網路已成現代生活不可或缺的基本配備,提供連網服務的ISP業者,其所扮演的角色也變得日趨重要,成立於2001年、隸屬日本Sony集團旗下的台灣碩網網路娛樂公司(以下簡稱台灣So-net),除了提供連網服務,也為企業客戶提供主機代管、線上金流、遊戲點數代銷等服務,客戶範圍橫跨企業與個人端,對資安的要求不僅是穩定、可用,還要保障連網客戶的個資安全。
台灣碩網網路娛樂公司 小檔案
執行長:石井隆一
成立時間:2001年
員工人數:130人
IT人力:40人
資安人力:2人
主要業務:為日本Sony集團網際網路事業So-net在台灣之分公司,致力於提供專業的ISP與ICP服務,包括光纖/ADSL寬頻連線服務、行動小額付款服務、遊戲中心點數服務、與主機代管等服務等。 |
落實Sony資安規範 自學建置ISMS
為此,台灣So-net選擇導入國際認證為資安背書,首先在2007年取得PCI-DSS認證,接著又在2010年通過ISO 27001認證,兩者皆為自行導入,不假顧問之手。
台灣So-net資訊安全部主任賴居正指出,導入PCI-DSS是為了線上金流業務的需求,至於ISO 27001資安認證,則與2008年組織調整有關,當時資訊處分成網路管理與程式開發兩大部門,並將資安人員編製在網路管理部門下,然而,資訊安全和網管、程式開發都有關聯,無論歸屬在哪一個部門,都會產生橫向溝通的問題,因此台灣So-net在2008年調整組織架構,成立資訊安全部,直接向資訊長負責。
組織位階的提昇,讓資安團隊擁有更多發揮空間,第一件做的就是建置資訊安全管理系統(ISMS)。賴居正表示,Sony集團與台灣So-net自訂的資料保護規範,與ISMS其實有許多相似之處,像是資安通報、內部稽核等規範,只差一個推動、落實的人,也因此,台灣So-net決定自行導入ISO 27001認證。
考量到公司規模、企業文化及所屬產業類型,台灣So-net捨棄傳統建立ISO制度都會採用的四階文件架構,採用較鬆散的文件規範,而將重心放在以下二點:建立以營收攸關性為基礎的風險評鑑方法,以及實質的資安管控措施。這種做法的好處在於,第一、以攸關營收損失的期望值來評鑑風險,讓部門與主管溝通應當採取的控制措施及風險承擔上,有了共同的評估依據,第二、盡量簡化繁瑣文件的要求,降低同仁間的抗拒心態。
賴居正強調,自行導入ISMS的成功關鍵,在於公司同仁的配合度,由於沒有專案時程的壓力,某些比較棘手或是需要建立管理規範的資安議題,可以等待適當時機再提出來,比較不會讓同仁有為資安增加工作負擔的感覺。舉例來說,在制定資安通報流程的時候,先把資安通報定位在障礙通報,由於台灣So-net的ISMS驗證範圍是各主力產品,若產品發生問題、故障不能使用,第一個衝擊到的是產品部門與企業營收,只要讓產品部門認知到障礙通報流程的重要性,自然願意全力配合。
一般來說,IT服務的對象是產品部門,通報流程比較單純,由值班人員告訴IT負責人就可以了,但產品部門服務的對象是客戶,產品故障的通報流程相對複雜許多,單單通知負責人還不夠,還要視不同狀況準備維修公告、公關稿、接獲客訴電話的回覆辭等。舉例來說,故障排除時間小於2小時,只要寄E-mail通知客戶就好,倘若大於2小時、且無法評估解決問題的時間,就得發出故障公告,另外還要考量到服務廣度的問題,如果是企業客戶發生問題、影響層面較大,就得事先準備客服部門的說帖。究竟在什麼狀況下該通報到哪一個層級,相關通報流程又是什麼,這些都只能透過產品部門的參與才能訂出規範。
化資安服務為營收助力
台灣So-net自行導入ISMS的成功經驗,吸引合作廠商與企業客戶的注意,紛紛提出經驗分享、甚至是協助導入的要求。台灣擁有的ISO 27001證照數量不少,但多集中在金融、政府、及醫療業,這與台灣So-net的企業客戶族群不同,其多為線上遊戲、中小型電子商務業者,他們有導入ISMS、強化資安的需求,卻沒有足夠產業案例可供參考,因此,擁有成功導入經驗、且熟悉產業的台灣So-net,自然就成為最佳顧問人選,在資安人員主動建議下,台灣So-net將ISMS顧問服務變成企業服務的一環,為企業「開源」成為另類資安績效,這也代表著資安投資ROI不再只是「零攻擊」。
|
產品開發階段 就要納入安全風險評估
前述提及,台灣So-net在導入ISMS過程中,將重心放在建立以營收攸關性為基礎的風險評鑑方法,這也讓資安、產品與程式開發三個部門能夠建立起共識,就是產品部門在規劃新產品或服務、或修改現有功能時,都必須在需求分析階段,視專案規模以及是否涉及個資,諮詢資安部門的意見,資安部門則從該產品或服務目前預計的設計方案,去評估需要哪些安控機制,而產品部門就會將該項需求列入需求規格書中,系統開發部門再依此規格書規劃需要的時程。
賴居正指出,在進行安全性評估時,通常會從以下幾點去看,像是涉及哪些資料(有沒有進行交易、有沒有真實個資)、後端介接哪些系統,再據此提出適當的建議,例如:身份驗證機制、對後端資料庫加密等等,等到產品開發完畢、通過整合測試(SIT)及使用者驗收(UAT)二項測試後,還得再交給資安部門進行安全評估時,通過後始可上線。
為此,台灣So-net曾經計劃採購源碼檢測(Code Review)解決方案,但在測試數家廠商的產品後,發現皆不符合公司需求,因而改用Web弱點掃描系統,在系統上線之前,先用這套系統進行安全評估,確認沒有已知弱點後,再由產品部門與技術部門會簽一張服務水準協議(SLA),確認該系統需要提供的系統資源、效能、資安監控機制,以及發生障礙或資安事件的通報機制,全部確認後才會正式上線。
因應新版個資法 強化資料庫安全措施
對ISP業者來說,帳務系統是最重要的資產之一,資安要求除了保護客戶個人資料的機密性外,還要兼顧帳務的正確性。台灣So-net在資料庫安全上做的第一件事,就是將資料庫獨立於Server Farm之外,系統管理員或程式開發者只能至Server存取資料,至於資料庫的存取者只有2種:AP及少部份特定人員,同時限制只能透過獨立的加密通道才能登入,降低人員直接連進資料庫的可能性,讓資料庫存取儘量控制在由AP連線存取的狀態。
資料庫存取的嚴格管控,雖然達到安全維護目的,卻也造成使用上的不方便,尤其產品部經常需要客戶資料推廣業務,此時該如何兼顧行銷需求?台灣So-net的做法是,先分析資料需求的週期,如果是定期需要產出的報表,就寫一個程式框架,由系統自動撈取資料,再放至某一台檔案伺服器上,讓產品部門的員工存取,但若是不定期的資料需求,或是需要特定條件的客戶資料,則會要求申請人提出紙本申請單,載明申請的目的、需求、及資料類型,經過內部PIM小組審核通過後,再由人工至資料庫裡撈取資料,另外,遇到存取大批客戶資料的情況時,資安部門也會在逐一了解用途後,要求AP遮蔽使用者不需要看到的個資。
除了嚴謹的存取管控機制外,隨著新版個資法通過,台灣So-net在資料庫安全上又增加了新的做法,包括將資料庫擺到更深的位置、每一個存取行為都要留下記錄、申請資料庫的表單必須留存。賴居正表示,新舊個資法的差別主要有三點:民刑事責任加重、個資交叉應用前必須先公告、及企業自負舉證責任,台灣So-net沒有個資交叉應用的問題,所要做的只是強化舉證能力,因此選擇導入資料庫監控系統,對所有資料庫存取行為加以記錄,並設定安全規則,倘若遇到異常的存取行為就能發出即時告警,嚴格保護用戶的個人資料。
台灣So-net資訊安全部主任賴居正表示,因應個資法的安全措施有:將資料庫擺到更深的位置、每一個存取行為都要留下記錄、申請資料庫的表單必須留存。
至於目前因個資法而炒熱的防制資料外洩解決方案(DLP),賴居正認為並不適合台灣So-net的資安環境。DLP雖然可以管控留在端點電腦的個資檔案,但還要考量到使用者接受度及預算問題,另一方面台灣So-net的客戶個資多為自然人個資(例如:姓名、地址、電話等),資料在黑市販售的經濟價值不高,比較不容易引人覬覦。
其實,資料外洩的管道很多,企業永遠不可能完全防守得了,與其堵住資料通道,不如去控管內容,換言之,限制檔案閱讀環境、方式、及使用行為的DRM,反而比DLP重要許多,由於檔案經過加密處理,只能在公司內部閱讀,即便外流出去,也會因為沒有解密而看不出內容。
未來資安重點:IPv6
賴居正指出,對於原本不受個資法管轄的產業而言,新法衝擊當然很大,但是台灣So-net屬於二類電信業者,本來就在電腦處理個人資料保護法的管轄範圍內,加上母集團SONY對於個人資料保護有嚴格的要求,早在2005年即要求集團成員必需建立個人資料管理(PIM)組織及落實PIM政策,因此,新法上路對台灣So-net的PIM並沒有很大的衝擊,只要持續落實原有PIM與資安政策即可。
目前,台灣So-net因應個資法的措施已經佈署得差不多,就等著個資法施行細則出爐,以決定是否需要調整資安措施與個資管理規範,未來的資安重點將會放在新一代通訊協定IPv6可能帶來的衝擊。
由於IPv4位址已經發放完畢,日後將會進入IPv4與IPv6雙軌並行的環境,台灣So-net正在測試IPv4與IPv6雙協定架構,擬在未來提供IPv6服務,而資安部門的重點工作就是如何管理IPv6架構下的資安風險,例如:部份在IPv4已經成熟的安全議題,如DNS、DNCP等,在IP v6是否會有安全風險?內部服務由IPv4轉換至IPv6可能會有哪些安全風險?之後再運用自身的轉換經驗,協助資料中心客戶進行IPv4與IPv6的轉換。
步步為營 構築一隻安全程式
許多駭客攻擊事件的發生,往往不是防護機制不夠完善,而是程式本身暗藏許多安全漏洞,導致駭客能夠輕易地攻城掠地。為了確保程式安全,台灣So-net自2008年開始,在系統上線前先利用弱點掃描工具進行Web Security檢測,以OWASP所列的10大風險為檢測標的,上線後則採用資安廠商推出的資訊安全標章,每天檢測有無系統弱點,同時內部也會每週進行掃描。
前述所云屬於程式開發完成後的安全維護工作,倘若在程式開發階段,該如何讓程式開發者撰寫出安全的程式?賴居正認為,程式安全很難訂出一套標準作業流程來要求程式開發者,資安人員只能扮演協助者的角色,協助程式開發者建立安全程式的觀念,同時向其闡明系統出狀況時應負擔的責任,由於台灣So-net系統多為自行開發,一旦出現任何狀況都得自行善後,藉此提高程式開發者在作業時的警覺心,進而願意在強化程式安全性上多費一點心思。
|