網路打破人們溝通的疆界,加快工作效率,卻也帶來更多的資安威脅。駭客攻擊、木馬、病毒、殭屍跳板、社交工程等等,每一項都可能擊潰企業永續經營的努力,帶來名譽以及金錢上的龐大損失。
然而不僅僅是企業面臨到資訊安全的衝擊,政府單位更是駭客們覬覦的目標。過去就曾發生駭客透過電信業者之備用主機為跳板,入侵政府機關網站,竊取機密性資料的事件。隨著政府加速落實網路數位資訊服務,資訊安全也成了首要推動的焦點。
今年初通過的「國家資通安全發展方案」中便明確指出政府各級機關的努力方向,未來將以提升通報應變時效、健全資安防護能力、深化資安認知及教育、促進國際交流合作等四項為首要目標。而其中在健全資安防護能力方面,更是積極在公務體系中推動導入資訊安全管理系統(Information Security Management System)藉以提升公營機關的資安管理水準。
|
▲ 資策會資安服務中心通過ISO 20000國際驗證。 |
技服中心身負重任
「國家資通安全會報-技術服務中心」是行政院研考會委託資策會執行的專案計畫,由資策會資安服務中心負責政府機關資訊安全技術服務與防護管理。目前提供的服務包括協助研考會對公務人員的資安人力素質培養,從訓練推廣做起,推動資安職能;推動政府專屬認證;提供資安健診,將過去技服中心面臨資安防護與事件處理的經驗釋出,做為改善參考;並且導入國外技術進行資安情蒐等等。
資策會專案支援處副處長兼資安服務中心主任劉培文指出:「現今的資安攻擊已經很少有全球性大規模的爆發,反而是以區域性攻擊的事件居多,因此我們必須要自建偵測能力,目前技服中心對於社交攻擊情報、殭屍電腦網路等等都已開發專屬的偵測系統,甚至與NCC合作,在六大ISP的骨幹中,部署Agent偵測點,期望能夠對台灣資安威脅的環境更有掌握。」
國家資通安全會報-技術服務中心早在2001年便已成軍。由於身負資訊安全管理重責,在成立翌年便通過BS7799資訊安全管理標準認證(現今ISO 27001的前身)。而為了致力於科技化服務(ITeS)的各項應用研發,特別是新興資訊服務與科技化經營模式的建立,透過有效的執行策略,將資訊服務作業流程系統化,以即時回應需求,資策會「資安服務中心」自去年7月起積極導入ISO 20000資訊技術服務管理國際制度,且整合既有ISO 27001資訊安全管理制度,於今年5月成功整合兩種資訊管理制度並順利通過ISO 20000/ ISO 27001雙驗證。
從挫折中破繭而出
劉培文表示,雖然導入ISO 20000過程受到各界長官指導,而且也有KPMG顧問輔導支援,但更大的一項動力其實是源自於內部的自發性:「其實在同仁心中早已深切感受到如果要持續運作來保持服務水準,那麼導入ISO 20000是勢在必行。資安服務中心的初期人力只有現今的一半,但服務項目在這幾年中的服務工作卻已增加了6倍之多,而且對象擴及到各級地方政府機關,如何發展出一套有效率的服務制度是目前亟需克服的目標。」
即使是身為政府機關資安推手與技術幕僚,資安服務中心也曾在資安防護中受挫。2003年媒體報導「行政院被駭,戶籍個資恐外洩」國際駭客嘗試入侵的真實事件,雖然當時清查後並沒有發生資料外洩,但也給技術服務中心相關成員上了一課,這才體認到資訊安全不只是系統的保護,還有端點的防護,而且最弱的環節就是終端的使用者。
受到這項事件的激勵,技服中心在防禦技術上急起直追,「我們在2005年就領先全球發現微軟的軟體有零時差的弱點,經常受到駭客攻擊,而且當時技服中心也領先全球將社交工程對公務人員來做演練,當各大媒體都還只是關注網路攻擊時,我們已經搶先關注到社交工程。」劉培文自豪地說。
改變思維是最大的挑戰
雖然技服中心很早便取得BS7799資訊安全管理標準認證,但此次導入ISO 20000,依然遭遇許多挑戰,最大的難關就在於思維。劉培文指出,以往資安服務中心提供的資通訊安全技術服務範圍,從事前的安全防護、事中的預警應變到事後的復原鑑識等,不同類型的服務內容由不同的小組負責。很多程序、資源及知識,因缺乏一致性的作法,形成難以共享的障礙。
「技服中心必須讓組織內更多跨服務項目,能夠得到更有效率地管理與服務內容,同時最重要的是能夠兼顧資訊安全管理制度的資安政策與要求的一套管理架構與程序。雖然已經具有ISO 27001的導入經驗,但ISO 27001與ISO 20000卻是截然不同的思考邏輯。」
劉培文分析,ISO 27001專注的是資訊安全管理系統,主要是利用系統化的方法來評估各項潛在的風險,並且施行適當的預防或矯正控制措施來保護資訊資產的完整性與可用性。這種思維比較技術導向,但ISO 20000則是服務導向,必須從使用者的角度來考量,將原本支持性的角色改為積極性的增值服務提供者,如此才能符合使用者的需求與效益,「但是積極服務卻經常與資安維護形成衝突,如何兼顧到資訊安全又不會對使用者造成太大的影響才是最大的挑戰。」
提升IT服務管理品質
不同於其他單位分批導入ISO 20000,技服中心選擇一次性完整導入。劉培文認為,因為資安問題環環相扣,並不是單一的產品或解決方案可以解決這個問題,而是必須藉重其他產業的經驗,而技服中心本身就像資安服務的供給區,因此整個中心與服務都必須納入驗證的範圍。
劉培文強調,目前整個管理組織以及內部稽核的程序上,都已經與日常工作合而為一。而技服中心期待透過ISO 20000的導入,也將更致力於資訊安全管理工作,提供公部門更具客戶導向,且更有效率的IT服務管理品質。