海巡署於94年特設通電資訊處資通安全科,對於資安政策推動與防護機制的建置,較其他政府公部門,更增加多一層的防護與重視!
政院海岸巡防署(簡稱海巡署),執行各項海洋執法任務,如海域犯罪偵防、查緝偷渡、走私,並協助資源維護、海難救助等工作,經過多年的效益評估及組織再造,海巡署已成為法制健全的執法機關。然而,在重視實體工作的同時,對虛擬網路等資訊安全的提升,亦不敢輕忽。
創新求變使命感使然
海巡署甫成立時,即設有一級單位通電資訊處負責通信、電子監控及資訊系統等規劃及建置,在處內5個科僅有一個資訊系統科負責資訊網路服務、及相關安全維護工作,但當時資訊專業人力嚴重不足,缺乏對資安風險控管能力,且隨著環境變遷,資訊及通信系統的IT化,促使通信與資訊合併為通電資訊處。而該署也有別於其他公家機關,在「資訊安全」的領域上專屬成立一部門─通電資訊處資通安全科;其原因除了署長對資安的重視外,一起資安事件,更驅使海巡署加速成立該單位。
海巡署通電資訊處資通安全科科長陳亮宏說道,海巡署因業務需求透過網路與其他機關進行資料交換。94年間國防部發生不明入侵事件,由於當時沒做實體隔離,經調查,原來是海巡署的連線作業電腦先被駭客植入木馬,在資料交換的過程中,連帶讓友軍單位也遭池魚之殃;經歷這次的事件衝擊,讓通電資訊處處長決心,將底下的5個科進行組織改造,成立在國安、國防體系外第一個專職資安的單位─資通安全科。
目前資訊處約30多人,負責IT的單位及人員佔一半以上,其中包含資安科6名資安管理人員及5名海岸巡防總局通資大隊值勤人員聯合營運海巡署SOC﹙資通安全防護管理中心,Security Operation Center﹚,該科的業務範圍從資安政策的擬定、管理制度實作、稽核、資安設備的管理及事件應變處置等都涵蓋在內,除了要依循國際資安標準、國家資安政策及參照業界最佳實務外,陳亮宏也常與同仁進行資安管理問題腦力激盪,尋找有效對策,並執行擬定的計畫。陳亮宏在訪談中肯定的表示,「源自於對資安的使命感,要做就做最好。資安科勇於創新,接受挑戰,只要對資安有助益,任何有效管理制度、技術架構改變,我們都樂於接受!」
資安預算,首要優先
資安工作的推動,高層支持尤為重要。前署長許惠祐體認海巡署是國土安全防衛重要一環,需用更高標準去檢視安全。於是主動向行政院國家資通安全會報要求升級為A級機關,並下令動用94年底的預備金,緊急加強防護機制;95年初現任署長王進旺先生到任後立即在預算及人力全力支持,並以身作則帶頭簽署「資安政策通知書」,並不只一次在與全體同仁出席的場合宣示:「安全與便利如不能兼顧,我寧可選擇安全」。陳亮宏說,「由於署長了解資安重要性,給予極大的支持,這2~3年資安防護機制增強不少,政策也快速落實到各階層。」他並提到,過去資安就像一套配備,亦沒有高層管理制度,易常受各種因素影響,導致資安推動程度不一;其中,預算的缺乏、安全未能列入考量是資安未能落實管理,的最大因素。所幸在近年這兩位署長對資安的全力支持下,降低了這部分的困難。他笑談,過去海巡署在規劃年度預算時,資安的建置順序總是敬陪末座,但署長都會視「資訊安全」為首要考量,特別將此預算排列第一審核,優先進行,高層對資安的重視度可見一斑。
海巡署雖歷經幾任署長交接,但可貴的是,對資安的推動並未停歇,歷任署長對資安依舊重視。陳亮宏回顧94年7月資安科成立後第一件署長交辦事項即是訂立「可攜式資訊設備及媒體管理要點」,由於這個規定是限制同仁使用私人USB,對於當時人手一支USB的環境下,資安科成為全民公敵;經過4個月十多次會議,在安全與便利性的衝突下,最後由許惠祐拍板定案,有條件式開放。然而對於資安管制,使用者仍然存有些許反彈心理,95年初有同仁欲向新任署長王進旺反應管制過於嚴厲,沒想到曾任國安局副局長的他卻表示,「這那有嚴,我之前所在的單位更嚴!」,讓該同仁吃了一記閉門羹,但卻讓同仁更了解署長支持資安的決心,也託此嚴謹機制所賜,日後海巡署在網路內、外網實體隔離上,僅耗45天就完成,更證明高階主支持管是成功推動資安的第一步。
SOC、ISMS逐步完成,資安系統、制度漸趨完善
海巡署於依國家資通會報要求,海巡署的A、B機關需自建SOC或委外監控,原對SOC沒概念的海巡署資安團隊,在陳亮宏的帶領下,把資安的事件處理與海巡署勤務指揮中心的概念整合,並參考ISO27001、ITIL等國際標準,與資安團隊花費近2年時間完成規劃。海巡署SOC於今年5月正式上線,陳亮宏說過去因應資安需求需導入多項不同廠牌之防護系統,每天產生大量不同格式的log,無形中增加許多作業上的不便;建置完成後,所有log格式一致化,日後在進行關聯、分析時便降低了許多負擔;而該署也因應實體隔離備有2套SIEM系統,透過關聯防火牆、入侵偵測系統等log可發現外網異常連線行為,如違反政策及使用P2P、Wi-Fi等,對內則可檢視內外網機器是否有設定錯誤、IP造成內、外網設備嘗試互連等情形,可有效提高事件的發現率,並透過SOP通報相關資產保管人進行處置,及時控制降低發生資安事故的可能與衝擊,也強化了對事件處理的應變能力,營運百餘日以來,事件處理平均速度已由最初3~5日降至24小時內。
陳亮宏表示,海巡署將SOC視為即時資安風險控管中心,著重事前防護機制佈署,及將資安管理化成每日營運活動,每位資安科同仁除負常態資通安全管理業務外,亦兼任SOC的二線防護監控官及負責約4項以上資安設備管理,同時,陳亮宏也要求同仁需考取資安相關技術及管理相關證照;工作負荷及學習壓力不輕,但所幸全體資安團隊都勇於承擔責任及接受挑戰。
依據需求 自行擬定資安政策
海巡署所有資安建議的提供、政策的推動執行,都交由資安科負責、給予協助,過程中,該科扮演著「推手」的角色。海巡署內資安政策主由副署長尤常務領軍,及各處副處長所組成的「資通安全推動組」負責。內部凡有任何資安政策、議題先由各單位自行擬訂,再由跨部門工作小組「風險處理分組」及「稽核分組」進行研討,後將重大決策交給資安推動組審查,審查完再交由署長發佈,最後由資安科協助各單位推動執行。舉例來說,去年立法院中央政府總預算附帶決議事項,欲規範員工上網、禁用P2P、網頁式電子郵件等網路使用行為,資安科便將既有的「海岸巡防機關網路使用管理要點」,依立法院決議事項給予修訂,並授權機關首長基於內部管理要求,可依不同單位、時段需求開放或禁止網路服務,再由海巡署SOC來設定設備落實管控。另一個組織推動資安利器就是每次的主管會報,透過署長的親自指示,再由各級主管轉達至底下的單位,同時,也會不定時的舉辦社交工程訓練,以培養署內同仁的資安意識。
資安科成立初期,各單位都認為「安全」應由該科負責,但後來通資處處長站出來要求,各單位需將每次內外稽所發現的問題立即修改,並將「安全要從自身做起」的觀念擴大至所有單位;而再加上有些是流程或系統設計的問題,是分屬各單位業務範圍,資安科無法涉入,幾年下來安全文化養成,讓各單位漸漸體認安全還是交由自己負責、安全需要內建不是外掛。
資安科的成立,最大的收獲就是建立資安專業服務。現在只要有任何系統規劃建置有關安全問題,各單位都會向資安科詢求建議,對資安的依賴日趨增加,而各項政策若沒有資安科的背書,也很難獲得長官支持。
結論
經過多年努力,海巡署從上至下訂定了完善制度,現在倘若發生資安事件,都會由出事單位做內部檢討,陳亮宏表示,做資安絕不能掉以輕心,凡事都要謹慎、防範於未然。然而資安做越多,對使用者越不方便,陳亮宏說,資安科成立3年多,仍在不斷學習。資安科的下一步規劃,是要進行Web AP(網頁應用程式)的安全。目前署內資訊系統多半由資訊處自行開發或委外,因此希望未來有一檢測機制,在開發階段時能先做檢視,再由資安科做第2次的雙重檢測。而94年起已加強從外到終端的網路安全措施,海巡署也期盼日後能在系統、軟體安全上做更周詳的安全措施;此外,陳亮宏期許資安科能轉變為海巡署資安服務的提供者,將資安視為一種服務,為機關與同仁帶來安全保障。身為政府機關一員,保障民眾隱私及擴大持續營運能力是責無旁貸的使命。資安是一場沒有終止的戰爭,陳亮宏總是以「資安無涯,唯勤是岸」來勉勵自已和海巡署的資安團隊持續精進,永不懈怠!