觀點

讓「預防」策略降低資安風險

2009 / 07 / 16
謝持恆
讓「預防」策略降低資安風險
IT設備的建置、各項專案的規劃等,皆需做好事前規劃,以降低後續可能衍生的問題發生。

  從踏入資安這個領域開始,每天都會收到各式各樣與資安有關的電子郵件,也許是未來趨勢的分析,或是產品修補程式的資訊。即便如此,還有許多需要定時瀏覽的網站,甚至是產業動態,都要花時間去關心。有人會問,你哪有那麼多時間去看這些文件,甚至還建議不要花時間去訂閱這些網站資料。其實這些訊息,都是和處理資安事件有關。資安事件,不僅是等到事情發生了之後,再來做亡羊補牢的動作。就好像我們要打流感疫苗、要勤洗手、多補充維他命C,以防止感冒的道理是一樣的。預防勝於治療,同樣的原理,也是可以用在資安上面。

資安工作需防範於未然

  從控制的角度來看,今天不論我們架設防火牆,或是實施權限控管,都是為了防止某些會影響組織業務的事件發生,以便降低風險。就控制而言,又可以分成3類,預防性控制(Preventive Controls)、偵測性控制(Detective Controls),以及矯正性控制(Corrective Controls),所謂預防性控制,就是在事件尚未發生以前,所事先採取的一些行動。舉例而言,定期舉辦員工教育訓練,就是要提高大家的認知程度,以免在不知情的狀況下導致資安事件發生。你不能因為沒有事件發生,就不舉行教育訓練,或是流於形式的簽到留記錄,像教育訓練就是屬於預防措施的一種;同樣的例子,譬如說新進人員徵試的時候,要考量應徵者過去是否有相關的經驗
以符合工作上的需要,以及在過去服務的單位是否有發生違反保密義務的行為,或是權責分工,負責程式開發的人員,就不可以自行去執行資料修改。甚至對於敏感性的資料,需要使用權限控管軟體,限制人員的使用,這些都是屬於預防性控制的一種。

  同樣的道理,對於資訊安全作業而言,不光僅是要建立上述預防性控制的相關制度而已,就資安講的預防措施,包括新科技對組織的影響,或是對組織所產生新的風險。舉個例子來說,某家廠商最近公佈了最新的產品修補程式,對於一個資安人員而言,接下來需要考量的,就是所屬單位有沒有使用到相同的產品,如果有使用到的話,那需不需要更新修補程式,或是還有其他作業需要一併配合處理的。如果要更新修補程式,會不會新版的修補程式和原有的應用系統程式不相容,如果要修改應用程式大概需要多久的時間。或者是原先舊有的漏洞,在修補程式還沒出來之前,可以加強那些現有的控管機制,這些作業都是屬於預防措施的一項。再舉個例子,今天新採購的一台伺服器,不是下了採購單,然後廠商把機器送來就結案了事,這台新的伺服器,需要安裝那些軟體,會和那些業務有關,有那些伺服器和這台新的機器相連結,需不需要調整防火牆,甚至安裝在那一個機櫃,這些都是屬於預防措施的一部份。不要以為全部都交給廠商處理就沒事了,有很多事是廠商沒辦法處理的,以前面的例子而言,不要小看放在那個機櫃這件事,我們經常會看到新機器一來,看到有機櫃空了就放上去,結果沒有考量到供電的問題,因為電力無法
負荷造成跳電,或是沒考量到散熱的問題,結果機器裝好了,卻造成機房溫度上升。不要覺得訝異,許多單位到最後的解決方案就是在機櫃前面再拉了一條延長線,然後又買了兩台電風扇算解決問題,而沒有回過頭去思考,從根本解決問題,由此可知預防作業是資安工作相當重要的一部分。

PDCA 首重事前「Plan」階段

  另外就ISMS的觀點而言,很多顧問都會談到PDCA的循環,然後把條文中第幾條到第幾條歸在計劃類,這樣就算是對PDCA循環有所交待。事實上PDCA的循環絕對不是只有年度訂一個計劃,然後全年度開了幾次管理審查會議,或是年度進行的一兩次的內稽就算是有執行。PDCA循環中的P,其實就是預防作業的延伸,每一個專案都是一個PDCA的循環,而專案的定義,也不是一定要超過多少金額,或是投入多少人天的才算是專案,即便像前述修補程式的更新,或是新採購一台伺服器,都是需要事先計劃,在計劃的過程中,要盡可能得把各種狀況都納入考量,然後依照計畫來執行,並且依照原先所規劃的,追蹤進度並加以檢核,一旦有發現偏離的現象,就要開始研議後續行動,而後續行動,往往又是另外一個計劃的開始,PDCA的循環,應該是一個動態的循環,而不是禁止不動的。

  那麼如果組織當中,都沒有任何新的專案在執行,是不是這部分就可以省略?沒有新的業務,並不是表示就不用從原有的業務中加以調整。舉例來說過去的異常事件或是資安通報,都是很好的資訊來源。這些異常事件中,是否有共同發生的原因,嘗試找出問題的根源,進而找出其他解決方案。這次異常事件說明的原因是硬體的容量不夠,另外一次的解釋是沒有確實執行清檔作業,兩件事件真的是全然沒有任何關連,或是根本沒有執行容量規劃作業,還是容量規劃作業根本沒有考慮到業務的成長,這不是單一事件可以看出端倪的,一定要將累積的資料,重新分類整理,找出可能發生的原因,再列出改善計畫,無疑的這又是另外一件預防措施的開始,由此可知預防作業在資訊安全中所佔的重要性。

  對於高階主管而言,很容易在出了資安事件以後,才開始想到資安人員,覺得資安人員只是在事後解決問題。從另一個角度,資安人員要能清楚的告訴主管,平日所執行的工作及目的,同時也是對於高階主管的一個機會教育,讓主管們知道,資訊安全不是只有做做書面文件,資安作業是需要投入許多的人力與時間在事前預防作業上。雖然執行了這些預防工作,並不表示不會有資安事件的發生,但如果沒有執行,相較之下一旦有資安事件發生時,一定對組織的影響會更大。要知道資安的作業絕對是一項無止息的工作,而每一項的預防措施,就是往前又跨了一步。