[專題] 資訊安全管理導入實務(一) - ISO 27001資訊安全管理系統簡介

推動資訊安全工作，主要涵蓋的層面包括人員、作業流程和資訊技術，要如何將此三者串連起來，最好的方式就是建置一套適合組織的資訊安全管理制度。目前，實務上最好的參考指引就是國際資訊安全管理標準ISO 27000系列的規範，接下來的文章，將會說明如何協助組織導入符合標準要求的資訊安全管理制度。

一談到資訊安全，大多數人的直覺反應就是在抵擋駭客入侵，但事實上，這只是其中的一小部分而已。過去，許多企業組織對於資訊安全的投入，主要都是著重在技術面的資安基礎建設，例如建置網路防火牆、防毒軟體和入侵偵測系統等，希望藉由安裝資安軟、硬體設備來加強網路安全，以抵擋來自企業外部的各種資訊安全威脅。

可是，僅僅做好網路安全防護，並無法有效地解決各種資訊安全問題的發生，因為還有兩項大原則必須要同時兼顧到，那就是人員與作業流程。因此，確保組織資訊安全的最佳方式是從管理層面來著手，藉由建立一套完整的資訊安全管理系統(Information Security Management Systems, ISMS)，才能有效防範資訊安全事件的發生，但是資訊人員們可千萬別誤會，這裡的「系統」指的並不是架設一台伺服器或是開發某個應用系統，它背後代表的意義，其實是要建立可以持續運作的資訊安全管理制度。

資訊安全管理標準簡介

目前，ISO 27000系列是國際上受到認可的資訊安全管理標準，其中在2005年通過的ISO 27001標準，它是規範建立、實施資訊安全管理系統的方式，以及落實文件化的要求，可以確保資訊安全管理制度，在組織內部能夠有效的運作，同時它也可以作為資訊安全管理系統的驗證標準。截至2009年6月為止，在全球已經有超過5600個組織通過驗證，台灣也有321個組織(包括公民營單位)取得ISO 27001證書，僅次於日本、印度、英國，位居全球第4位。

至於ISO 27002則是資訊安全管理作業要點，內容涵蓋了11個章節以及133個安全控制措施，提供很多實務上能夠運用的做法，可作為建立一個標準的資訊安全管理系統的參考。如果管理人員想要協助組織建立資訊安全管理制度，卻不知應該要如何著手時，就可以參照這個標準的內容來進行。

在ISO 27001標準中的要求，都是屬於一般性且可廣泛應用的，也就是說，它適用於任何型式的組織，而不受限於規模大小和營業性質。因此，只要是有心想要加強資訊安全的企業或政府單位，都可以藉由參考ISO 27001中的規範，自行選擇符合組織需求的資訊安全控制措施，來達成一定水準的資安防護能力。

管理制度的運作架構

在資訊安全管理系統的運作上，ISO 27001要求組織應該要在整體業務活動與其所面臨的風險之下，建立、實施、運作、監控、審查，並且維持和改進一個已經有文件化的管理制度，如果要確保它可長可久，就必須要運用PDCA(Plan-Do-Check-Act)過程導向模式，作為整體管理制度運作的基礎。

所謂的PDCA是指「計劃-執行-檢核-行動」的過程，在一開始的計劃階段，組織必須要建立符合營運目標的ISMS政策，它定義了組織實施ISMS的範圍，並說明資訊安全的目標、需要透過哪些指標去衡量成效，以及管理階層應該擔負的責任。因此，資訊安全政策也可視為管理階層對於資訊安全的宣誓與支持，唯有如此，到了執行的階段，我們才可依照此一政策來逐步推動各項資安的控制措施，並且建立相關的作業程序。

在依照計劃並且執行之後，要如何得知實施的成效呢？這時候就要進入檢核的階段，針對ISMS政策、控制目標及實行的過程，依照政策中所設定的指標去分析、評量實施的成果與績效，然後再將此一結果回報給管理階層作為審查之用。最後，再依據審查的結果，若是發現執行過程中有一些不符合的事項，就要透過實際行動來進行改善，也就是採取相對應的矯正和預防措施，來持續改進ISMS的整體運作。

ISO 27001標準條文內容

ISO 27001標準條文一共分為8個章節以及附錄，其中第1到3章，說明了ISMS的適用範圍、所引用的其他標準，以及相關名詞的解釋。ISO 27001條文的重點主要是落在第4到8章和附錄A，分別是「資訊安全管理系統」、「管理階層責任」、「ISMS內部稽核」、「ISMS之管理階層審查」、「ISMS之改進」，以及附錄A的控制目標與控制措施。其中特別要注意的，就是在這5個章節之中，涵蓋了資訊安全管理制度的建立運作與文件記錄管制、風險評鑑、管理責任、內部稽核和持續改善等要求，如果組織有任何一項不符合，就表示此一管理制度是無效的，也就無法通過ISO 27001標準的驗證，所以務必要了解條款背後所代表的執行意義。

為了滿足以上所提到的PDCA架構，在ISO 27001標準條文中，也是基於此一運作模式來設計，以第4章為例，4.2.1是「建立ISMS」、4.2.2為「實施與運作ISMS」、4.2.3是「監督與審查ISMS」、4.2.4則是「維持與改進ISMS」，剛好就對應了從計畫建立(P)、實施運作(D)、監督審查(C)及維持改善(A)的四個循環過程，換句話說，只要組織能夠持續PDCA的管理模式，就可以確保資訊安全管理制度可以有效地運作。

以下就先簡要說明4.2.1「建立ISMS」條文的內涵：

1. 定義ISMS範圍 - 在此條文中，要求組織首先要依據營運、組織、所在位置、資產和技術等特性，定義出資訊安全應受到適當控管的範圍。我們可以依照組織本身的特性，以部門、系統、業務項目或實體環境來定義所要實施控管的範圍，舉銀行業為例，我們可以選擇銀行資訊部門作為導入ISMS的範圍，也可以將信用卡這項業務服務相關的部門、人員、流程或是信用卡服務中心所在地點作為實施範圍。在實務上，當組織在定義範圍的時候，請僅記一項原則，就是務必要把核心的業務納進來，因為別忘了我們一開始即提到，資訊安全的目標要與營運目標一致，如果不針對主要業務來進行資安控管，實施起來就不具有意義了。
2. 界定ISMS政策 - 在制定政策的時候，我們需要考量組織營運與相關法規的要求，還有合約中所制定的資訊安全責任，例如法律要求必須要保障個人隱私、保護重大營運資訊，或是合約中要求必須保護客戶資料等，這些都是我們設定資安目標時的重要依據與參考。另外，在ISMS政策中，我們也要建立可以用來評估風險的準則，並且要能符合組織的整體風險管理策略。
3. 界定風險評鑑作法 - 風險評鑑有各種不同的方法論，讀者可參閱網管人二月和三月號中有關資安風險管理的說明，自行發展出可以識別組織風險的方法，並定出風險可以接受的等級。標準之中對於風險評鑑方法的要求，在於風險評鑑後所產出的結果，必須是可比較且可再產生的，換句話說，風險評鑑的方法，必須能夠重複使用，而且在不同時期進行的風險評鑑，其結果皆可用來相互比較分析，以作為風險處理與改善的方向。
4. 管理階層審查 - 標準中提到在風險處理之後，所殘留下來的剩餘風險，必須要取得管理階層的授權與核可，整個風險處理過程才算完成。
5. 擬定適用性聲明書 - 所謂的適用性聲明是指針對資安風險所選擇的控制目標與措施，組織必須要說明其選擇的理由，另外，在標準中所排除的控制項目，也必須要提出合理的解釋。適用性聲明的主要目的，是為了要確保不會有存在於組織中的資安風險，受到忽略而缺少適當的控管。

資訊安全是一個管理過程

資訊安全是一個管理過程，而不是一項技術導入過程，在ISO 27002標準中提到，「資訊安全是為了有效保護資訊不會受到各種威脅，實施各項適當的控制措施，以使企業能夠持續營運，將可能受到的損失降至最低，並獲得最大商機。」所以，維護資訊安全並不單只是資訊人員的責任，而是必須提高層級由企業組織的管理階層做出承諾，要求成為所有人員必須遵守的規範，也唯有人員都具備了資訊安全的警覺與防護意識，才能降低資安事件發生的可能。(本文刊載於2009年7月號網管人雜誌)

[觀點] 防範網路大軍的惡意入侵

資安的防禦工作和攻擊手法比較起來，事實上難度更高，也很難全面地加以兼顧。在網路攻擊氾濫的今天，網管人員只要稍有鬆懈，很容易就會受到來自四面八方的惡意入侵，一旦使用者電腦或服務主機受到操控成為跳板，隨之而來的就是更多令人頭痛的問題。

相信大多數六年級生和更年長的朋友，都曾經歷過殭屍電影的熱潮，在電影中道長只要憑藉手中的符咒，一一黏貼在殭屍的頭上，然後一搖手中的法鈴，就能操控所有殭屍行走跳躍的方向。在這個網路盛行的年代，也有所謂的殭屍網路(Botnet)出現，它是指一群受害者的電腦受到操控，成為受人擺佈的「殭屍」，可以被惡意人士利用來發動大規模的網路攻擊，或是從事散布垃圾郵件或病毒的惡意行為，而且這些攻擊往往難以追查到幕後的真正控制者。

為什麼電腦會變成「殭屍」？可能的原因有很多，但比較顯而易見的原因則有二個，一是管理人員平時未做好管理工作，讓電腦缺少適當的防禦機制，例如未安裝防毒軟體、未修補作業系統漏洞等，造成使用者的電腦具有容易入侵的弱點，進而感染了木馬或病毒等惡意程式。另外一個原因則是使用者本身缺少了資安意識，喜歡點選開啟來路不明的電子郵件或檔案，或是濫用電腦去下載非法軟體，導致電腦很快就變成殭屍大軍中的一員。

殭屍網路危害的情況

過去，殭屍網路大多被用來作為癱瘓他人網站的利器，只要透過同一時間操控大量的殭屍電腦，發動分散式的阻斷服務攻擊，往往就會造成企業的網站難以招架而停擺，網管人員也很難在短時間內就能找出攻擊的源頭並加以阻擋。殭屍網路也能被用來作為發送垃圾郵件的工具，藉由不斷轉換不同的受害電腦當做發信主機，就可使得過濾郵件黑名單的功能容易因此失效。

隨著網路廣告服務的盛行，殭屍網路更被用來和地下經濟做結合，利用操控分散在各地的電腦，針對特定線上廣告進行點擊，就可以獲得廣告的收入，此一類型的手法，被稱之為「點擊詐欺」。換句話說，殭屍們已不再像以往只具有單一功用，而是會隨著情境設定的轉移，即可成為駭客們手中操弄的不同角色，而探究其目的，多數都是為了獲得不法利益才來進行。

如今，殭屍的行為模式也變得更加有組織，除了以廣告點擊方式來獲利外，目前最新的手法是可以竄改Google的搜尋結果，以假的廣告連結來加以替代，每當不知情的使用者一點擊，也就成為幫忙駭客賺錢的工具之一。殭屍網路還能夠幫助駭客蒐集各項有價值的資訊，例如個人電腦上的使用者身份資料、帳號密碼，以及信用卡號等，根據加州大學的研究人員指出，在短短十天內，殭屍網路即有能力獲得高達70G的使用者資訊，藉此可獲得高遠數百萬美元的不法利益。

至於目前很流行的社交網路，使用者若一不小心，也很容易成為殭屍網路中的一份子。根據希臘Foundation for Research and Technology機構的研究顯示，只要透過在社交網路上的應用程式，分享圖片給使用者瀏覽，透過此應用程式中所隱藏的框架，就可以驅使使用者的電腦向特定的主機傳送網路流量，除了可用來當作實行阻斷攻擊的跳板，還能夠竊取其他使用者帳號並散播惡意程式。

從殭屍網路到鬼網間諜

除了殭屍網路之外，如今更出現了一個新名詞，叫做「鬼網」。根據加拿大的研究人員指出，在最近兩年之內，包括台灣等世界共103個國家，有1295台政府和民間企業組織的電腦，都曾經遭到間諜滲透，一旦這些電腦被植入了惡意軟體，駭客就能在遠端監控使用者的行為，還能夠開啟電腦上的網路攝影機，監視四周的環境動態，許多包括國家級的機密文件，恐怕也已經遭到竊取。

以往要滲透他人的電腦，往往會採取網路釣魚等社交工程手法，透過發送內含惡意軟體或惡意連結的郵件來引誘使用者上鉤。但是研究人員表示，鬼網的運作主要是有系統地針對特定目標，以便可獲得一開始即鎖定的機密資訊，而且它極有可能是透過國家的力量發起，儼然成為一種新型態的資訊戰爭。

這樣的手法，是否也會被運用在商業環境中，仍有待觀察。但依照以往經驗，商場如戰場，各種商業間諜的案例仍然層出不窮，相信只要是有利可圖，惡意人士應不會輕易放過這塊大餅，所以相對的，這也是給企業的一道警訊，在未來的商業競爭中，很可能也會面臨這種非法的手段，是否該及早作好準備，也考驗著企業經營階層的反應能力。

網路威脅的應對之道

一開始即提到，防禦這件事在資安工作中，可能遠比入侵他人的難度要高出許多，所以企業要如何因應，在千頭萬緒中究竟該如何做起？個人的建議是盡量以簡御繁，先從簡單能做的著手，也就是先回頭檢視企業現有的環境，擬定防禦策略，並及時修補可能的安全漏洞。

因此，企業可以從管理面開始，首先擬定網路的安全政策與規範，不過在擬定之前，需要全面檢視現有的網路架構，建議可以由外向內，一層一層地確認目前的安全設備，是否已處於正確位置並發揮作用，同時也要進行服務主機的強化，然後再到使用者端進行弱點補強。網管人員可以進行的工作，包括：

1. 檢測防火牆的存取政策是否適當，是否開放了企業不允許的網路服務和通訊埠，當需要變更存取政策時，應依照企業擬定的變更管理程序來進行。
2. 檢視入侵偵測防禦系統的特徵比對是否能持續更新，並確認封包本身的檢測深度是否合理有效，同時可評估是否進一步與網路安全設備連動，以進行聯合防禦。
3. 檢視相關的網路設備所使用的作業系統和韌體是否為新版，以避免可能存在的安全漏洞，必要時可請設備廠商協助予以更新。
4. 確認網路設備的管理帳號和密碼，是否有一定的控管程序，避免使用預設的管理帳號，並要求密碼具備一定的強度(例如大小寫數字混合，長度8碼以上)。
5. 定期檢視網路設備的活動監控記錄，並進行網路設備的效能評估，以確保相關設備不會因特定連線或流量的增加，導致無法負荷而停擺。
6. 確保網路防禦機制能夠持續運作，因此適時的備份與回復演練是絕對必要的，當大量的網路攻擊和新攻擊手法出現時，若能和外部資安專家或維護廠商在平時就建立良好的聯繫管道，在戰時就能適時的尋求外部支援。

總結

網路安全的攻防之間，似乎是一項永無止盡的工作，但是藉由基礎防禦機制的強化，就能獲得相對的安全保障。當然，在此也要提醒網管人員，千萬別一昧地追求技術上的控制，而忽略了適時的管理手法反而簡單有效。所以在使用者方面，除了透過技術機制協助使用者更新防毒軟體及病毒碼，修補作業系統的安全漏洞之外，更需要讓使用者具備一定的資安認知，包括了社交工程的防範、電子郵件的應用安全、上網瀏覽的安全注意事項等，因為使用者的教育訓練，往往就是有效且成本最低的防禦策略，可藉此來大幅降低日常作業所面臨的資安風險。(本文刊載於2009年6月號網管人雜誌)

[觀點] 談即時通訊的安全管理

即時通訊軟體對愛用網路的現代人而言，已是除了手機之外最常用來和親朋好友溝通的工具，隨著即時通訊的功能愈來愈強，資安問題就更加不能忽略，在用與不用之間到底該如何取捨呢？

早在十多年前，當聽到電腦發出一聲「喔喔~」的時候，就知道週遭有人正在使用ICQ在聊天，ICQ作為即時通訊的開創者，在當時掀起了一股熱潮，讓許多身處在世界各地的朋友，能夠打破時空的距離，即時地傳遞彼此的訊息。

雖然在一開始，ICQ主要作為個人聊天用途，但因為簡單易用的介面，以及可顯示目前的使用狀態(如離開、忙碌、離線)，也深獲知識工作者的好評，紛紛利用它作為商業溝通和客戶服務的工具。不過，隨著MSN、Yahoo Messenger和QQ的興起，ICQ在華人的世界裡已逐漸被遺忘，這些新一代即時通訊軟體的出現，雖然有著更為華麗的介面和表情符號、聲音影像的傳輸功能，但也帶來更多令人意想不到的問題。

即時通訊的資安事件

在2001年，從第一隻即時通訊病毒WORM_MENGER.A開始，即時通訊也成為病毒作者和駭客們另一個練功的好地方，它充分利用了人們的好奇心，以及對於即時通訊名單上都是好友們的信賴，透過傳送網址連結與分享的檔案，就讓整個的惡意感染行為如滾雪球般地不斷擴大。

到了2005年，還是有資安專家不斷呼籲提供即時通訊軟體的廠商，必須要跟上駭客的腳步，迅速地修補安全漏洞，以避免災害持續擴大。此外，在2007年則是有某位台灣女大學生，在網路上購買拍賣物品，並利用MSN messenger和位於中國上海的賣家連繫，後來該賣家以網路拍賣所使用的台灣帳戶被停用，要求女大學生協助以其名義申請新帳戶，女大學生竟將提款卡以快遞送到大陸，接著就被利用成為販賣盜版光碟的人頭帳戶。即時通訊的方便性竟也成為詐騙集團，用來作為跨國跨區域的新興犯罪工具。

即時通訊的潛在風險

即時通訊讓訊息的傳遞更加方便快速，因此對商業運作的好處包括了：可跨越地理區域的限制，減少長途電話的使用；可多人即時進行會議，以節省公司的差旅費；可直接分享傳送檔案，還可用清晰的語音和影像視訊對談等等。對員工的好處，則是能夠同時與多人對談並即時回應，可即時在線上解答顧客問題，不再需要等待電子郵件的回覆，可大幅提高工作效率。

不過，對資訊管理人員來說，即時通訊軟體會不會產生資安問題，該如何去管理可能的風險？是否應該如同管理其他服務，像是電子郵件、網站安全等等一樣來加以重視？才是另一個令人頭痛的問題。

目前，即時通訊會產生的資安問題，大致有以下幾種：

• 惡意程式感染 - 歹徒製作專門針對即時通訊的惡意程式，一旦使用者中毒之後，即會隨機且大量散布惡意檔案(如病毒、木馬)，造成大規模的感染，並干擾網路的運作。

• 散布垃圾訊息 - 即時通訊的使用者在中毒之後，多半會在不知情的情況下，被利用來散布惡意連結，導致親朋好友們一併受害。

• 竊取不當資訊 - 供公眾使用的即時通訊是開放的，容易遭到竊聽，另外所洐生出的網路釣魚手法，會利用各種名義來騙取使用者帳號和密碼，假冒身分而造成更多社會問題。

• 成為洩密管道 - 除了包括對話中談及的個人隱私和商業資訊，有可能遭到截取之外，另外傳送檔案的功能，也可能被惡意的員工，用來傳送違反企業安全政策的內部機密檔案。

從角色和範圍進行管理

如果即時通訊的威脅，已經足以影響企業日常的營運活動時，那麼為了確保不會造成業務的中斷，強制禁止即時通訊軟體的使用，可算是一項釜底抽薪的做法，但這也很可能引起原本使用者的反彈，這個時候究竟該禁或不禁，就演變成為管理階層的兩難。

從資安的角度而言，到底該全面禁止或全面開放，是有一些討論空間的，尤其是與其完全禁止，改為採取替代辦法來有限度地開放，也是管理決策上面的一個選項，在決策之前，建議管理人員可以思考的方向有：

1. 定義使用者的角色 - 在企業組織中，到底誰需要使用即時通訊軟體？要用來做什麼？這將是決定是否開放或禁止的首要考量，一旦角色清楚了，就可以思考該如何來管理。舉例來說，某線上購物公司，不允許一般人員在公司使用即時軟體，而是僅開放給客服人員利用它來進行客戶服務，所以針對客服人員，都會進行適當的教育訓練，以了解使用時的相關規範。
2. 定義合理使用的範圍 - 定義在哪些地方可使用？使用的方式為何？清楚的定義企業對於即時通訊控管的方式與目的，可讓使用者明白為何要禁止或限制即時通訊的使用。實務上即有企業認為在內部開放使用即時通訊風險太高，所以採取技術方式全面封鎖，僅開放在外部的出差人員可以使用。
3. 使用責任與隱私保護 - 在使用責任方面，企業宜明訂適當的獎懲方式，以公告向員工告知違反規定時的懲處辦法。如果企業已針對即時通訊內容進行監看與記錄，也應公開向員工說明企業監看的方式，例如是否進行關鍵字過濾或內容的側錄，以尊重員工的個人隱私權。
4. 平台與技術的採用 - 企業要直接選用已供公眾使用的即時通訊軟體，還是另外建置商業用的即時通訊方案，應在事先評估目前的運用與管理需求為何，並檢視其與現有環境的相容性，以判斷導入後是否會產生可能的安全弱點。

技術控管與教育並重

在選擇相關技術方案時，資訊管理人員首先應考量的是，到底要控管哪些即時通訊軟體？是否可自訂控管的方式？如果允許即時通訊軟體進行檔案傳輸，是否可提供惡意程式如病毒、木馬的掃瞄機制？另外，在針對傳輸內容方面，也可考慮增加關鍵字的比對和垃圾訊息的過濾，尤其是當企業選用的是供公眾使用的即時通訊平台，員工登入的是位於外部的伺服器，相關資訊也會經由外部來傳送，是否有可能會遭到外部竊聽，是必須考量的風險之一。

一個兼顧安全的即時通訊方案，至少要提供適當的記錄，例如使用者登入、登出的時間，傳送訊息的對象、傳送檔案的名稱等，以便未來相關事件的查核。在進行訊息內容過濾時，也要提供簡單易懂的控管介面，以方便設定允許傳輸檔案的類型和內容過濾條件(關鍵字包括內部使用、帳號密碼、信用卡號碼、身分證字號)等。當然，還要盡量不影響既有的網路架構，以免因為部署了即時通訊管理方案之後，反而產生其他問題。

至於在員工的安全意識方面，除了透過文件化說明使用規範之外，也可利用技術方式，在員工每次登入即時通訊軟體時，警示員工需注意的安全使用規定，以預防資安事件的發生。其他可向員工宣導的安全觀念還有：「不要輕易點選來路不明的連結」、「不要在即時通訊談論敏感資訊」、「不要使用自動登入功能」、「不使用時請務必要登出」、「不要使用第三方的網頁版即時通訊軟體」、「不要接收不明格式的檔案」、「不要使用來路不明的外掛程式」等。

管理要因時制宜

在企業內部要落實即時通訊的有效管理，是一個很大的課題，有許多層面的兼顧，都必須要因人、因時、因地來制宜，很難有一套一體適用的辦法。不過，透過重點的把握，可以協助管理人員快速建立可行的管理方式。

即時通訊的安全管理重點，在管理面包括了制定安全管理政策、文件化方式的使用辦法、兼顧隱私權的監控機制，以及違反時的懲處原則；至於在技術面則包括選擇適當的平台與監控技術，以識別合法的使用者、防堵惡意程式的入侵、防止未經授權的檔案傳輸等，最後若再配合適當的稽核機制，定期的審查記錄與持續改善，要維持管理的有效運作相信是指日可待的。(本文刊載於2009年5月號網管人雜誌)

[觀點] 綠色資安新主張 節能省碳愛地球

繼「Green IT」之後，「Green Security」是一項更新的議題，許多企業已經藉由建置綠色機房來降低營運成本，並且贏得環保的好名聲。事實上，資安工作同樣也能幫助環境綠化，也能為環保盡一份心力。

在電影「不願面對的真相」中，美國前副總統高爾用他的熱忱，不斷在世界各地到處奔走，希望透過最簡單易懂的演講，提醒世人注意今日全球暖化的現象，已經是一個不亞於恐怖行動的全球性危機，如果沒有及早因應的話，將會帶來一連串的災難，更會威脅到地球所有生物的生存。他更提醒各國政府必須要有所作為，同時強調「這是道德問題，而不是政治議題」。

過去，許多人對於環境保護的議題，往往都視而不見，可能的原因是由於它並沒有立即性的危害，所以一旦大家體會不到，就不太會想要去重視它。但是現在隨著冬天不冷、夏天超熱，全球的平均氣溫正以有史以來最快的速度不斷升高，暴風雨和颶風的威力也變得愈來愈強，大自然已經用它的種種現象，不斷向人類來反映，如果再不珍惜地球這個共有的環境，人類最終將會自取滅亡。

正視全球暖化危機

根據科學家的預測，如果沒有降低溫室氣體的排放量，全球暖化的程度仍會繼續惡化，在本世紀末平均氣溫將會再上升3到9度，一旦溫度上升造成冰山融解，許多臨海的國家恐怕會遭到海水吞噬，而台灣正是處於這種處境的高危險群。

在英國和歐洲，已經有許多商品會在上面標示它在製造、生產及運送過程中，所產生的溫室氣體數量，稱之為碳足跡(Carbon footprint)。碳足跡的多寡，可以用來計算人類在日常生活之中，各項活動對於環境所造成的影響，所以具有環保意識的政府和企業會鼓勵民眾，盡量選購低碳足跡的商品，以減少二氧化碳氣體的排放量。

另外，歐盟委員會也要求各成員國需制定「限用有害物質(RoHS)」的法規，來限制在電子產品中使用鉛或其他有害物質，以維護環境的安全與人類的健康，同時更促進報廢電子產品的回收處理，也要讓它合乎環保的要求。

或許我們並不是所謂的環保人士，但身為資訊人員的我們，還是可以有些行動與作為，來協助拯救我們共有的地球。像是近來熱門的「Green IT」，就是透過省電型的伺服器、刀鋒伺服器、虛擬化主機、電源和空調管理，來打造出一個節能的「綠色機房」，盡可能的降低運作時的能源消耗。

打造企業綠色資安

而資安工作呢？有沒有可能在落實資安的同時，同時也能為綠色環保盡一些心力？事實上，在國外已有一些資安專家，提出了所謂「Green Security」的概念，提醒企業在執行資安工作時，也能同時做好環保的工作。

目前，資訊安全已是現今企業重要的工作之一，為了確保內部重要資訊像是商業機密、客戶資料、財務報告等，不會遭到未經授權的存取與洩露，企業往往建置了資訊控管的辦法，從一開始的資料分級分類、資料的存取流程，到資料的歸檔和最後的廢棄銷毀，這一連串的資訊處理過程，又可稱之為資訊生命週期(Information lifecycle)。

無論資訊存在的形式是紙本或電子檔，不同的資料類別皆有不同的處置方式，如果是事涉敏感的資料，一旦走到最後一步需要銷毀時，那麼就一定要採取安全的方法來加以處理，以免洩露了不當訊息。

如果想要為環保盡一分心力，則可以融合資安與環保的做法來執行，例如可以透過網路加密通道，進行遠端系統的維護，並且建置安全的視訊會議，以減少人員的出差，節省交通工具的油耗與廢氣排放。另外，以下還有結合資安概念的一些應用，可提供給有心執行的企業作為參考。

正確使用列印設備 - 減少紙張浪費，避免資料外洩
企業對於廢棄紙本資料的處理，一般都會使用碎紙機，碎完之後的紙屑，可採取外包處理，藉由合格的廠商與安全的作業流程，將機密資料予以銷毀。不過，為了環保，應盡可能減少列印量，例如可透過列印程序的管控，要求人員必須輸入密碼後才可列印，將可避免不小心列印出來之後，未經銷毀程序而導致資料外洩。

另外，企業若是導入了資訊安全管理制度，將會增加許多政策、作業程序與工作表單，如果還是採取傳統紙本方式控管，將會消耗大量的紙張，建議企業可以進行文件的電子化管理，以節省紙張的浪費。

下班後要求電腦關機 - 減少電力損耗，避免駭客入侵
桌上型電腦的耗電量較高，如果使用者貪圖一時方便在下班之後仍開著，將造成無謂的電力損耗，目前，透過一些工具軟體的幫助，可以偵測出在下班之後依舊開著的電腦。

事實上，除了省電之外，許多企業為了資安的理由，都會強制要求使用者的電腦進行系統更新，一般的作法是透過登入Windows網域時，以Script方式彈跳訊息來通知使用者，或是透過群組原則的設定，讓使用者登入之後，就立即進行系統更新。如果使用者的電腦一直開著，很可能因為長期沒有登入，系統未更新修補程式，而產生資安上面的漏洞，很容易就會成為駭客或惡意程式入侵的對象。

資訊設備回收再利用 - 減少環境污染，兼顧資料安全
在電腦零組件中，含有一些重金屬物質，若隨意棄置將會造成環境上的污染，因此企業應經過適當的報廢程序，將舊電腦回收再利用。但是基於資安的理由，在儲存媒體上的處理應注意小心，像是曾經存放過敏感資料的硬碟，應予以重覆抹寫或消磁處理，或者也可針對硬碟進行實體破壞之後，再予以回收。

採購符合環保節能的設備 - 降低能源消耗，易於風險管理
從資安的觀點而言，在企業中有一些服務是需要全天候運作的，像是垃圾郵件過濾系統、防火牆、防毒牆、入侵偵測系統等。如果在效能上可以符合企業需求的話，以虛擬伺服器來替代實體的伺服器，改為採取虛擬化方式來運作，將可大幅減少能源的消耗。另外，建議企業應採購符合環保標章的設備，以電腦螢幕來說，應選擇具有環保標章或符合TCO、能源之星的產品，而網路設備，也應採購符合RoHS(有害物質限用)標準的產品。

至於這些設備的採購，可以併入一般資安法規的符合性稽查之中，藉由審查硬體設備是否合乎環保法規的標準，可確保只有環保產品才會受到企業採用，而且一旦所有設備都經過了審查，並且留下了文件化的記錄，將可確保企業不會使用一些具有潛在弱點的設備，進而導致資安上的風險。

環境保護，人人有責

藉由以上方法的運用，除了可讓企業降低日常營運可能面臨的資安風險之外，更可同時達到環保的功效，透過將環保要求與企業政策及作業流程相結合，將可減少不必要的能源損失，並且減輕對地球的危害。

所以，在不影響企業營運之前提下，能夠多為環保盡一份心，事實上也是盡到了社會責任，建議企業應仔細思考應該如何做好「綠色資安」工作，為後代子孫保留更多自然資源與美好環境。(本文刊載於2009年4月號網管人雜誌)

[觀點] 從境管當機事件談資安風險管理(下)

上一次我們談到了風險管理的基本概念和過程，藉由識別資產的價值，並進行可能存在的威脅與弱點分析，以便計算出所面臨的風險值。在了解企業現有的資安風險之後，接下來將說明應對風險的處理方法。

在生活之中，每個人遇到意外的發生，都會有不同的應對方法。舉例來說，如果你的錢包掉了，除了現金沒了之外，錢包內的信用卡、身份證件也跟著一併遺失，這時候你會怎麼辦？相信大多數人的做法是，趕快打電話給銀行，先暫停信用卡的使用，然後登報將身份證件聲明作廢，重新到相關單位申請新的證件。那麼損失的現金呢？我想大概就只能摸摸鼻子，當作破財消災了。

不過，錢包就只會掉這一次嗎？如果萬一下次又掉了，或是被小偷扒走，那麼就只能再重頭來過，又心痛一次嗎？面對這種會造成財物損失的風險，難道沒有比較好的應對方法？事實上辦法是有的，而且還有很多種，端看你如何選擇。

像是有人會在錢包裡不放證件，或是不帶現金，只放一張額度最低的信用卡或提款卡；有人甚至出門不帶皮夾，而把現金放在口袋，證件放在另一邊，來避免雞蛋放在同一籠子裡的風險；還有比較極端的是，有人乾脆身上就不帶錢包了，反正和親友出去，若需花費，則請他人先代為付帳，日後再還即可。

風險處理的原則

以上提到的種種作法，其實目的只有一個，就是去「降低你不想要的事件發生的可能性，以及萬一它真的不幸發生了，如何將可能造成的損失減至最低」，而這也就是風險處理的基本原則。所以在生活之中，我們可能會直接選擇自己簡單易用，或是自認為有效的方法，不過，若是回歸到企業要處理資安的風險，還有幾項重點是必須要去考量的。

首先要考量的就是，採用這些風險處理的方法，必須要評估所耗費的成本是否合理，並且能夠讓企業老闆接受。記得某位資安的前輩曾叮嚀：「千萬不要花五塊錢，去保護只有三塊錢價值的東西，這往往只會吃力不討好。」

所以，若是為了防護某項價值並不高的資訊，而大肆添購眾多資安設備，要求做到高可用性，甚至於還做了異地備援，這樣的用心，恐怕只會被當成濫用企業資源而已，想必是一點功勞都沒有。

再來，請考量風險處理的作法是否會引起其他更大的風險。例如，企業為防止員工設定太過簡單的懶人密碼，使得駭客能夠輕易破解而竊取企業資訊，所以要求員工必須每個月更改一次密碼，長度必須英文數字大小寫混合十二碼以上，並且前十次不能相同。

上述這種作法，雖然可大幅提升密碼被破解的困難度，但相對的也會造成員工不容易去記憶密碼的困擾，而且如此一來，員工就很可能會將每次變更後的密碼寫下，甚至於可能直接就以便利貼貼在螢幕或鍵盤旁邊，這樣反而讓經過座位的所有人都可看到密碼，造成更大的風險。

所以，企業在要求做好資訊安全的同時，也務必去思考可能因為人性所產生的問題，千萬別忘了資安工作，其實大多時候都是在處理「人」的工作。

最後，應適時地評估風險處理作法的有效性。所謂有效性的評估，對管理人員來說是有難度的，因此，建議可採取適當的稽核方法，以確認相關人員是否依照企業制定的政策、流程、作業標準來執行工作，並且在稽核的過程中，以相關記錄的抽查並配合口頭的詢問，來確認工作人員是否達到「說、寫、做」一致。

以防火牆稽核而言，可以檢視其防火牆政策設置是否適當、政策的變更是否經過授權、如何進行政策變更、變更之後是否留下記錄等等；另外，也可詢問防火牆管理人員，是否定期審查設備所產生的Log檔，以及發生異常事件時，要如何進行處理與通報。至於稽核的執行，可由內部的稽核人員，或是委由外部的資安專家來進行，建議每季或每半年執行一次，並且召開管理審查會議，以檢討是否有缺失，以及如何進行維護與改進。

風險處理的方法

至於風險處理的過程，基本上可分為避免風險、降低風險、轉移風險和接受風險四個方向來進行，以下為各項方法的簡要說明。

避免風險
在資訊安全的範圍裡，想要完全避免所有風險是很困難的。以境管局提供的服務為例，它必須要透過資訊系統和網路連線來進行，因此，資訊系統本身即有其作業上的風險，像是硬體設備損壞、人員操作失誤、軟體臭蟲等等，而網路連線亦存在包括網路連線中斷、駭客入侵攻擊等風險，所以若想要完全避免風險，除非捨棄資訊系統與網路的使用，但如此一來，恐怕就只能以人工來處理，但可別忘了，人工處理除了沒有效率之外，同樣也有其作業風險。

降低風險
正因為風險很難完全加以避免，所以管理人員通常可運用的就是降低風險的作法，也就是選擇適當的資安控制措施。例如企業擔心病毒入侵，所以會在電腦中安裝防毒軟體，這是一種降低病毒爆發風險的控制措施；境管局擔心系統會因硬體損壞而失效，所以建置了備援系統，希望在系統失效時，能接替原系統來執行工作，這也是一種降低風險的控制措施。只是這些控制措施是否合宜，能否有效降低所面臨的風險，必須參考剛才已提過的風險處理原則。

轉移風險
有一些風險，像是地震、火災和水災，它發生的機會可能不多，但是一旦發生時卻會造成嚴重的傷害，雖然平常也可採取降低風險的作法，但是往往花費很高，效果也不顯著，這時候，建議最好的處理方法就是轉移風險。舉例來說，企業若將最重要的營運資訊，放置在公司內部的機房，雖然機房已針對地震、火災和水災，作了適當的規劃防護，但是依然難防大樓遭到火災的侵襲，因此，若能再加保火險，即可補償災害發生時造成的損失。另外，若資料可委外備份到專業的資料中心，藉由資料中心提供更完善的防護，來確保資訊存放的安全，這也是轉移風險的另一種應對之道。

接受風險
如果有些風險所造成的損失不大，對企業營運的影響也很低，那麼與其花費金錢購置資安設備來加以防護，不如選擇接受風險，其實也是可以採行的辦法。當然，每個企業對於風險的接受度不同，這就有賴於先前是否做好風險的分析與評估，在事先計算出各項資產的風險值，即可依據各項風險等級來判斷是否為可接受的風險。在此還要提醒大家，接受風險不代表就不必去管它了，可別忽略了風險的高低，有可能隨著外在環境或人為因素而變動，因此仍要定期的審查，尤其是針對資產價值較高，造成企業衝擊較大的項目。

總結

以上針對資安風險管理，僅以簡單淺顯的例子來予以介紹，希望透過識別資產、風險分析、風險評估與風險處理的過程，以達到管理風險的目的。事實上，風險管理在各個產業都有很多不同的應用，若是針對資訊安全與IT系統，建議你可以進一步參考由美國國家標準和技術研究院(NIST)所發布的「SP800-30 Risk Management Guide for Information Technology Systems」，或是最新發布的「ISO/IEC 27005:2008資訊安全風險管理」國際標準，對於風險管理在IT的應用都有很深的著墨，建議你不妨有空仔細研讀。

最後，個人還想藉此強調一個觀念，就是資訊安全絕不只是架構防火牆、安裝防毒軟體，或是以技術對抗駭客入侵而已，其實它更像是一個全面的管理過程，在這個過程之中，將會牽涉到企業流程、組織管理、作業程序等等，所以資訊安全不會只是一個人或一群人的工作，而是企業由上到下都必須有共同的認知來確切執行，這樣才能確保企業不會因發生資訊安全事件，而導致營運中斷或聲譽受損，才有實現企業永續經營的一天。(本文刊載於2009年3月號網管人雜誌)