華邦電子主要業務為DRAM的設計、研發與製造,因此設計與製造能力,可以說是公司主要的營運關鍵,因此在資訊安全的著眼點,也會放在研發資料保護以及工廠製造的不中斷。近來,華邦在97年度的股東會裡決議通過分割旗下邏輯IC事業,成為百分之百持股子公司新唐科技。華邦電子資訊管理中心協理徐文柜說,整個上半年大家都在忙分割案的事情,接下來的下半年,將要持續進行資安工作的改善。
資訊安全由IT統籌、規劃、推動
華邦的資安主要是由IT部門來主導,徐文柜提到,因為稽核單位與IT部門皆屬於同一個事業群,資訊安全的推動、管理與技術支援皆由IT部門來統籌規劃,再直接向副總回報,華邦對於資訊安全的重視程度自是不言可喻。甚至,在2年前,華邦便有將資安單位獨立出來作業的規劃,不過,後來由於人事異動等問題而暫緩。目前,華邦採取的是專案性的方式,採常態編制,依照專案目的來編組、執行,當然,還是以內部IT人員的職責來劃分,資安工作可說是隸屬於IT部門的最重要工作項目之一。
當初,資訊安全的導入也是由華邦的IT部門人員,依照國際資訊安全稽核規範BS7799來開始進行,他們並沒有找顧問公司,而是靠著自行摸索的方式,以對資訊系統架構的了解來進行資安機制的設計,此外,他們也會參考廠商的建議,如華邦與奇夢達的合作,在建置新廠房時也獲得了不少寶貴意見,另外,過去在舊廠區的經驗是-辦公室與工廠之間的網路沒有清楚切割,造成管理不易,這些經驗也幫助他們得以在建立新廠時,全面去考量安全架構。徐文柜說他們一直在考量應該如何在預算與風險之間拿捏得當,如果可以採取不需要花錢而有效的方法,何不姑且一試?例如要留存瀏覽網頁的Log便自己寫程式記錄,遇到不敷使用的時候再考慮購買,例如Mail log的管理。
申請IP、憑證嚴格把關網路
隨著PC的功能越來越強大,目前華邦新的12吋廠機台的控制電腦大部份採用的是Wintel架構,中毒的風險與可能性也較高,但由於防毒程式常會與生產機台控制程式產生衝突,或造成效能下降,加上機台控制程式也常常更新,機台廠商很難與防毒程式作全面的測試,但只要1台生產機台中毒,便會傳染其他機台,造成工廠停機,1天損失可達新台幣千萬元之譜。也因此如何使得工廠可以正常運作但又不中毒,影響到生產,這是華邦目前面臨到的最大挑戰,這也是為什麼華邦會在網路與資料流上更加嚴格的控管。
在實體區域的管制上,華邦將網路區分為家中、會客區、辦公區與封閉區域(RD部門、工廠)。在工廠方面,僅有固定IP可以連入,工廠內外利用防火牆來做區隔及防護,而每個與工廠做配合的廠商都提供工作所需要的筆記型電腦,由華邦負責管理,定時更新病毒特徵碼、修正程式等,此外也提供了硬碟加密的選項,讓各廠商選擇加密與否,待專案完成歸還電腦,華邦便將所有資料刪除。而廠商若有檔案需上傳,則需上傳到特定保護的檔案伺服器,此專用伺服器當然也由華邦來更新管理。
而對於資訊安全的管理,華邦主要是透過網路的憑證來達到嚴格的控管,若要連上內部網路,需向IT部門申請憑證,得到授權之後,方能連上網路,不僅如此,也取消了網路串接的功能,使無法透過交換器分享的方式再讓多台電腦分享,單一IP只能單一電腦使用。在工廠與辦公區之間的內部網段,華邦也加設IPS(入侵防禦系統)來保護工廠。
偶有外賓或客戶來訪進行稽核等,便讓他們使用ADSL專線上網,與內部網路做分隔,華邦資訊系統運作部副處長吳水寶說,過去這條專線是為了讓外賓能夠更新病毒碼,現在則轉作外賓的上網專線。不過,由於使用網路必須申請憑證,造成外賓的不便,於是目前華邦也在考慮透過一些網路產品來簡化申請流程,屆時只要申請外賓帳號,系統將會自動區隔外賓與內部的網路,讓外賓方便有網路使用,卻又不至於有資訊安全的疑慮。
華邦相當注重資料的傳輸,例如研發單位資料的進出,除了個人的權限能夠取得的資料不同以外,還要取得授權才能將資料往外送,機密資料更需要加密後才能往外傳送,針對特定客戶的電子郵件也會在閘道端設定政策來進行自動加密。此外,在端點安全方面,不管是工廠或是辦公區域,也都禁止員工攜帶私人筆記型電腦,並且禁止使用USB傳輸裝置,若有例外則需向主管申請。除此之外,網頁亦設有防毒牆過濾、記錄,電子郵件的傳送也有Log記錄。華邦目前是禁止內部員工登入外部Web Mail的使用,避免員工將機密資料透過無法監控到的非公司帳號傳送出去。
徐文柜說,透過報表的定期追蹤、分析流量,也可以觀察出是否有異常的狀況發生。對於IM軟體的控管,公司並不反對MSN或Skype語音等在公務上的使用,但禁止傳送檔案。此外,華邦內部員工也可以使用NetMeeting來進行會議,IT部門也表示相當鼓勵內部溝通採取這樣的方式。徐文柜也提到,上述那些端點、筆記型電腦等的管制,都只是技術性問題而已,一切都是用來輔助管理面的達成。
未來安全策略 面向華邦的未來,徐文柜表示,未來關注的重點會放在防制資料外洩,採取資料流向控制的方式,就算資料被複製到USB隨身裝置,或帶回家進行存取,只要一連回電腦,更動記錄都會詳實留存。吳水寶說,我們也會事先明確地告知同仁,公司將會對於所有機密資料的存取做記錄,請同仁勿將隨意資料攜出公司或帶回家存取、複製及違反公司政策,以收警示之效。
而近程的目標是進行資料的機密等級分類,預定的計畫是協調稽核部門完成DMS(Document Management System)的分級制定,界定資料與負責人才能由IT來進行下一步的技術導入,一方面可以導入防制資料外洩解決方案,另外一方面也計畫將DMS慢慢移轉到ERP系統上,可以減少成本及簡化流程。
徐文柜認為,就算是端點安全、筆記型電腦終端的控管,不可諱言的依然會有資料外洩的風險存在,但往後在導入以資訊機密度為主的安全方案後,以資料的流向作為基礎,自動化判斷是否符合公司政策,因而實行警示或限制,將可大大減少這所謂的風險,從而達到較嚴密的資訊安全防護。
華邦經驗分享
1. 參考廠商的建議,如華邦與奇夢達的合作,可在建置新廠房時獲得寶貴意見。
2. 廠商提供在華邦工作所需的筆記型電腦,華邦負責提供、管理,定時做病毒特徵碼更新、修正程式等,待專案完成歸還電腦,華邦便將所有資料刪除。而廠商若有檔案需上傳,則需上傳到特定保護的檔案伺服器。
3. 透過網路憑證來達到嚴格的控管,得到授權之後,方能連上網路,並取消了網路串接的功能,使無法透過交換器分享的方式再讓多台電腦分享,單一IP只能單一電腦使用。
4. 透過報表的定期追蹤、分析流量,也可以觀察出是否有異常的狀況發生。
5. 以資料的流向作為基礎,自動化判斷是否符合公司政策,因而實行警示或限制。 |