觀點

國泰世華看清資安需求 平衡風險與資源

2011 / 02 / 08
吳依恂
國泰世華看清資安需求 平衡風險與資源

近十年來,金融產業的IT環境起了一些變化,章光祖談到,Y2K網路泡沫化後,也間接促成開放原始碼的盛行,國泰世華銀行的背景主要是由世華聯合商業銀行、國泰商業銀行、第七商銀、中聯信託等四家銀行近年來慢慢合併、發展而成,而最後封閉式的舊系統被慢慢汰換掉,系統主體最後則是由世華銀行的微軟開放端平台,以此為學習標竿,慢慢進行更深入的開發、整合。


▲資安的事絕對不只是IT單位的事情,業務單位如果不配合或不支援,依然會造成資安的漏洞。(左起)國泰世華銀行資訊總管理處技術支援部副理王琪錚、資訊長章光祖、系統二部丁珮智、技術支援部趙意寧。

更加彈性的系統 確實掌控 提升業務效率
由於多年前高階主管的遠見,參考到一些國外的經驗,認為未來將會走向TCP/IP的架構,在Windows 95時代就開始將一些分行系統的PC改採用開放性平台。像是應用程式開發早在10幾年前就改採用這樣的平台,於是在當時就已經讓國泰世華的網路銀行更加穩定,並且也提供多種功能,針對企業用戶提供交易平台等。在網路管理方面,甚至也針對不同的電信業者拉不同的專線分流、備援,提供穩定的網路環境,並且考慮到客戶數而有容量上的擴增。

章光祖說,國泰世華的User(由IT支援的業務或行政單位等)滿意度高,主要是因為,並不是整個系統都放在舊有的封閉式系統,部分是放在開放端平台,由於系統的開放度大約有5成到6成左右,不僅在應用程式的更新速度上較能符合需求,一些周邊設備更新也較快,這種高度客製化的結構,使得他們可以更加掌握自己的系統,獲得比較好的管理效能,不過相對來說,該公司人員就會比較需要時間磨練。一個開放式的系統可能是由很多不同廠牌或語言的工具、資料庫等組合起來,也因為如此,國泰世華針對流程、管理更加嚴謹,工具最好是要能夠整合上下游,從端末、中介平台到主機端,導入任何解決方案時都需要考量其共通性。

國泰世華銀行資訊總管理處技術支援部副理王琪錚提到,過去銀行內的系統管理軟體是一整包給你,但現在的系統主要是由各個不同的component組合,由於採用開放原始碼,所以不管是在備援、監控或是帳號密碼的控制等等,掌握性都更加的高,也由於彈性高就方便管理。

由於至少有二分之一的軟體是放在開放性平台上,所以針對這方面的危機處理也有許多經驗,甚至可以說是國內很早就開始面對到應用程式安全的單位,雖然辛苦,卻也獲得不少寶貴經驗。章光祖也提到,應用程式會是目前比較需要加強的一塊,只要是人寫的程式就會比較trick,有時候可能還會有些委外需求,每家都可能寫得不同,導致變動性比較多,所以國泰世華也一直都持續性的針對程式碼進行檢測或阻擋。

而在這種系統架構上,也會有許多hotfix必須修補,但又不能隨意的更新,有時候不動沒事,動了反而系統出問題,也因此國泰世華針對系統的變更管理有一套標準作業流程,需反覆的通過驗證才能上線。國泰世華銀行資訊總管理處技術支援部襄理趙意寧提到,假設微軟在月中的星期三發布新的hotfix,一般就會在星期五完成測試並上線,但若是PC的台數太多,也會在一個禮拜內分批佈署完畢,即使是需要到端末的大規模修補,亦會在2、3個禮拜之內完成。以國泰世華的經驗看來,仍有大約5%以下的問題,可能會在正式上線運作的時候會發生,例如一些較為專屬、特殊的驅動程式,可能會在更新與應用程式出現相容性問題,若真的在上線時發生問題,也會立即切換到備援機制,確保服務不中斷。

CIO觀點:縱深防禦達到多層防護

  前陣子,蘋果日報曾經報導過,竹科工程師踢爆多家銀行晶片金融卡的安全問題。國泰世華銀行資訊總管理處資訊長章光祖則認為,那只是實驗性質的東西,在ATM機器上是無法真正轉帳拿到錢的,在銀行的多重管控之下,即使有一個小地方較弱,其他地方也可補上,他認為資安並不能片段的來看,章光祖提出了他的資安防護概念-資安應該要用整體來看

  正由於資安無法做到百分百,同時要做防護也要做營運成本考量,所以資安工作並不是單靠某一個部份的應用程式、系統或是網路做好就可以得分,相對來說,能夠互相掩護攻防的統一性策略更為重要,而策略也需考量現實。每個人在自己的職位上都有自己的資安角度(例如網路管理、資料庫管理等),但並不是IT架構裡每個部分都要花大錢做到滴水不漏,如果在後端加強,前端就可以稍微鬆一些,兩層防護的結果依然是安全卻又能符合成本需求,在成本、人力之間作好調配,其資安工作才能獲得平衡。

  他說,所以更需要一個全行遵守的Policy原則,訂出哪些東西是一定要做,而哪些東西又是一定不能做。而通常這時候也會有稽核進來擔任內稽的角色,確保政策被有效徹底的執行。而IT是整合單位、提供支援的角色,例如不同單位就會有不同的需求,有可能是稽核單位或是業務對IT部門提出需求,而IT就負責提供完整記錄以供查核,業務單位也可能會要求一些資訊,包括是否有不合理的行為等。這些資訊的提供過去也都一直有基礎,只是現在可能要做得更細,形成一個機制,從資料分析、關聯性分析等不同需求,將這些結果有效呈現並送給需求單位。

  章光祖也認為,風險存在於何處,可以透過何種方案來保護資料,都應該要能夠提出來,如果講了,但是上層考量到成本問題,決定不做,那是上層評估後的決定。但是不提出來的話,就是IT未能達到應負的責任。此外,資安人員也應該要能夠判斷解決方案是不是真正所需要的,該做的就要做,資安推動工作就像八年抗戰一樣是持續性的,需要作什麼再往上加,不可能一口氣做到完美,必須不停的調整。



國泰世華銀行資訊總管理處資訊長章光祖認為,並不是每層防禦都要做得滴水不漏,重要的是透過多層防護的縱深防禦策略,平衡風險與資源。



個資保護因應 業務單位配合為最大需求
個資法對各產業都造成一定的影響與衝擊,銀行業自然也是嚴陣以待。面對市場上琳瑯滿目,號稱是防制資料外洩(DLP, Data Loss Prevention)的產品,章光祖說,有些產品可能符合需求20%,有些符合30%,但卻不可能去買兩、三種產品拼湊著來用,所以會比較需要能夠客製化的東西。王琪錚也認為,應該要了解自己的需求,DLP產品有些是從Gateway端為出發點,有些則是以PC端末為主,產品不見得有最好的,但重要的是要找出最適合自己的。

進一步提供Log記錄
業務單位在控管風險上面或許有自己的方法,包括列印的報表、傳票等交易風險,且通常業務單位只會看單位自己本身涉及領域的交易。但IT控管的事情卻可能是一般使用者所不一定會知道的,凡走過必留下痕跡,包括電腦或網路上的行為,比如上哪些網站?查詢哪些資料?資安應以整體來看,譬如說一個月薪四萬的人卻莫名在自己戶頭裡經手一千萬,或有些特殊的金錢往來行為,IT單位可以透過一些設定,把異常大額金錢交易的行為做出一個報表,又或者有某人一直在查詢交易,或是一直去查詢某些特定的人士,像是高級主管的資料等。再搭配上生活考核這樣的觀察,來推測這個人可能有些什麼行為。

IT單位裡一定會存在類似的資料,只是什麼人適合看?章光祖說,有些資料他也都不看,如果稽核單位提出需求,便提供記錄,但是即使是連傳輸過程中,也絕不會讓其他不相關的人看到,稽核單位有稽核的需求,IT則擔任提供者,但IT絕對不去看那些資料。

落實代理人制度 生活考核觀察異狀
王琪錚也補充,如前述,在人資單位設有生活考核的事項,平常就會請主管照看一下周遭的同事是否有異常行為。除了系統管理以外,也做到分權負責,例如做櫃檯人員不能兼當出納等。也會看看是否權責有衝突的地方,另外也有強迫休假制度,當透過代理人來承辦一些業務的時候,從中自然可以發現一些問題點,這些都落實到制度面上,系統管理員與資料庫管理人員的權限,帳號密碼都是互相獨立而分開的。秉持營運持續計劃(Business continuity planning)的精神,這個制度也對應到系統,系統會自動看這個人多久沒休假?檢視若人員不在的時候,是不是哪有些業務無法持續?王琪錚說,教育訓練是一項成本最低的卻能夠確實去做的投資,所以國泰世華也會透過教育訓練宣導,回到根本來導正一些觀念,甚至有時候也會設定專題來告訴大家,什麼事情應該要防範。甚至可透過衛星電視台,將基本原則宣導下去。

章光祖表示,要看風險在哪才把重點放在哪,也或許可以用人為的方式來降低成本,例如國泰也會寫Log Control Code來做資料流的控制,透過一些不同的格式,在系統、資料以及應用程式裡都各自有軌跡的留存、追蹤,若真的有事件發生,至少要知道問題出在哪。他認為,資安的事絕對不是IT單位的事情而已,業務單位如果不配合或不支援,結果使用者還是自己帶了電腦設備進來,或是引進不同的系統,依然會造成資安的漏洞。

結論
國泰世華是少數在早期就走向開放式平台的銀行,這也的確提供了客戶及內部使用者,更多的業務功能、更多元化的服務,同時造就了國泰世華的IT單位對於系統的彈性,以及對於自身風險的掌控度,了解自身架構及需求更有助於面對未來的資安威脅挑戰。