資安是企業競爭優勢必備要件

企業經營團隊經常在苦思的問題是如何增加企業的競爭優勢，在這問題的背後，涵蓋了許多層面，我們認為資安是現代企業強化競爭優勢的必要條件。

　　資訊科技的應用逐漸成為企業營運骨幹的今日，面臨現今多變的環境及持續增修的法規，資訊安全全面提升到企業營運無法忽視的基礎核心角色，資安已成為現代企業強化競爭優勢的必要條件，其中包含必須先了解整個資安威脅的演進、清楚的知道資安要保護的是那些企業的核心資產，如何透過有效的計劃、演練、驗證，讓企業的營運可以在IT的基礎上順暢運作，將核心能力發揮為競爭優勢。其次，企業也應該適時的掌握資安趨勢，在佈建及規劃時才不致於走偏了方向；來到了實作面，IT人員一定有添購了一堆的安全設備，卻仍有無法將安全做到滴水不漏的疑慮，所以除了掌握大環境中的趨勢，該如何將錢花在刀口上，就必須了解有什麼現實環境的威脅正在侵蝕著企業的經營命脈。

　　企業主必須知道，保護企業核心必須仰賴企業所有員工。企業在投入資訊安全建置及規劃時，大部份的執行者仍以IT人員為主，相信他們在面對上級及一般使用者時，一定有滿腹的心酸血淚。良好的溝通技巧就成為IT人員必備的工作技能，而身為企業IT的核心人物－CIO/CSO如何在做好防禦外也要有善於經營管理的學問。

企業該知道的資安趨勢

　　自美國歷經了911恐怖攻擊、安隆案的爆發， 及美國沙賓法案（Sarbanes-Oxley Act）公佈施行後，對安全的要求已有了重大的轉變，安全的議題已延燒到全世界。國內企業在面臨這樣的轉變時，應該要知道那些資安的趨勢？其實國內遇到
資安的問題，最重要是「Trust」的議題，如何讓客戶信任，簡單來說就是要遵循客戶的要求，而這些要求通常被簡化成國際標準，然重點是這些標準轉化成政策時，該如何落實，則要仰賴一些建置及規劃，這些建置在實施時就要有趨勢性，以免企業走到錯誤的方向。

　　根據勤業眾信針對企業2006年五大資訊安全投資的調查中指出，以法規遵循的投資最高，超過60%。且這樣的需求已慢慢的從美洲、歐洲，擴及亞洲。舉例來說，很多金融相關產業都會被Visa及Master稽核、高科技產業等這些處於供應鏈上游的大廠，對法規遵循的需求同樣增加。而基礎架構的建置(Infrastructure Improvement)方面，如是否能因應新科技的產生，也有40%左右；最後是防內賊的身份認證管理。近期電腦發展的趨勢已從Server端來到Client端，而威脅也從Client端漫延到Server端了，其中也包含基礎架構建置不良的因素。

　　美國內部稽核協會(IAA)的調查中也指出，美國許多跨國際的大型企業，名列第一項要遵循的法案為SOX(沙賓法案)，其多講到內控的遵行，有1/3的部份都與電腦安全相關。根據調查，有41%的企業都認為資訊安全是其中最弱的一環，委外的安全包含在內。因此許多企業會花許多時間及精力將整個供應鏈的資訊安全整併一遍。所以國內許多下游廠商會被要求在短時間內完成整個安全的建置。因此網路安全及系統安全變得非常重要，除此之外，還要能不斷的提昇維持一定的水平。

　　跨國企業因應法規要求來稽核其供應鏈下游的廠商，而稽核的項目已不再只是侷限在製造品質的要求，已走向加強營運品質上，例如歐系國家會有BS7799，美系的國家沙賓法案等，而這些法規都有一些共同點，即資料的機密性、可用性及完整性，要到達一定的水準，需要一些建置及工具協助維運。根據統計，國內約有20~30%的中小企業正面臨這樣的挑戰。另外，資訊科技的便利也帶來一些負面的力量，例如VoIP、IM、P2P等技術，這些都是洩露營運機密最大的挑戰，很多人都認為應該在Client端來解決，其實最終的解決方式應該在基礎架構。在導入整個資訊安全的政策時，很多項目對於安全從事人員的確在執行上會有一些困難。必須審慎去評估建置以符合安全建設。

　　身為資訊安全的主管，如何找到安全競爭力，必須針對弱點來佈建，但我們發現，現在駭客工具被普遍利用，不需要太多的技術背景即可以成為駭客，據了解，許多攻擊都只是蓄意好玩，但卻還是會造成生產力下降，甚至是資料被破壞。要如何解決？首先要有很好的控制環境，即要有整體的策略及佈建；接下來要能做好的風險評估。不需要去背誦所有的安全條款，只要知道最需要保護的重要資產是什麼。從企業營運面開始看，即使是非常大型的企業仍沒有足夠的成本來作全面滴水不漏的保護，因此找出重要應受保護的資產是很重要的。

　　安全設備再好，也要有足夠的運作能力來做，許多上游的廠商來稽核下游廠商，多只會關心下游廠商如何正確做到安全政策的制訂，及記錄。資訊安全範圍之大，沒有任何的法令會要求做到百分之百，但重要的是要能辨識出最重要的部份，用長期性策略的方式來佈建公司資訊安全內容。如何達到一般的水準及持續不斷的改進，其實簡單來說就是要不斷的檢視自己的缺失，如何發現，小到長期LOG異常的取存行為，大到系統被竄改，其實上游的大廠並不在意是否有異常發生，在意的是異常發生時是否被發現？是否能處理？

　　最後，政策及安全指標，必須被量化，由政府資訊安全長訂定指標，進而推動成為全國性的活動。好的推動要從策略面到科技面，了解企業特別的文化及其成熟度不同，像是金融業就較成熟，而一般企業的資源有限，所以不需要一次完成，可逐次完成。最重要的還是要能辨識風險，然後監控並管理它。建議從認知開始到政策、佈建解決方法，到最後安全機制，不斷的進行稽核及回報。

　　網路犯罪對企業造成的影響根據調查，目前植入惡意木馬(後門)程式的手法排名，BLOG目前已經竄升到第一位，不管是國內還是國際上，BLOG儼然成為全民運動，但卻也成為散播惡意程式的溫床，企業應該開始思考其解決方案，除此之外，MSN、電子郵件也同樣並列。接下來是瀏覽網頁、P2P、免費軟體、線上遊戲等，而駭客入侵已落到第六位，但仍以入侵Server為大宗；最後是檔案分享。

　　現今企業的網路依存度高，尤其是金融機構已發現入侵後綁架電腦或資料被勒贖的情況發生。而且還發現已有企業的資料庫遭加密，使其無法使用後進行勒贖，目前這樣的案件還無法偵破，主要是因為很多駭客都是來自大陸地區，另外，警方無法取得更深一層的資料來追蹤破案也是主因。這樣的事件造成的損害是非常的嚴重，通常受害者只能付錢了事。除了發現很多大陸駭客外，同時還發現部份事件是台灣人委託大陸駭客，從網路盜寶到入侵政府、企業等情事。但政府目前在面對這方面事件時，仍力有未逮，因此積極希望能和大陸建立管道來扼止這種情形。

　　要如何解決呢？一定要有專職的資安人員來負責公司的資訊安全，定期巡邏、尋找漏洞，建立完整的軟硬體資安防線、記錄完整的log，在什麼時間做了什麼事情，所有的動作都要記錄起來，屆時即使發生事件也能有完整的線索追蹤；另外，要爭取被入侵的時間，設立陷阱，引蛇出洞，企業用戶更要學會自保；建立斷線及備援的機制，發現入侵之後一定要在短時間內先斷線。尤其現在惡意程式客製化的程度，已非亂槍打鳥，完全針對受害者設計，其精準程度令人防不慎防。

　　另外， 企業內部的網路芳鄰未設密碼、企業IT人員未發現IP異常，亦未分析對外的網路流量、沒有使用分段網路等，一旦其中一個使用者中毒，即全部中獎；未使用防火牆阻擋對外異常連線，或建置系統驗收後，未將預設密碼刪掉；使用者密碼慎選，至少設定六位數以上避免單一使用英文字母或數字；備份資料及備援系統之安全，對公司內賊及針對維護廠商與委外建檔公司加強防制作為。另外，網站主機應與內部資料庫切離、公司要定期稽核等，都是所有企業資訊人員該注意的並做有防範措施。

如何做好資安官

　　根據2006年Gartner的全球資訊安全調查顯示，企業資訊安全被分成，完全忽略、認知、矯正及作業完備等四個階段。從中可發現，大多數的企業在推動資訊安全的議題時，大部份面臨的問題都是缺乏上司的支持，通常企業對資訊安全最有認知的部門多是資訊部門，但其能做的往往有限，如因授權不當而導致資料外洩或進行網路監控等都牽涉到公司政策問題，資訊操作部門往往落得裡外不是人的窘境。因此資訊人員的溝通技巧就顯得格外重要了，尤其身為資訊部門的核心人物－CIO/CSO。

　　首先，如何向上溝通一直是IT人員最頭痛的問題，老闆聽不懂IT人員的機器語言，而IT人員不懂如何講商業語言；告訴老闆要裝防火牆、IPS/IDS防禦威脅，不如直接告訴老闆如果出事情會造成龐大企業損失，站在老闆的角度來說老闆懂的語言才是王道。要如何說服老闆採納建言呢？其實與老闆溝通可說是一門哲學與藝術，把這個過程當作是打仗般，做充份的準備。懂得如何說故事，巧妙的善用所有的真實事件加以佐證也是撇步之一，清楚挑明會受到的損害，除此之外，還要能善用同行發生的事件，尤其以公司主要競爭對手收效最佳，並趁機對老闆做機會教育。還有要記得老闆的時間是很寶貴的，必須在開宗明義就挑明主題，不可繞了一大圈還說不到重點。最重要的還要有QBQ精神－對老闆提出問題時，一定要先幫老闆找出答案；光是說服老闆不夠，還必須能幫老闆搞定問題，並考量問題的全貌及影響。向上「溝通」的不二法門，除讓老闆明白法令強制外，還要顧及老闆的面子及公司信譽，要培養說故事的能力，還要幫老闆想好所有問題的對策。還有很重要的一點－資安意識的養成不能侷限在主管，必須擴大到全公司。

　　懂得溝通的撇步之後，找資源也是一件棘手的事，如何爭取足夠的資源支持，CIO/CSO要學會從策略開始著手。資訊預算逐年降低，遑論要增加資安預算，如何將錢花在刀口上便成重要課題。預算如何編列，有個小技巧，可以從損失來看，企業控制損失的能力在那？若失控會有多少損失，清楚羅列之後，再來決定該投入多少錢預防損失。向老闆爭取預算時，一定要從老闆感興趣的話題切入，最好能與企業經營有關，清楚告知投資報酬率與效益。要切記，預算和財務部門相關，與CFO溝通最好的法則就是學會詳列預算內容，善加引用數據，創造彼此的信任感，懂得商務語言，才能替屬下找到資源。

　　前面提到，資安認知不能只侷限在老闆或上級，更應該擴展到全公司，然「人」一向是最無法掌控的變數，要如何讓資安認知擴及全公司員工呢？教育訓練及政策推動顯得重要。讓員工參與訂出共同目標是最有效的方式，並協助解決員工的問題，還必須要了解各部門的業務目標互利互助。除此之外還要訂下規範，列出
資產重要性順序，並做好基礎建設，最好能利用實例示範，深度提醒、協助IT人員；最重要的對於事件反應及應變措施也必須完善。引起共鳴也不失為一個好方法，讓各部門體認風險是共同的責任。資安策略的架構要簡化，並建立溝通、稽核管道及行為倫理的準則。要做資安不能沒有計劃、不能不會度量、更不能不會管理。

結論

　　人們仰賴科技的程度日深，資訊科技變成了企業競爭力的核心，而資訊安全也被提升到企業的核心。資訊安全環境整體的規劃可以分成程序、技術及人三大塊來看，簡單來說就是要有標準的程序、適當的工具及技術、人員的訓練等。了解什麼標準才是符合潮流；外面充斥的威脅有什麼，該用什麼技術及工具防範；如何透過教育訓練及政策規劃解決「人」的問題。要營造企業的安全文化，必須了解資訊安全不是口號，也不只是把機器安裝上即可。資安必須從心理建設開始，將資安認知擺在最重要的位置，資訊安全才會受到重視。