

2008年底的金融海嘯，嚴重打擊了世界各國的經濟發展，也連帶使得台灣的失業人口數，因此一舉而突破了五十萬人，到底哪些企業在這一波海嘯中受害最深呢？從媒體的報導中看來，高科技製造業與金融產業應該佔了排行榜中的前二名，而無薪假的實施，更是這些科技新貴萬萬沒有想到的景況。不過，卻有一則新聞是讓人感到欣慰的，那就是在資訊安全方面，受創很深的金融業並沒有因此而減緩腳步，根據資策會MIC的調查指出，「強化資訊安全能力」仍是2009年金融業最重要的投資項目，而另外三項重點工作，包括「法規遵循需求」，「強化災難備援能力」、「提升風險控管能力」，事實上也都和資訊安全工作息息相關。

資安威脅的趨勢發展

個人認為，今日資訊部門有一項重要的任務，就是要確保企業發展必要的關鍵業務，能夠藉由資訊系統的協助而順暢運作，換句話說，如何去確保資訊系統的可用性，即是資訊安全重要的工作之一。因此，回顧過去的資安趨勢發展，可看出資訊安全已從風險管理的角度，演變成為在資安事件發生時，如何使企業能夠持續營運，這也代表著資訊安全、風險控管與災難備援，已具有密不可分的關係。

舉例來說，以往企業透過了風險管理的過程，即可鑑別出資訊安全方面可能的威脅與弱點，然後就能導入適當的控制措施，以降低所面臨的資安風險。可是，若萬一還是不幸發生了資安事件，那麼需要思考的角度就必須轉換成為如何在災難發生前，事先擬好各項應對的劇本，以便一旦災難真的發生時，就可以照著劇本的步驟來進行緊急應變，確保能夠在最短的時間內，盡快恢復企業的正常營運，並將對業務活動可能造成的營運衝擊傷害降至最低。

根據個人的觀察，病毒、蠕蟲與木馬等惡意程式，仍是讓目前大多數企業感到最為頭痛的資安威脅，尤其當惡意程式開始肆虐的時候，不只將造成企業的生產力降低，同時也讓資訊與網管人員疲於奔命，更嚴重的甚至會導致企業業務停擺，或是造成機敏資訊的外洩，這些都會是企業難以忍受的狀況，也應該列為優先預防及因應的目標。

資料與網站安全仍受關注

在新的一年，除了惡意程式之外，資料安全與網站安全也仍是資安的兩大主要議題。所謂的資料安全包括像是內部非法存取，行動裝置失竊和儲存媒體遺失等；而網站安全則包括網站主機系統強化、應用程式漏洞修補、網頁應用層防火牆部署等相關工作。

所以，針對資料安全我們該如何來因應呢，首先企業要識別的就是有哪些資料是需要受保護的？接著是這些資料究竟存放在哪裡？還有誰是資料的擁有者和使用者？唯有了解資料的所在位置與從屬的對應關係，我們才能進一步決定，應該要選擇何種控管措施。例如針對檔案伺服器，我們可以進行存取權限的審查與控管，而針對儲存資料的媒體如磁帶等，我們可以選擇以加密的方式來進行資料的保護，當它需要運送至異地存放時，也要選擇適當的保全方法。因此，建議大家可先從管理面的角度來出發思考，再根據本身實際的需求考量，就可以幫助我們更容易判斷應該導入哪一種資安控制技術。

除了確保資料安全無虞之外，截至目前為止，每天仍有許多網站不斷受到駭客入侵，當正牌網站被植入了惡意連結之後，同時也轉變成為危害一般民眾的幫兇。較令人憂心的是，對於有些企業或組織來說，網站遭到入侵仍是漠不關心的一件小事，即使得知自家的網站已被成功入侵，管理人員也不願或沒有採取任何的修補措施。因此，一般使用者必須要尋求自保之道，例如像是更新作業系統的修補檔、安裝最新的防毒軟體和病毒碼、安裝反間諜軟體等，這些已是使用者必要的基本配備，而留意已遭入侵的網站資料，避免連上這些已經淪陷的網站，也是降低感染惡意程式的好做法。

但是對於企業而言，資安人員除了協助使用者採行以上這些措施，還有一項技術是可以考慮導入的，那就是建置具備網頁過濾功能的Gateway端設備，此一裝置除了可阻擋內部使用者連線至惡意網址之外，對於釣魚網站的預防和非正當網頁的瀏覽，以及像是即時通訊軟體的傳送檔案管制，都可以收到不錯的管理效用，也能為資料內容安全做了一層更深的把關。

資安工作的重點提醒

以上的觀察與建議，除了提供給資安相關人員作為參考之外，還有幾項重點工作的提醒，也是未來可以規劃及運作的方向，分別說明如下：

1. 進行資安解決方案的整合 - 為了確保資料不會遭到外洩，透過資安方案的整合，可以從端點安全開始，即針對重要的使用者電腦進行檔案加密，同時進行週邊設備控管；如果使用者經常需要存取內部的應用系統，可再藉由網路存取控管機制，當電腦一連接到網路，就馬上對它進行身份認證及系統安全掃瞄，在確認使用者電腦所安裝的軟體都已經更新，並且符合所設定資安政策的要求之後，才允許它連上企業內部網路。
2. 資安管理仍是一帖良方 - 據了解，政府相關的B級單位，最遲須在2009年底通過ISO27001驗證，因此導入有效的資訊安全管理系統(ISMS)，已是刻不容緩的工作。個人建議既然要做，就不可將拿到證書當作唯一目的，應該要抱著加強單位資安的心態來進行，因此在導入範圍的選擇上面，千萬不可避重就輕，仍要以關鍵的營運或服務系統為對象。
3. 加強資安專才訓練 - 政府及民間企業的資安人力不足，仍是一項迫切需要改善的問題，根據資策會MIC在「台灣金融業資安投資現況與展望」調查報告中指出，以台灣的金融業為例，平均每一名資安人力，就需要負責221.4台電腦的資安工作，而1000人以上之金融業，每名資安人力更需要負責高達560.4位的員工。在這麼繁重的工作底下，非常需要專業的資安人員，並且要授權讓他們運用適當的工具，才能達到事半功倍的管理功效。
4. 注意個資法的動態 - 未來一旦您所處的行業納入了新修正個人資料保護法中的規範，也就表示盡力保護儲存於企業中的個人資料，已是法律要求的必要做法。因此，企業若還是輕忽了個人資料的機密性，而將個人資料輕易地洩露出去，就必須接受法律所規範的罰則制裁，所以建議資安相關人員，請務必以「個人資料保護法」去Google一下，應該可獲得蠻多的資訊，可作為日後因應的參考。

隨著大環境的景氣不佳，許多企業單位皆進行組織整併或人事凍結，原來事多人少的資安工作，在此時此刻更顯得雪上加霜，不過，資安工作是一個持續性的過程，即使在景氣不佳的時候，其實也正是可以進行內部反省與檢討的時刻，因為既然花錢的事不太好說服老闆進行，但是檢討資安政策、落實資安規範、進行員工資安教育訓練，卻正是最好的運作時機，而所有資安工作的推動，仍有賴所有相關人員的共同努力，就讓我們彼此互相打氣加油！(本文刊載於2009年1月號網管人雜誌)