觀點

穩健IT實力 助農委會5個月通過驗證

2009 / 07 / 15
何依玟
穩健IT實力 助農委會5個月通過驗證
為眾多農漁民提供服務的農委會,甫通過ISO 27001資安驗證,同仁間緊密的凝聚力與其強健的IT基礎,是其重要關鍵。

  隨著網路快速發展,主管全國農、林、漁、牧等行政事務的農委會,亦將其所提供的服務資訊化,讓民眾可於家中透過網路取得農業相關服務。而由於該業務應用範圍日趨廣泛,加上資通會報要求屬A級機關的農委會需通過ISO 27001資訊安全驗證,種種原因驅使農委會於短短5個月內通過驗證。

完善IT架構與積極態度 快速獲驗證

  這次驗證的範圍囊括機房、資訊中心及資訊中心產銷履歷、辦公室自動化等核心應用系統及資料庫,農委會資訊中心主任林貞指出,導入ISO 27001過程繁複,不論是資產評鑑、盤點及表單的審核、政策擬定等工作,都必須耗費大量人力與財力資源,對平日已有大量工作的IT人員而言,是種無形的負擔,同時,資訊中心需服務農委會近500位同仁,要在短時間內讓全會適應其新增制度亦是一項考驗,舉例來說,在導入ISO 27001前要先進行資產評鑑,針對文件的機密性、完整性與可用性做分類,但大家對文件的審核標準不一,要如何達成共識?林貞指出,文件的初審工作先由1位同仁負責,再交由資訊中心全組人員一同開會討論,審查內容包含表單、文件與政策等,藉由每周2~3次與輔導公司的會議,同仁不斷的從爭論、溝通中找出共識,輔導公司並灌輸同仁正確資安觀念及其他企業單位的資安輔導經驗,讓資訊中心的同仁建立起「別人都做的到,我們也可以」的信念。

  雖然艱辛,但所幸資訊中心同仁都能一一克服並看到通過驗證的好處。像過去各單位若有網路等IT需求需向資訊中心提出,卻常提出要求後的幾小時內又要更改內容,資訊中心不堪其擾,現在規定所有文件一律都需透過電子化流程,任何IT需求皆需上網填寫表單,其帶來的效益是各部門日後提出需求會更為謹慎,降低資訊中心同仁的工作負擔;同時,任何人進入機房亦需填寫申請表單,雖然諸多不便,但伴隨的好處是倘若系統出現問題,皆可透過標準表單記錄,了解事發原因、過程及解決措施,日後如有類似事件便可縮短解決問題的時間;為了消弭同仁對增加工作的不適應,林貞都會向同仁告誡,「異動表單的填寫,是導入ISO 27001的必要程序,唯有如此才能讓工作更有效率」,希冀藉此提高同仁的接受度。

  但林貞坦言,其實自己當初也是對ISO 27001從排斥到接受,有2項因素,第1是由於資訊中心沒有相關建置經驗,這次要將之納入驗證範圍,具有相當難度,第2,驗證的流程制度必須準備一堆文件,看到堆積如山的資料加上人力的缺乏,都讓她相當頭疼;但在她與同仁踏入這次專案,並漸漸投入了這項工作後,她發現各項管理都變得比較嚴謹,除了降低問題發生率,未來若同樣錯誤發生,也可依循過去累積的經驗,減少解決問題的時間,她表示,辛苦很值得,因為最終的果實是甜美的,農委會僅在5個月內便將ISO 27001驗證取得。

  負責協助輔導農委會的顧問公司便說道,這次農委會在短時間內獲得驗證,除了其本身IT體質良好,對ISO 27001驗證條款上的標準如資料備份、log管理皆早已完成,同時,他們也有委外進行SOC、弱點掃描及日常監控,並將重要系統異地備援定期進行災害演練,同時委外廠商亦提供5位駐點人力協助資安管理工作,種種事前準備工夫,都讓專案提早完成。另外,他們積極的態度亦是一重要關鍵,農委會資安承辦人邱建智當初請委外人員調查現在使用的交換器是否可鎖住mac number,以劃分出同仁的使用權限,但後來卻發現竟要耗費約14個工作天才能結束,然而邱建智僅表示,「這項工作5天內必須完成,我自己也會下來參與」,從種種細微末節的地方,皆看的出他們勢在必行的決心。

從錯誤中學習 降低資安事件發生率

  要獲得ISO 27001驗證所費不貲,政府對資安投資經費有限,因此要將經費做有系統的規劃,如若要將所有系統實施異地備援,就會提高成本,所以他們便挑選幾項核心系統進行,較次要的系統則以磁帶備份,利用較低的花費亦能收得保護成效。

  林貞說道,跟其他單位相比,其實他們很幸運,由於農委會主任委員陳武雄本身對資安就相當重視,對於資安工作的推動,只要她提出想法及作法,在農委會能力範圍內,都會給予全力支持。農委會1年會舉辦2次各針對主管及一般職員的資安教育訓練,陳主委都會親自來上課,林貞笑說,有1次2點上課,但主委有事耽擱,正要上課之際,主委卻說「不行!要等我一起!」所以那次為配合主委,便延後了上課時間,也因如此,連主委都積極帶頭參與教育訓練,底下同仁對課程也更展現其熱情;然而資安工作雖重要,但卻枯燥乏味,因此他們都會搭配有趣實用的課程,像是Outlook能與手機同步進行即時視訊等功能;農委會就是這樣,常透過一些趣味的實務經驗,藉此激發同仁對資安的學習興趣。

  過去農委會為修復方便,給予維修工程師最高存取權限,但卻不斷重複發生電腦中毒事件,雖然也將系統管理者帳號密碼做修改,但仍未解決;後來調查發現,管理者的密碼早已被側錄,導致問題不斷發生。農委會遂下令規定維修工程師僅能限定使用4台不連外並有還原機制的電腦,而最高權限則是萬不得已不得使用,若需利用亦須透過動態密碼產生器(One Time Password Token)進行驗證,進行雙
重的保護。

  從上述例子可知,農委會對於資安事件或系統異常行為的發生,皆秉持著追根究底的精神,鍥而不捨的尋求問題根源,這起事件的處理方式因而獲得資通會報的讚揚。除了看到資訊中心對資安工作的重視,其對問題打破砂鍋問到底的學習態度,更值得我們應用於每一項工作及處事方式。

吸取經驗 架高資安防護網

  農委會雖已獲得ISO 27001驗證,但仍舊無法完全確保資安事件不再發生,林貞表示,資安事件的發生除了是人為的不當操作,委外廠商應用程式有誤、管理出包的案例更是不計其數,尤其政府公家單位,林貞對此坦言,「的確有很多類似的案例傳出」,但她補充,由於農委會是首度導入ISO 27001,安全把關會較為嚴謹,像是委外廠商對source code的管理,以往都是開發完後,每一年再進行固定維修工作,而維修也僅是在網路上開port,由廠商進行遠端更新,然而這次協助農委會通過驗證的輔導公司卻質疑,「你怎麼知道在另一邊的不是駭客?」基於輔導單位的提醒,現在所有的維修工作都要在農委會內部進行,而跟委外廠商洽談程式開發,都必須經由第3方資安檢測,確實落實資安工作,方可上線使用。農委會不僅在這次的ISMS驗證過程中,更落實了驗證需遵守的流程制度及相關工作,亦從輔導顧問身上習得許多,更替資安工作築起一道堅固防護牆。

擴大驗證範圍 強化服務品質

  具有穩健IT架構的農委會,今年有2項重要的計畫,首先是要擴大ISO 27001驗證範圍,將把秘書、政風、人事、統計、會計、科技處等6個核心單位一同納入第2階段的驗證範圍,擴及更多使用者,並藉由這次導入資訊安全管理制度的經驗,將相關技術移轉所屬機關,藉以強化農委會及所屬機關的資訊安全,加強資訊服務品質。再者,是要將6個所屬,包括桃園區農業改良場、苖栗區農業改良場、台中區農業改良場、台東區農業改良場、特有生物中心、種苖繁殖場的Web sever及Mail sever搬到Data Center,將主機整併,導入虛擬化技術,汰換舊有設備,進行機房共用,方便統一管理並加強防禦工作,以避免可能出現的安全問題。

期盼屬下學習並不斷充實自我的哲學

  研究所主修生物統計,與IT毫無關係的林貞,因為研究所輔修Fortran,畢業後先後於內政部及主計處服務,過去主計處開設一些IT相關課程,便叫當時會寫程式的林貞去修習,因為有這段經驗,讓她懂得如何用「農」的語言去推動資訊化。她進一步指出,大學僅是培養學習的態度與精神,學校所學不見得適用於社會,而資訊發展日新月益,林貞都會告訴底下同仁,只要你的邏輯觀念強,再加上願意學習,她從不怕別人學會本領,搶過其風采。她也是個會為屬下升遷做考慮的主管,在安排同仁工作時,都會將例行工作交由委外,比如說同仁建置完成mail sever,雖會在一開始獲得獎賞,但萬一後續mail server當機就會遭到投訴,也因如此,林貞大多都要求同仁扮演專案管理的角色。

  由於全省農漁民會常有推廣活動需與農委會密切合作,但這些單位之非信用部門頂多僅建構2台電腦,許多農漁會員工都不會使用電腦,何況是農民?因此,林貞遂主動向上級爭取經費,由政府補助49%,各單位自行撥款51%,來協助344個農漁會建設網路系統。儘管上級表示那是農漁會的業務,她卻僅回答,「相不相信等到你我退休,他們仍舊只有幾台電腦存在,不會有任何進步。」在她說之以理下,這項專案歷時4年完成。當筆者好奇林貞如何讓344個農漁會願意建購網路系統,她笑談,第1年是用鼓勵農漁會跟上網路時代並跟他們說,「我們好不容易爭取到費,明年不知有沒有」?第2年則說,「已經有100多家都做了,你們要比其他單位落後嗎?」利用說話的小技巧,讓各地農漁會前來參與。農委會資訊中心同仁將這項專案完成後,便將農漁會網路之平台建置,之後發放農漁民子女獎助學金就是透過該平台,只要登入系統申請,就能即時做線上審核,約莫2~3個月的時間就將之快速發放完成,而也因建置這套網路,替日後政府電子公文的交換節省不少時間。

  常有人說上級沒交代事情,所以什麼都不能做,但林貞都會反駁,「我來農委會20多年,沒有一件事是長官交代的,都是我們主動告訴長官需要做什麼。」她更補充說道,有些單位常說沒經費沒人力,無法做事,但農委會資訊中心僅有11位IT人員,卻要服務廣大業務範圍,她認為這其實是心態問題,林貞對工作的積極與熱忱,皆是希望等她退休後,回頭一望並非一場空。

農委會經驗分享

1平時便要建構起良好IT基礎,讓驗證過程事半功倍。

2與輔導廠商有良好溝通,從輔導過程中學習資安防禦之道。

3運用有趣實用的課程,進行教育訓練,喚起同仁的資安意識。

4對資安事件的發生,積極的追根究底的找出問題根源,並想盡辦法將之解決。

5擴大驗證範圍,加強農委會對外服務品質;同時進行6所屬機構機房共用,共同使用Web sever及Mail sever。