https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

幫中小企業以有限預算做好資安

2004 / 11 / 15
許偉健 整理/卓長熹
幫中小企業以有限預算做好資安

引用軟體開發的方法論
幾年前受訪者在英國為幾家小型的企業作資安服務,因中小企業礙於有限的預算,無法完善的做好資安工作,當時便引用以下方法為企業導入適合地安全機制,建立基本資安防護。

1.定義需求(Requirement Specification):了解客戶的安全需求和原因。

2.分析(Analysis):為需求做詳細分析和評估。

3.設計(Design):分析之後為客戶設計適合的方案。

4.執行(Implementation)

5.測試和評估(Testing and Evaluation):執行之後必須再重複測試與評估是否符合需求。

這個概念是從軟體開發工程(SDLC,Software Development Life Cycle)中發展出來的。SDLC(Software Development Life Cycle)的模式後來被更廣泛地應用到安全(Security Development Life Cycle)及資訊系統(Systems Development Life Cycle)的範圍。事實上,它的流程和觀念無論是在導入Software、Security或是Systems都是相同邏輯的。例如E-banking的建置,E-banking是屬軟體開發系統,而建立E-banking時安全是第一考量,可由這樣的概念了解。

“安管的SOP” (Standard Operation Procedure)
這個方法的好處,是它可運用在資安各個不同的層面和領域。舉例說,組織遭受病毒的侵略事件很頻繁,於是就產生病毒防制的需求,接著便需分析其發生的原因~是否企業的防毒軟體是違法的或是已過期,或是使用者的教育訓練不足,任意開啟不明的email而引發中毒,或是沒有固定的維護…等。此階段針對需求和原因做完分析後,然後針對各個原因去設計不同的控管的方式,像是更新軟體及購買合法軟體,或針對認知不足的使用者加強教育訓練,或是買軟體在server上阻擋病毒…等。執行之後重覆測試是否有所改善,假設沒有改善則必須再重複回到分析步驟的循環再次檢視。

以銀行安全規劃為例,可能在總行或分行都設有IT部門,也可能分行沒有IT部門,則發生問題時就由總行來支援。為使計劃在有限時間內,符合分行的使用者需求和稽核標準、有績效地將系統建立起來,總行可能以這樣的機制去協助分行解決。把安全的需求先定義出來,而這些需求的資訊來源則可以是顧問、外界的研究結果或是內部的資安需求等;定義了需求之後進入設計的階段,再將控管方式帶入設計裡討論、分析和評估,定義出問題後,針對重要事項的解決方法是可被使用者接受的話,就開始實施到計劃當中來測試這些安全需求。

國外的資安工作做的很嚴謹,由於大多台灣發生的資安事件在國外都已有較久的經驗,因此,國外己有很成熟的check list用來檢視可能犯下的疏忽,以防重蹈覆轍;然而人的疏忽是最難預防的,花旗網路銀行的資安事件就是一例。

建議中小企業在做安全的需求定義或分析時,可多從以前累積的經驗和國外的資安經驗,歸納進來檢視使用者的需求再去設計。

SDLC model是一個簡單的觀念和和思考模式,除了軟體開發、安全和資訊系統的應用外,可適用的範圍很廣。亦可應用到風險管理、客戶服務管理、硬體建置,乃至BS7799的導入…等,都可以此模式導入。 在BS7799裡其中一個規範~校正禦防措施,提到四個重點,『原因』、『分析』、『校正』、『禦防』,和SDLC的步驟亦很類似。事實上,這個方法可說是簡化BS7799的方法,將大標準切成小範圍,再依中小企業的環境需求導入。

結論
BS7799談到10個領域,包含了36項目標訂定及127項安全稽核,可做為企業安全管理系統評估的基準。然而有些部分對中小企業而言,依成本或實際需求考量是很難做到也是不適用的,像是BCP(Business Continuity Planning)或是人員安全的部分(此部份或許還可以做到保密安全,但是要二三十個人的中小型企業做到對每個員工身家調查,恐怕沒那功夫)。但台灣佔九成以上的中小企業而言,資安是其必然的考量和需求,如何在有限的預算下解決其資安問題,此方法提供一個很好的思考方向。