https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

實作、不花俏,打通資安任督二脈通透,讓中華電信SOC的安全一次到位

2009 / 08 / 31
王婷儀
實作、不花俏,打通資安任督二脈通透,讓中華電信SOC的安全一次到位
中華電信SOC每天必須處理2萬IP數的業務資料與訊務量,身為全台最大的ISP,他們如何有效掌控並管理這些工作,提供令客戶滿意安心的服務品質。

  隨著近年資安意識的提升,中華電信身為台灣最大的ISP,中華電信SOC最重要的資產就是客戶資料,所以在客戶注意「資訊安全」的議題前,即著手相關規劃,建立一套資訊安全管理制度與程序,而他們的努力也讓他們在92年行政院的外部稽核中獲得特優的肯定。

  中華電信SOC為處理數量眾多的客戶業務資料及訊務量,建立一套E化流程與管理系統,除了負責網路維運管理外,他們也必須協助HiNet及GSN建立整體資訊安全機制,包含弱點掃描與漏洞修補作業、資安事件監控處理作業等,同時一邊著手員工資安意識的訓練,讓他們在電腦遭遇異狀時,立即向各處室的資安管理人員通報,而這些管理人員也會定期到中華電信SOC接受電腦安全防治、網路安全設備設定、資安事件認識、漏洞修補等教育訓練。透過層層的教育宣導,公司由上至下,每位員工對資訊安全都有概念。

ISO27001,有效預防事件

  中華電信SOC身負全公司的資安大任,在先前中華電信憑證中心導入BS7799並通過驗證時,他們卻沒有跟進,當時他們認為對網路及系統安全的掌控相當有信心,認為他們的工作項目已經有套完整的SOP,不需要跟著其他單位搶著通過標準。有趣的是,當初不做,選在94年準備導入。中華電信數據通信分公司網際網路處科長吳怡芳解釋,當時工作程序部分已參考BS7799標準制定,認為ISMS導入對工作實質的幫助有限。但隨著93年個人資料保密法通過,提醒她應該花時間確認人員權限管控的問題,再者中華電信SOC經常要針對網路安全事件做緊急處置,漸漸地發現,事後的亡羊補牢不如主動防禦,為了提供更穩定的系統環境與更有保障的客服品質,她希望(透過)ISMS條理化管理工作,並發展更臻完整的管理制度,找出更多漏網之魚的事件,有效降低系統的弱點或漏洞。最後一項原因,不外乎回應客戶的期盼,在媒體長期的報導與介紹下,客戶漸漸了解ISMS這套系統,肯定通過驗證單位所提供的資安服務,心理上感覺多一層保障。

  既然要導入ISO27001,對他們來說,目的就不在一紙證書,在128項(有5項因與業務無關及未使用而扣除)的控制措施裡,就算之前已經有SOP的文件,卻還是花一年時間調整文件。吳怡芳認為,新的SOP文件對於執行人員來說,要能「Easy to get & Easy to do」,尤其ISO27001講求控制項要有效,落實文件「說、寫、做」一致顯得更為重要;修整過的SOP要能合於公司企業文化,便於執行,還要執行零弱點,所以專案進行的過程裡,花不少時間來來回回修改,印象中大幅度修正就不下三到四次,小幅調整更數不清。反覆的調教,原因都只有一個-不容完成的文件,最後的命運竟淪為擺在供桌上好看的聖經-文件要能自然地融入每位員工的工作裡,既不增加負擔,又有助於管理者迅速釐清問題與工作重點。為了達到每一個環節都在控制之中,並長長久久地實施,她們花相當可觀的時間討論及修正風險評估的結論,因為她和內部同仁都發現評估出來的結果與環境現況對不上,因此不能只把專案交給所謂的顧問和工具,必須團隊的每一分子身體力行,進行實作,逐一挑出問題、加以修正、再評估。吳怡芳認為,只有自己人最了解自家的環境,所以要求成員必須捲起袖子,檢示操作中的疑難,這次的經驗才會變成他們的dommain knowhow。中華電信網際網路處的同仁,個個可謂解決系統bug的高手,當他們投入專案深入地討論問題時,針對管理與實作中的差距提出許多創意地見解,不過因切入事件的角度不一,因此身為管理者必須扮演橋樑的角色,溝通協調多方看法,然後找出最適中的解決辦法。

對的觀念,做對的事

  中華電信提供網路服務以來,就重視客戶資料的保護,每一位主管都有這樣的觀念,在 92年3月時,更由副總召集成立資通安全推動委員會,並成立資通安全技術中心(含中華電信SOC)授命建立整套制度,讓公司每一部門及員工都了解什麼是資訊安全,同時管理全區HiNet約2萬個IP的網路與系統安全。期間投入大量人力及金錢進行改造,突顯中華電信做好資訊安全的決心。這幾年來他們強化全體員工的資安宣導,公司已經沒有人不清楚資安對他們的工作及對中華電信的重要,另外,公司也鼓勵員工呈報工作中發生的安全問題,把握第一時間找出源頭,並預防再次發生。吳怡芳認為,做ISMS絕對不能建立在懲處上,不要讓員工有「安全性出包和個人工作績效扣分劃上等號」的錯誤印象,儘速通報、找出問題並加入控制管理要項才是治本之道。鴕鳥心態只會縱容問題越滾越大,有正確的觀念才有健康的體質。

「人」是管理的關鍵

  在他們的工作中, 吳怡芳認為,資安管理最大的挑戰不在設備或流程,老話一句,「人」才是管理的關鍵。因此挑選工作團隊的成員時,除了基本學經歷要求外,更重要的是「自我管理能力」與「主動積極態度」,具備這兩項人格特質的成員在工作品質上自然有一定的水準,工作中有任何問題,會主動地提出來跟主管討論,管理者可以更清楚掌握團隊特性並做工作調度上的安排。除此之外,吳怡芳喜歡分享《QBQ(問題背後的問題)》一書的內容期勉麾下成為有個人擔當、可被信賴的專業人員,協助管理者專注投入核心工作。身為一名女性主管,面對清一色男性資訊人才組合的團隊,在互動上,她學習以專業的語言與專業的人員溝通,以示對個別專才的尊重。團隊裡她通常扮演穿針引線的角色,經常利用會議平衡團隊觀念上的落差,當意見爭執不下時,更需要她居中協調對全體最有利的解決辦法。有時候,她也要扮黑臉,挑出同事計畫不夠圓滿、細緻的地方,要求精益求精,在工作規劃上要他們做得準確、扎實,後續的執行才能容易、長久。

化繁為簡的e化作業

  中華電信SOC本身最大的客戶就是自家的網路及系統維護,如何讓龐雜的數據系統上軌道,即使一個螺絲鬆動都無所遁形,並快速做好處理措施,這是一門很大的學問。中華電信的作法就是徹底發揮豐沛資訊人力的長處及特質,e化分內每一項工作,所有相關工作或事件告警(Alert)均透過電腦執行任務的指派與處理,管理與作業過程全程E化。當維運的過程出現任何異常時,會立即主動通知相關處理人員,系統也會針對不同的事件,一個步驟、一個步驟指示處理程序,而人員處理的每一動作及進度都要被記錄下來,若未能在指定時效內即時處理,系統會主動向上呈報,有效掌握SOC的服務品質;若順利完成工作,其紀錄檔將由人員彙整歸結到知識管理庫。這項資料庫累積過去所有經驗,內容包括曾經發生過的問題,如何緊急處理,第一時間如何回覆客戶,後續處理程序等豐富的實用資訊。有了累計經驗值的智慧庫,即使工作交接,也可以協助新人快速到位,因為人員隨時可利用資料庫裡汲取有利工作的資源。

權限管控-什麼人,做什麼事?

  中華電信對於手中監控的系統採集中監控的方式進行管理。這套權限管控的精神在於「什麼人,可以用什麼資料」,「什麼人,使用了什麼資料」。因此制定一套敏感資料處理規範,包含監控中心不能使用USB,資料也不能任意印出來等管制措施。就文件管理上,分四級:公開、一般、敏感及機密;對公開資訊他們不管控、一般級,指部門資料,僅供內部分享使用、敏感資料則牽涉系統資訊,經過申請才能查閱,尤其系統針對大量擷取資料及行為均有log,並主動發出異常告警,過去,很多企業都沒有把關好這些看似瑣碎的控制措施,而支付不少賠償金額,甚至賠掉辛苦經營的企業聲譽,有國內國外的前例之鑑,中華電信SOC對權限上的管理相當謹慎小心。

結論

  看到管理者面對資訊安全的態度,不論在自我及員工要求上,每項規劃的準備都得做到精準確實,寧可前面多花一點時間把事情做對做好,也不要之後再花一次時間去做修正-寧可慢,也萬萬不可急就章-舉吳怡芳在ISMS導入的過程裡,就要求專案負責人員做得比一般導入作業還要徹底,原因無他,她希望所有規定及操作標準程序都能「通透」,中華電信SOC在她一次精準到位的鞭策下,客戶可以安心地享有水準之上的資安服務。

中華電信SOC重點整理

1. 針對網路事件做緊急處置,漸漸地發現,事後的亡羊補牢不如主動防禦,ISMS條理化管理工作,並發展更臻完整的管理制度。

2. 要求成員必須捲起袖子,檢視操作中的疑難,這次的經驗才會內化為他們的domain knowhow。

3. 系統管理全程E化,當維運過程出現任何異常,會立即主動通知相關處理人員,若未能在指定時效內即時處理,系統也會主動向上呈報,有校掌控SOC的服務品質。

4. 事件處理的紀錄,由人員彙整歸結到知識管理庫,即使工作交接,也可以協助新人快速到位,因為隨時可以從資料庫裡汲取有利工作的資源。

5. 中華電信SOC由45人團隊管理轄內超過2萬個IP,分享近期處理的事件排行一為入侵攻擊、二為釣魚網站、三為後門木馬、四為中毒蠕蟲,雖排行第一為入侵攻擊,依他們專業的判斷其實應為後門木馬(不易被察覺),可見企業不得不正視隱匿性高的惡意威脅。