海巡署打造資安巡防艦　SOC建置經驗談（上）

海巡署資通安全防護管理中心於97年5月正式營運，其資通安全防護管理邁入新紀元，將分為2期為您介紹。

　　資通安全防護管理中心(SOC, Security Operation Center)透過全天候7X24的
資安事件監看，每日檢視資安設備的有效性及檢討事件處理，及定期報表陳閱各級管理階層，將資安風險管理與事故處理納入日常營運流程。為確保SOC作業環境與營運流程符合國際資通安全管理標準，於規劃、建置同時即考量符合ISO/IEC 27001：2005要求，並於97年11月6日通過第三方認證機構的驗證，完全達成海巡署設置SOC的初期目標。

需求規劃1年半 實地走訪5座SOC

　　海巡署因為署長極為重視資安，於94年7月成立「資通安全科」作為資安的專責單位，並同意由所屬海岸巡防總局通資作業大隊抽調人力成立「資安防護小組」，同時主動報請行政院國家資通安全會報將資安防護等級由B級提昇到A級，依行政院國家資通安全會報規定，被列為A級機關者如海巡署，需自建SOC或委外監控，與國家資通安全防護管理中心(NSOC)建立互連機制。

　　為進一步強化資通安全防護工作，海巡署於95年6月配合行政院重要機敏機關實體隔離政策，將海巡網路架構以最大規模調整，將網路調整為內、外部及機密網路，除外部網路外均與網際網路作實體隔離，並透過資料交換中心機制過濾惡意程式。另為強化內部資通安全管理工作，海巡署於95年度辦理「資訊資產風險委外評鑑」案，依據ISO27001：2005標準所列11大領域檢視海巡署資安管理現況，評鑑報告結果並建議海巡署應「建立防火牆、網路設備、應用系統、資料庫及主機即時監督機制，加強網路異常及攻擊的掌握」，因此建置資安防護管理中心，並於96年3月「資通安全推動組」提報可行性分析，由資訊安全長召集各單位副主管及外部學者專家，如研考會主任吳啟文、中央警大教授林宜隆及資安會報技服中心主任培文等外部委員審議通過，並將提報計畫由行政院主計處電算中心同意，海巡署長達1年半的規劃方能付諸建置。

　　時間回到94年11月筆者剛接任海巡署資通安全科科長，由於海巡署規劃建置SOC已傳遍整個資安產業界，不論是系統整合業者、系統平台代理商及原廠，絡繹不絕前來展示他們所謂的SOC，其實多半只是SIEM平台的解決方案而已，當時SOC在國內仍是相當新興的一塊領域，國內並無太多建置實例，對完整SOC的全貌並無法由廠商所提供的資訊了解，且也無法明確自已的需求，因此我們實地走訪了宏碁e-DC、數聯資安、IBM、關貿網路及立法院的SOC，希望可以從他人的實際維運經驗，試圖激發自己的想法。

　　海巡署資安團隊的成員均是軍、警背景，過去也都是曾在基礎戰鬥或勤務部隊歷練，後來才轉任到海巡署通資處，都有在勤務指揮中心執勤的經驗，如果維護資訊安全，對抗駭客及病毒看作是一場戰爭，海巡署把SOC規劃成資安的戰情中心，或者是一艘巡防艦也是有脈絡可循的，因此我們所定義的SOC含以下5大元素：

1. SW (Security Warriors)：資安戰士（資安管理人員、三線防護監控人員）。

2. SIEM (Security Incident/Event Management)：作戰指揮管制系統、資安事故／事? 件管理資訊系統。

3. ISMS (Information Security Management System)：動力系統、資訊安全管理系統與營運流程。

4. MSS (Managed Security Services)：武器系統、資訊安全專業服務（含資安設備管理、弱點管理、攻防演練、數位鑑識服務及其他資安委外服務）。

5. OE (Operational Environment)：船艦本體、營運環境（實體環境、設備機房、通信系統）。

　　就我們蒐集SOC相關文獻，參訪幾座實際營運的SOC之後，再依我們的組織營運對安全需求，我們將SOC的架構以上述5大元素來規劃，為發揮整體資安防護及管理綜效同時降低營運成本，必須將現有的資安防護機制與管理流程及人力資源作整合性的考量，5大元素可單獨建置，同時也需要緊密結合。在規劃SOC及導入ISMS之前，海巡署資安防護機制，如防火牆、入侵偵測系統、防毒系統等，都是因應當時的威脅，或者是別人有我們不能沒有的情況下規劃建置，雖然採用的設備或軟體都是業界的領導品牌，但由於各家資安防護產品設計概念不同，幾乎每項設備都要有專人管理，在管理上有極大負荷，所以95年時即將資安設備維護及相關專業服務整合成一個資安服務管理維護案(MSS)，由單一資安服務商(MSSP)，以專業人力定期駐點，並產生月報表方式來輔助我們管理資安狀況，但由於SLA定義不夠明確，月報表加上公務機關的行政流程，要及時控制資安威脅，顯然緩不濟急。建置SIEM系統平台，猶如一套情報蒐集分析及射控系統，將各項不同資安設備log導入，將log格式的一致化，並經關聯、分析，由預設規則來過濾優先關注的資安事件及時處理，避免演變成資安事故，似乎是一個完美的解決方案，但再好的系統仍需要專業人力來操作，資安人力是SOC最關鍵的元素，也是SOC中最精密複雜的一部份，一個良好的資安戰士需要長時間的專業訓練及實戰養成，難以像系統或設施建置在短時間內可以完成，質量不足的SOC人力，是難以發揮SOC應有功能。

　　從95年下半年開始的資訊資產風險評鑑委外服務案中我們學習到，建置且持續營運一個ISMS管理系統，是完善且持續推動資安的動力系統，透過風險管理流程與組織策略一致化，將資安管理成為高階管理策略活動的一部份，並將資安政策轉化成日常資安營運管理的作業程序及防護規則，使SOC成為即時風險管控中心及線上稽核平台，循著P-D-C-A的滾動式管理循環，持續提昇資安防護管理水準。為有效將各項元素整合順利營運，一個規劃良好且安全可靠的作業環境也很重要，將原本散置於主要機房各機架上的資安設備適度集中，並考量管理活動及作業需求，重新規劃成為設備機房、防護監控室、資安研析室、管理作業室、鑑識作業室等5大作業空間，及其他必要營運設施如門禁、CCTV、消防、環控、錄音系統。為完善整合5大元素，我們透過情境式分析，預想未來SOC要如何運作?作業環境應如何？需要有什麼樣的週邊設備？有了整體架構圖像及目標，再進一步細部設計。

SOC營建5大策略

　　由於核定建置的預算是當初提出需求的一半，而且兼顧實體隔離的政策與即時監控的需求，規劃2套獨立SIEM平台勢在必行，SOC建置案與現有MSS如何權責區分，現有資安人力的質量均明顯不足，又依照行政院研考會的「SOC建置參考指引」的評估，依機關屬性及資安設備數量等因素考量，海巡署應自建SOC。基於前述的因素我們進行設計SOC及整合MSS等5大元素採取策略如下：

? 將SOC建置與MSS合併辦理，並一次辦理5年維運合約，以去除架構疊床架屋及維護權責不明，因整體採購金額放大，促持廠商提供較佳設備以降低維護成本。

? 以2套獨立SIEM平台，分別監看內外網資安事件，維持實體隔離完整性。

? 採「委外建置，協同維運，技轉自營」3部曲方式建置營運，雖然目標為「自建自營」，但考量目標無法一步到位，透過廠商駐點協同維運及專業服務，並以廠商的2、3線資安顧問作為後盾，另一方面規劃大量教育訓練及技轉課程，維持維運初期最小能量，再逐步擴充人力。

? 以完整營運為優先考量，在有限的預算內，先以最完整的需求規劃，辦理公開徵求意見，由各廠商取得細部設計及報價，進行分析，何者屬一次性建置？何者可後續擴充？先不求監控所有資安設備主機，或僅先建置系統，而是初步建置即需完整涵蓋五大元素，達成可營運的SOC。

? 要求通過ISO/IEC 27001：2005驗證，建置完成一段時間內，必須使SOC營運流程與同時導入全組織的ISMS整合，另參考ISO/IEC2000部份流程及best practice，使SOC於事故處理及維運等2大核心流程可符合國際標準要求，並持續改善。

? 區分系統及服務等級，訂定明確SLA，使參與競標廠商了解，要從SOC設計階段即需考量如何滿足及量測海巡署服務水平等級，並滿足持續5年的需求。

? 建立與國家資通安全防護管理中心資料連通交換機制：建置海巡署與NSOC資料交換機制，並通過NSOC驗證測試，達成與NSOC聯防的目標。

　　基於前述的策略，以TOP-DOWN方式進行設計，在SOC實體部份儘量予以細部規範詳述，並請參考機電、消防等法規，以減少廠商為競標投注過多資源，在SOC系統平台建置的核心部份則以開放性功能需求，希望透過不同平台架構的差異化，將競爭焦點置放於此，在MSS部份則開放有資安設備維護項目，可以廠商考量與SOC系統整合與降低維護難度及成本，提供替代方案，在RFP中完整詳盡將功能、服務、專案需求及交付標的。因整體規劃相當完整，在這次SOC建置及MSS維護案一共吸引10家國、內外系統原廠及整合服務商組成4個團隊競標，最後由一家發源於國內的資安服務商取得標案。
（下期待續）