文╱何珮琪
當企業沒有能力或不想執行某些業務的時候,付錢請外界公司幫你執行或管理,這就是委外。也就是鼓勵企業將非核心、非專長的業務委由其他專業機構處理。這種做法不但可以降低風險,還能夠專心於本業,是相當成功的管理模式。尤其是資訊科技企業的全盤或局部委外,早已行之有年,如常被舉例的思科(Cisco),將生產、運輸、配銷委外,專心於品牌管理和網路設備的設計。而個人電腦的霸主戴爾(Dell),也將設計、製造、備料、甚至全球運籌等工作都交由海外廠商(例如台灣),自己只專責品牌行銷和訂單。
資安委外,時勢所趨
對企業而言,資訊或其他業務委外的好處已經被肯定,例如企業可以專注於本業;委由服務提供者可以得到最新的資訊和更專業的技術服務;得到全年無休的服務和受保證的服務品質;企業在可以降低總體擁有成本(TCO),如果自行建置則人力和設備和維運等會是固定成本,若是委外,則可以適時增減預算和服務需求,資金便可以靈活調度等等。對高科技大企業、金融業這類風險性偏高,組織龐大的公司來說,將資安工自己執行(in-house)可能比較符合經濟效益,但是對中型或小型企業來說,將這類需要7x24小時人力監控的工作委外就是非常合理的做法,一來可以省卻大筆的軟硬體基礎建置,二來可以省除人力及管控需要的高技術性教育訓練等等費用。
因此,資訊的委外已經是大勢所趨,根據IDC報告,在美國,資訊委外市場正逐年以10到12的百分比成長,到了2007年,美國企業的資訊服務市場中委外的比重將從2003年的5%提升到23%。
資訊委外不等於資安委外
一般資訊營運的委外服務項目主要包含:1. 資訊系統委外建置管理服務(IS outsourcing),2. 主機代管(Hosting Service),3. 網路代管委外(Network Management),4. 伺服器管理委外(Server Management),5. 應用程式的管理委外(application management)等服務。
其中,每一種服務都包含有安全層面的考量;如機房代管時的人員進出、身分確認等就屬於實體安全考量,而網路架構上的負載平衡和可用性,以及防火牆、病毒偵測等的系統設計也是資安的一環。但要釐清的是,資訊委外不全等於資安委外,兩者是有交集但並非重疊的關係。
可以說,和資訊安全相關的規劃、建置、管理等層面,就屬於資安委外的範疇,如資安建置的顧問服務、防火牆管控、防毒顧問服務、弱點掃描、入侵偵測、滲透測試、資安政策制定、SOC、以及資安教育訓練等等都是資安委外的服務。簡言之,資安委外的重點在於安全管理(Managed Security Service, MSS)。根據Gartner提出的委外建議(2003),安全管理包括以下內容:
1. 安全基礎建置元素的監控:防火牆管控分析、入侵偵測管理分析、病毒防護管理、企業營運計畫(BCP)、弱點評估、滲透測試、遠端監控、人力委派、虛擬私有網路(VPN)以及公開金鑰PKI的基礎建制等項目。
2. 安全基礎建置的持續微調(configuration)。
3. 安全漏洞的防護及修補以及意外復原。
企業將資安設備購置或租賃下來後,可以委由MSSP(Managed Security Service Provider)來以遠端控管方式監控,但器材可以建置在企業的用戶端,定期由專業技術人員到現場維護,或者不定期檢修和調整。
而在台灣和歐洲流行的資安標準ISO 17799認證,是國內資安委外服務中很重要的一環,並未包含在一般安全管理服務的範圍內。勤業眾信會計師事務所顧問萬幼筠表示,就他看到的國內委外情形,「大部分僅是資訊系統委外,裡面有安全考量,其次是資訊安全作業的委外。」因此國內的資安委外範圍內容更廣泛。
資安應尋求長期夥伴
資安的委外因為牽涉到更上層的安全政策和管理,因此在機密的防護、風險都相當高,通常不容易委外。「信任」,是資安委外的重要條件。在資安的三個基本目標:
Confidentiality(機密性),完整性(Integrity),有效性(Availability)中,資安委外的機密性是最重要的。資安委外更要注重委託的安全服務提供者MSSP的可信度。在國外的委外情形是將業務完全交由業者打理,但是國內因為對業者的信任度不夠,需求面還是停在部分委外或人力委派的方式。
一般資訊委外的案件可以用案件計,但是在資安的廠商或服務提供的業者,都最好能成為長期的合作夥伴(Long Term Partnership),提供一個穩定可靠的服務。
因為資安涉及的信任難以建立,資安不只是風險管理,更涉及到管理流程,管理流程要落實,必須生根成為企業文化的一環。因此一個能夠長期配合的委外業者,能夠更閑熟企業營運和文化,甚至還可以進一步提供建議,為企業主動評估投資獲利與風險,進而參與企業決策,承擔企業部分盈虧。
企業資安委外項目,仍重管理
在全球資訊科技的市場趨勢中,軟體與資訊服務產業,是未來的兩大明星產業,每年年成長率都在8%以上。而在資訊服務市場中,委外服務是未來三年最具成長空間的項目,特別是委外服務的全球分工模式,將會有爆發性的成長。
一般的MSSP合約中都包含安全的監控和分析,最常見的是防火牆和入侵偵測系統的微調和管理。至於入侵防護、弱點修補和意外復原,則需要企業內部資訊安全人員的參與,以及相關資訊部門的協助,因為這些部分也牽涉到企業內部的能力、人力和預算。
根據資策會的報告(《資訊安全市場發展現況與趨勢》, 2003),2003年的國內資安產品與服務市場規模已達到70億元,並且需求由原先單純的產品轉向產品與服務並重。國內委外市場每年呈35%的年複合成長率,需求主要來自政府端,但是委外MSSP的素質、規劃和人員經驗因為需要長期的養成,還不足以供給需求。
大型企業的安全監控中心SOC建置的商機是委外業者競逐的目標,SOC的委外方式,通常是透過技術轉移來協助客戶建立SOC,並在完成後由客戶自行管理。這部分主要是以幾家大型系統整合業者為主,或主導或提供技術支援,還包含現場(on-site)的系統掃描、管理層面的安全諮詢等等。這些SI業者也兼有代理部分資安產品,如新光組合(CA)、精誠(Check Point)、立駭(N-Patrol, Check Point, NetScreen/ISS, Dragon IDS)、鈺松(Check Point, Cisco, NetScreen/ISS)、諮安(Symantec)、敦陽(Check Point, Site Gate, ISS, Veritas)等等。
另外在顧問服務業這邊,除了仍舊以四大會計師事務所勤業眾信(Deloitte)、資誠(PwC)、安侯健業(KPMG)、致遠安永(Ernst & Young)為首,許多大型的系統整合業者(SI)都挾其雄厚的技術能力、人力和國際資源積極介入這塊市場,如IBM、HP、EDS、Unisys等跨國公司都成立了服務事業群,在國外也有很豐富的承接委外經驗。如IBM的IGS(IBM Global Service),就包含三大部門:企業諮詢服務(BCS: Business Consulting Services),資訊技術服務(ITS:Information Technology Services),以及策略委外(Strategic Outsourcing),ITS之下又設了ISMS和安全和系統整合部門(SSMS)。HP的HPS服務事業群包含系統整合、客戶支援及委外服務等三大業務。其中委外的業務包含遊程管理、資料中心以及主機代管等業務。另外,產品業者及代理商也能提供相關諮詢服務。顧問的角色,主要是以內部稽核和流程的角度出發,為企業提供資訊安全政策建議、弱點評估、滲透測試、人力委派等等服務,基本上也以大型企業或政府為主要訴求目標。
另外,因為電子簽章法的正式施行,帶動PKI應用市場,因此也促進PKI相關基礎建置委外服務市場的成長。政府和金融業是主要的如加解密系統、數位簽章系統、等,也都是委外的重點。
資安委外需求項目分析
根據資策會MIC的委外調查報告(2003,六月)顯示,國內一千大企業中(大部分是中小型企業),只有三成(33%)願意將資訊安全委外,而其資安委外比例最高的前幾項服務分別是:一、入侵偵測系統監控與管理(53.00%),二、資安政策制定(40%),三、弱點評估(40%),四、滲透測試(39%)以及防火牆的監控與管控(39%)。隨著行業別不同,各項需求間又有程度上的不同。
從一千大、製造業、服務業、金融業、一百大企業之間,我們歸整了六項主要的資安委外需求項目,依行業別表示如:IDS監控管理、資安政策制定防火牆監控管理、滲透測試、弱點評估及資安教育訓練等。此外的項目還有資安報表分析、遠端監控與安全警訊通報、虛擬私人網路(VPN)、資訊系統稽核、防毒軟體、安全事件回應調查與蒐證、公開金鑰基礎架構(PKI)、修補管理、網頁監控與即時復原、人力委派、網址過濾等等(以上項目依重要度排序),這些都是普遍常見的資安委外內容。
由資料可以看到,技術面的資安服務還是企業不分行業別普遍最需求的項目,像是入侵偵測系統的監控管理、防火牆的監管等等,因為企業缺乏這方面的管理能力,此外,它也需要警報的判讀能力、調校技術和經驗,以及7×24長時間的監看,對企業而言,人力、技術上的支出,都不如委外來得經濟。
IDS & 防火牆的監控管理
IDS的調整(configuration)是非常技術性的工作,需要專門人才。業者都會提供事件log報表,但光看厚厚的報表並不能分析出可能的攻擊行為類型。敦陽科技資訊安全事業處的葉肩宇協理表示,要將大量的事件通報(events)過濾出真正的事端(accidents),需要進行相互關聯事件(correlation)間的交叉比對,設條件分析,無法套用一定格式,必須經過微調。葉協理表示,這其中包含人的know-how、技術的know-how,A.I.的方式,甚至經驗和設定技術等等。需要技術專家與各項工具並結合實務經驗才能執行。因此,這部分業務的委外可以大幅降低企業自行訓練人員的負擔。
勤業眾信顧問萬幼筠表示,國外的委外是全盤委外,國內只是「託管」。國內委外比例最高的入侵偵測控管,是因為企業最大的問題在不會管理、不會判讀,就像買了一套愛國者飛彈而不會操縱,一旦警報出現就緊張。」調整IDS是高難度的技術,國外的管理方式是請專家為企業分析網路流量一個月,分析網路可能行為,才制定調整防火牆政策。萬幼筠提出,國內的防火牆建置量平均數相當高,但其監控管理的委外,其實是很少見的,尤其是金融業。「防火牆和IDS這兩項的委外,建置和維運都會是心頭之患。」因為防火牆的判讀非常困難,平均正確性98%已經很高了,目前國內的判讀只能做到避免假警報(false alarm, false negative),而更先進的入侵防護(IPS),還需要更多的客製化調整。防火牆和入侵偵測/入侵防護系統要委外,應考慮業者的設備是否合格、人員的安全相關證照、無犯罪紀錄、是否有7×24的三班制人員,雖有需求,各方面能達到水準的服務提供者卻並不多見。
弱點掃描與滲透測試
弱點掃描或弱點稽核,是系統整合業者的主要服務,主要是利用專業的掃描工具(scan tool)對企業的主機或網路安全進行掃描,找出主機、系統、網路服務的相關訊息和弱點。勤業萬幼筠顧問強調,資安建置應該有步驟進行,企業應該先有資安政策、控管測試、風險分析等,先作弱點掃描的體檢,進行過資訊安全系統的強化之後,才有作滲透測試的必要,因為滲透測試就是無所不用其極的攻陷企業的電腦系統,逕行測試必然會侵入成功,沒有太大意義。
弱點評估有如設定安全底限,之後再提出整體的安全評估以及強化的建議。而滲透測試是模擬駭客的思維和技術,從遠端侵入企業網路系統取得存取權限或機密。滲透測試能夠更深入地提高企業的網路強度,杜絕可能的入侵途徑。敦陽科技葉肩宇協理也指出,目前國內滲透測試真正能作到很精準的業者非常少,企業若有心執行,應該慎選業者。另外他也建議企業採用ERS(Emergency Response Service)服務,對單一或多部主機進行測試,可以在最短的時間內將這些威脅加以排除或封鎖圍堵,讓企業營運在最短的時間內復原,將資安風險所觸發的損失降至最低。
人力派遣與資安政策
人力的委外和資安政策的建議這部分,就是顧問服務業者的專長,如導入資安標準ISO 17799的輔導和後續的維護,都屬於人力委外的項目。其中資安管理系統(ISMS)的認證與顧問諮詢服務,是專業服務市場的主要推動力,也是企業和政府單位在資安服務部分的主要委外項目。普華資安(PwC)副總吳素環表示,顧問公司對人力的外派服務會較遲疑,因為風險較高。人員外派時的業務執行能力,公司也無法監控。
制定資安政策的需求很高,是因為很多風險都是出在政策不明產生的疏失,而並非產品的漏洞或人員的技術缺陷。在企業中可以配合各個安全需求不同的層級設定不同的安全政策,也可以依據風險評估的結果設定適合全公司的資安政策,如允許在公司電腦作一定程度的私人用途(收發郵件、瀏覽網頁)等,而過濾不當的使用方式。
教育訓練
教育訓練是企業委外中一個比例很高的項目,幾乎每個企業都有資訊相關建置和管理人員,如果企業自行建置防火牆等裝置,為了讓這套昂貴的裝備充分發揮作用,必須讓管理人員接受技術性課程訓練,如防毒、網管等等。委外能夠省掉這筆訓練經費,但是其他給非技術人員的資安相關的課程也有必要,如BS7799的風險評估管理、企業持續計劃(Business continuity Plan),資安管理ISMS給經理人或員工的課程,包括為導入BS7799的稽核員(Auditor)資格等課程等在政府端及企業界都有很大需求。
需求劇增,但牛肉在哪裡?
資訊系統委外雖是時代的趨勢,由於企業的疑慮較高,目前國內的資安委外市場多集中在政府端,尤其以SOC為主。企業先要有資訊的基礎建置,才會產生資安委外的需求。
許多政府單位的資訊人員均反應,目前市場的供需面都不成熟,無論是政府端或企業端的資訊建置情況看來,資訊的層級還落差很大,尤其在政府端,因為法令的缺失,資訊部門往往權限不高,預算偏低,因此,更依賴資安的委外,尤其需求一套整體的解決方案(total solution),而不只是一些軟硬體的產品或顧問的諮詢建議。
就這問題,敦陽科技葉肩宇協理表示,其實並沒有一種適用所有企業的整體解決方案,正常的建議應該是先由客戶訪談中瞭解其實際需求,再針對問題導入相關解決方案。目前的困難在於,資安廠商能夠針對此點進行「技術對答與建議」的人才較少,因此不能滿足需求,但是隨著技術提昇,業者也在積極加強結合這兩方面的能力。
凌群科技的朱保全顧問也表示,資安構面可大致區分為技術面及管理面,兩者需要相輔相成。通常SI有強大的技術卻少有顧問能力,四大會計師事務所有顧問能力卻少有技術整合實力,因此對客戶而言,若能夠找到兼顧技術與管理經驗的顧問,如系統整合業者除了產品之外,還能夠輔以顧問建議,充分做到管理與技術相結合的話,就更理想了。
但治本的方法還是應從政策面著手,在政府端儘速提出資訊政策白皮書,並成立資訊部來統籌全國資訊建置,編列固定預算,真正的資訊安全才能落實。
