幫中小企業以有限預算做好資安

引用軟體開發的方法論
幾年前受訪者在英國為幾家小型的企業作資安服務，因中小企業礙於有限的預算，無法完善的做好資安工作，當時便引用以下方法為企業導入適合地安全機制，建立基本資安防護。

1.定義需求(Requirement Specification)：了解客戶的安全需求和原因。

2.分析(Analysis)：為需求做詳細分析和評估。

3.設計(Design)：分析之後為客戶設計適合的方案。

4.執行(Implementation)

5.測試和評估(Testing and Evaluation)：執行之後必須再重複測試與評估是否符合需求。

這個概念是從軟體開發工程(SDLC，Software Development Life Cycle)中發展出來的。SDLC(Software Development Life Cycle)的模式後來被更廣泛地應用到安全(Security Development Life Cycle)及資訊系統(Systems Development Life Cycle)的範圍。事實上，它的流程和觀念無論是在導入Software、Security或是Systems都是相同邏輯的。例如E-banking的建置，E-banking是屬軟體開發系統，而建立E-banking時安全是第一考量，可由這樣的概念了解。

“安管的SOP” (Standard Operation Procedure)
這個方法的好處，是它可運用在資安各個不同的層面和領域。舉例說，組織遭受病毒的侵略事件很頻繁，於是就產生病毒防制的需求，接著便需分析其發生的原因~是否企業的防毒軟體是違法的或是已過期，或是使用者的教育訓練不足，任意開啟不明的email而引發中毒，或是沒有固定的維護…等。此階段針對需求和原因做完分析後，然後針對各個原因去設計不同的控管的方式，像是更新軟體及購買合法軟體，或針對認知不足的使用者加強教育訓練，或是買軟體在server上阻擋病毒…等。執行之後重覆測試是否有所改善，假設沒有改善則必須再重複回到分析步驟的循環再次檢視。

以銀行安全規劃為例，可能在總行或分行都設有IT部門，也可能分行沒有IT部門，則發生問題時就由總行來支援。為使計劃在有限時間內，符合分行的使用者需求和稽核標準、有績效地將系統建立起來，總行可能以這樣的機制去協助分行解決。把安全的需求先定義出來，而這些需求的資訊來源則可以是顧問、外界的研究結果或是內部的資安需求等；定義了需求之後進入設計的階段，再將控管方式帶入設計裡討論、分析和評估，定義出問題後，針對重要事項的解決方法是可被使用者接受的話，就開始實施到計劃當中來測試這些安全需求。

國外的資安工作做的很嚴謹，由於大多台灣發生的資安事件在國外都已有較久的經驗，因此，國外己有很成熟的check list用來檢視可能犯下的疏忽，以防重蹈覆轍；然而人的疏忽是最難預防的，花旗網路銀行的資安事件就是一例。

建議中小企業在做安全的需求定義或分析時，可多從以前累積的經驗和國外的資安經驗，歸納進來檢視使用者的需求再去設計。

SDLC model是一個簡單的觀念和和思考模式，除了軟體開發、安全和資訊系統的應用外，可適用的範圍很廣。亦可應用到風險管理、客戶服務管理、硬體建置，乃至BS7799的導入…等，都可以此模式導入。 在BS7799裡其中一個規範~校正禦防措施，提到四個重點，『原因』、『分析』、『校正』、『禦防』，和SDLC的步驟亦很類似。事實上，這個方法可說是簡化BS7799的方法，將大標準切成小範圍，再依中小企業的環境需求導入。

結論
BS7799談到10個領域，包含了36項目標訂定及127項安全稽核，可做為企業安全管理系統評估的基準。然而有些部分對中小企業而言，依成本或實際需求考量是很難做到也是不適用的，像是BCP(Business Continuity Planning)或是人員安全的部分(此部份或許還可以做到保密安全，但是要二三十個人的中小型企業做到對每個員工身家調查，恐怕沒那功夫)。但台灣佔九成以上的中小企業而言，資安是其必然的考量和需求，如何在有限的預算下解決其資安問題，此方法提供一個很好的思考方向。