觀點

Seednet志在安全體質 拿BS7799認證是個美麗的插曲

2004 / 11 / 01
徐國祥
Seednet志在安全體質 拿BS7799認證是個美麗的插曲

Seednet 原本就注重資安環節
基於本身服務的重要性,以及層出不窮資安事件,Seednet很早就已成立網安部門,專職監督相關資訊安全,資安既然如此重要,決不可能只針對企業體某部分做資安,資訊總部資訊長莊仕誠表示:「在公司內部系統方面,考量到系統會持續記憶帳號、密碼的這項安全漏洞,Seednet已由公司內部程式人員設計一套系統,在不執行系統一段時間後就會自動關閉,等到要作業時必須再次登錄;其次對於密碼的規範,要求員工不准將密碼貼在電腦或其他看得到的地方,且嚴格規定密碼不能使用生日或身分證等容易取得的數字,必須使用特殊字元;另外,也必須定期更新微軟系統的漏洞、架設防毒軟體…。」

這類做法並不只是書面聲名,而是玩真的,因為Seednet會非常要求內部員工認真看待一切的安全規定,除了會定期追蹤系統漏洞的更新狀況,且公司內部會以每組5人抽1人的查驗方式做為網路使用的規範,當然在考量員工使用系統可能必須記上好幾組帳號、密碼,又得使用特殊字元的因素,這必定對員工造成困擾,所以Seednet內部會舉辦教導密碼命名方法的教育訓練,以減低員工們反彈。

而一般高階主管通常會將密碼交付祕書,或由祕書代為收信的做法,Seednet都視為資安的一大問題,因此會嚴格禁止高階主管做出這類的舉動,縱使高階主管出錯也會要求改善。 對於硬體層面,Seednet本身也採取許多安全措施,如為了保障機房電力不中斷,每個環節都有備援系統,且提供雙路由的供電設計;也為了保持機房20~22度的溫度,採用水冷、氣冷兩套空調系統互為備援,加上具有獨特的機架散熱設計,可迅速將機器產生的高熱排出,能維持機房設備穩定運作;此外,每個機架都會有兩副鑰匙,客戶進出也都需由公司專人陪同和打開機架設備,所以客戶委託管理的設備都有周全的保護;當然相關防火牆也是防護安全的重點。但莊仕誠強調:「大家都說自身的公司很重視安全,如果沒有一種具體的認證標準,那就沒有依循的準則,Seednet導入BS7799就是要保障客戶的權利,也讓客戶更明瞭Seednet注重資訊安全的立場。」又說:「由於Seednet自身就非常注重資安,因此將IDC機房導入BS7799的過程可說非常順利,取得BS7799認證也只是一個美麗的插曲(順便拿一個認證)。」

以身作則 導入安全認證機制
網路已成為企業發展的重要命脈,它不僅增加了企業的生產力,也帶動人們生活的樂趣,但網路也常遭受駭客、病毒入侵破壞,資訊安全危機也自此而生。但據資料顯示,國內上百萬家企業中僅有不到26家通過BS7799認證的標準,可看出通過BS7799認證實屬不易,也是對企業資安工作的肯定。事業開發部資深副總經理傅志忠指出,對身為ISP業者的Seednet而言,支援資安工作自有其責任,以身作則的導入BS7799認證機制,這不但保障了Seednet的服務品質,也強化內部人員資安的觀念,更帶給社會更安全的應用環境。

至於企業體發生資安問題,大多數都是「人為因素」造成的,不僅突顯資安管理不被重視,造成客戶對企業管理的不信任,無形間也將嚴重傷害到企業體的未來經營。所以Seednet導入BS7799認證不但IDC機房作業人員必須遵守安全條款,就連公司其他人員也要嚴加執行,傅志忠舉了一個實際的例子:「如果居家附近有一些化學工廠,對居民而言一定會產生許多疑慮,但假設這些化學工廠都取得相關ISO1400的環保認證,相信居民將更為安心…。」因此Seednet將IDC機房導入BS7799認證就是為了提高資安品質,而每半年就得再接受一次BS7799稽核、每三年要重新認證,這也是對資安服務的最佳安全證明。

內部充分溝通 是成功的核心
莊仕誠強調,導入BS7799認證的過程中,因為Seednet當時對於軟、硬體的規範早就有了,所以這些都不是最大難處,真正關鍵的問題在於Seednet內部擁有眾多設備、複雜的系統、作業流程等,如何整合內部意見,共同想出一個簡單的方法把眾多的安全作業程序統一,並與日常作業環環相扣,則是推動BS7799認證最主要的重點。

傅志忠也表示:「Seednet要的是實質且合乎需求的安全架構,要將安全程序與既有公司文化結合其實是很難的,所以花了許多時間在凝聚公司內部共識上,幸運的是,Seednet的IDC機房在導入BS7799認證的過程完全是水道渠成的。」又說:「現在凡事都強調自動化流程的優點,然而太過於自動化並不是最好的,某些層面的安全仍需以“人”來做安全把關,因此格外強調人員的訓練,所以在將IDC機房導入BS7799認證的過程中,Seednet前半年都將重點放在整合溝通與訓練人員方面,而後半年才正式開始進行證認的取得。」

由於導入BS7799前能事先將Seednet公司內部既有的問題加以整合討論,所以在IDC機房導入BS7799認證的過程中發現的缺失可說是少之又少,唯一要補齊的只有BSI所規範的文件格式而已。

但基於每家公司自身的體質與經營模式都不大相同,自然在推動BS7799認證的考量點也會有所不同,傅志忠建議:「對於有意導入BS7799認證的企業體而言,最重要的是,必須透過公司內部整體審慎評估,找出最適合的方式來導入BS7799認證。」如此必能有效、且節省成本的取得認證,也才有助於公司整體形象的提升,為公司帶來最大的利益空間。

推動認證必須循序漸進
既然導入BS7799認證如此重要,為何Seednet不將BS7799導入全公司? 傅志忠指出,這是階段性評估的因素,理由是資安工作原本就極為嚴謹,小至傳真機傳送資料或丟棄的文件資料,大到防止駭客與病毒入侵的抵禦系統都必須加以考量,更何況導入全公司的工程可說非常複雜,貿然執行將導致極高的失敗機率。 傅志忠重申:「由於Seednet內部系統太大、作業流程複雜、且客戶種類太多等因素,Seednet現階段只做IDC機房的BS7799認證,主要考量點就是這部分與客戶息息相關,目前會持續觀察IDC機房運作的情況,藉由1~2年的評估來累積相關問題,之後再將BS7799認證導入全公司。」Seednet不會以現階段導入IDC機房的BS7799認證就自滿,但也不會為了要取得認證而去認證。

後記
資訊安全的重要性人人都懂,許多公司也都說:「資訊安全人人有責,更明文規定資安的細項條文…。」雖然如此,繁瑣的安全規定卻常令人不知所措,而淪為一種表面的口頭形式,莊仕誠認為:「So What?...這就沒有任何意義可言,資安不能只是說說而已,必須確實執行相關安全工作。」因為真正「資訊安全」概念的要點除了最後結果需被重視,如何持續導向改善自身安全機制的過程也是十分重要的。