https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

專家看金融資安

2005 / 02 / 03
陳貞璆
專家看金融資安

勤業眾信: 金融資安問題需重新檢視及落實
今天資料外洩不是像補破網一樣,補破的部份就可以。勤業眾信協理萬幼筠指出,金融業這次的資料外洩事件非同小可,相當重大,業者應該要正視,改善之道就是要重新檢視、調整自身的資安政策正確與否、有無實際落實、以及委外業務有無安全控管機制。萬幼筠特別強調,資安不是靠一張紙、一堆文件、或者一份合約就可做得好的!
BS 7799雖非資安萬靈丹,但卻是不得不遵守的資安基本要項,有助於企業擬定正確的資安政策並落實執行。且資安要做好是需要全面性做,BS 7799雖說不能算是最好,但至少是目前市場上具國際水準的資安準則。
萬幼筠強調,BS 7799絕對不是老生長談!且在資料外洩這些事件發生後的時間點看來,BS 7799更是具有絕對的幫助,並可協助企業重新檢視資安政策合宜及完整與否。
他更進一步指出,BS 7799裡面一點要項要求就是需要定期稽核。這點觀念更是金融業在執行資安政策中的關鍵,有助企業去實際落實、切實執行資安。資料外洩等資安問題,往往都是因為企業沒有落實執行資安辦法所致。


IBM: 金融資安政策與執行缺乏對應架構
IBM資訊服務部經理定正偉指出,金融資安事件問題出在兩個面向,一個是BS 7799 政策只交給IT或者風險控管人員,正確的方式應該是上從高層就重視及投入、因為BS 7799與經營決策相關。
另一個問題在於國內金融資安,於策略面、市場面、IT面三部分無法連貫及落實,中間缺乏對應架構、流程也沒有透明化。
業無論資安是自己投入或者委外,都會遇到上述同樣的問題。而解決的方式就是:一、增加信任的程度。二、落實內控及稽核。三、找專人來研究或者委由專業的人來做資安。四、委外的廠商挑選條件:信譽良好、擁有國內外經驗、做事態度負責。
同時可利用工具,去協助落實執行資安,像De-Identification身份識別方案進行資產的保護,有效控管使用者的權限及層級,且資料有其Life Cycle(生命週期),透過ILM(Information Life Cycle Management, 資料生命週期控管)系統,掌握資料流的歷程,加強資料的安全性,降低讓資料大量外漏的機率。資料備份以及資料委外處理的部份也要注意其安全控管。
定正偉表示,金控後資料也跟隨著進行整併,資料sharing的機率相當高,資安內控更應當要注意,將開發、管理、稽核人員分開,同時資料在傳遞的過程要進行控管及分析、保留存管記錄。


宏碁:增加資訊流自動化、降低人為接觸機會
世上絕對沒有零風險的交易環境!但卻可以透過工具及管理有效將風險降低。資安問題大多出在資料流中,包括資料庫的資料如何傳輸應用的過程中。另外,還有從設備中安裝機器進行側錄。
宏碁為了提供電子化金流(e-Business)服務,本身有一套符合安全的標準,並透過SOP作業流程,去力求與金融客戶及協力廠之間的安全標準符合要求。宏碁電子化服務事業群副總馮文傑強調,「增加資訊流自動化、降低人為接觸機密資料機會、可有效降低資安問題發生機率」。
馮文傑進一步指出,宏碁的客戶將資料加密傳送到宏碁集團內龍潭的eDC機房,再由該機房將資料加密送到製卡公司或者銀行內部系統。除此之外,宏碁提供單筆資料傳送技術,將資料以單筆傳送方式取代整批傳送,降低資安風險。
他說明,將單筆客戶資料加密傳送到機器解密,製卡完成馬上銷毀該筆資料。接著再傳送下一筆客戶資料,一個一個來,而不是整批客戶資料加密傳送再整批解密。降低人員接觸大筆重要資料,加上以一筆一筆處理,使得機密資料更有保障。


優利:內控+委外管理兩者兼備缺一不可
金融資安事件發生,優利資訊提出幾個解決方案,其指出可從幾個部分來看,包括:整體員工對於資安的重視程度需要加強、獲上級主管支持、業務與IT加強溝通、徹底落實執行至全行等,除上述之外,資安在執行中還有兩大環節是需要重視及注意的,一個就是內部系統;另一個是資安委外管理。
金融業近幾年來競爭激烈,為了提供快速多元化的服務,主機也從封閉式的Mainframe架構,到現在成為Open開放式架構平台。在方便面項開了大門、卻將安全面的洞同步開啟。
優利資訊資深經理呂孟玲指出,開放式平台所換來的就是全安性的問題,因為開放式平台開啟了後門,增加有心人士有機可乘的機會。
而委外是將風險轉移,風險轉移的重點就是需找到一個具信賴的合作夥伴。建議,當然委外之前需先做好風險評估,包括任何部份,不管文件、伺服器、主機…。
委外在台灣才剛開始萌芽,加上金融業的產業性質較保守,選擇委外合作,通常都是將業務切割,一塊一塊逐步委外,端看部份委外業務成效如何後,再決定下一步委外的需求。
優利資訊協理李卓偉認為,這樣的做法,常使得委外的環節不完整,也就自然造成安全上的漏泂,在安全上無法達到控管,委外的服務也沒辦法全面性的提供。