觀點

國外金融不出事的關鍵~專職分工的資訊部門(下)

2004 / 08 / 18
口述 許偉健/整理 卓長熹
國外金融不出事的關鍵~專職分工的資訊部門(下)

網路支援Network Support
網路資源的重要目標是在提供內部與外部網路服務的可獲得性。任務包含支援區域網路與廣域網路、伺服器維護與支援、網際網路與內部網路的維護與支援、網路銀行的維護與支援、對於中央銀行及證交所的連線、跨行連線支援以及網路安全等項目。

資料庫支援Database Support
大銀行內會有很多的資料庫,(如Oracle、Sybase…等),提供對資料庫機密性與完整性的保護管理是此小組的主要目的。任務包含控制管理者的密碼、監督系統的存取、監督與審查資料庫的改變、資料庫的維護、安全元件的更新或是敏感資料的處理等,編制大約1~3人。 國內的資料庫管理亦有幾家銀行有針對Database的部分設有專門小組管理,但是真正的作業必須著重在哪個面向卻不是很清楚,例如︰其認知只是Database可以上線、Database的可用性、保密性等可用性的部分,但並沒做到Database管理維護的部分,如定義機密資料、刪除已過期帳號、或是監控關於Database被不當使用時該向誰報告…等重要作業。 另外,不同的資料原則上需要一個owner,但是我觀察到國內目前的情況是,都有定義機密資料層級的困難;原因在於,應該由使用者和業務單位定義機密等級,而使用者和業務對機密及安全的認知及要求有落差。國外的觀念是每個環節都有專人執掌,如果每個環節的資安都保護好了,那麼整個資安就會做的不錯。

應用軟體支援 Desktop Support
這部分國內的組織亦是完備的。應用軟體支援的目地是提供對使用者第一或第二線的支援以確定系統的可獲得性。此小組的編制約10~12人,其中如防毒軟體支援就有1~2人管理,或是帳號被鎖如何處理、資安宣導…等各有負責人,確保任何支援用戶的可用性。

資訊安全/存取控制支援Information Security / Access Control Support
此小組是要確認資訊科技資產被保護,且其風險被減到最小,以達到資訊確認的目的。任務包括制定政策、確定使用者遵守政策、監督使用者對網際網路的存取、監督使用者電子郵件的使用、建立一個過濾不合適網站的清單,並且保持更新、向管理者報告濫用情形…等。

・網路使用與電子郵件的監控
此小組的其中兩個最重要的任務是訂立政策和確保user遵循政策,這就像警察的監督和宣導工作一樣。在網路的使用上,舉例說,工作人員在上班期間花了多少時間上網,以致公司有多少損失…等會有很多相關的報告。或是員工違反公司政策“電腦非法使用”,如上色情、種族歧視、納粹 …之類的網站,公司都有監控的機制,以避免惹上官司。同時也因為監控措施,當違反規定者被訴諸法律制裁時,公司有證明依據得以自保,在法律前至少表達善盡防範的責任。
在網路的存取管理上,公司亦嚴格規定內部使用者不得使用hotmail和yahoo,他們認為像hotmail和yahoo的存取含有不安全軟體,即使hotmail和yahoo有防毒聲明,但不表示存取時可保證安全。另外,監控電子郵件的使用,則在確保內部工作人員無法將公司資料寄出,以及過濾控管某些可能含病毒的email進出。
這些政策條款會明示可能帶來的危險程度及懲處程度。如果使用者沒有遵循政策,則資安小組會向管理者及人事部報告並給予警示或懲處,容易確保執行成效。相對的,國內因為沒有明確的政策和懲處,常常無法有效管制。甚至犯了錯的人員也許被革職後,換了新公司仍會犯同樣的錯。在國外,如果員工觸犯這些法條,CIO / CEO 需要負相關責任的。
・離職與新進員工的帳號管理
當一個新人報到時,牽涉的部分不只是清理舊帳戶和給新人一個新帳號而已;還包含了allocate server的位置、email 帳號以及internet帳號等。國內一般會忽略的部分是,當此user離職時,必須將他的資料backup 以防日後有爭議時備查。
資安小組的職責視不同階段,有不同的施力重心。當處於建立資安政策階段,應著重於宣導而非警察任務。相反的,政策導入一段時日後,則又著重於警察任務。
・安全測試
關於安全測試的部分,資安小組會做一些滲透測試、掃描測試、測試新的技術等。資安小組會在user使用前做反覆測試、撰寫注意事項及程序書。又如微軟的XP剛出來時,雖然表明有安裝個人防火牆,但是此個人防火牆的用途是否足夠?公司是否需再加強一道防火牆?因為XP有個使用者管理功能,但是如果使用者未關閉此功能,駭客就可直接進入你的畫面做竊取。資安小組必須做好這個機制的安全測試。
・國內資安工作的基本問題
國內在這方面的缺口,仍舊是導源於以IT的角度來做分工,以致忽略了每個環節基本監理工作的重要性,或者是小組的階層太低以致無法推動。舉例來說,要架設一套系統,委託的原廠說這樣設定是安全的就認為安全,是否經過資安小組真正稽核過?
進行任何專案時,能有資安小組的參與,則會做相關安全的考量,不至讓已知錯誤一再地重蹈覆轍。舉例說,台灣的網路銀行,都會要user輸入一個密碼或帳號,假設密碼共需六碼則我們就會輸入六碼;國外的銀行可能會以隨機方式,在第一次請你輸入其中的第3和第5碼,第二次則請你輸入第2和第4碼,第三次可能是第1、2、3碼,也就是不會要你每次整組輸入,如此竊聽者就永遠無法查到你的全部密碼。因此資安小組的其中一個能力,是必須有高敏感度,隨時學習以加強各個細節的專業度和新挑戰。

總結
總而言之,小元件的安全做好,那麼整個系統的安全就會好,我舉一個『Divide and Conquer』的戰爭策略觀念,假設敵人有100萬的軍隊,但我只有50萬的兵力,我的策略就是把對方的兵力分解一半後再一半,然後再慢慢瓦解對方軍隊;處理資安問題亦是同樣做法,將大問題不斷地分解成小問題,就會處理的更好。

・許偉健先生現為資誠價值及風險管理服務部協理(曾任職於英國Schroders Investment Bank, Security Analyst / Cazenove Investment Bank, Access Control Manager / Bank of Scotland, Security Consultant)