觀點

如何描繪理想SOC藍圖?

2003 / 10 / 27
如何描繪理想SOC藍圖?

文 / 邱詩琁

政府「國家資通安全會報」在經過第一階段(90、91年度)基本防護作業、稽核服務作業、資安事件通報作業等努力後,進入了第二階段(92、93年度),共列出了17項作業項目。其中一項為:建立資安監控中心SOC(Security Operation Center)預警及通告機制作業。20個重要作業系統被要求需於93年12月前完成監控中心SOC建置,92年4月前便需完成作業的細部規劃,並於會中報審查、列入管制。


再加上去年底行政院核定公布「行政院所屬各機關資訊業務委外服務作業參考原則」,除了顯示政府為了更精簡人力、經費,及提升資訊服務效率、加速電子化政府的決心外,也為民間資訊服務業者帶來了極大商機。參考原則中規範了資訊業務委外範疇,其中便提及適合委外之資訊業務有網路安全服務、客服中心、軟硬體驗證檢測服務等。


被優先要求需建置SOC中心的20個重要系統中,有的單位因考量保護機密資料而決定自行建置SOC;有些單位考慮藉由委外機制,交由民間有經驗之網路安全委外服務廠商提供服務,不論是自行建置還是考慮委外,首先要釐清的是,政府單位需求的SOC應具備哪些要件?如何描繪出理想的SOC藍圖?
SOC需具備哪些要件?
機房硬體設備


目前在國內有建置SOC機房,且有實際營運經驗的廠商皆表示,國際間並沒有對SOC中心做明確之規格要求和規範,重要的是必須發揮它應有的功能。國內最早投入並以SOC營運為業務核心的立駭科技,其協理曾文德便表示,SOC絕不是放幾台電腦24小時不關機、有人在監看就算數,重點是要能累積經驗,擁有包括弱點、攻擊資料等知識庫,才能發揮危機應變之功能。


在機房的硬體需求方面,雖無一定之規範,但根據多位資安業者表示,建置一個SOC並非易事。去年年底成立SOC中心,並和國外著名資訊安全廠商ISS合作的鈺松國際,其資訊安全顧問處協理李志?提到,在國外有些安全監控中心的建置耗費近20億台幣。台灣由於需求量較小,很難達到此規模。不過更大的花費在於後續要提供24 x 7服務不中斷的營運維護成本。根據鈺松的評估資料,委外和自行建置的成本會相差三百多萬台幣,第二年委外同樣可節省三百多萬元的花費,主要花費在後續的維運管理上面。


李志?同時提到,包括專業的軟硬體和彈性的網路架構都是必備的。而良好的監控中心須考慮地勢高低、大樓電力、通信狀況等,才能避免天然及人為災害。立駭科技副總經理王海龍則強調,需具備異地備援的能力,並且擁有自己的IP,才不會隨ISP而使服務中斷,另外不斷電系統、發電機備援都是必備的。


人員技術維護


提供監控、管理服務的資安人員更是SOC的關鍵所在,除了要熟悉產品設備、發現可疑之入侵行為外,還需在緊急事件發生時,做即時的判斷、處理。成立SOC中心是為了提供產品客戶監看、代管服務的精誠資訊,便將服務人員分為一、二線人員,精誠網路軟體技術處處長黃政杰表示,精誠的第一線人員主要負責監看、管理,第二線人員需持有CISSP證照,能夠做判斷、處理,類似顧問的角色。


立駭王海龍則認為,人員最重要的是經驗,並且具有整合不同廠牌資訊安全設備的能力。廠商必需能提供顧問諮詢服務、教育訓練課程,並設立專門網站即時發佈最新訊息。CISSP雖可做為評估參考,但未必是經驗的保證。如何評估廠商所提供的團隊夠專業?鈺松李志?認為,專業人員應佔公司人員一定之比例,且公司應提供不斷地專業訓練才能確保人力的品質。若廠商的監控人員異動過於頻繁,客戶的資料將有洩漏之虞,使用者需持續留意。


雖無國際認定標準,李志?強調SOC豈碼要具備以下六大機制:安全防禦機制、中央監控、緊急事件應變機制、自動化分散風險機制、安全禦險機制、監控中心管理機制。




如何選擇、評估委外服務廠商?
合作前之選擇要項


除了選擇有SOC機房且有實際營運經驗之廠商外,但要如何放心地將資訊業務委由廠商代管?「行政院所屬各機關資訊業務委外服務作業參考原則」中雖提到,政府資訊業務委外應從開立硬體規格轉為設定服務水準。但服務難以量化和評斷,要如何在標案選擇中找到可信賴的夥伴?立駭王海龍認為,必需先評估廠商的專業性,以及廠商自身的安全性,比如說是否通過BS7799驗證或遵循其管理規範,技術能力是次於這兩者的考量。


服務通常是在比口碑,「包括廠商的專業能力、服務年資、財務狀況、委管客戶的規模及數量,及商譽和名聲,都可最為參考的依據。」李志峰提到。


王海龍並表示,委外服務廠商至少要能提供以下服務:即時線上保全委外服務、入侵測試服務、安全檢查服務、安全監控、安全診斷、安全系統整合。並能提供防火牆、入侵偵測系統(IDS)產品建置、服務;且能針對客戶需求,協助建置SOC。勤業眾信會計事務所企業風險服務組經理吳佳翰則認為,廠商除了需具備SOC中心外,還要能提供六項細部服務:網頁監控機制、入侵偵測機制、系統安全弱點掃描與分析、風險評估與分析、資訊資產管理、事件因應處理。


雖扮演委外代管的角色,李志?認為,具備相關專利技術及新技術的研究開能力仍然非常重要,如此才能因應詭譎多變的網路安全環境。且廠商要定期提供執行過程的相關記錄及文件,以供客戶評估其委外的投資報酬率。並擬定涵蓋完整服務內容及處理流程的服務層級協議書(Service Level Agreements)。


協助政府單位評估、擬定相關委外建議說明書的勤業眾信顧問吳佳翰則建議,廠商要提供專職輪職人員名單,其專業諮詢小組應24小時接受諮詢,並成立一資安通報網站,主動將最新訊息透過網站通告。且必需有能力定期提供整理過且中文化,附有說明的入侵事件報表分析。


合作後之評量要點


標案結束、建置完成後,進入維運階段,若遇到緊急事件,便考驗著委外廠商應變處理之能力,立駭王海龍認為,任何安全事件發生時,廠商應立即偵測事故,並應於十分鐘內通知客戶。且立即開始進行防堵入侵,並提供技術支援直到事故修復工作完成為止。同時,廠商應隨時製作並保存偵測及監控之書面記錄。鈺松李志?提到,針對資安事件廠商應具備動態回應之能力,包括緊急事件處理能力、完整周詳的事件回應計畫、緊急事件回應時間、事件後續處理時間,和包含事件分析、建議諮詢的回應結果報告。


若損害已經造成,責任之追究歸屬,王海龍提到了安全最後一道防線:保險機制。廠商得投保損害額度之保險。但首要的需先將責任範圍劃分清楚。李志?則認為,資安服務的保險仍處於起步階段,因資訊資產的價值有時難以鑑價評量,即使廠商在合約中有提出賠償金額,使用者仍要仔細評估廠商的財務能力。吳佳翰提到,應訂定罰則、罰款細項,並設定廠商罰款若累計到多少金額時,客戶得逕行終止合約,以規範廠商的後續服務。



結論
針對政府單位委外需求,吳佳翰表示,廠商應有能力協助政府單位執行「行政院國家資通安全會報」或上級交付之工作任務。並且在資安通報網站上,也應納入行政院國家資通安全會報不定期掃測之結果。


從政府資訊業務委外的精神中,便可看出政府單位已從早年買產品觀念,進入到購買資訊服務。王海龍便提到,有些使用者買了防火牆產品後,未必知道該如何建置架構。廠商應有能力協助客戶從資訊資產的評估、政策的擬定開始,再到規畫建置、後續維運,提出整套的解決方案。他強調:應是先去評估要如何做,再來談要達到此目標,需要哪些產品輔助,產品甚至可以採用租賃的方式。而不是買完防火牆、買IDS、再來買IPS,陷入無止盡的產品採購迷思中。


黃政杰表示,政府的分級制度和委外原則,立意甚佳,但該如何做的相關配套應同時擬定清楚。王海龍則提到,政府單位積極要建立SOC,何不先把其定義釐清,並訂立規範、標準,且規範委外服務廠商的資格,並設有一公正的仲裁機構做評選。


而政府單位在標案前的徵求服務建議說明書中,針對雙方的責任歸屬、智慧財產權歸屬、違約時的罰則訂定清楚,並附在簽訂的合約後,做為往後之參考依據。而參與標案廠商,除了計畫書外,專案小組成員之資料、產品設備佈署圖、規則清冊、教育訓練課程計劃書等都需齊備。吳佳翰並建議,在完成和得標廠商議價簽約前,應派人員實地戡查SOC機房環境及管制方式,符合需求者,才得以簽約。


李志峰表示,推動網路安全、委外服務,就向實體的保全觀念一樣,可以朝著網路保全概念發展,較容易被瞭解、接受。政府單位在精簡人力原則下,積極尋求委外服務廠商,但仍應保有具經驗且瞭解產品技術的主事者,負責監督廠商和擔任溝通之橋樑,畢竟發生任何緊急事件,要做最後處理決定並擔下責任的,仍是主其事的使用者。