911 撼不動美國政府資安？

九一一恐怖攻擊的規模及方式是史無前例的，位於紐約世貿中心及其週遭的許多企業首當其衝，以最慘痛的代價，在真實情境中測試所謂的企業災後重建計畫。 三天之後，勝敗立見。多數企業因人員的傷亡及設備資產的毀損而不得不結束經營，但也有不在少數的企業因永續經營計畫的完備而仍屹立不搖。 美國電話公司Verizon 在曼哈頓的中心被全數摧毀，但緊急電話仍能暢通無阻。摩根史坦利在 World Trade Center 有3528 名員工及多樓層的辦公室，事件發生之後，十分鐘之內，摩根史坦利在紐澤西的備援系統啟動，開始自動向外採購各式業務持續所需的各項設備，而3528 名員工中，只有6名喪生。
政府民間應變模式有別
相形之下，同樣受到恐怖攻擊五角大廈在這災害復原方面的工作反而顯得低調而不明顯。當時有媒體評論，認為美國政府的災難應變措施不夠周延及迅速，在步調上完全跟不上民間大型企業。但事實上，這種論點的立基點有些失之偏頗。

因為從資訊安全的角度來看，兩者(聯邦政府及美國民間企業)的災後復原機制在本質上根本大相逕庭：前者是強調國家安全及戰力的保存持續，根本不可一時中斷，而後者則很單純地著重於營運的持續，有其中斷的容忍度，但只求在最短時間內恢復。所以就911事件來看，美國國防部雖有人員及財務上的損失，但在其主要的軍令及軍政業務上事實上未有中斷且不受影響，因為在過去幾十年間，由於冷戰時期的效應，“保存最後戰力，相互保証摧毀” 的理念一直主導著美國政府在持續作業計劃(Continuity Planning)方面的設計，軍令指揮系統早已分散化、地下化及移動化，所以地上建物的遭受攻擊，完全產生不了任何撼動的效果。

而Verizon 電話公司所使用的通訊科技主體設計也正是由軍方轉移給民間的技術。 業務永續計劃(Business Continuity Planning) 和災後復原計劃(Disaster Recovery Planning) 只是資訊安全範疇的一部份，在其他部份，美國政府也一向扮演著積極的領導地位。除了政府及軍方自行投入資安科技的開發外，因深覺技術人員的不足，每年尚有固定資本參與民間的新技術開發。而且數目也因反恐大旗的高舉而在這兩年大量增加。

資安科技成熟加速復原
當然資安科技的成熟是幫助美國政府及民間企業自災後迅速恢復的重要因素，但卻非首要要素，筆者認為最重要的因素在於資安體系架構的成熟度，以下我將以個人一些簡單的工作經驗來作分享。

美國聯邦政府在進行資訊系統開發計劃時，皆會將資訊安全的要求列入招標書內，但在內文中卻不會詳列所需的各項規格，我生平第一個的安全專案便是最典型的例子，整體系統預算為610 萬美金，安全方面預算為105 萬美金，包括規劃顧問服務，相關硬軟體及維運工作。規模不能算小。但當我拿到規格需求書時卻傻眼了，一個預算過百萬美金的安全計劃，在規格方面的文字部份只有短短幾行︰ “本系統所處理的資料為受保護的個人資訊，等級為SBU(Sensitive But Unclassified)，所規劃的保護方式應符合C2的安全標準。系統建置完成後，在正式營運之前，必須經過相關機構的鑑定及認証。”

清楚機密等級保護有方
經過了幾天的研究及前輩的指點，才發現所有的規格早已存在，建置的指導書也已具備。

原來，美國聯邦政府的資安體系是以資訊本身的機密等級為主體，並根據不同的等級訂定相關的安全屬性，然後再依照不同的安全屬性來規範必須作到的保護措施。也就是說，不管是那種資料，都已經被賦予了等級，而為了保護這個等級所必要作的任何步驟及工作內容都已在國家標準中定義清楚。鑑定及認証單位再依此標準來嚴格檢視為保護這資料所設計的各項保護措施，包括管理，硬軟體及實體面。專案成員的工作主要在於規劃、整合、測試及維運整個系統。所有被保護資料所流通的節點及路線，不管是在公開區域或內部區域都必需使用相同的安全標準，一體保護而不得有疏漏。如果系統處理超過一種以上不同等級的資訊，則一律以最高等級的保護方式辦理。

這是一種所謂TOP DOWN的方法，資料分級制度是其中一個非常重要的核心，所有的保護措施及流程以此為中心而向外發散。不管是任何政府單位，其所處理的資訊皆有安全等級上的定位，各單位不得任意改變所應有的安全屬性來降低其安全防護措施以節省預算。而且在安全委外或設備採購的預算編列上也有所謂的GSA schedule 可參照，不致因為預算的緣故而犧牲安全防護措施的品質。

標準書遣詞用語要淺顯
我依據OMB (Office of Management and Budge, 隸屬於白宮的幕僚單位)所頒發的資訊安全相關文件及FIPS (Federal Information Processing Standard), 按圖索驥，從NIST (National Institute of Standards and Technology) 所制定的標準及指導書上開始列出專案所應注意的規格及各項應有的產出及交付項目。標準書中明列了各項應有文件的內容、名稱及格式，甚至撰寫的口吻。舉SFUG(Security Feature User’s Guide)這份文件為例，這份文件是在告知一般使用者(End User)關於所使用系統的安全特性及機制，並要求使用者的熟悉及配合。SFUG這份文件的對象主要為無安全技術背景的一般使用者，所以在遣詞用語要儘量淺顯，友善，方能讓文件的效益發揮至最大。

部門間資源共享之便利
在專案進行過程中，我感觸最深的是美國聯邦政府對文件體系的堅持及各部門間資源共享的便利。專案中，所有的步驟及流程都必須要書面化，而所有的書面必須制式化並且要建立起文件間的關聯性以便於索引，在經過無數次的校對，証明可行之後方能定稿。我曾在某部門的資料室發現一份十五頁的規格書，而所描述的主體只是所採購的乒乓球具。美國政府單位對文件的堅持，由此可見一斑。

聯邦政府各單位間在資安工作的聯繫及推廣合作上也極為密切，在確定合作備忘錄的簽署及無敏感資料外洩之虞，這個由勞工部主導的專案，由司法部提供安全專案管理的支援，國防部提供專案人員背景安全調查，各部門互通資源，至為便利。

對照起初的RFP中的一小段安全要求，最後的產出有如龐大怪獸，共產生了近二十本大型文件，整體的細部流程、人員組織及設備清單及時程規劃等項目。這個專案進行了約半年，有十八個專業資訊安全人員，動用了三個不同行政部門的資源，並順利地通過財政部的鑑定及認証。

國內無後援體系可依循
筆者在此並不是為美國政府在資訊安全的作為上歌功頌德，只是回到國內後，接觸了政府單位的一些資訊安全專案，發現我國負責政府資安工作的專業人員真的非常辛苦，往往一個無前後文，語焉不詳的資安政令下達後，便在資源不足，無標準，無體系可循的情況下作資訊安全建置的工作，並還必須在限期之內完成，在此筆者謹向他(她)們致上最高的敬意，並希望整個大環境能在近年來政府在資訊安全方面努力的作為下有所改善。 (本文作者為勤業眾信會計師事務所企業風險服務部經理)