觀點

中央氣象局資安首務準確預報、持續運作

2009 / 07 / 22
吳依恂
中央氣象局資安首務準確預報、持續運作
氣象資訊對一個國家來說是相當重要且不可或缺的,其仰賴科技程度也相當高,正因如此,營運持續且資訊正確更是氣象局對資安最大的需求。

  中央氣象局迥異於其他公家機關的地方是,它是一個技術含量相當高的機關,由於該機關主要業務為氣象測報,包括氣象、海象、地震等的監測或報告。而這些監測資訊的收集、處理與分析都必須倚靠各該領域的專門技術來達成,中央氣象局氣象資訊中心副主任程家平說,氣象局內多數是專門技術職系的人員,一般行政人員在氣象局算是少數。

營運持續 準確預報

  中央氣象局的技術專業人力組成有很高的比例都為高學歷,程家平說,氣象局專業技術碩士以上學歷的人員約佔1/3。他認為,這在推動資安上是比較容易的,由於溝通多可透過邏輯思考,理解問題產生的癥結點,同時也因為需要收集處理的資料量非常龐大,有些更有24小時即時作業的需求,不可能都用人來處理,因此有許多業務需要運用電腦來大量自動化。他說,中央氣象局相當重視資安裡的「I」及「A」,也就是資訊的完整性(Integrity)與可用性(Avalbility),除了預報的準確度以外,也必須要確保相關測報產品能依需要的時間產出或提供,以及資料內容的正確性與不遭竄改,因此相關應用系統需要有相當的強固性,不可太容易就當機或是出問題,否則業務便無法持續運作或造成資料不正常的情形。在所有作業流的每個動作當中,都會透過通訊協定確保資訊的正確,在自行開發的系統裡也都帶有監控機制,除了24小時的錯誤自動回報之外,還有局部自動復原的能力。除此之外,像是可供民眾下載的電子資料服務,該電子檔都帶有簽章,確保資料正確無誤。也因為資訊作業與業務作業息息相關,因此同仁們都有所體認,還算蠻配合執行相關防護措施的,他認為使用者認同是相當難得的事。

  程家平說,氣象資訊應用的最終出口是提供給民眾的服務,也有相當多的政府單位,運用氣象資訊來做資源調度的規劃,包括交通、農業、水資源和健康等,中央氣象局的相關預報產品,可以提供民眾基本的資訊作判斷。他舉例,例如說今年夏天若某些地區比較溫濕,則登革熱可能會比較嚴重,因此要加強預防。跟其他國家相比之下,台灣在氣象資訊的應用上並不是那麼成熟,例如依據美國氣象局(NWS)的報告,美國商業氣象的服務的直接收益每年約有5億美金,相較起來,由於台灣中小企業較多,較缺乏如何將氣象資訊轉化為商業利益的概念,尚有許多成長空間。目前在台灣應用氣象資訊於商業的例子像是統一集團,夏天只要溫度多一度,可能就會造成飲品銷售的差異性,商品上架要上多少?上些什麼?這些大架構的企業就比較懂得利用氣象資訊做資源規劃,以達成經濟效益。其他還有像是成衣廠,可以運用長期氣象資訊評估冬衣製造的厚薄度或數量,減少成本及庫存;冷氣機的製造,規劃需有多少的產量等等商業運用。

  在氣象局每個預報員的預報都透過校驗系統來評分,不能掉以輕心,今天預報的天氣明天馬上就知道報得好不好,他說,一般人可能無法理解,但是對氣象局的人員來說,最重要就是要報的準,預報準確度是一個相當重要的業務工作指標,若不能更精準、進步,就沒有達到氣象局的作用,目前科學能力上能掌握的資料及原理,可運用數學、物理及電腦計算來做客觀的預報,而剩下科學所不能及的部份,便需要透過預報人員的主觀經驗來加以引申和詮釋。過去的主觀預報,頂多只能預報未來1~2天的天氣,然而從50年代開始,客觀的數值天氣預報(NWP, Numerical Weather Prediction)方法因電腦的進步得以蓬勃發展,目前世界上各大氣象作業中心也都採用數值預報的客觀結果來輔助預報人員進行5~7天的實際天氣預報,這也是全球公認,未來能做比較長期天氣預報的最可能出路。

  由此可知,氣象資訊是如此具有價值的資訊,也難怪氣象局的資安業務重點是在於營運不中斷以及資訊分享的可得性,程家平說如果資安做不好也會直接威脅到業務,這更是氣象局重視資安的重要原因之一。

以宣導教育為主要目標的稽核

  由於氣象局機關副首長的支持,每年初氣象局都會召開年度的資安執行計畫工作會議,清楚明確的規劃出每年的資安工作重點,由於有明確的任務及方向,因此資通安全工作小組都很清楚應該要做什麼事情。中央氣象局的資通安全工作小組,可分作推動分組及工作分組,推動分組主要由各單位的主管組成,考慮並且安排資安資源,使得事情得以順利執行,而工作分組則是由單位裡的選派成員組成,擔任單位資安事務的窗口,並給予加強的訓練,可以說是單位裡的資安小老師。

  維運數值預報作業是氣象資訊中心的重要任務,因為做數值天氣預報要運用到許多的電腦資訊科技,因此是氣象局裡面唯一有資訊專職人員的單位,而其他單位則大多是氣象專業人員兼任資訊工作。也因此,氣象資訊中心以數值預報機房的作業為範圍在08年3月通過了ISO 27001驗證,其中包括了數值天氣預報系統、天氣整合查詢系統(WINS,Weather Integration & Nowcasting System)及氣象服務系統等3大核心應用系統,WINS系統目前是氣象預報人員最主要的作業資訊整合查詢輔助工具,同時也提供給15個氣象相關政府及學研機構使用。在預報作業之外,同等重要的是氣象局的網頁服務,目前一天至少有30萬人次瀏覽,一年則超過1億人次的流量,在劇烈天氣來臨時每天需提供300萬人次以上的流量,因此網頁的可用性也是相當重要的。

  但其實早在正式導入ISMS之前,氣象資訊中心就已經有許多的作業管控制度,由於業務本身就有這樣的需求,所以發展了包括軟體發展規範、作業上線規範、系統備援規範等,這些規範是就實務面來推動資安工作,主要是考量對業務層面具有重大影響的部份,這是基於有限人力資源成本的考量,程家平坦率的說,ISO 27001只是就資訊安全的角度,把相關的控管要求以一個架構整合在一起變成一個驗證標準,其實若不是為了配合政府整體政策的推動,並不會主動去拿驗證。當然ISMS的導入可將過去已有的點與片段從架構面整體串接起來,也有其積極的意義。過去氣象局的做法,從架構面來看會不夠嚴密且完整性也不足,因為驗證標準有一個嚴密的架構,需要有相當的經驗來銜接,借用顧問公司的經驗,可較有效率的通過「驗證」,不過最重要的還是要自己檢討,導入ISMS甚或通ISO27001後,自己的「安全」究竟是否真能有效的增進,作業的持續性及服務水準是否真能確保。

  推行ISMS,除了有外部的稽核,局裡面的稽核分組,是資安小組的一部分,由政風及資訊中心來主導,並由各單位選派的資安人員訓練組成,程家平說,氣象局的內部稽核人員不只是做稽核而已,雖然也會評分,但還肩負了宣導教育的任務,要協助單位瞭解資安條文的意義及實務面可能的做法,是以服務性質居多,若作業流程不符條文就會看該單位為什麼不符合?並告知應怎樣做才會符合?因此,稽核對作業單位的運作而言是可以實質幫忙協助解決問題的。

  氣象資訊中心除了導入ISMS,自去年8月,也開始進行資安監控中心(SOC, Security Operation Center)的建置,如今是在試營運階段,其作業模式是在全自建與全委外間尋找最符合單位效益的平衡點,目前是協同維運偏向委外,由於本身有24小時操作人員,終極目標是協同維運偏向自行辦理,但程家平表示,無論如何,第3線人員都會進行委外,由於第3線的主要工作是較為繁複、技術門檻較高,發現新的弱點、攻擊,甚至是進行鑑識,處理及面對最新的資安威脅,發現問題的源頭,他認為以氣象局的維運規模,第3線自維所要花費的人力成本並不符合效益。他表示,建置SOC最主要目標是提升效率,過去各類資安事件發生時,要一台一台查機器,現在可以很快知道是哪裡出了問題,不過由於仍在建置當中,誤判率還很高,正在逐步微調當中,現在為止的成果都符合預期。

努力方向

  程家平說ISMS的導入在局本部已經趨於成熟,所以今年推動的重要目標之一,便是將ISMS持續推廣到地方氣象站,氣象局在全國共有27個地方氣象站,就如同氣象局的手腳般,收集地方各式氣象資料與提供各式氣象服務,但因為業務形式、人力與設備等較不足,所以在資安的推動方面需配以較簡易的程序,並需要許多的輔導、教育訓練,以及提供相關工具給他們。

  最底層的氣象產品資訊的使用者當然是一般民眾,而氣象局總部不僅負責預報天氣、製作預報產品,也幫地方站建置測報作業系統,但地方氣象站的同仁比較像是測報作業系統的使用者,雖然會操作操作氣象儀器、分析氣象資料、產出測報產品,但較不知道系統內部的運作流程,系統有問題時也就較不知該如何較有效率的處置。更由於各地皆是純氣象背景的工作人員,遇到年紀較長的人員,在技術面也較無法處理,這牽涉到了運用資訊科技的基本能力問題,自然會影響到整體資安防禦能力。

  此外,還有屬於資安認知的問題,有些人會認為資安就是資訊人員的事情,「我又不懂電腦,這是你們的事,跟我有什麼關係?!」程家平說,人員的資安防護意識要是沒有提升,不管技術或設備再怎麼好都防不勝防。例如像社交工程或問題網站的威脅是針對個人,遇到零時差攻擊,資安防護意識不足就很容易出問題。他認為這只有透過組織架構的力量來逐步改善,持續的訓練加上單位主管的加強溝通,一關卡一關,透過一次又一次的循循善誘、曉以大義,讓相關人員瞭解最後受害還的是自己,才能提高防護的力量。

  設備面或技術面都只占了資安防禦的3成,制度面的落實才是較大塊的70%,如USB隨身碟不可隨便使用、不可將辦公室電腦與家中電腦混用、作業系統或病毒碼要定時更新等,都屬於制度面的控管。氣象局每年至少也都會辦理1至2次的區域訓練,將北、南、東3個區域的氣象站集中,進行3天的資安制度、技術與程序的訓練課程,並再透過稽核來加強落實度。主計處公佈的稽核條例有200多條,但由於地方氣象站的作業型態比台北總部單純很多,有很多的狀況不會發生,因此精簡了100條來做作業稽核,每年再抽1/4的站進行稽核。除了加強地方的教育宣導之外,也透過制度面措施來補強資安防護行為,再協助設計地方氣象站適用的標準作業程序。

  但是他強調,任何的制度設計,都需要謹慎考慮制度設計之初所希望達到的的原始管理目標,是否有可能因制度設計的缺陷而崩解的危險,並需具有隨時間或外在環境而變的彈性調整空間,另有檢討調整的機制,要不然僵化的典章制度走到最後只有死路一條。(見左欄)他認為依據單位資安風險評鑑的結果,做適型化的資安管理制度設計,也是資安工作能落實執行的成功要素。

結論

  在資安的領域裡,並不是阻止了病毒及駭客威脅等入侵事件,防止了資料洩漏,就完成了資訊安全的防護,確保系統的正常運作並且持續不中斷的服務也是資安的重要目標,政府營運性質往往都是關乎重要民生,投入眾多資源為民服務,做企業不做或無法做的事業,雖說營運持續是非常基礎的需求,但依氣象局的業務性質來看,氣象資料基本上是公開資訊,但卻需要24小時不間斷的運作並及時提供,其資訊完整性及可用性的比重更甚於機敏性的保護需求。「預報不夠準確,不能適時提供,氣象局就失去了存在的價值」程家平慎重的說。

中央氣象局經驗分享

1最重要的是,導入I S M S「安全」是否有效增進,作業的持續性及服務水準是否真能確保。

2氣象局的內稽不只是做稽核而已,還肩負宣導教育任務,因此稽核對作業單位的運作而言是可以實質幫忙協助解決問題的。

3唯有透過組織架構的力量來逐步改善,持續的訓練加上單位主管的加強溝通,讓相關人員瞭解最後受害還的是自己,才能提高防護的力量。

4任何的制度設計,都需要謹慎考慮原始管理目標,是否有缺陷,並需具有彈性調整空間,要不然僵化的典章制度走到最後只有死路一條。

管理僵化引資安疑慮

  曾有一名負責資安的同仁A依該站規定,在電腦上裝了「還原軟體」,以便同仁於電腦上安裝非法軟體後,於重開機時可自動清除還原,但另一名同仁B為了業務需求安裝了某業務用軟體,卻於重開機後遭到刪除,而認為同仁A的資安措施是「干擾業務執行」,但同仁A認為他是依據單位的資安規定執行,兩人各持己見僵持不下,卻沒有想到是制度設計上有缺陷。在這個案例只要把規定內的「非法軟體」改為「未經申用軟體」,並規定申用軟體安裝後應重新設定「還原點」即可;當然也可把使用「還原軟體」的制度,改為特定使用者才可安裝軟體的權限控管方式;其實也還有其它多種方案可控管未經授權使用軟體的安裝。究竟何者最適用?其實只要可達到目的,且單位內大家都同意落實遵守就好。然而,這是資安問題嗎?這其實是個管理僵化的問題,而導致原本應成為業務助力的資安制度反而成為業務阻力。