[觀點] 談醫療資訊的安全防護

對於現今的醫療業者而言，資訊系統的應用已扮演了非常重要的角色，除了能提供有效率與高品質的醫療服務之外，也提供了更多生命安全的保障，因此，如何確保醫療資訊的安全，已成為醫療業者無法忽視的重要課題。

在2009年3月，香港聯合醫院一位醫師，遺失了存有47名病患個人資料的隨身碟，引起了相關單位的重視；2009年5月，美國加洲柏克萊醫療中心的資料庫，遭到駭客入侵，竊取了相當於身分證字號的社會安全卡號和健保資訊，估計有近16萬人受到影響；2009年11月，台大醫院發生了近年來第2次的電腦當機事件，造成掛號、病歷查詢和領藥系統的失效，影響上千名病患的就醫權益，幸好未造成延誤就醫而影響生命安全的事件發生。

今日醫療業者所面臨的挑戰，包括了就醫品質、病患照護、病患安全及法規要求等各個層面，而透過了醫療資訊科技的運用，可有效協助業者因應各項問題，像是就醫資訊提供、網路掛號、遠端醫療、電子病歷等，除了可以降低醫療疏失的發生機率，也能同時降低營運的成本，並提升民眾就醫時的滿意度。

近年來，隨著醫療資訊安全和個人隱私的保障要求，行政院衛生署在2003年6月啟用了醫事憑證IC卡，藉由其提供的資料加密和簽章機制，可確保醫療資訊的機密性、完整性和不可否認性，避免醫療資訊遭受不當的竄改和偽冒。

另外，在政府對於電子病歷的強力推動之下，在已制定的「醫療機構電子病歷製作及管理辦法」中，亦明定電子病歷僅能開放給經過認證與授權的人員使用，對於資料的內容只能以附加方式處理，而不得任意直接修改或刪除已確認之病歷資料，同時也必須結合電子簽章之技術，以達到可確認原製作之醫療單位與醫事人員的身分，供後續的追蹤查核之用。

醫療資訊安全的目標

資訊科技的應用如同水能載舟、亦能覆舟一般，如果資訊的傳遞未受到良好的防護，或是忽略了處理資訊等相關系統的可用性，就可能導致一連串的問題發生，其中，尤以醫療資訊的外洩影響層面最廣，目前，一般民眾的醫療資訊內容包括：

• 基本資料 - 包括姓名、性別、出生日期、身分證字號、通訊地址、電話、病歷號碼等。
• 就醫記錄 - 看診科別、掛號日期、診治醫生等。
• 醫囑事項 - 診斷記錄、用藥明細、病況摘要、治療方式等。
• 檢驗報告 - 檢查項目與報告、病理檢驗報告等。
• 護理記錄 - 住院記錄、給藥過程記錄等。

目前，大多數的醫療院所仍以紙本方式保存醫療資訊居多，而未來隨著電子病歷的推動，一旦資訊轉變成為電子化的狀態，就會具備更容易傳遞、複製、修改等電子化資料的特性，所以如何去確保資訊的安全就顯得更加重要，相信沒有一個人會願意自己的醫療資訊被任意查閱且曝光。

因此，對於醫療業者而言，保護醫療資訊安全的主要目標就是為了：

1. 保護病患醫療資訊 - 醫療資訊為重要的個人隱私，如果遭到不當洩漏，除了會影響病患的身心、名譽和權益之外，更有可能為其家屬造成傷害，因此必須加以妥善的保護。
2. 減少醫療過程疏失 - 醫療資訊的正確與完整性，涉及病患的生命安全，如果醫療資訊受到不當竄改，或是因人為疏失造成資訊錯誤，將會導致像是用藥失誤、診斷錯誤等重大醫療事件發生，所以唯有確保醫療資訊的安全，才能適供適當且正確的醫療服務。
3. 確保醫療服務持續提供 - 持續為民眾提供適當的醫療服務，是穩定國家與社會發展的重要力量，如果醫療服務因為資訊系統受到資安事件的影響而停擺，可能會引發社會大眾的恐慌，進而引發更多的社會問題，因此應由政府予以監督及協助。

醫療資訊的安全原則

就個人的觀察，針對醫療業的資安威脅來源，和多數的組織並無太多的差異，主要仍是來自於天災、人為與技術失效的事故。在天災方面，由於醫療院所負有眾多生命的安全保證，因此在火災、風災、地震方面多半已有良好的應對措施，需要加強的是人員的訓練與定期的災難演練。

至於人為事故方面，因為醫療業需要保護的資訊本身，比一般企業的資訊來得敏感，因此需要所有醫護人員都具備基本的資安意識，以保障病患的醫療隱私，所以在作業程序上，可依照衛生署「醫療資訊安全與隱私保護指導綱領草案」中的指導原則來進行，簡要說明如下：

1. 最小需求與合理範圍之最大安全原則 – 若醫療機構或醫事人員需要蒐集、使用或揭露病患的醫療資訊時，醫事人員必須盡可能地降低其範圍，也就是說，只收集必要且合理的資訊即可，並且必須盡最大努力去保護醫療資訊的安全。
2. 直接取得和不可揭露原則 – 醫療機構或醫事人員需要蒐集醫療資訊時，必須直接向病患或法定代理人詢問，避免由他人轉述病患的隱私。若未經病患的同意，也不得洩露和個人有關的醫療資訊。
3. 尊重及告知原則 – 醫療機構或醫事人員必須獲得病人或其法定代理人的同意，在自願的情形下才可蒐集、使用或揭露其醫療資訊。
4. 公平正義原則 – 病患的醫療資訊不可透過非法或不公正的方式蒐集、使用或揭露。
5. 符合法令法規原則 – 醫療機構或醫事人員對於醫療資訊的使用，必須要符合現行法令的要求，以避免觸犯法規。
6. 病患權利和公共利益保障原則 – 病患對於存放在醫療機構的個人醫療資訊享有一定之權利，醫療機構或醫事人員使用醫療資訊時，應以保障生命權和公共利益為原則。

醫療業的資安防護策略

根據過往的經驗，醫療資訊可能面臨的資安威脅，主要包括了未經授權的非法存取、網路連線中斷、系統當機、惡意程式感染等，因此在基礎的防護作法方面，建議採取以下的控制措施：

• 建置安全的網路 - 部署防火牆和入侵偵測系統，內部進行網段區隔等。
• 保護醫療資訊傳輸 – 遠端醫療資訊的傳送，應透過VPN加密方式進行，若提供醫事人員無線網路的使用，也應啟動WPA加密機制等。
• 弱點管理機制 – 針對醫事人員使用之個人電腦，應透過中央控管之防毒系統，統一派送更新病毒碼，針對作業系統所發布的弱點，也應及時或定期更新，以避免讓惡意人士有入侵的可趁之機。
• 身分認證機制 – 可利用醫事人員憑證或自行建置之身分認證系統，進行醫療資訊的存取控制。
• 監督審查與事件管理 – 進行日誌(Log)集中保存，並且檢視追蹤可疑的事件。

至於整體的資安防護策略，目前已有醫療院所導入ISO 27001資訊安全管理系統，這是相當值得鼓勵的地方，顯示醫療院所的管理階層，已經體認到資訊安全對於營運的重要性。因此在管理方面，除了可藉重ISO 27001的控制要求，最重要的是醫療業者需要自行評估目前所面臨的風險為何，必須要將重點放在保護每天產生與傳遞的醫療資訊上。舉例來說，如果醫療院所還是以傳統的紙本病歷居多，那麼在病歷室的門禁管理、病歷查詢的權限控管、病歷資料的傳遞儲存與銷毀等方面，就會是資安管理的重點。

其次，則是思考如何避免因為資訊系統的故障等資安事件的發生，所導致的醫療服務與營運中斷，換句話說，對於資安事件的應變與危機處理，如果能夠及早準備並定期進行演練，將可大幅減少醫療服務中斷對於民眾和醫療院所的衝擊，對管理階層來說，其效益除了能降低營運損失，更可維護醫院聲譽。

最後，雖然國內仍缺少如美國保障醫療隱私的HIPAA(Health Insurance Portability and Accountability Act)法案，但未來必須符合資訊相關法令法規的要求(例如個人資料保護法)，將會是醫療業者應盡的責任。如果能夠及早從管理制度開始著手，透過醫療資訊標準作業流程的建立，讓醫事人員皆能體認保護醫療資訊安全的重要，相信就能為民眾帶來更完善的醫療品質，以及更讓人安心的就醫服務，也不愧對濟世救人的天職。(本文刊載於2010年3月號網管人雜誌)

[觀點] 網路購物業的資安防護策略

隨著各種網路購物的詐騙與惡意攻擊行為仍層出不窮，網路購物業者如果缺少適當的防護對策，本文可作為管理人員與資訊人員的參考。

根據資策會產業情報研究所(MIC)的調查顯示，由於2009年發生多起的網路購物資安事件，如何去確保交易資料的安全性，已成為台灣網友認為網路購物需要改進的前三大項目之一。目前，已有83%的業者提供了簡易的線上交易付款機制，也有將近九成的業者認同保護網路購物交易安全是吸引消費者的重要判斷依據，並且將有助於銷售業績的提升。

不過，截至目前為止，由網路購物所引發的資安事件依舊層出不窮，例如2009年年底有消費者在購物網站消費之後，隨即接到詐騙集團的電話，因此懷疑業者將消費購物時所填的個人資料外洩。而某網路書店業者，繼前年發生六千多筆的會員資料外洩之後，也再次發生消費者在購書之後兩週內，接到詐騙集團電話要求至ATM取消分期手續，因此而損失三萬元存款的事件，讓人質疑業者內部的資料控管仍存有很大的漏洞。

針對網路購物的安全，MIC更進一步指出，網路購物業者必須將「交易安全」視為重要的營運議題，因為日後在消費者期待交易安全將有所改善的情況之下，網路購物的交易安全也將愈來愈受到重視。

網路購物面臨的資安威脅

記得從2007年開始，在全球各地都發生了網站資料外洩事件，其中以網路購物業的災情最為嚴重，以當時台灣的前十大網路購物業者來說，有一半都傳出因為消費者的個人資料外洩，而導致一連串的網路詐騙行為發生。根據刑事警察局的統計，光是2007年1~8月所累計的詐騙金額，就超過了三億一千萬，受騙的人數也將近一萬人，其中大多數都是因為網路購物的個人帳號與交易資料外洩所引起。

目前，網路購物業者所面臨的資安威脅，最常見的有下列幾項：

1. 阻斷服務攻擊 – 惡意人士透過已受到木馬程式控制的電腦所形成的殭屍網路(BotNet)，在很短的時間內針對購物網站發送大量連線封包，使得網站伺服器無法處理同時湧入的連線要求，造成交易服務的中斷，消費者無法連上網站進行購物。
2. 惡意程式攻擊 – 如果網站業者缺乏資訊安全防護機制，很容易就會被惡意入士在網頁中植入惡意連結，使得瀏覽網站的消費者會自動下載執行病毒和木馬等惡意程式，造成個人隱私資訊包括登入帳號、密碼、信用卡號等被竊取外洩。
3. 偽冒攻擊 – 惡意人士以網路釣魚的手法，假冒網路購物業者對其會員發送偽造的郵件，藉此騙取會員的帳號資料以行詐騙。另外，惡意人士也會利用竊取的信用卡資料進行購物消費，使業者無法收取款項而蒙受損失。
4. 連線竊聽 – 如果購物網站業者未使用像是SSL的安全機制網路連線，當消費者在不安全的網路環境中進行購物，惡意人士可伺機竊聽網路交易的封包，進而獲得雙方交易的資訊。
5. 人員破壞 – 若業者內部員工未經適當的篩選與管理，並且缺少適當的資訊存取控制措施，惡意員工可能會盜賣客戶資料，或是針對系統進行破壞，進而影響網站所提供的購物服務。
6. 系統入侵 – 惡意人士可能利用網路或主機系統的安全漏洞，透過駭客手法入侵系統，藉由提高其帳號權限，可進一步取得敏感的資訊，或是針對系統埋藏後門，以便進行更多的破壞。

針對購物流程加強防護

對業者而言，如果發生了資安事件，單一的交易損失或許不大，但是當事件經由媒體的報導之後，若讓消費者產生了疑慮，勢必對業者的商譽造成更大的衝擊，可能更讓許多人因此而不願意在該網站上購物，後續的損失可說是難以估計。

針對網路購物的安全，國際信用卡發卡組織VISA的調查指出，有六成的消費者是透過網站是否有良好的安全系統、業者是否願意免費退貨、是否提供消費者信用卡不被盜刷的保障，作為判斷網路購物是否安全的依據。而消費者進行網路購物時最怕碰到的三件事，首先是業者不當使用消費者的個人資料，其次是將消費者的個人資料和信用卡號外洩，最後則是業者受到未經授權的駭客入侵。所以，為了確保營運與獲利，業者應重視網路購物的安全，以保障消費者的權益與信心。

那麼，業者到底該如何保護網路購物的安全呢？最簡單的方式是，我們可以從網路購物的流程，來一一探討並預防可能會發生的資安問題。現今一般的網路購物流程為，消費者在瀏覽器上輸入網址或點選連結之後進入購物網站，然後選擇想要購買的物品，接著需填寫個人資料並進行付款，若是以信用卡進行線上交易，則由業者的系統連結銀行線上交易系統完成付款，最後業者再依照購物明細寄送商品給消費者，讓購物得以順利完成。

從以上的購物過程中，我們就可以從幾個方向來著手，首先，為了確保消費者連線至網站的過程中，資料不會遭到竊聽，因此業者應採用128位元以上的SSL連線加密機制，以確保資料傳送的安全。接著，消費者在網站上所填寫的資料，除了必要的會員資訊之外，業者不應保留消費者的信用卡號等資料，若是有特殊狀況需要保留者，則應事先對消費者說明，並且將敏感資料進行加密，同時進行資料存取的權限管控。

此外，如果購物網站提供了線上刷卡機制，建議應進一步和信用卡公司合作，啟用個人密碼驗證服務，讓使用者在購物時，除了填寫信用卡號之外，還需要輸入個人密碼，以確認的確是由持卡人進行消費，或是也可以利用手機簡訊發送一次性密碼至持卡人手機，要求持卡人輸入簡訊中之密碼，以確認為本人進行消費。

在消費者完成信用卡付款之後，業者就會進入貨品遞送的服務流程，若是外包給第三方的物流業者協助進行，那麼在購物資料的保護上面就要注意，基本上，應該讓物流業者只能獲得購物者的姓名、地址、連絡電話，其他包括購買物品名稱、價格、購買日期、總金額等資料皆應保密，因為這些資料並不會影響貨品的遞送，也就不需要交給物流公司，否則反而會增加個人資料外洩，受到詐騙集團利用的風險。

定期檢視並改善安全措施

關於網路購物的資訊安全，站在業者的角度來看，個人認為主要有三大影響要素，分別是「人員」、「資訊」和「技術」。人員面是指內部人員的作業疏失或擅自揭露客戶資料；資訊面則包括網站未使用加密機制、網頁內容受到惡意竄改；技術面則為網路遭受阻斷服務攻擊、網站應用程式有安全漏洞、網站伺服器缺少安全防護等。只要其中有任何一項因素沒有加以注意，那麼業者很容易就會發生資安事件而登上媒體版面。

因此，建議業者利用以上提到的安全檢視方法，先從作業流程來著手，找出可能的安全問題，以及是否存在安全漏洞。當然，各家業者的作業方式都不會相同，也就需要由業者本身針對既定的作業流程中，可能會觸及到敏感資訊的人事物，一一地作安全的清查與確認。如果流程方面沒問題了，再針對人員的訓練、資訊的保護、技術的加強，來進一步提升資安的防護。

所以，網路購物業者的資安防護策略到底是什麼？簡單的說，就是要找出網路購物流程中，可能存在的安全弱點，以及會利用弱點而造成傷害的威脅，然後實施對應的控制方法來減少弱點並降低威脅，將資安風險降到可接受的程度。最後還要注意在這個過程之中，千萬不要忽略了內部人員的安全訓練，資料的傳遞保護，以及資安技術的防護，如果能夠確實控管資安風險的話，相信對於網路購物業者，將會創造更多商機，同時建立起消費者的信心與口碑。(本文刊載於2010年2月號網管人雜誌)

[觀點] 勇敢迎接2010資安新挑戰

2010年已過了一半，對於資安工作而言，計劃、執行、檢核、改善是一個循環的管理過程，在這個過程之中，企業必須先有穩健的基礎，才能因應處理不斷產生的新挑戰。

回顧2009年，世界各地和資訊安全有關的事件，在媒體上的報導是從未間斷過，無論是個人資料外洩、殭屍網路(Botnet)、垃圾郵件、惡意網站、網路釣魚、拍賣詐騙等，受害者不計其數，對於國家和社會都有著一定程度的影響。

根據各家資安業者的預測，在2010年主要的資安威脅，大致有以下幾種：

1. 殭屍網路持續肆虐：Botnet木馬程式在網路上不斷散布，難以根治並且潛伏在使用者的電腦之中，待有心人士一聲令下，即可發動大規模的網路阻斷服務攻擊。
2. 雲端運算的風險增加：雲端運算需要依靠網路連線來進行，隨著各種雲端應用服務的增加，惡意攻擊者可能會入侵操控雲端連線，或是破壞雲端資料儲存中心，造成雲端應用服務的中斷。
3. 社交網路成為資料盜竊工具：隨著Facebook等社交網站的盛行，使用者在社交網路中所揭露的資料，很可能被收集起來另做他用，惡意人士可藉此來冒用身分，和同一社交圈的人士溝通交流，以騙取更多有用的資訊。
4. 區域性與特定目標攻擊升溫：全球性的病毒感染機會將降低，但隨之而來的卻是區域性的攻擊增加，惡意人士將鎖定特定企業或對象，以目標式的攻擊來獲取其不當利益。
5. 惡意程式的變形攻擊：惡意程式的變化速度加快，只需幾小時就可衍生出其他的變種，這也代表傳統防毒程式依賴更新病毒碼的防護能力將大幅降低，若是使用者在網路上瀏覽已遭植入惡意連結的網站，很容易就會自動下載並感染到惡意程式。
6. 網路釣魚的機會增加：ICANN網際網路網域名稱與位域管理機構已開放國際網域名稱的註冊，也就是說網域名稱之中可使用非拉丁語系的字元，所以惡意人士可以使用看起來相似或無法分辨的網域名稱來製作陷阱，讓使用者一時無法察覺而受害。

資安沒有魔法，只有基本功

面對不斷變化的資安威脅，身為網路管理者的你，究竟該如何因應呢？在此借用一句企業管理上的名言：「No magic, only basic.」是的，資安工作真的「沒有魔法，只有基本功！」個人相信沒有一個業者敢銷售給你一套資安產品解決方案，然後告訴你從此可高枕無憂，再也不會發生任何資安事件。

所以在新的一年，想要降低企業的資安風險，最好的方式就是回歸基本，確實將基礎的資安工作做好，才能有餘力去應對更新的資安威脅。針對基礎的資安防護工作，以下幾項重點可作為在執行資安工作時的參考。

預防來自內部的人員攻擊

一般而言，小型企業發生內部人員攻擊的比例不高，原因是同事之間彼此都已相當熟悉，所以較少發生有人假冒身份進入工作區域，並趁機竊取敏感資訊的事件。但是對於員工人數與部門數量較多的中大型企業而言，仍要注意防範可能的人員弊端。

建議防治的方式為進行敏感資料的存取控管，依照不同的職務身份賦予適當的權限，避免所有權限都集中在一人之手。另外，也要盡量減少可能受到利用的安全弱點，例如實施網段區隔，讓研發單位和人事單位的網段和一般員工分開，以避免透過網路存取到敏感資訊，以及在機房實施門禁管制等。還有，應教育員工不可分享或洩露個人所使用之密碼，離開座位時將工作文件放置在上鎖之抽屜中，個人電腦要啟動已設定密碼之螢幕保護程式，並且禁止訪客進入工作區域，這些都是基本且必要的防護措施。

減少可能的網路安全弱點

在企業環境中，可能有為數眾多的網路路由器、交換器、防火牆等網路設備，許多設備在出廠時預設會開啟許多功能，甚至強調不需要更動組態即可上線使用，這種方便往往會造成安全上的漏洞。

建議網管人員應在設備上線之前去檢視其組態是否安全，例如預設的管理帳號與密碼是否已更改，未使用的功能模組是否關閉，不需要啟動的連接埠是否關閉等，以確保不會受到惡意人士的利用。在設定管理者密碼時，也要注意密碼的長度與強度，更要避免所有設備皆使用相同的管理密碼，以避免整個防線一次就潰堤。

如果是網路環境相當複雜的企業，建議定期進行網路弱點掃瞄或是滲透測試，以找出可能隱藏的安全漏洞，若網管人員熟悉一些檢測工具像是Nessus或Nmap，可以藉此來產出網路弱點的報告，如果缺少適當的人員可執行，也可以委由外部廠商和顧問，協助執行並提供可行的消除弱點安全建議。

清查行動裝置的安全性

若企業有許多行動工作者，經常需要在外使用筆記型電腦進行作業，在新的一年正好可進行健康檢查，確認作業系統的更新檔是否已安裝、防毒軟體版本是否過舊、病毒碼是否每天進行更新、個人防火牆組態是否正常、是否設定開機密碼、機密檔案是否加密等。

如果行動裝置的數量過多，建議可透過群組原則的設定，強制使用者電腦在登入企業網路時必須更新系統和病毒碼，並且也要讓使用者可任意關閉防毒軟體的功能失效，以避免在外時有意或無意將安全軟體關閉，讓惡意程式有機可趁。

另外，針對行動工作者應定期進行教育訓練，宣導應注意的安全事項，例如使用無線網路時，勿選用來路不明的基地台，最好選用具有加密或認證機制的無線網路服務提供商；若需要傳輸敏感資訊時應使用虛擬私人網路(VPN)；在外使用筆記型電腦和USB隨身碟，應小心防護避免遺失或使用檔案加密機制等，以減少可能的安全風險。

檢測網站應用程式的安全

目前，網站受到入侵並放置惡意程式連結的事件已時有所聞，因此歲末年終針對現有網站進行安全清查是必要的，基本上建議可以從兩方面來著手，首先是網站伺服器本身的強化，確認作業系統已安裝必要的修補檔、伺服器軟體已進行更新、未使用的連接埠及服務皆已關閉等。其次則是針對網站應用程式進行檢測，可利用弱點掃瞄工具或是原始碼檢測來進行，確保針對常見的網站攻擊手法像是SQL Injection等已具有免疫能力。

如果是提供電子商務服務的業者，更要確認連線加密機制與身份認證機制是否完善，以保護線上交易資料的安全，必要的話，則建議安裝網站應用層防火牆，透過更深一層的封包檢測機制，來避免非正常交易的事件發生，更可同時抵禦常見的網路應用層的攻擊。

避免網路惡意程式的入侵

過去這一年，除了許多受到入侵而挾帶惡意程式的政府、教育和企業網站，再加上即時通訊和社交網站的大受歡迎，大幅提高了使用者感染惡意程式像是木馬、病毒、間諜軟體的風險，為了避免員工使用企業網路瀏覽非工作所需的網站，建議採取管理面與技術面雙管其下的作法。

在管理方面，可制訂並頒布網路的使用政策，清楚說明員工應避免的網路使用行為和違反時的處置辦法，先勸導再懲處會是比較容易令人接受的方式。至於技術方面，則是可以採取將不適當的網站加入黑名單來阻擋連線，或是採用網頁內容過濾方案，透過彈性化的設定來因應不同工作者的需求，並且可及時更新網站黑名單以阻擋新的惡意網站。

建立應變機制，有備而無患

許多企業在資安事件發生時，往往會顯得手忙腳亂，以檔案損毀為例，企業或許平常已有資料備份，但是當災難發生時，資料備份放置於何處？哪些資料該優先復原？復原的步驟如何進行？這些問題往往詢問起來，都找不到一個適切且完整的答案，最主要的原因就是企業缺少了災難應變機制，也就是在平時並沒有準備好有效的災難復原或營運持續計畫。

在駭客技術不斷翻新的今天，我們無法預測將會遭受何種攻擊，但是我們知道哪些是企業重要的營運服務和關鍵資料，因此針對重要的營運資訊，無論是存放在資料庫中，還是在老闆的電腦硬碟裡，針對資訊處理的過程和所使用的設備，都應該思考需要預先採取何種防護，如果連這一點思考都沒有的話，你的企業很可能就是下一位資安事件的受害者。(本文刊載於2010年1月號網管人雜誌)

[觀點] 雲端運算安全與風險

談到雲端運算，它究竟是一種「技術」或「概念」，到底是「產品」還是「服務」，在搜尋引擎上只要打入關鍵字，就可以看到許多不同的見解與想法。在此我們僅從資訊安全的角度，來探討雲端運算可能帶來的資安問題或風險，提供給資訊管理人員作為參考。

雲端運算(cloud computing)從2008年開始就是一個熱門的話題，對於雲端運算的應用，無論是應用程式服務、資安服務或資料儲存等，各家都有不同的說法與見解，但從資安的觀點來看，仍有一些地方值得企業審慎注意，以免落入新資訊科技運用的迷思。

首先，讓我們回憶一下，在還沒有所謂的雲端運算之前，企業對於資訊的處理與運作的方式是什麼？一般普遍性的作法是，企業需要自行添購或開發商務運作所需要的軟體和硬體，並且建置專屬的資訊機房和網路環境，然後由內部的資訊人員來執行維運等相關工作。

對大多數的企業而言，隨著營運規模的擴展，為了要增加資訊服務的穩定與效率，在資訊科技的費用支出相對也會節節升高，尤其是面對如今愈來愈複雜的網路環境與技術，再加上好的資訊人才難尋，和營運相關的資訊問題解決能力也需要時間培養，種種問題都讓企業主傷透腦筋，而「雲端運算」的出現，彷彿就像是在烏雲之中露出了一道曙光。

雲端運算的資安服務

究竟什麼是雲端運算，Gartner定義它是一種嶄新且具延展性的運算方法，可以將計算、儲存等資訊科技的運用，透過網路以服務方式提供給外部客戶使用。而維基百科則說，「雲端運算是一種基於網際網路的運算新方式，透過網際網路上的服務為個人和企業使用者提供所需即取的運算。」

目前，雲端運算具備三大運算架構與服務模式，包括了基礎架構即服務（Infrastructure as a Service，IaaS）、平台即服務（Platform as a Service，PaaS）及軟體即服務（Software as a Service，SaaS）等，當然還有人提供許多不同的服務。

各種雲端服務雖然眾說紛紜，但有三樣東西卻是它的必要組成，分別是：網路、運算、服務。換句話說，透過網路連線，由遠端所提供的強大運算和服務，讓企業可藉此改變以往的資訊處理方式，除了可提高作業效率，進而節省成本支出之外，同時更獲得資訊科技的創新應用。

對於資安廠商而言，除了銷售傳統的資安軟硬體設備，若是還能藉由雲端運算的協助加持，提供更多的資安加值應用服務，那是再好也不過了。根據個人的觀察，目前資安廠商運用雲端運算來提供的資安服務，大致有下列幾種：

• 病毒防護 – 讓防毒軟體的使用者，能夠即時回傳電腦上可疑的病毒相關資訊，就能在防毒業者的雲端上比對病毒特徵，不需要再等到防毒軟體更新病毒碼，就可有效防止病毒的感染。

• 網址過濾 – 面對日益增加的惡意網站，可協助企業透過雲端進行網址黑名單的比對，透過即時更新的惡意網頁資料庫，可以提高攔截的效率。

• 郵件過濾 – 配合傳統的垃圾郵件過濾機制，比對垃圾郵件如來源IP、信件標頭等資訊，同時也可結合防毒功能，即時掃瞄郵件的附件是否安全。

• 身分識別 – 企業可透過雲端進行使用者身分認證，作到單一登入功能，讓使用者可在任何地點登入使用各項應用服務，解決使用者的授權問題。

至於業者宣稱雲端運算可為企業帶來的好處，則有以下幾點：

1. 降低營運成本 – 企業不需要再花錢去購買軟體和硬體，也不需要資訊人員來開發或維運所需的應用服務，只需透過租賃或使用者付費方式，大幅節省不必要的成本支出。
2. 提高工作效率 – 隨著網路無所不在的連結性，無論工作者身在何處都可享有相同便捷的應用服務，而且藉由雲端強大的運算能力，可有效解決工作端運算效能不足的問題。
3. 擴充未來應用 – 雲端運算可讓企業快速部署及應用新科技，無論是應用服務的升級或擴展，在短時間之內就可完成，不必擔心資源耗費的問題。

雲端運算可能的資安風險

根據市場調查機構Gartner的研究顯示，未來以雲端運算方式所提供的安全應用服務，將會對市場造成相當大的衝擊，預估在2013年會比目前再成長三倍。而趨勢科技的調查則指出，雖然業界看好雲端運算在資安上的應用，但是也有61%的企業受訪者表示，除非可以確定應用雲端運算不會產生重大的資安風險，否則目前仍不會急於導入雲端運算的相關應用服務。

從資訊安全的觀點來看，企業在運用新的資訊技術時，對於其隱含的資安風險，當然要做審慎的評估，而個人認為在採用雲端運算服務方面，至少有三個層面需要考量。

首先是網路層面，因為一旦商業運作需要仰賴雲端來進行，那麼網路頻寬的消耗，是否真如業者所言來的那麼節省？會不會拖累了原有網路服務的正常使用？這些都需要實地測試才可得知。另外，網路連線的穩定性也會比以往要求來的更高，因此在網路管理方面，原有的網路設備是否需要擴充？如何進行網路效能的最佳化調校？網路備援的方式？這些可能都會變成隱藏的成本支出。而網路傳輸的安全性當然也要涵蓋其中，若是有敏感資料需要傳輸，那麼是否有相對安全的加密機制和身分認證機制等，都是使用雲端服務時必需的要求。

其次是資料層面，企業要放置什麼資料在雲端上，將會決定所需的安全強度，在採用雲端資料服務的初期，建議企業先以非敏感性的資料為主，藉此來測試評估服務的安全性，而非一開始即將最重要的商業資訊，透過雲端方式來進行運算或儲存，以避免當資訊外洩時可能造成的衝擊。

最後是法規層面，企業要注意雲端服務廠商本身的安全是否值得信賴，是否有可供辨識的安全保證，例如取得政府的許可或國際標準ISO 27001的認證，因為這代表了雲端服務廠商在資料保護、實體安全、應用程式安全、系統可用性、漏洞管理、法規遵循方面是否有一套完善的管理制度，對於資訊安全可提供一定的保障。另外，萬一不幸發生資安問題，在責任歸屬與賠償機制上，就有賴於事先的合約或服務等級協議(SLA)，所以在一開始的服務簽定時，企業法務部門的參與協助也是十分重要。

評估企業整體的應用安全

事實上，雲端運算服務除了造福企業之外，對於惡意的駭客而言，也算是一大福音，因為這代表了許多企業更加依賴網路連線，會將重要的資訊透過網路傳輸，並且將商業資料儲存在企業環境之外，如果輕忽了可能的資安風險，就等於增加了駭客入侵的機會。

舉例來說，像是駭客可以利用雲端運算的強大能力來破解使用者帳號、密碼，竊取雲端所儲存的資訊；或是發動分散式阻斷網路攻擊(DDOS)，癱瘓雲端網路的運作，也就間接導致重要營運服務的停擺。另外，雲端資安服務機制的有效性，是否一如業者宣稱的可有效攔阻惡意程式入侵，是否會有潛藏的安全漏洞反而受到利用等，這些也都是未來需要關注的地方。

所以，企業在評估導入雲端運算的服務時，建議一開始先從非關鍵性的應用服務開始，而除了尋找可靠的雲端服務供應商之外，也要考慮有沒有其他的替代選擇。否則一旦企業所倚賴的雲端服務受到攻擊而停擺之後，將會對企業造成重大衝擊，例如關鍵資料無法存取、客戶資料外洩、防毒系統失效、惡意程式入侵等等，這些都有賴於事前整體的考量，絕非像是購置單一硬體和軟體一樣，只要輕鬆以對即可完成。(本文刊載於2009年12月號網管人雜誌)

[專題] 資訊安全管理導入實務(五) - 管理階層之承諾與責任

有一些企業與組織，原本興致勃勃想要推動資訊安全管理制度，期望能夠在日常的運作中，避免產生高度的資訊安全風險，進而造成企業資產的損失。但是到了最後，卻往往功虧一簣，主要原因就是管理階層的參與度不足，無法在關鍵時刻發揮起領導決策的效用。

在「解碼郭台銘語錄」一書中，鴻海集團董事長郭台銘有這麼一句名言：「沒有管理，只有責任；管理可以訓練，領導沒法訓練。」他認為管理階層一定要在「油鍋裡炸過」，要能夠自己做出決策，以親身經驗才能去領導別人，否則即使有多麼完善的制度或法令去規範也沒用，因為下面的人並不會依照方向和時間來往前走。郭董事長的觀點，一語道破了在資訊安全管理制度之中成敗興廢的關鍵因素，也就是管理階層的親身參與和支持。

企業與組織若想建立一個有效且持續運作的資安管理制度，從一開始的規劃討論與專案啟動，到建立制度並且實施之後的管理審查階段，這些都仰賴管理階層的領導與決策能力，如果管理階層只是像沾沾醫油一樣，那麼這個管理制度註定是會失敗的。

也正因為如此，在ISO 27001標準中的第五章，規範的就是管理階層責任與應有的作為，而第七章則是要求管理階層必須依照所規劃的時程，定期審查組織的ISMS是否如預期般的有效運作，並且要確保可持續地適用於組織現況，同時每一次的審查結果都必須要留下文件化的記錄，以做為日後進行改善之用。

管理階層的承諾

為了要確保管理制度的有效性，ISO 27001標準中要求管理階層必須提供對於ISMS的建立、實施與運作、監督與審查、維持與改進的各項承諾證據，因此，管理階層應有的作為至少包括了：

• 為組織建立一份資訊安全政策，內容應說明為了達到資訊安全所採取之各項行動，必須依據何種準則或規範來進行。在政策中也需要說明如何去評估組織的資安風險，有哪些必須要遵守的法令法規和合約要求，以及管理階層的責任為何。

• 制定組織的資訊安全目標，確認達到各項目標的計畫和實施方式，並建立和資訊安全有關的各種角色與責任。例如確保內部員工、外部承包商和第三方的使用者，皆能明瞭其安全責任並符合要求，以降低可能的資訊安全風險。

• 對內對外傳達所建立的資訊安全政策、目標及法律所規範的組織責任，宣示維護資訊安全的決心，並要求不斷地持續改善可能的資安風險。

• 提供建立與維持資訊安全管理制度持續運作所需的資源，包括人力、物力和財力等。

• 在風險評鑑完成之後，決定組織所面臨的資安風險接受準則，要求對於具高風險之資產進行妥善處理，並決定最後可接受的剩餘風險等級。

• 確保組織依照既定的規劃時程進行內部稽核，依據內部稽核的結果要求進行矯正預防措施，並且實施管理階層審查。

提供運作所需資源

企業或組織欲導入資訊安全管理制度，目前普遍的作法是尋求外部顧問的協助導入，在評估各項文件與實施運作均符合ISO 27001標準的要求之後，再進一步請第三方驗證公司進行稽核，以便取得國際認可的ISO 27001認證。因此，在導入之前，所需成本的預算編列將是第一要務，組織應考慮營運規模的大小、導入的範圍和預計完成的時間來予以評估，而這些也都需要管理階層的參與和核准。

此外，在ISMS的建立、實施與運作、監督與審查、維持與改進的過程中，管理階層的責任是要確保各項資訊安全的作業程序，能夠符合組織營運的要求。換句話說，如果因為資訊安全的考量，所實行的控制措施已妨礙到日常業務的進行，那麼管理階層就必須適時的作出反應，或進行作業程序上的調整。

當然，在導入的過程中，很可能會識別出組織以往未曾發覺的資安風險，這時候進行風險的控管是必要的，而所使用的方式可能是從管理制度面來著手，擬定相關的作業程序，或是透過技術面的管控，藉由購置資安設備來到抵禦資安威脅。這些控制措施的實施是否正確且適當，也需要管理階層定期加以關切，以督導相關人員進行維護與改進。

確保資安認知能力

根據個人的觀察，目前企業或組織中最缺乏的就是熟悉資訊安全的人才，一旦管理階層決定要導入資訊安全管理制度，即刻面臨到的問題就是該由誰來負責執行？雖然我們可以仰賴外部顧問的協助，但若內部人員缺少維護與運作的能力，當合約期滿之後，很可能就會讓整個制度趨於荒廢。

因此，在組成跨部門的資安小組之前，管理階層要決定的就是執行相關工作的人員，到底需要具備什麼樣的能力？最簡單的方法，就是將人員送去參加ISO 27001的各項訓練課程，或是直接聘僱已參與ISO 27001相關課程並通過考試的人員，協助ISMS工作的推動。

為了確保ISMS相關人員的技能，管理階層需要決定教育訓練的實施計畫，並針對不同的角色人員，提供不同的訓練課程。例如主管人員安排參與定期的主管人員資安訓練；一般人員需參與一般人員的資訊安全認知課程；技術人員則參加相關設備的操作訓練或是和駭客攻防有關的技術課程。

當然，這些措施是否有效，也需要管理階層的長期關注，藉由定期審查人員維持教育訓練的記錄，或是已取得之技術證照，可確保所有人員皆認知其負責資安工作的重要性，以及具備所需要之專業技能。

進行管理階層審查

ISO 27001標準中要求，管理階層必須定期審查組織運作中的ISMS，以確保其持續的適用性與有效性。在實務上的做法是至少一年一次定期性的召開管理階層審查會議，根據ISMS運作時所產出的文件記錄，由參與的主管來評鑑ISMS的改善機會和方向。在管理審查程序上，標準要求必須要有9項審查輸入和5項審查輸出，分別說明如下：

審查輸入包括─
(1) 來自於內部和外部稽核的結果記錄
(2) 利害相關團體像是股東、客戶、供應商的意見或所提出之問題
(3) 是否有可以改善資訊安全的產品、技術或作業程序
(4) 已實施的資訊安全控制措施的現況
(5) 各項資訊安全控制措施有效性量測的結果
(6) 先前風險評鑑中尚未處理或忽略的資安風險
(7) 是否有任何影響ISMS運作的因素，例如技術或業務項目變更
(8) 上一次管理階層審查決議需跟進改善的措施
(9) 來自各個階層的管理建議

審查輸出包括─
(1) 如何進行ISMS的有效性改進
(2) 如何更新風險評鑑與進行風險處理
(3) 如何針對影響ISMS運作的因素，進行必要的修正
(4) 適當回應所需的資源需求
(5) 如何改進控制措施的有效性及量測

持續改進管理制度

以上談的都是有關管理階層應有的作為與責任，也反映了管理制度並不只是由高層頒布一些準則規範，就強制要求下面來遵守執行，而是需要由上至下，不斷地溝通討論，實施之後再加以檢討改進。透過這一系列的文章，雖然無法完整敘述整個資訊安全管理制度的全貌，但至少點出了其中的核心價值，希望透過標準這麼好的一項工具，可以讓我們依循並掌握住資安管理的重點。

相信大家都聽過「預防勝於治療」這句話，對於現今事事講究效益與成本的企業而言，能夠預防可能發生的資安風險，絕對比資安問題發生之後，處理與矯正的措施更具成本效益。所以在標準本文的第八章，要求的是ISMS的持續改進與矯正預防措施，提醒我們不要以為進行了風險評鑑，就已經掌握各項可能的風險，而是要不斷地依據組織的運作狀況，注意是否有新的威脅出現，或是因業務變更而產生新的風險，然後及早地加以預防。

萬一真的不幸還是發生資安事件了，也請務必謹記「亡羊補牢」這句話，要積極找出事件發生的根本原因，然後盡快把洞填補起來，以避免問題的再度發生。最後，回應上一期文章提到該由誰來負責進行追蹤確認的改善行動呢？答案當然就是懂得資訊安全，日後必定會晉升管理階層的您。(本文刊載於2009年11月號網管人雜誌)