今年(2016) 全球和台灣幾件重大資安事件,讓每家企業開始重新審視、強化自家的資訊安全防護機制。但資安不是加裝軟體加強控管就行,從硬體架構選擇,就能夠替後續的資安工程省下一大把利器,跳脫傳統採購思維,才能夠讓防範於未然的工作事半功倍。
因為,企業在評估採購硬體產品服務時,很容易會落入斤斤計較的砍價圈套,以採購成本為重,其次再來考量系統效能、維運管理的容易度,以及能否跟新舊系統介接整合等面向,反而讓不容打折的安全問題被隱沒。這往往也是導致企業暴露在高度危險環境中的原因。
科技的日新月異,朝向「開放」已是必然的趨勢。但其實所謂的開放,並不是狹義地採用開放原始碼軟體(Open Source Software,OSS)、採購x86伺服器、或者是建置OpenStack運算平台,真正的開放,是要能支援產業共通標準以及支援異質平台的互通性。
更重要的是,不能夠因為開放而犧牲掉安全,就算企業決定將應用服務轉移到開放平台時,也一定要先確認硬體平台的安全防護能力,切忌輕忽安全隱憂帶來的隱藏性成本等問題。
為減少企業暴露在安全威脅中,建議IT與資安部門可以從以下三個面向著手,循序優化企業的安全防護機制。首先,選擇零漏洞或者是低安全漏洞的系統設備。隨著雲端服務的興起,有越來越多企業開始透過虛擬化技術整合伺服器資源,因此虛擬化技術是否夠安全,至關緊要。
可以作為的重要參考資料,是美國國家弱點資料庫(National Vulnerability Database, https://web.nvd.nist.gov/view/vuln/search),公開查詢所有眾多虛擬化技術的安全漏洞,選擇截至目前為止是零安全漏洞或是低安全漏洞的系統。像是Power Systems以PowerVM Hypervison技術搭配專屬硬體的完整設計,至今仍保持著零安全漏洞的記錄,而System z除了更是擁有軍事等級EAL 5+最高安全認證,替企業資訊安全提供最穩固的鋼骨架構。
其次,擬定全方位的安全治理機制。透過專業的諮詢顧問,來協助企業擬定全面的資訊系統架構防護,並根據員工的工作狀態,以及企業跟夥伴與客戶的互動狀況,擬定對應的安全防禦機制,在適當的防禦點上導入合適的資訊安全軟硬體設備,以確保企業開放給員工、夥伴與客戶的資料、應用程式是在安全無慮的狀況下或授權使用。
第三,依照資料重要性打造安全防護機制。建議企業應該將數據資料分類與分級,找出核心資產並且排定優先順序,然後,以此順序進行對應的安全防護,透過硬體加密、軟體加密等方式,保護核心數據資料。同時,也建議企業進一步將雲端服務平台視做企業的延伸,將敏感度較低但需要跟外部系統介接的資料放在雲端平台上,避免高敏感度資料遭竊。
新科技的崛起雖然有助於加快企業創新與轉型的腳步,但也會帶來全新的威脅,以新思維重新審視既有的安全防禦機制,並且依照資訊系統架構以及資料存取狀況擬定對應的安全防護機制,選擇安全的路,才能走得更久更遠。
(本文作者李正屹為台灣IBM硬體系統部總經理)