資安長的真正挑戰
近幾年政府雖然相當重視資安推展,但是預算編列的現實問題,卻讓巧婦常難為無米之炊。早期政府的財務狀況較好時,預算編列方式是「由下而上」提出計畫,只要計畫可行就會通過、被採納;但近幾年財政狀況變差了,編審制度也隨之改變,預算編列方式改成「由上而下」—也就是額度已經先框住了,必須從這個預算裡去訂計畫。因此計畫提報的輕重緩急要自己去審慎考量,也演變成公家單位內部有個競爭機制在運行著—如何突顯你的計畫重要性?如何在有限的預算資源中分到一杯羹?
因此,在經費和人力資源捉襟見肘的狀況下,如何區分事情的先後排序及如何善用分配資源,「一塊錢當兩塊錢用」、發揮最大功效,成了現在政府部門主事者的新課題。和多數只能抱怨「預算不足,無法做事」的公家單位比較起來,劉勝東更正向地認為,「即使有了足夠的錢和人,事情就會做的好嗎?其實不然。面臨這個問題時,換個角度想,在人和錢有限的狀況下,如何做好這個工作反而是資訊主管真正的挑戰」。
主計處的資安課題
劉勝東表示,各單位資安建置時必須視該單位的經費多少、單位大小和機構性質等差異,來做不同比例的投入,投資過頭也不見得就是好。例如,財稅、軍事、警政、外交單位和一般公務機關比起來,機密性資料和個人資料的敏感性都較高,就必須做到內外網區隔防護。但以主計處來說,主要資產是稅計資料和會計統計資料等,目的是要提供外界使用,並非機密性資料,內部同仁也需要到網路上抓取業務相關的資料,就不需要做內外網區隔。因此,主計處的資安工作重點不是網路安全的問題,而是資料的儲存備援和人員平常演練的機制。
備援機制
網路發展後,線上服務的需求日益增加,主計處也逐漸注重網站的服務。去年中心開始裝設發電機、UPS不斷電系統。但由於主計處業務即時性的需求不像金融單位那麼高,預算和研究報表只要在時間內完成即可,並不需要花費大筆經費自建備援中心,在成本和需求的考量下採委外管理。中心每3個月做一次演練,相關業務人員必須和系統人員,將計算和統計作業帶到備援地重新啟動;資料則每天備份,並每星期將備份資料儲存,送到委外單位。
業務則依重要性在不同等級的server作業。例如,PC-based Server的故障機率比較高,不像大型主機幾乎無故障訊息,但相對的大型主機成本也非常高,因此就將統計業務在大型主機上作業,一般業務則在不同等級的Server上做,例如Unix Server、PC-based Server。
補漏洞
補漏洞是網路安全最基本也是最頭痛的問題,劉勝東表示,中心的主機部分是由委外公司負責維護,會固定時間送來上patch的軟體,管理上頗嚴謹,行之多年較沒什麼大問題,但內部上網的部份問題就比較多,郵件過濾的報表中常常有超過一半以上都是垃圾信件,足見垃圾信件氾濫的嚴重性,而當中帶病毒的垃圾信件更不在話下。因此,像是微軟操作系統或是一些應用軟體,如果有漏洞消息時,內部同仁就得上網抓工具,程序上也必需先檢查、過濾和測試,以避免有些新軟體和內部現有軟體相衝突;同時也需經常提醒同仁,使用IE時要做哪些軟體更新。
中心對外來嚐試入侵的行為特別加強管控,除設置監控軟體,也會定期對長官電腦掃描,避免長官的電腦被當作標的物,或是提醒十月時必須更提高警覺,中國網軍的駭客行為等。如果發現有特別喜歡到主計處來試不當行為的網站,會對此網站進行監控,或是有哪些IP常被拿來當目標進行攻擊者,就對這些IP檢視是否有漏洞等。
外部稽核
主計處電子處理資料中心的主要業務是辦理推動政府機關業務電腦化、建立資通安全通報機制、提供政府機關相關資訊、建置共通性軟體系統、辦理資訊訓練等。其中辦理推動政府機關業務電腦化的重點工作是,審議各機關學校、公營事業研究機構設置及應用電腦計畫,並與以查核、提供諮詢及協助解決困難。
查核的範圍涵蓋電腦應用概況、資訊計劃和電腦設備管理等。早期查核工作只有配合政府機關做調查,每年約抽二、三十個單位做實地查訪,查訪後再針對該單位需要改進的部分產出報告、提供改進建議。優點及共通性的問題也讓其他單位知悉,並實施相關的教育訓練、配套措施,以協助各單位改善缺失或建置新系統。主計處擔任公家單位查核的工作從民國六十幾年就開始了,目前仍是持續進行的工作。
劉勝東表示,主計處原本的查核工作其實就包括了資訊安全,但是以前的安全問題涵蓋範圍較廣,發生原因可能是程式或系統問題造成的系統當機、門禁問題、或是失火、地震、淹水等外部天災造成電腦無法運作等問題;近幾年因網路的快速發展,病毒、駭客入侵,取而代之成為網路安全棘手的新課題。因此,自2001年行政院國家資通安全會報將資通安全防護工作列為重點後,主計處的資安稽核工作開始被強化。
劉勝東表示,外部稽核工作做的相當嚴謹,項目除了BS7799涵蓋的內容外,並蒐集很多廠商內部稽核的項目來做參考增列,因此內容和BS7799相較之下有過之而無不及。團隊成員有十幾位團隊基礎,主要來自學研界和產業,加上內部兩位同仁(其中一位負責主計處本身內部的稽核業務),一次外部稽核約動員4位,組員並透過參加BS7799主導稽核員的培訓取得稽核員證書。
稽核常見缺失
受查單位一年約有40個單位,包括一般公務機關和醫院、工廠等,以A級、B級單位優先受查,通常單位會自己依安全等級分級和自我要求。劉勝東表示,這一兩年來,由於政府對資安工作的重視和宣導,公家單位對資安事件的警覺性已提高很多。
而在檢視稽核的過程中,比較常見的缺失和共通性的問題大致有以下的狀況: 密碼未按時更新或隨意張貼。
資安政策和風險評鑑未能適時重新評估。 用戶端的資安防護管理。 資料加密以及運送途中的有效監控。 備援機制和稽核員訓練不足。 委外工作的部份則常有法律問題、保密需求、雙方權責歸屬,以及廠商資安責任的稽核權和法則等問題需要再加強管理。
稽核的結果和報告,會對個案和整體性問題分別做建議。其中較特別的狀況是,民間機構的稽核報告會送到主管機關和每個部會,主管機關再針對問題進行協調和輔導。因為如果民間機構的資安做不好很容易被當作跳板,需透過主管機關來協調、進行改善。
主計處主要的責任是對受查單位提出安全問題,但是改善的「重要性」和「急迫性」則需衡量到內部資源的多寡,畢竟對受查單位來說,資安只是其整體表現的一環,因此,改善程度取決於主管機關和受查單位本身,就其整體性考量來調整,主計處無法強制規定。
結語
將近三十年的查核工作齡,劉勝東侃侃而談資安問題,流露出他多面向去思考問題的性格,以及比一般人對資安問題更超然的看法—「資安可說是不停循環、持續存在的問題。面對安全問題時以平常心看待,不需刻意隱瞞,重要的是發現問題時要即時去補救。」劉勝東也談到很多單位的理想都很高,但礙於經費問題,心有餘而力不足,很可惜。但從另一個觀點來看,主事者如何因應實際需求擬定政策方向,選擇最優先的工作,將會造成很大的影響。就如幾年前日本經濟不景氣,政府就不推大計畫,而是選擇維持現有的運作為主。
在資安推展工作上,談到主管的認知或是經費的重要性其實都不言而喻,但面對著困頓資源、無法及時改善的現實環境中,或許更重要的任務是如何把錢用在關鍵處,才是資安長的新挑戰。