歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
幫中小企業以有限預算做好資安
2004 / 11 / 15
許偉健 整理/卓長熹
引用軟體開發的方法論
幾年前受訪者在英國為幾家小型的企業作資安服務,因中小企業礙於有限的預算,無法完善的做好資安工作,當時便引用以下方法為企業導入適合地安全機制,建立基本資安防護。
1.定義需求(Requirement Specification):了解客戶的安全需求和原因。
2.分析(Analysis):為需求做詳細分析和評估。
3.設計(Design):分析之後為客戶設計適合的方案。
4.執行(Implementation)
5.測試和評估(Testing and Evaluation):執行之後必須再重複測試與評估是否符合需求。
這個概念是從軟體開發工程(SDLC,Software Development Life Cycle)中發展出來的。SDLC(Software Development Life Cycle)的模式後來被更廣泛地應用到安全(Security Development Life Cycle)及資訊系統(Systems Development Life Cycle)的範圍。事實上,它的流程和觀念無論是在導入Software、Security或是Systems都是相同邏輯的。例如E-banking的建置,E-banking是屬軟體開發系統,而建立E-banking時安全是第一考量,可由這樣的概念了解。
“安管的SOP” (Standard Operation Procedure)
這個方法的好處,是它可運用在資安各個不同的層面和領域。舉例說,組織遭受病毒的侵略事件很頻繁,於是就產生病毒防制的需求,接著便需分析其發生的原因~是否企業的防毒軟體是違法的或是已過期,或是使用者的教育訓練不足,任意開啟不明的email而引發中毒,或是沒有固定的維護…等。此階段針對需求和原因做完分析後,然後針對各個原因去設計不同的控管的方式,像是更新軟體及購買合法軟體,或針對認知不足的使用者加強教育訓練,或是買軟體在server上阻擋病毒…等。執行之後重覆測試是否有所改善,假設沒有改善則必須再重複回到分析步驟的循環再次檢視。
以銀行安全規劃為例,可能在總行或分行都設有IT部門,也可能分行沒有IT部門,則發生問題時就由總行來支援。為使計劃在有限時間內,符合分行的使用者需求和稽核標準、有績效地將系統建立起來,總行可能以這樣的機制去協助分行解決。把安全的需求先定義出來,而這些需求的資訊來源則可以是顧問、外界的研究結果或是內部的資安需求等;定義了需求之後進入設計的階段,再將控管方式帶入設計裡討論、分析和評估,定義出問題後,針對重要事項的解決方法是可被使用者接受的話,就開始實施到計劃當中來測試這些安全需求。
國外的資安工作做的很嚴謹,由於大多台灣發生的資安事件在國外都已有較久的經驗,因此,國外己有很成熟的check list用來檢視可能犯下的疏忽,以防重蹈覆轍;然而人的疏忽是最難預防的,花旗網路銀行的資安事件就是一例。
建議中小企業在做安全的需求定義或分析時,可多從以前累積的經驗和國外的資安經驗,歸納進來檢視使用者的需求再去設計。
SDLC model是一個簡單的觀念和和思考模式,除了軟體開發、安全和資訊系統的應用外,可適用的範圍很廣。亦可應用到風險管理、客戶服務管理、硬體建置,乃至BS7799的導入…等,都可以此模式導入。 在BS7799裡其中一個規範~校正禦防措施,提到四個重點,『原因』、『分析』、『校正』、『禦防』,和SDLC的步驟亦很類似。事實上,這個方法可說是簡化BS7799的方法,將大標準切成小範圍,再依中小企業的環境需求導入。
結論
BS7799談到10個領域,包含了36項目標訂定及127項安全稽核,可做為企業安全管理系統評估的基準。然而有些部分對中小企業而言,依成本或實際需求考量是很難做到也是不適用的,像是BCP(Business Continuity Planning)或是人員安全的部分(此部份或許還可以做到保密安全,但是要二三十個人的中小型企業做到對每個員工身家調查,恐怕沒那功夫)。但台灣佔九成以上的中小企業而言,資安是其必然的考量和需求,如何在有限的預算下解決其資安問題,此方法提供一個很好的思考方向。
中小企業
最新活動
2024.05.24
AI新技術 全面捍衛網路安全
2024.04.25
漢昕科技線上資安黑白講「端點管控零信任,軟硬資產不放任」
2024.04.25
ipas資訊安全工程師能力培訓班(初級/中級)
2024.04.26
建構智慧製造對應資安解方媒合交流會
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
杜絕XZ後門!OWASP發佈十大開源軟體安全風險清單
思科 Duo遭供應鏈攻擊!用戶多因子身分驗證日誌外洩
Palo Alto Networks對PAN-OS 軟體零日漏洞CVE-2024-3400發出緊急修補
Palo Alto Networks:全球多重勒索軟體攻擊激增 49%,台灣製造業、高科技業、營建業受影響深
黃彥男接掌數位部 借重資安專長引領產業轉型
資安人科技網
文章推薦
碩泰網通宣布取得Tenable台灣區代理權
Check Point 推出具進階威脅防護能力的創新單一介面電子郵件管理解決方案
思科推出思科Hypershield ,重新定義人工智慧時代的資料中心與雲端安全