SOC建置經驗談(下) 海巡署營運成功關鍵

SOC建置除了整合現有管理系統、制度，優秀資安人才亦不可缺。

　　繼上期談述海巡署建置SOC事前規劃及5大策略方向，了解其對SOC的功能、服務、專案等需求後，知悉海巡署SOC整體規劃完整，因此共吸引10家國內外系統原廠，及整合服務商組成4個團體競標，本期將延續此議題，為您介紹海巡署SOC建置過程，做更深入的探討。

　　投標的4本服務建議書，均符合需求且具相當水準，難以取捨，所幸得標廠商願意以無償且優規方式補足原服務建議書之不足，在正式建置前提供了修正的建置計畫書，整體實體建置參考其營運大型資料中心的設計，縮小規模建置到大小約42坪的海巡署SOC，在建置過程中有部份當初無法考量週全部份，也在不增加建置費用情況下透過契約變更方式，將營運環境建置得相當良好。

　　由於僅僅150天建置期需同時進行實體建置、系統安裝、測試、人員訓練及營運流程草案交付等多項專案工作，雙方專案團隊需要持續監控專案進度及品質，在實體設施建置的同時，雙方即就海巡署網路架構及預定監控點設置進行分析及資料蒐集，由廠商的系統建置團隊，先行架設Lab（測試環境）於vender site，測試整體系統平台運作機制，後於本署SOC實體環境建置完成後，即大幅縮短上線調整時間。本署SOC防護監控人員也先至測試環境實施一系列操作及資安專業訓練。

　　在整體SOC建置完成後驗收之前，合約規範在實體安全部分需由第三方驗證公司就ISO/IEC27001:2005附錄A.9部分實施驗證通過，並實施1個月的試營運及攻防演練，以確定整體系統功能及營運流程是否符合需求，並將系統適度調校，以降低事件誤警率及將事故處理及維運流程合理化，並將結果納入驗收交付標的。

　　確立職責 有效整合管理系統一般企業或政府組織建置SOC最大的迷思，大都以為建置SOC機房或是SIEM平台，SOC就可以順利營運，而忽略實際營運所面臨的情境，供應商甚至把SIEM系統平台上架到政府共同供應契約採購網站上供政府機構下單，如果在沒有專業顧問服務與買方沒有妥善共同規劃後續營運模式情形下，很容易導致SOC根本無法運作，造成投資浪費。

　　由於在規劃階段，海巡署就己經注意到此一議題重要性，不僅是行政院主計處電算中心、外部委員及內部相關部門都相當關切，就一個成熟的應用系統必須在People、Process及Technology等三個面向都要到位，而海巡署SOC建置完成也只完成其中之一。

　　在這項建置案中我們希望能將廠商營運SOC的流程技轉給我們，但由交付的草案中發現，由於基於不同組織文化及設置的目的不同（廠商服務為代客戶監控），並無法直接套用，為了有效整合現有組織管理系統、ISMS管理框架及事件回應與事故處理的營運需求，必須先規劃出SOC的組織架構，以明確角色與職責(Roles and Responsibility)，發展SOC的維運組織及標準作業程序(SOP)，在設計組織圖上層為管理階層，由資訊安全長（業管資安常務副署長）督導，由通電資訊處處長兼任中心主任，下層為執行階層區分「防護監控組」及「支援組」，防護監控組（內部三線防護監控人力）由海巡署通電資訊處資通安全科（二、三線）與海岸總局通資大隊第1中隊資安區隊（一線）編成，負責資安事件預防、監控及通報，支援組由
通資處各科、所屬機關資訊人員及委外服務廠商，負責接受通報處理資安事件或主動通報可疑事件給防護監控組。

　　整體管理系統以遵循本署ISMS框架，共用適用全組織一般性四階文件，僅在以SOC事故處理及維運管理等2份二階作業程序書為核心，發展專屬SOC的三階文件及四階表單，計有53種。由具有ISMS及ITIL導入實務經驗資深顧問協助，於每週3定期與海巡署資安團隊共同作業，由資產清點、風險評鑑、風險處理、營運持續計畫、演練到整個營運制度建置，將由廠商技轉的SOP與本署管理系統緊密結合，尤其在事故管理程序書中，以ITIL、PMBOK中推薦的ARCI(Accountability, Responsibility, Consult, Inform)作為角色與職責劃分的工具，並將內部資安事故處理程序與國家資通安全會報規範的資安事件通報應變程序，相互連結，並在營運過程中不斷檢討修正。

培養專才 訓練緊急應變能力

　　優質的資安人力是SOC營運的關鍵成功因素，除了必要系統平台操作訓練外，也為長期培養自有二、三線人力，規劃一系列由基礎到進階的證照訓練如CCNA、MCSE、LPI I &II、CCNP、CEH、ISO27001 LA、CISA、CISM、CISSP等證照課程：

　　並適時依資安威脅發展派員參加最新資安產品、學術、駭客技術等類型研討會，促使資安團隊成員技術能力能與時俱進。

　　海巡署SOC的一線防護監控員採7（天）X24（小時）3班制輪班，二線防護監控官則由資通安全科人員兼任，採取5（天）X8（小時），每天輪值1人，非上班時間須保持on-call，俾利一線人員通報，當發現資安事件必須由一線防護監控員製作警訊通報單，再交由二線人員double check始可發出，以減少防護監控員因經驗不足而誤判，需通報各業務單位或高階長官，亦須經防護監控官審核後，以預設群組簡訊通報，同時設有116三碼資安服務專線，於海巡署內只要有疑似資安事件或資安技術問題都可透過這支專線得到協助，且全程都有錄音，可作為後續資安事件鑑識的佐證之一。

　　海巡署為強化事故處理及資安管理活動，每日由防護監控組組長（資通安全科科長）主持交接會報，由交班人員報告前一日資安事故處理概況，討論事件處理是否得宜，是否應透過變更系統設定或有無修訂資安政策之必要，並追蹤管制各機關資安事故處理效能，另由駐點維護工程師報告資安設備、系統平台維護及備份執行情形，每日擇一篇資安新聞，研討對海巡署是否有潛在風險及因應對策。

　　同時，並將事故處理情形，每週向陳主任核閱，每月月報資訊安全長核閱，並於每季由署長主持擴大署報提報資安防護管理成果報告，使各級管理階層可適時掌握海巡署資安狀況，作最適當的決策參考。

結論

　　海巡署資通安全防護管理中心歷經2年半的規劃、建置，亦順利營運6個月，並以無缺失通過ISO/IEC27001:2005第三方驗證，可以說是有一個好的開始。但海巡署的資安團隊卻無法有絲毫的懈怠，因為組織內、外的環境不斷在變化，資安威脅一直都存在，只是有SOC之後可以更容易發掘，透過設定KPI的方式不斷去量測，現有資安防護管理機制是否持續有效及有效率，是一個持續不斷的改善過程，仍然有賴高階主管對資安認知與支持，SOC絕不是資安的終極武器，而是一個整合性的資安維運平台，最重要的仍是資安專業人力的持續進用及培養，唯有緊追駭客或惡意人士的攻擊手法發展，持續精進防護架構及動員使用者全員防護意識，充分運用良好的資安架構及管理系統，方能有效降低不同時期資安威脅所帶來風險，期待未來能與國內學術界及其他SOC進行技術及管理經驗交流，強化海巡署SOC之不足，共同創建國家資安聯防體系。