 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1671858
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2004/9/8 17:26 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]行家告訴你資安問題如何解
- 行家告訴你資安問題如何解
國內企業習慣遇到問題再決定解決方式,
但往往只能治標無法治本,
該如何才能正確解決資訊安全問題
解決資安問題可真一個大哉問,
也讓這些行家傷透腦筋,
有人認為資安問題永遠無法解決,
有人認為要從安全政策做起,
也有人認為買產品最有效,
當然,
找對「人」會是很重要的。
先搞清楚問題在哪裡
陳彥銘建議企業應該要先搞清楚資安問題在哪裡。廠商、產品及企業是一個「循環」,
企業有資安需求,
廠商開發出產品,
再獲得企業回饋為產品做出修正,
並持續循環下去,
可惜的是,
企業通常沒有足夠的知識與資訊去判斷需求,
往往只能順從廠商的推銷。企業內部應該要有了解整體資安架構的人(資安架構師),
讓資訊安全能與商業流程相結合。另外,
國外已有法令(HIPPA、GLBA)規範企業強化資訊安全,
所以適度投資資安設備,
可以為企業增加競爭優勢,
不過投資要適度而不過量,
因為到一定程度後,
整體效果就會往下掉。
林秉忠也表示相同的看法,
企業該知道本身可以接受的資安底線在哪裡。一般企業都是碰上資安問題後才去尋找解決方案,
缺乏完整的規畫,
沒有全面性的了解資訊安全,
自然就不知道資安底線在哪裡。此外,
由於資安問題大多由技術單位負責,
在沒有安全長(CSO)負責統籌,
層級又不高的狀況下,
無法發揮應有的功能。
楊士逸:「每個企業都有不同的資安需求,
對ISP廠商而言,
只要服務不停頓、不癱瘓設備就可以接受,
所以不會擋下病毒的流動,
但對一般公司而言,
任何病毒都有可能造成感染與資安事件,
所以會建置防火牆、VPN等安全設備,
希望讓所有的網路封包都變的比較健康。」
對資訊安全存疑,
只能控制資安風險
許偉健:「資訊安全永遠沒有辦法解決,
只能把風險降低。」他建議企業可以從兩方面來降低風險,
首先就是買產品來解決大部分的問題,
像防火牆就是不錯的防禦設備,
但是,
如果管理者設定不正確或時常更改設定,
仍然會發生問題,
所以還是制定安全政策,
規定誰可以更改設定、如何去改設定。
林育民:「國內企業對資安問題的解決方式往往是頭痛醫頭,
腳痛醫腳,
缺乏對資安的整體規畫,
花費大量資安防護投資後,
仍無法有效解決問題。若企業能建立資訊安全管理制度,
有效管理人員、流程與技術,
可將資安風險控制在合理範圍內。」
林佶駿表示,
他不會告訴客戶該如何解決資安問題,
而是會從如何降低風險著手。要解決資訊安全問題,
必須由專家協助,
並從各方面切入,
考量風險、成本與效益,
找出能夠解決問題的產品與服務,
就像我們常講,
花1000萬元保護5萬元的東西是不必要的投資。唯有從產品面、服務面與政策面三管齊下,
才能夠解決問題。
就林泰瑋的經驗而言,
現在大企業和政府的資安產品都已經「飽合」,
該買的都買了,
但大家依然對資安不放心。只要系統需要人來操作,
就一定會有弱點,
也就不可能安全,
不過,
該做的事情還是要去做,
包括防火牆、IDS、內容安全、弱點管理等安全裝置,
都需要建置。
問題出在於人,
必須從企業文化與教育著手
要解決資訊安全的問題,
萬幼筠常會講到三個字:「People、Process、Technology。」雖然這是老生常談,
但一定要先從企業文化做起,
企業必須創造員工保護機密的文化,
然後再去談防護機制。以銀行為例,
雖然所有的人都會接觸到資訊,
但當我們講到資訊安全時,
很多人會認為是資訊部門的事情,
這樣就掛了,
因為出問題的大都不是資訊部。從資訊部門開始是個正確的方向,
但不能僅限於這個單位。資訊安全的最終問題是人的問題,
但資訊安全的建置是一個過程,
而沒有終結點,
因為科技在進步,
人在流動,
制度在改革,
企業環境也在變,
所以要從根源(人)做起。如果你重視資訊安全,
花資源(人、時間、錢)投入就是開始。
蒲樹盛也有相同的看法,
他認為大部分的資安問題都是人的問題,
駭客入侵只佔資安事件的5%以下,
例如金融詐騙很容易成功,
其實暴露大部分的人對資訊安全沒有概念。教育訓練是加強安全意識的手段,
可以分成三個層次,
第一層就是加強使用者的安全意識;第二層是對特定人員(資訊人員、非資訊人員)進行訓練(網路安全、緊急應變、軟體開發、密碼使用);更高層次是教育(培訓、再職進修),
提升資訊安全方面的專業知識。如果訓練足夠,
企業就有能力去判斷委外服務及產品是否合用;如果訓練不足,
那企業就只能聽廠商的片面之詞,
沒有能力進行產品測試與判斷。
林松儀也認為資安問題就是人的問題,
每間企業都有建置防火牆和防毒軟體等安全設備,
但仍有存在安全問題,
原因就出在於是「誰管」這些設備,
「誰安裝」這些設備,
不同的人會有不同的效果,
加上人會流動(新進、離職),
安全教育的成效還是有限。在現實環境中,
IT人員並沒有相對的權限,
很難完全控管其他員工,
所以制定安全政策時,
需要有CEO等級的主管參與。
游源濱:「資訊安全問題永遠無法有效解決,
因為到最後都是人的問題。」即使企業買了上百萬的系統,
但系統仍然是由人在管,
所以教育是解決資訊安全最有效的方式,
但這不代表企業就不需要買產品,
因為要叫軍隊去打仗,
也需要槍和大砲等武器。
靠媒體宣導資安觀念
張裕敏表示,
資訊安全最大的問題是「資安的教育」,
大家都很熟悉病毒,
知道出問題要如何解決,
找防毒廠商、下載解毒包等,
但防毒只是其中的一小部分,
其他的地方就比較少警覺性,
例如電腦執行速度減慢,
或出現某些異常行為,
很可能是遭到駭客攻擊,
只是一般人通常要等到問題發生後(首頁遭置換、銀行帳號被盜用),
才知道發生什麼問題。他認為透過媒體是最有用的教育方式,
像防毒的觀念並不是防毒廠商廣告或病毒作家宣傳,
而是媒體報導的結果,
大家久而久之就會知道。此外,
最近媒體報導駭客、駭客攻擊網站及總統府網站被駭等消息,
企業已經開始注意網站是否安全。媒體報導越多,
大家就會越有警覺,
開始思考怎麼做防護。
但是,
靠媒體或教育就可以改變使用者嗎?楊士逸表示,
現在我們是因為遭受到攻擊,
為了要活下去,
所以要求使用者安裝防毒軟體或其他安全裝置,
或改變他們的行為,
但要改變使用者行為並不是那麼容易。
比較特別的是,
大陸已經官方明文規定,
資訊系統必須列出相當比例的預算來做資訊安全,
所以他們的政府網站會比較安全,
美國也在訂這方面的法令,
臺灣目前則沒有。舉例來說,
美國建置健保系統,
要先通過HIPPA、BS7799等標準,
資訊安全也跟著進去,
但臺灣的健保系統則是系統先做完,
然後再做資訊安全,
應該在一開始就規畫資訊安全。張裕敏建議臺灣也可以效法大陸的方式。
採用資安委外服務,
解決資安人力不足
朱保全認為解決資安問題需仰賴技術性產品,
提升技術性產品效益卻需仰賴良好的管理,
因此由好的技術人員運用好的產品,
配合良好的管理制度,
將能夠解決大部分資安問題。目前因為人力精簡問題,
企業無法找到專門資安人材,
大都以網管人員兼任資安人員,
在一人管多臺機器的情況下,
很容易發生嚴重的資安事故,
最後更導致主管下臺。MSSP(Managed Security Service Provider)是非常適合企業的委外服務,
同時可以解決DDOS攻擊,
目前美國已經有超過27個以上的MSSP服務提供者。
施孟甫也認為委外服務是解決資安問題最好的方式。以中華數位實際客戶經驗為例,
在導入郵件系統的過程中,
由中華數位幫他們訓練人(系統工程師和操作員),
提供郵件查詢、郵件攻擊、郵件稽核方面的經驗,
讓他們能夠知其然也知其所以然,
透過這樣的環境,
廠商與企業的關係也能更密切。
蘇志隆表示,
現在開始流行委外服務以降低人力成本與資安投資,
但不管企業選擇委外或自行建置,
都需要有效的稽核制度,
確保這些設備都有在運作與執行,
政府已經有這方面相關的規範,
但一般企業就比較難建立這樣的稽核制度。當所有的東西都導入之後,
「人怎樣去管」會是最大的問題,
例如之前銀行的資料外洩事件,
都因為內控問題,
所以仍要透過人的管理來解決問題。
許偉健認為委外服務還存在一些問題,
包括哪些(IT、安全)該委外、如何管理、合約怎樣制訂、費用如何計算、事件賠償……,
以國外的IT委外服務為例,
每增加一個服務就要錢,
雙方的簽呈也比內部要花更長的時間。另外,
法律顧問也會影響到委外服務,
有的顧問是偏IT面,
有的是偏業務面,
如果是偏IT面,
那麼是偏營運面,
還是安全面,
所以,
法律顧問看資安問題的深淺,
將影響合約的制定內容。目前委外服務仍然沒有很好的解決辦法,
只能儘量做的最好。
制定安全政策與規範流程,
降低人為問題發生率
陳彥銘:「臺灣是以產品為導向的市場,
只要產品打廣告、炒熱話題,
企業就會認為產品很重要,
一窩蜂去買。」企業在建置安全架構前,
並沒有一套計畫和步驟,
只是盲目的採購,
也許跟業務員聊天後,
就將入侵偵測系統加到採購計畫中。企業在採購前,
應先制定出資安政策、要用何種流程執行資安政策,
以及該流程所需的工具,
再依這些需求採購產品。
游源濱表示,
訂定符合公司的安全政策與流程,
可以將人的問題降到最小,
例如SSL VPN存取、上下班刷卡、文件控管……等,
雖然沒辦法百分百解決安全問題,
但可以把安全問題壓到最小,
等安全政策制定完成後,
再去找適合產品或服務。另外,
在BS7799當中有提到,
如果解決方案所花的成本超過資產價值,
那麼也就不需要了,
千萬不要為了認證而認證,
為了導入而導入。如果風險不能解決,
就應該選擇將風險轉嫁,
例如買保險。
許偉健:「有統計指出,
75%的資安事件都是從內部而來,
因為使用者知道內部流程與資料的價值,
所以出事的機率會比IT人員高。」解決之道就是制定安全政策。雖然制定安全政策是好的,
但政策制訂出來後,
是否有在推動,
推動後是否有持續維護,
以BS7799為例,
它是一個循環,
但第一次導入可能只包含60%的安全,
之後仍要再持續補強,
才能越來越高。
「有事情解決,
沒事情預防。」許偉健談到,
有事件發生就與專家討論,
尋求解決之道,
有了經驗之後就能夠加以預防。另外,
當企業內部發生資安事件時,
一定要向上通報主管,
讓他們知道發生什麼事,
之後才會編列資安預算,
協助解決這些問題,
降低風險。
先解決問題吧!
聽完上面這麼多的看法,
最後我們回到比較現實的一面。
蘇志隆:「一般我們看到的現象都是結果(電腦被攻擊、資料被偷),
基本上,
可以透過教育訓練與安全政策來解決資安問題,
不過因為人總是會有惰性,
所以才需要靠制度來約束。」顧問公司會建議由上往下做,
先做風險評估、定義安全規範、建置安全設備,
才能解決資安問題;而資安產品則由下往上看,
先解決問題再說。對全新的企業而言,
由上而下是比較完美的做法,
例如政府A+單位的SOC是先簽顧問案,
經過規畫之後才建置資安設備,
能夠非常符合組識現狀,
但對大部分的企業環境而言,
這樣的過程緩不濟急,
企業不可能等上幾個月的評估時間。
現實環境中,
大家好像還是都先解決問題。文⊙陳世煌
資安行家給你好看 林育民
賽門鐵克亞太區資訊安全技術顧問
學 歷:交通大學資訊科學研究所碩士
經 歷:金融系統及網路銀行安全機制之規畫與建置,
企業資訊安全政策、標準與作業程序之制定,
資訊系統安全檢測與滲透測試服務
專業證照:SCSP、SCSE、CISSP 好書分享
我個人每周都會將公司內有訂閱的資訊雜誌瀏覽一遍,
但在雜誌的閱讀上,
主要是以快速得知最新的資訊產業相關新聞為主,
並不偏好特定哪一本雜誌,
原則上是所有手邊的雜誌都要掃過一遍。
只要我在臺灣,
周末有空時,
幾乎都會到天瓏書局去逛一圈,
看看有沒有什麼新書出版或進口;原則上,
只要是我認為那本書的部分內容是有用的,
我通常就會買下來做為日後參考。在國外的話,
只要時間允許,
我也會抽空去逛逛當地的書店。在資訊安全相關書籍的部分,
對於一些應用類的書籍,
我通常只會研讀其中需要的部分,
但對於資安理論相關的書籍,
則會花時間精讀。個人比較偏好研讀資安理論相關的書籍,
但每本書各有其特點,
而且每個人的閱讀習慣及喜好不同,
在此我不打算推薦任何一本書。 朱保全
凌群電腦產品事業群資深安全顧問
學 歷:國立臺北科技大學
經 歷:遠傳電信電訊科技部工程師,
鈺松國際行銷部經理兼顧問
專業證照:BS7799LAC、ISS產品認證、TIBCO產品認證(EAI Solution and Architecture & Design) 好書分享
《QBQ!問題背後的問題》
作者以輕鬆幽默簡短的故事方式,
說明何謂個人擔當,
並且以實際的例子,
教導讀者訓練出個人擔當,
進而解決問題。目前的企業文化中,
蠻普遍遇到的問題,
就是缺乏個人擔當、諉過、抱怨與拖延,
欠缺個人擔當的組織或個人,
將無法達成公司所設定的目標、無法在市場上與同業一較長短、無法實現願景,
更無法讓個人和團隊更上一層樓。因此如同作者米勒所提出解決的方法,
別只是把「團隊合作」掛在嘴邊,
而是問:「我該如何貢獻一己之力?」以及「我要如何改變現狀?」 《執行力》
公司內部經常會發生所謂的「口號管理」,
我想透過執行力可以獲得解釋與改善。如果公司沒有將營運目標、戰術等執行方法列出里程碑,
然後依據達成目標進度分別給予獎勵及懲罰,
其實很難在現今微利科技時代,
與其他公司相競爭。如果只是有執行力,
卻沒有執行的熱忱,
那就會形成後知後覺的執行力。因此當QBQ精神結合執行力時,
相信「組織末梢神經麻痹症」的情況,
一定可以大幅改善,
對於問題及個人定有正面的幫助。 林佶駿
敦陽科技專業技術建置服務群資訊安全顧問
學 歷:東海大學數學系
經 歷:TWCERT技術師,
ISS資深技術顧問
專業證照:CISSP、美國 CERT/CC 講師 好書分享:
《The Secured Enterprise: Protect Your Information Assets》
從資訊安全的 ROI、資訊安全政策、相關技術、資安產品與服務等議題,
做了深入淺出的介紹。這本書無論是在章節的編排或是在文字敘述方面,
對於 IT 主管以及想要瞭解資訊安全的技術人員都有很大助益。此外,
在導入資訊安全的各項議題上,
本書也針對不同規模的企業,
提出不同的建議。
《Hacking: The Art of Exploitation》
Buffer Overflow、Heap Overflow、Format String 都是常見的攻擊手法,
本書帶你進入駭客的秘密世界,
告訴你漏洞發生的原因及如何觸發這些漏洞,
並撰寫自己的攻擊驗證程式,
本書也針對網路的掃瞄、監聽以及密碼破解,
做了相關的介紹,
對於想深入技術領域或想成為Pen-tester的朋友,
本書值得一讀。 施孟甫
中華數位技術長
學 歷:東海大學統計學系碩士
經 歷:負責多家企業電子郵件通訊服務的專案開發與系統服務顧問,
領導中華數位科技研發團隊 好書分享
《2004年資訊科技與人文管理教育論壇—數位內容、數位教育與管理政策研討會》論文集
本論文集內容包含數位內容暨資訊安全技術實作及深入研究剖析,
是產官學界針對數位內容安全管理及機制探討,
不可多得之重要論文集。
論文集從人文教育、資訊科技、法律社會及心理等多種面向,
提供「管理政策與技術管制」、「數位教育與法律社會」、「數位內容與資通安全」等相關技術或研究報告,
針對現今及未來發展的資訊技術與管理方法應用在數位教育上。另一方面則探討因網際網路的普及和推廣而衍生的負面效應,
如資訊濫用、網路色情、資訊犯罪及沉迷於網路的遊戲世界等社會犯罪問題。
《駭客現形:網路安全之秘辛與解決方案》
本書對於資訊安全實務有非常多的實例探討,
無論是IT網路環境所面臨的威脅、弱點與暴露,
都有深入的探討與解說,
更提供防禦的因應之道,
閱讀這本書,
將會深入了解資訊安全的實務面。
新的駭客工具、技術、方法隨時都在變化,
唯有了解各種攻擊技術的原創與意義,
才能在以「人」為基礎的資訊安全,
先從治標的防禦做起,
再做到治本的教育。本書除了將資訊安全攻擊與防禦的實務面做深入探討之外,
還收集了不少資訊安全專家必備的工具與網站。
|
|
|
|
