管理面與技術面孰輕孰重？

文/吳佳翰　陳怡良（勤業會計師事務所/企業風險服務組副理）


近年來各大電視、平面媒體對於資訊安全事件的報導日漸增多，不定期發生的病毒警示發佈、網路銀行的帳戶密碼破解存款盜取、中美網路駭客大戰等等，報章媒體失真地報導與過度地渲染，「資訊安全」也成為本世紀以來談及網際網路時重要的議題。但多數人對於「資訊安全」所蘊含的意義，僅止於將報章雜誌上聳動的標題－駭客攻擊、電腦病毒及資訊戰等，與資訊安全劃上等號。一般人有此認知或無可厚非，但若企業經營管理階層、資訊從業人員有此錯誤之認知，認為防火牆之購買及防毒軟體之使用即是落實了資訊安全的良善管理，而未針對安全管理之機制思考其真正意涵，於資訊安全管理的邏輯上已產生了一個嚴重的錯誤：亦即僅重視技術層面之各項軟硬體導入與應用，而忽略了管理層面風險評估與控管程序建置之重要性，導致企業執行資訊安全管理機制時造成失衡，亦造成資訊安全的管理與企業經營的需求發生衝突時無適當之權衡評估方式。


技術面與管理面失衡
筆者日前在檢視某家大型機構的防火牆設定時，發現兩項重大的缺失。缺失之一，在近千條防火牆的規則設定中，竟有一條為”自任何IP至任何IP的任何服務皆准許通過”如此之設定規則導致防火牆功能完全失效，使得價值不菲的防火牆形同虛設，內部網路對外門戶洞開，任由進出，而此情形至少已持續了數個星期之久，無人聞問。經訪談相關人員，才發現此錯誤設定是網管人員為建置網路應用軟體的方便所做的暫時設定，但在建置完成後，卻忘了移除此設定。缺失之二，防火牆的事件軌跡功能根本沒有啟動，更遑論有專人負責檢視事件記錄，有關於事件軌跡的稽核機制付之闕如，網路管理人員竟認為無須大驚小怪，因為他從不認為這個系統有值得攻擊的必要。


筆者亦於年前至某家網路公司了解其資訊環境架構時，訪談其資訊部門與使用者部門主管有關於防火牆之建置時，其使用者部門主管將防火牆之功能誤解為電腦機房之實體防護設備，讓資訊部門主管不禁苦笑一番。而從多年來於工作領域所接觸到國內各大公司至中小企業，多數公司之使用者部門乃至於企業高階主管，均將資訊安全之管理視為資訊部門應負之責任，而忽略了企業經營之需求亦會影響資訊安全管理之執行程序與解決方案。

建立員工認知　落實管理機制
數年前筆者在美國擔任聯邦政府某個機構之系統安全諮詢工作時，曾遇到的一位令人印象深刻的老先生，其任職於該單位的資安工程師，每天不管工作有多繁忙，他必定會在固定時間至機房，檢視專門印製事件記錄報表的印表機是否有足夠的色帶及紙張（美國政府某些單位，為確保事件記錄的完整性，規定在産出後，不得予以變更，在當時光碟燒錄機尚未普遍，以及技術規格尚未完全核准採用下，故利用印表機直接列印事件記錄），且多年來從未有間斷或延誤之情形。當我好奇的問他這個程序的必要性時，他回答：「如果我沒有每天花三分鐘做這個看似無意義的小動作，這個花費數百萬元所建置的安全系統及管理程序只是一堆昂貴的垃圾。」這個答案至今猶印象深刻。而他正是美國政府機構為數不少資訊安全人員工作的縮影。由此可以看出，在美國，尤其是聯邦政府機構，資訊安全這個議題，絕非僅是資訊科技議題的一種類別，而是一種工作態度、一種思考模式。


美國從事資訊安全的人員很喜歡把"Security Protocol"、"Need-to-Know"，以及"Security Clearance"等後冷戰時期的名詞掛在嘴邊，凡事講究程序，諸事必形於文件。在系統建置的初期，所有人員的工作職責，權限必先規劃清楚。這種態度其來有自。十幾年前當網際網路尚未成為資料交換的主流時，除了學術單位及少數機構，絕大部份的政府機關的資訊共享及交換都建立在封閉系統之上。資訊安全人員多由退休的軍警或情治人員擔任。這些老兵大都曾經經歷過美蘇冷戰的洗禮。所擁有的近乎偏執的危機意識及實戰攻防經驗都大量地反映在他們所設計的資訊安全管理體系之中。這個制度將人、科技及程序緊密的結合在一起，凡是新進入此一資訊安全管理體系的元件，都必須經過層層檢驗。如新進的機器設備，未經規格檢驗、強化程序及弱點評估，不得輕易上線；新進人員的聘用，未經安全等級之調查、未簽署保密協定，就算人力需求迫在眉睫，亦不得進入實體作業環境接觸公司之內部資料。


運用技術　強化管理體系之弱點
這一體系發展的過程所產生較大的缺點，是對於實體安全控管與程序的重視程度遠大過於系統之邏輯安全。原因有二，一是因為發展初期的系統規劃者多非技術科班人員；二則如前所言，資訊之交換多於封閉系統內進行，對於安全技術所要求的層次並不高。故於今日網際網路的資訊交換方式盛行，開放式系統的應用逐漸成為企業選取資訊解決方案之主流初期，不可諱言地，這種體系也曾經歷過相當程度地衝擊與陣痛時期，但因原本架構之基礎落實，並未讓資訊科技主導新一代資訊安全管理體系的建置。也就是說，新資訊技術的運用成為只是原本資訊安全體系之延伸，而非是用來解決資訊安全議題之所有答案。


舉例來說，美國國家防衛署（National Guard Bureau）在全美各地的辦公室建置了數百個防火牆，但卻能有效地利用制度化的授權程序與VPN之技術運用達成集中式之管理。各地區辨公室的防火牆管理人員僅有作業上所需執行之權限，如須大幅調整防火牆規則時，必須先依據授權程序透過電子方式請求變更，再由管理中心經由VPN將新設定送出完成變更。一旦有新病毒擴散或有大規模的駭客攻擊行動，管理中心可將新的病毒定義檔及新規則同時迅速推送 (Roll Out)至各地區防火牆，建立起全面性的防禦機制，這樣的設計可避免因人為的疏漏，造成所謂的失誤點（Single Point of Failure）而讓整體安全防禦機制功虧一簣。


其實美國之資訊安全管理並非完全落實於各産業之中，上述因囿於個人所見，所言多侷限於美國政府機構。至於民間機構，根據Computerworld雜誌所做過的一份問卷調查，針對2600名美國各大公司的資訊從業人員發出問卷，發現竟有超過半數的公司，並未針對資訊安全管理體系與資訊安全技術的結合落實執行。美國政府在數年前體認這一現況的嚴重性，決意以公權力之規範將民間資訊安全體系納入國家安全架構下，以求資訊安全管理體系保護之完整性，並同時呼應美國社會對隱私權保護的重視。由針對醫療保險機構所制定的HIPPA 法案，以及針對金融機構所制定的金融服務法The Gramm-Leach-Bliley Act 即是一例。


運用技術　主導資訊安全管理的發展
國內資訊安全管理機制恰與國外相反，資訊技術之運用開始蓬勃發展時，也正是各項資訊安全產品、資訊安全技術大量發展與成熟之際，惟國內之資訊安全人員對於各項新產品與新技術之了解不足，同時對於資訊安全之認知亦停留於技術層面，往往對於資訊安全之管理層面未予以建立，或尚未落實執行，並將其視為無意義、浪費人力及時間之工作。筆者於多次執行資訊安全風險評估之經驗中，多次發現資料庫系統、應用系統預設帳號之密碼，並未於初次安裝後予以變更；系統權限雖做好控管，惟於網路芳鄰之分享目錄，處處可見未設定密碼之機密資料；業務之需求而無相關配套措施，導致防火牆安全漏洞大開。由此可見，國內企業內部人員對於資訊安全之認知與安全管理之程序，尚未落實於管理層面。


此一現象可歸因於國內的資訊安全管理發展，並沒有與美國相同的條件與歷史背景，惟許多公司卻大量使用已發展好的安全科技産品，如防火牆，加密産品，入侵偵測系統等，以為安裝這些安全産品即能發揮安全管理作用，而無任何其他配套的管理機制。事實上這是種最危險的思考方式，安裝了功能強大的防火牆，而未盡善良管理的責任，遠比未安裝任何防火牆還危險。而這些産品應只是整個資訊安全體系下眾多環節的一部份，而非資訊安全體系最後的産出成果。任何資訊安全産品的選購及資訊安全技術的應用，都應放置在資訊安全管理體系的架構下評估之，成本之浪擲事小，隱藏在其後的資訊安全危機及法律責任才是最大隱。




管理面與技術面同時考量
隨著國際資訊安全標準之引進、國家資訊安全標準之通過與行政院對於通資訊安全管理之規範，國人對於資訊安全管理層面之認知已逐漸成形，企業對於資訊安全管理之議題亦日漸重視，在逐步推行資訊安全管理體系之際，唯有在人員的教育認知及權責劃分、企業營運流程之作業需求，以及資訊科技之運作做好適當之管理機制，也才能在此環環相扣之中，達成安全控管之成本與企業經營績效之最佳化。並於資訊安全管理體系之架構內，發揮管理層面與技術層面之優點，並相互彌補其不足之處，顯現資訊安全管理體系建置後之綜效。