成功的資安政策實作篇

企業的資訊安全，有些企業可能會認為僅止於安全資訊部門架設好防火牆（Firewall）、入侵偵測系統（Intrusion Detection Systems，IDS）、防毒軟體（Antivirus）等，就可以高枕無憂，實際上則不然。就如我們所知道的，現在各產業公司基本上都會架設一些安全防護系統，但是實際上的安全狀況並沒有完全改善，各種大小不一的事件依然頻傳，而且時有耳聞。因此，企業若沒有良好的標準文件來依循，常常容易造成事倍功半的管理效果，在安全的管理上往往得不到成效。再者，了解企業內部何者為有價值的資訊，以及何者為需要保護的資訊，是企業所必須了解的。唯有透過安全機制不斷改善及運作，才能真正提供組織安全。

一、安全政策
在開始訂定所謂的安全政策時，組織應該先思考：安全政策說明「為什麼」(why) 要保護公司的資訊、規範說明公司打算做些「什麼」(what) 來執行與管理資訊的安全、以及程序則確切說明公司要「如何」(how) 達成上層規範與政策明文規定的要求(註一）。
關於企業的資訊安全政策應該是一份詳盡的文件，記載著企業對於資訊財產方面的保護措施。利用這份文件來做到內部安全控管的動作，以及加強宣導企業內部員工，使得此項安全政策可以由上至下加以貫徹，達到一個良好的安全管理機制。也唯有透過這樣不斷地運作以及改善，才能促使此一政策日臻完善。


二、企業需要保護的資產
首先，我們可以來評估企業內部的資產，了解我們所需保護的資產為何？例如：軟體、硬體、文件、系統等，可能就是組織內部所需要保護的資產，而這些，往往也是相對於組織的核心資訊（競爭力）部分，因此，值得我們花費較多的心力及較高的成本來為這些企業資產做好安全性的防護。
在評估資產的價值時，可以參照資訊安全三要素（機密性、完整性及可用性）來作為各項資產保護所評估的權重，倘若企業內部認知不清，覺得所有資訊都需要加以保護，往往會造成投入成本太過龐大，但是成效卻不一定有所彰顯，這是在評估的時候所必須考量的。
我們在這此舉一簡單的實例：「行政院環境保護署資訊安全管理規範」在其內部的網路安全政策方面，就提到了「資訊資產之安全管理」部分，因此其所定義的資訊資產之安全管理政策為：
?資訊設備安全管理：
1. 本署各項資訊設備除依照相關審計法規財產管理外，各單位應自行負責設備之安全，移出本署時應經權責單位主管核定始得放行。
2. 本署各項資訊設備報廢時，除依相關財產減損規定辦理外，應經監資處核定其堪用狀況後始得辦理報廢。
3. 本署同仁如發現有不明人士，未經許可擅接網路之情事，應立即通知政風室及監資處處理，以掌握本署整體資訊設備之安全。
4.重要之資訊資產必須上鎖且保存於合於「八、實體及環境安全管理」中規範之電腦機房安全空間。
?機密或敏感資訊之安全管理：機密性或敏感性資料，不得存放於對外開放的資訊系統中(註二)。
各個產業可能著重的方向不全然相同，因此，可以參考相同或相似產業的廠商們所制定的方向，來作為自身企業的參考標竿。


三、面對弱點及威脅
企業的弱點（Vulnerabilities）：是指組織資訊安全的弱點或漏洞，本身不會造成傷害，但若未妥善管理，則可能促成威脅之得逞(註三)。
與資訊安全相關部份，所謂的弱點可能是來自於系統設計不良，例如：網頁表單輸入驗證機制不完全，或者是原先採用的系統包含有隱含之弱點，以上都可能被加以利用，而得到企業相關的重要資訊，造成資訊洩漏。例如之前喧騰一時的「資料隱碼」(SQL Injection)攻擊技術，便可能因為驗證機制不完善造成會員資料外洩，對企業重要資訊以及相關形象造成重大的傷害！
威脅（Threats）：則不論是蓄意或意外、人為或天災，都可能造成系統、組織及資產的傷害。不同資產有不同的弱點，所受威脅亦不相同(註三)。
伺服器所放置的地點是否可能遭受突來的狀況，例如天災（電力供給不足跳電）、人為破壞等外在的威脅，都是我們必須要事先模擬而加以克服的。因此我們可以藉由風險評估彙總報告來了解可能的威脅，近一步訂定條文，避免這些潛在威脅的發生，譬如可以明定：
電腦機房嚴禁煙火，並不得攜帶飲料、食物進入，如需進行清潔保養等工作，應考量不得危害機房正常運作，或需關閉部分系統主機始得為之，以避免人為疏失導致災害發生。
電腦機房應以門禁系統進行控管。
新購置、升級或新安裝建置的微軟平台系統均應加入內部網域，以便監控整體網路安全。
電腦主機系統及其相關儲存與網路連結設備必須使用穩壓與不斷電(Uninterruptible Power Supply)系統供應電力，以避免電壓不穩定或瞬間斷電造成損害。
涉及機密性或敏感性之相關媒體、文件由業務單位指定專人設置保管箱列冊保管。
含有機密性資料之書面文件，使用碎紙機予以銷毀(註二)。


四、安全風險
所謂「風險」（Risk）是指特定威脅，利用弱點造成資產遺失毀損的潛在可能。風險評鑑必須考慮每種威脅發生之機率與可能造成之衝擊，以計算資產的風險值(註三)。可藉由備份機制以及安全性系統的建構，來避免或減緩風險所造成的衝擊。
以一簡單的式子來表示：風險=漏洞×安全×威脅，企業應該跨出的第一步是建立妥善的資訊安全政策，同時在網路存取的簡便性與安全管控之間取得平衡。目前業界通用法則有三：深入多層次的防禦系統（defense in deep）、最少權限（less privilege）、預設的拒絕存取（deny by default）(註四)。可以提供在安全性上評估方式的參考。
藉由自我的安全性檢測，如對主要需要保護的資訊系統進行安全性的掃描或偵測；避免漏洞的發生、或者藉由防火牆、入侵偵測系統等安全系統的架設達到比較嚴密的監控；對於異常的封包流量，例如上述採取預設的拒絕存取動作、或者將此類安全稽核的業務外包給其他專業業者來進行。


五、國際與國內資訊安全標準與法令
在概略介紹訂定安全政策時須注意的事項之後，可以根據自身企業的需求，進一步參閱各個安全標準協會的架構，及所提供更詳盡的說明（參考表一）。
而這些安全相關的政策，都是為了要達到：
一、 保護資訊的機密性、完整性、可用性。
二、 保護資訊的安全，避免未授權者非法取得。
三、 確保環境保護業務永續經營。
四、 提供環境保護資訊安全教育訓練（註二）。


六、結論
企業的政策既然制定，就要落實，並在企業內部宣導，讓員工清楚了解，能踏實地去執行，如此資訊安全政策才能真正達成。明確建立不同單位安全資訊的工作以及責任，加強弱點的防禦，若遭受破壞後的重建，以及從失敗經驗中學習，都是需要持續努力的目標。
對於不同企業的安全政策，應該如前文所提，參考企業內部需要，並根據國際與國內資訊安全標準與法令來創造出符合自身需要的安全機制，進一步藉由標準協會稽核小組評鑑，來確保企業政策可確實落實。也希望藉由以上動作，促使企業架構能更加健全。

(本文作者群現任職於台灣電腦網路危機處理暨協調中心（TWCERT/CC）)