歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
讓「預防」策略降低資安風險
2009 / 07 / 16
謝持恆
IT設備的建置、各項專案的規劃等,皆需做好事前規劃,以降低後續可能衍生的問題發生。
從踏入資安這個領域開始,每天都會收到各式各樣與資安有關的電子郵件,也許是未來趨勢的分析,或是產品修補程式的資訊。即便如此,還有許多需要定時瀏覽的網站,甚至是產業動態,都要花時間去關心。有人會問,你哪有那麼多時間去看這些文件,甚至還建議不要花時間去訂閱這些網站資料。其實這些訊息,都是和處理資安事件有關。資安事件,不僅是等到事情發生了之後,再來做亡羊補牢的動作。就好像我們要打流感疫苗、要勤洗手、多補充維他命C,以防止感冒的道理是一樣的。預防勝於治療,同樣的原理,也是可以用在資安上面。
資安工作需防範於未然
從控制的角度來看,今天不論我們架設防火牆,或是實施權限控管,都是為了防止某些會影響組織業務的事件發生,以便降低風險。就控制而言,又可以分成3類,預防性控制(Preventive Controls)、偵測性控制(Detective Controls),以及矯正性控制(Corrective Controls),所謂預防性控制,就是在事件尚未發生以前,所事先採取的一些行動。舉例而言,定期舉辦員工教育訓練,就是要提高大家的認知程度,以免在不知情的狀況下導致資安事件發生。你不能因為沒有事件發生,就不舉行教育訓練,或是流於形式的簽到留記錄,像教育訓練就是屬於預防措施的一種;同樣的例子,譬如說新進人員徵試的時候,要考量應徵者過去是否有相關的經驗
以符合工作上的需要,以及在過去服務的單位是否有發生違反保密義務的行為,或是權責分工,負責程式開發的人員,就不可以自行去執行資料修改。甚至對於敏感性的資料,需要使用權限控管軟體,限制人員的使用,這些都是屬於預防性控制的一種。
同樣的道理,對於資訊安全作業而言,不光僅是要建立上述預防性控制的相關制度而已,就資安講的預防措施,包括新科技對組織的影響,或是對組織所產生新的風險。舉個例子來說,某家廠商最近公佈了最新的產品修補程式,對於一個資安人員而言,接下來需要考量的,就是所屬單位有沒有使用到相同的產品,如果有使用到的話,那需不需要更新修補程式,或是還有其他作業需要一併配合處理的。如果要更新修補程式,會不會新版的修補程式和原有的應用系統程式不相容,如果要修改應用程式大概需要多久的時間。或者是原先舊有的漏洞,在修補程式還沒出來之前,可以加強那些現有的控管機制,這些作業都是屬於預防措施的一項。再舉個例子,今天新採購的一台伺服器,不是下了採購單,然後廠商把機器送來就結案了事,這台新的伺服器,需要安裝那些軟體,會和那些業務有關,有那些伺服器和這台新的機器相連結,需不需要調整防火牆,甚至安裝在那一個機櫃,這些都是屬於預防措施的一部份。不要以為全部都交給廠商處理就沒事了,有很多事是廠商沒辦法處理的,以前面的例子而言,不要小看放在那個機櫃這件事,我們經常會看到新機器一來,看到有機櫃空了就放上去,結果沒有考量到供電的問題,因為電力無法
負荷造成跳電,或是沒考量到散熱的問題,結果機器裝好了,卻造成機房溫度上升。不要覺得訝異,許多單位到最後的解決方案就是在機櫃前面再拉了一條延長線,然後又買了兩台電風扇算解決問題,而沒有回過頭去思考,從根本解決問題,由此可知預防作業是資安工作相當重要的一部分。
PDCA 首重事前「Plan」階段
另外就ISMS的觀點而言,很多顧問都會談到PDCA的循環,然後把條文中第幾條到第幾條歸在計劃類,這樣就算是對PDCA循環有所交待。事實上PDCA的循環絕對不是只有年度訂一個計劃,然後全年度開了幾次管理審查會議,或是年度進行的一兩次的內稽就算是有執行。PDCA循環中的P,其實就是預防作業的延伸,每一個專案都是一個PDCA的循環,而專案的定義,也不是一定要超過多少金額,或是投入多少人天的才算是專案,即便像前述修補程式的更新,或是新採購一台伺服器,都是需要事先計劃,在計劃的過程中,要盡可能得把各種狀況都納入考量,然後依照計畫來執行,並且依照原先所規劃的,追蹤進度並加以檢核,一旦有發現偏離的現象,就要開始研議後續行動,而後續行動,往往又是另外一個計劃的開始,PDCA的循環,應該是一個動態的循環,而不是禁止不動的。
那麼如果組織當中,都沒有任何新的專案在執行,是不是這部分就可以省略?沒有新的業務,並不是表示就不用從原有的業務中加以調整。舉例來說過去的異常事件或是資安通報,都是很好的資訊來源。這些異常事件中,是否有共同發生的原因,嘗試找出問題的根源,進而找出其他解決方案。這次異常事件說明的原因是硬體的容量不夠,另外一次的解釋是沒有確實執行清檔作業,兩件事件真的是全然沒有任何關連,或是根本沒有執行容量規劃作業,還是容量規劃作業根本沒有考慮到業務的成長,這不是單一事件可以看出端倪的,一定要將累積的資料,重新分類整理,找出可能發生的原因,再列出改善計畫,無疑的這又是另外一件預防措施的開始,由此可知預防作業在資訊安全中所佔的重要性。
對於高階主管而言,很容易在出了資安事件以後,才開始想到資安人員,覺得資安人員只是在事後解決問題。從另一個角度,資安人員要能清楚的告訴主管,平日所執行的工作及目的,同時也是對於高階主管的一個機會教育,讓主管們知道,資訊安全不是只有做做書面文件,資安作業是需要投入許多的人力與時間在事前預防作業上。雖然執行了這些預防工作,並不表示不會有資安事件的發生,但如果沒有執行,相較之下一旦有資安事件發生時,一定對組織的影響會更大。要知道資安的作業絕對是一項無止息的工作,而每一項的預防措施,就是往前又跨了一步。
預防
教育訓練
最新活動
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
趨勢科技與Palo Alto Networks 發布多項重要安全更新
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話