從資安層面看金融機構面臨之風險、威脅與實務建議

＊信用風險(credit risk)

金融體系中往來任一方在債務到期時無力履行其財務責任的風險。

＊市場風險(Market risk)

從事金融投資者發生與期望不符所造成的風險；主要包括如股價風險、利率風險、匯率風險等。

＊作業風險(operational risk)

起因於內部作業（internal processes）、人員（people）及系統（systems）之不當（inadequacy）或失誤（failure），或因外部事件（external events）等造成損失之風險；可能引起或擴大信用風險或流動性風險。

＊流動性風險(liquidity risk)

金融體系中往來任一方一時或持續缺乏足夠資金，以致一時或持續無力依原訂時程去履行其財務責任的風險。

＊法規風險(legal risk)

因法規架構不完備或法規不明確或意料之外的法律或行政規則引用或因契約無法執行等所引起的損失風險;可能引起或擴大信用風險或流動性風險。

＊系統性風險(systemic risk)

金融體系中往來任一方無力履行其債務或金融體系本身發生問題，以致使金融體系中其他金融機構也無力履行其到期財務責任的風險；此類周轉問題可能引起或擴大信用風險或流動性風險。

其他尚有財務風險、清算風險、信譽風險以及策略風險等。比較重要倒是，金融業面臨這些主要風險，首先必須進行風險評估(risk assessment)，接著必須進行風險控制、風險處理(減少風險至可接受範圍)、風險管理。才能確保組織之生存與市場之勝利。

以資安層面來看風險，作業風險是最大的直接威脅，其他主要風險在資安層面可能因作業風險而引起或加劇。新巴塞爾資本協定對作業風險的定義為：「起因於內部作業、人員及系統之不當或失誤，或因外部事件等造成損失之風險。」依該定義，造成作業風險之原因可能為人員、內部作業程序、資訊系統或外部事件。金融機構其他主要的風險，嚴格來說主要仍在其組織內專業是否能實踐或持續，內容另涉金融技術專業，這裏並不切入探討；而以廣義來看，現行資訊科技進步，金融機構很多作業與資訊結合很深，亦常間接與資訊威脅相關。故金融機構以資安層面來直接防範所面臨的風險時，首要即為防制作業風險的威脅。為使各金融機構在面臨如作業風險下之各項資安威脅，能有效提出各種對策或因應措施，後面直接以作業風險與資安管理之各種可能資安威脅予以分類，並以實際作法分別探討並建議最佳實務。

現行較常見之資安威脅有資訊竊取、電腦不當使用、破壞、駭客、惡意攻擊程式碼、詐欺與偷竊、商業間諜、錯誤與忽略、基礎建設喪失、能力不足、新技術等。資料顯示容易造成金融機構較大金額或信譽損失者為資訊竊取、詐欺與偷竊，而不常發生但一發生則損失非常鉅大者，為電腦不當使用、破壞、駭客、惡意攻擊程式碼、錯誤與忽略、基礎建設喪失、能力不足等威脅發生後，進一步擴展為業務營運長時間中斷之重大問題。為防制上述各種資安威脅，須就以下各層面在實務上進行因應措施：

實體與環境安全 為防止破壞、偷竊或商業間諜等資安威脅，就實體與環境安全層面應考量設立安全區域、並要求設施及建築達一定安全標準要求。

＊設立安全區域

將所有工作區域進行安全等級劃分，依不同身份辨識機制對出入口門禁管制。重要區域應設閉路攝影機留存紀錄並由保全人員24小時即時監控。目前金融機構實務上大多已做門禁管制，但對於已進入組織內人員管控程度則不一，或會對資安產生威脅，故對不同工作區、主管區乃至各區間之通路應再予以區分限定管制，並各區視重要性進行適當監控。除前述外，內部同仁之安全意識亦是此類相關資安威脅最細膩防護措施之一。

＊設施及建築達一定安全標準要求

設施要求具備發電機及不斷電設備，重要通信線路應採雙迴路備援，並對溫度濕度採固定區間控制。

建築及其周圍環境應考量耐震、防火、防洪/防水、防盜、防制恐怖攻擊及可監控之設計。金融機構現代化建築一般都漸可達到要求，但很容易忽略之重要事項為設施及建築達成安全防護的同時，對人員安全應給予最高重視，如滅火氣體應採不會直接傷害人員者(如禁用海龍)，間接可能傷害者亦應有配套措施(如電腦機房採二氧化碳滅火，應考量操作人員部署運作狀況，對逃生路線標示、救生設備使用都應確實配置及演練。)
技術安全
為防止資訊竊取、電腦不當使用、駭客、惡意攻擊程式碼或基礎建設喪失等資安威脅，就技術層面應考量電腦與網路安全之構建、網路存取管控之強化、系統開發與維護之管理。

＊電腦與網路安全之構建

構建安全之電腦網路系統基本上應做到病毒與入侵防護，實務上對Windows主機系統須全面安裝防毒軟體，並讓病毒碼可線上即時主動更新，在網路重要節點部署入侵偵測設備防止入侵攻擊，且委派專人監管，即時對內公告系統弱點、病毒警訊，及提供防護修補方案。進階的有效防護實務尚有網際網路存取，需採用兩層不同廠牌之防火牆，另對金融機構尚有大型專屬主機系統、或為不同業務或作業目的之主機系統網路做絕對資安強化，可行內部網路依作業性質劃分，如業務用或對內OA/對外Internet使用之實體網路區隔；對漸已使用開放協定之大型專屬主機網路系統，亦應視安全評估結果佈建防火牆，以強化安全性。

＊網路存取管控之強化

對網路與設備存取部分，提供外部服務之伺服主機須置於DMZ區且不得儲存重要敏感資料；另對屬防火牆管制業務之主機連線應關閉非必要之網路服務；網際網路連線禁止使用私自裝設的通信設備(如數據機)；安全高敏感度之相關設備須評估是否置於獨立區域或機房監控管理；對於網路上較強之偵錯工具(如Network Sniffer或System dump等)亦須經核准且在監控下使用。

＊系統開發與維護之管理

金融機構為因應業務需求進行系統開發，隨競爭激烈及新科技誕生，往往工作量龐大且受時限壓力，大機構或人力充足之單位完全自行開發者應注意各項分析及評估、應用系統開發之安控規範、資料輸出正確性驗證及各種測試；對於部分金融機構須委外辦理者須特別注意委外之管理。

人員安全
為防止資訊竊取、電腦不當使用、錯誤與忽略或能力不足等資安威脅，就人員層面，應考量人員存取管控及身分識別之強化、人員任用管理、教育訓練。

＊人員存取管控及身分識別之強化

金融機構對於人員存取之管控，因有金檢或相關審查稽核作業，大致都做到依工作職掌與作業性質，制訂各職務之存取權限，並由專責人員管理帳號密碼與權限異動、設定密碼長度及規則、事先申請授權原則及使用期間留存紀錄備查等。不過實務上可再特別注意限期使用之原則，並適當導入資源控管軟體，輔助相關控管作業。若有外部連結回內部存取系統及資料時，應採行有效之身份識別(如IC卡+ ID/ Password)，以確保資訊安全。

其他實務建議尚有文件資產分類管理時，對各類文件輔以工具設定為可閱讀或可列印或可更新或禁止複製/Print Screen等不同權限，以確保文件資訊資產之安全。 ＊人員任用管理

對於人員的任用從徵選開始即應對人員之不良紀錄、信用、學經歷、健康狀況等進行查證，錄取任用時應簽訂勞動契約書及保密合約，任用後應依職務分工作業，平時關心人員狀況、定期考核及事件輔導，並且須落實職務備援或代理人制度。

＊教育訓練

因資訊科技日新月異，為防制新的資安威脅及因應可能之輪調制度需求，對於人員應定期或不定期進行教育訓練，以培訓其技術、加強其資安觀念、使得以因應各種特殊狀況。

程序安全
為防止資訊竊取、電腦不當使用或錯誤忽略等資安威脅，就程序層面應考量變更管理程序、操作程序之管理及業務持續運作計畫。

＊變更管理程序

系統上線或上線後之變更管理部分，一般應制定程序規範遵行，依權責審核後進行，進階者可導入程式變更版本控管系統，管控應用程式變更作業；另金融機構之系統變更往往牽一髮動全身，為避免造成不可預期之資安事件，強烈建議於變更前應提出測試系統演練過之緊急復原步驟。

＊操作程序之管理

依實際作業制定日常操作與異常管理作業程序，配合各項變更作業應確實辦理更新程序，這部分重要性雖然很容易了解，但往往不容易完全做到，必須規範要求。

＊業務持續運作計畫

對於金融機構這是一項很重要的工作，國外調查指出在沒有很好規劃的公司，遭遇重大事件時，將有80%的公司一年內會破產。金融機構之資訊作業是非常重要，資訊流往往肩負金流之重責大任，交易訊息的傳輸、處理或保存，其重要性不可言喻，在以另一層面來看，要完全徹底落實此計畫，卻是一項耗資耗時的大計畫。進行此計畫時，簡略說明主要以風險評估開始，如本項在相關資安作業已完成，即可由業務衝擊分析展開，隨後進行規劃及設計，接著安排測試、演練，實施後仍須持續修正及計畫性/非計畫性演練。

根據2004年CSI/FBI資訊安全與財務損失調查報告顯示，資安威脅對企業確實已造成重大損失 ( 269家重點單位回函統計約損失141百萬美元)，故防範資安威脅是降低風險之非常重要工作。以Basel II所提出之信用風險、市場風險及作業風險，若金融機構能將相關風險予以降低，即相對降低其計算資本適足率公式之分母，進而也促成資本適足率相對提高，使該金融機構增強其相對競爭能力。前面所述，主要是以資安層面對其可能的風險威脅，直接以實務作法進行探討及深入建議，期能有助金融機構在實務上有效克服資安威脅並降低風險。

本文作者為財金資訊股份有限公司安控部經理