委外服務提供毒門技術

如何做好資訊安全防護
以往大家可能對資訊安全的認知存有部份誤解，以為資訊安全防護只是一項資訊系統而已，往往認為只要建置好防火牆、防毒設施、入侵偵測等資訊安全設備就能做到完整的資訊安全防護，而忽略了所建置的只是資訊安全防護工具，仍需隨著外在環境威脅的變化做有效管理及維護，例行性的測試評估本身資訊系統弱點有效彌補，以及面對資訊安全事件的警急反應措施。

其實資訊安全防護是一項持續進行的作業程序，而不是一個短期或執行一、二次就可以完成的專案。從定期資訊安全風險評估、政策制定、日常維護作業流程制定，甚至於資安事件處理程序、資訊安全教育訓練等，都是資訊安全架構上不可或缺的重要項目。而這些項目並不是全部都能夠由資訊或網路部門獨力完成，畢竟這些部門仍有企業日常營運的工作需執行，且無法每日對於外在的資訊安全變化做有效學習及處理。因此專注於資訊安全領域的專業人員所提供的資訊安全委外服務便有其存在的價值。

資訊安全委外服務的項目
一般資訊安全專業人員，會以一系列專業的資訊安全解決方案為企業作規劃並建置整體資訊安全的架構，以確保企業資訊風險降至最低。而隨著實際資訊安全架構及預算大小，進而提供給企業不同的資訊安全委外服務。以下是一般提供企業的資訊安全服務，在此做個簡述：
1. 資訊安全風險評估 在執行資訊安全防護前應先了解本身的資訊安全風險與弱點，經由專業人員針對企業整體的資訊系統基礎架構進行全面性的安全評估測試，以辨認資訊系統架構上潛在的弱點及威脅，讓企業從務實的角度來規劃建置資訊安全規範，落實防護評估出來的風險於弱點。
2. 資安政策制定 主要以資訊安全業界的標準為基礎，參考資訊安全風險評估結果的弱點及威脅，所設計出一份適當且有效率的安全設定規範，並且包含各項標準程序的制訂，如資訊安全設備日常維護程序、定期測試機制、資安事件應變機制等。
3. 規劃建置及安全改善 依資安政策所設計出的安全架構進行防火牆、防毒設施、入侵偵測等設備的部署建置。此服務需有專業資訊技術背景的資訊安全人員全程參與建置，已針對資訊安全設備做有效整合及建置設定；並且對現行的架構進行安全方面的改善，包括資安設備效能及安全檢視與調整。
4. 管理服務 有效、持續地協助資訊人員管理資安設備，以確保系統在其預定的功能下正常運作。包括定期針對規劃建置的資安設備做定期防護狀況稽核，了解本身資訊安全狀況，與定期效能及安全檢視，並對檢視及稽核狀況調整資安設備，並進行系統弱點修復。
5. 資訊安全諮詢服務 針對緊急事件如病毒、駭客入侵等處理提供協助；駭客入侵事件防護諮詢與調查；弱點及病毒訊息及處理方式通知，定期資訊安全訊息發佈好讓資訊人員及早處理等。
6. 技術諮詢及建議服務 針對企業的資安設備提供使用技術諮詢、故障排除、版本及軟體Patch更新等協助。
7. 監控服務 提供資訊安全監控中心(Security Operation Center, SOC)及專業的資安人員，對企業的資安設備提供遠端7x24小時的監控服務，對隨時發生的資訊安全問題提供即時的反應及安全防護，並定期提供狀況報表，讓管理者了解本身資訊安全狀況。
8. 教育訓練 一般教育訓練可分為資訊安全 概念、資安產品、入侵防護技 巧與資安政策的教育訓練，教育訓練可以提升資訊人員對資安設備的專業技術及熟練程度，也可加強資訊人員對資安防護技術的提昇，而且可以將資訊安全的觀念灌輸到企業中的每個員工。

結語
近年來由於網路的廣泛應用，駭客攻擊工具及技術任何人幾乎皆隨手可得，加上資訊技術日新月異，造成資安事件及漏洞數目不斷成倍數成長，而資訊安全所牽涉的範圍十分廣泛，不如人們所認為的只是和電腦網路系統相關的方面，它涵蓋的範圍從單純防火牆設定，到複雜的日常稽核管理，是一項持續進行的作業程序，唯有良好的政策制定，加上日常的稽核及維護調整與落實管理，才能有效降低資訊安全風險。另外，選擇資安委外服務廠商時，應該選擇一家值得信賴的長期夥伴，能依企業資訊環境改變而長期提供專業服務，除了廠商之資安專業背景、專案經驗外，廠商本身財務體質是否健全也是值得注意的評選關鍵。

（作者為精誠資訊安全事業部資訊安全服務規劃師）