觀點

行政院端點安全 全.面.啟.動.

2012 / 02 / 23
張維君
行政院端點安全  全.面.啟.動.

行政院,國家最高行政機關,負責國家政策發展方向。其重要性眾所皆知,若從實體安全的角度來看,在院區各個出入口皆有保警戒備管制,以過濾閒雜人等,機敏性可見一斑。實體安全已是如此,在虛擬世界,資料出入口可以是任一個端點,要做好安全更不容易。

 

行政院轄下總計有37個部會機關。而行政院院本部的業務單位必須對各機關提出的施政計畫研擬意見,或召開協調會議解決跨部會問題,此外也包括送交立法院前的法案審查及訴願審議等工作項目。

 

為了處理公務,行政院院本部各單位的業務承辦人幾乎非常密切的需要與外部機關往返溝通。也因此,對於電子郵件系統的使用需求非常深。

 

釣魚郵件問題 電子識別證來解決

 

由於行政院的業務特性使然,各機關若收到由行政院院本部寄出的電子郵件,多半不會懷疑,尤其若附件檔名又是「六大新興產業政策推動方針」等與承辦業務相關的資料文件時,更會不假思索地開啟,但收件人只要滑鼠一點擊,可能就落入駭客陷阱。想當然爾,行政院院本部成為駭客亟欲優先滲透的標的,其中被鎖定的標的物已經不只是重要組室的主管,而是全院上下所有人員。

 

過去,進行資安認知宣導主要對象是各業務承辦人,尤其是三長(行政院長、副院長、秘書長)辦公室的同仁,但是當重點業務承辦人的資安認知已逐漸提升時,攻擊目標就擴大到比較不會受到注意的一般使用者,例如技工、工友的信箱。國外,將此類被特定族群鎖定目標長期滲透的攻擊模式稱為APT(Advanced Persistent Threat),此類攻擊其惡意程式潛伏在使用者電腦中,平常不運作,潛伏期甚至可長達23年,直到需要搜集特定情資才會有動作,而且為了不引起注意,此類攻擊在寄發惡意郵件不是大規模地發送,而是只鎖定35個對象,讓系統管理者難以察覺。

 

可想而知,行政院院本部資安工作最挑戰的部份,就是確保電子郵件系統以及所有端點遠離惡意威脅維持正常運作。這樣的資安計畫看似與其他機構沒有兩樣,然而資安工作最困難的就是落實到一般使用者。這部分需要靠技術、管理、以及人員教育訓練來完成。在技術部份,今年8月將正式推出結合門禁刷卡與行政院專屬電子簽章的電子識別證,成為所有公務機關最先上線使用的單位;在管理部分,資訊安全管理系統(ISMS),已經很多機關都有做,但今年行政院已經邁入第三階段,也就是跨出資訊單位,全院導入;而人員教育訓練的部份,在這裡可以看到最有創意的資安文字賓果活動!

 

釣魚郵件困擾行政院已久,尤其是偽冒寄件者的郵件更可能連帶影響其他單位,對整個行政體系聯絡網造成問題。因此早在幾年前行政院就規劃導入電子郵件簽章,以確認寄件者真實身分。剛開始是希望以自然人憑證做為簽章,但這種作法讓部分人員產生質疑,認為自然人憑證是代表個人不希望挪作公務用途,後來多次舉辦座談會,經過行政院研考會的居中協調,並請法務部解釋適法性。今年,這套結合門禁與行政院專屬憑證的電子識別證終於在8月順利上線。

 

為了經濟考量,行政院院本部選擇經濟部核定的憑證機構依法簽發之憑證作為院本部的專屬電子憑證,省去自建憑證中心所需的昂貴人力及建置成本。現在,除了現有自然人憑證的A卡之外,同仁多了另一個選擇,可選擇行政院專屬的憑證B,不管是進出門禁刷卡或所有發出的電子郵件、電子公文線上簽核都需要使用這張電子識別證,一方面作為身分認證,另一方面也確保該封郵件/公文的不可否認性。使用者必須注意除了寄發郵件要加簽章外,收到有簽章的郵件務必要點開簽章來看,以確認是寄件者的真實簽章,許多釣魚郵件使用的簽章是偽造的,拿他人的簽章來簽誘騙使用者開啟。

 

 

行政院院本部小檔案

院長 吳敦義
員工人數 400
IT人力 15
主要業務 對轄下各機關提出的施政計畫研擬意見,召開協調會議解決跨部會問題,法案審查及訴願審議。

資料來源:《資安人》整理,2010/9。   

 

 

ISMS全院推 一個都不能少

 

「只要有一個漏洞,就會影響全面;只要一個單位沒通過,就拿不到證書。」行政院副秘書長也是資安長陳慶財,十分明白院本部裡所面對的資安威脅與推動資安的困難點,因此開宗明義在內部會議上宣示,ISMS需要全面導入。儘管ISMS的導入多少對原本公務就已繁忙的業務單位造成影響,但陳慶財深知這些單位正是最容易被鎖定、資安風險較高的一群,因此義無反顧地要求涵括進範圍來。於是97年資訊室開始導入,98年加入部分組室,今(99)年第三階段則是院本部全院。

 

「在這個時機點作ISMS全院導入非常適當,新版個資法通過後,剛好可以趁現在擴大到個資保護的範疇。」行政院資訊室主任趙培因說。行政院擁有較多個資的部份是民眾申請訴願、審議時所留下的,所以也需要符合個資法規範。而這次全院的導入,也因為有了副祕書長強而有力的支持,全部主管配合資訊室的導入計劃,而資訊室則站在協助的角色,一一與各部門主管訪談,了解各部門對於資安的需求、期望,然後來看如何幫助他們。

 

從檔案管理局到行政院,對於資安推動相當有心得的趙培因認為,技術面能夠抵擋的很有限,技術以外就是靠人員的認知。而資安認知訓練需要落實到最根本的底層,也就是所有人員。

 

創意發想 看誰先賓果!

 

資訊安全向來是嚴肅的課題,然而在行政院卻看到了最具創意的認知訓練巧思──資安文字賓果活動。(如下圖)由資訊室高級管理師顧偉川一手企劃,委外開發一套賓果活動程式,將生硬的資安知識、資安政策透過遊戲傳達,寓教於樂。

 

經過2個月的籌備,7月這個活動開始起跑,活動期間,一天當中有3個時段開放同仁上線參加,每次5分鐘,只要率先賓果的可以得到小獎品,而系統畫面也會顯示:「恭喜XX組室 中賓果!」為了表示重視,顧偉川親自將贈品送到得主座位上,為得主及所屬單位帶來一種榮譽感。賓果活動的目的是為了讓同仁熟悉資安觀念,而不是在於競賽,因此所有題庫在事先就提供給所有人,有心想要賓果的同仁就會先把題目背熟。沒想到,資安訓練可以成為同仁之間討論話題,這次的賓果活動十分有效。

 

能安排這樣的認知訓練活動,不代表行政院資訊室的IT人力充裕。事實上,連同負責PC維護的委外廠商駐點工程師計算在內,只有15位人力,但需要服務的使用者有400多人。討論已久的政府單位資訊人力有限的問題,隨著政府組織改造計畫,也將進行資訊改造,其中首先要做的就是機房共構。

 

 

此為達成賓果之畫面。

 

 

 

組織再造的改變 資安雲讓專業能量更集中

 

行政院的共構機房已於今年6月通過ISO 20000的資訊服務管理驗證,透過一套議定出的管理機制,在共構機房裡整合各機關的資訊資源,達到共享資訊服務的概念,行政院院本部就是第一波進駐共構機房的六個機關之一。院本部目前是將對外的全球資訊網網頁伺服器放在共構機房,由於共構機房是架在網路骨幹上,頻寬非常大且穩定。機器放過去之後,可以節省部份現有機房的不斷電系統、水電等資源。然而網站的監控還是透過院本部同仁經由遠端連線進去管理。在共構機房目前只有第一層的防火牆做基本防堵,而行政院的其他資安設備如入侵防禦系統等都由自己建置加強管理。

 

今年擔任共構機房經營管理小組共同召集人的趙培因認為,現階段來說還看不到太多人力節省的部份,但希望將來共構機房的營運機制、管理團隊運作越來越成熟後,可以將各機關所有資安縱深防禦的設備都一起納入管理,形成一朵「資安雲」,一些共同的資安技術,例如對零時差攻擊的阻擋與防禦,可以在共享的資安雲中,由專業人員來統一處理,而進到第二層後,各單位就可專注自己的環境做更細緻的管理。

 

組改的目的,是為了達到人力精簡,提升行政效率。然而與企業併購相同,任何組織的合併勢必會經歷一陣磨合期,過往在企業合併的例子上,也不乏許多派系鬥爭、政治角力的局面出現,如果又恰巧發生資安事件,簡直就是災難。

 

根據組織改造計畫,在101年之後,消保會、內政部性平會、部分新聞局業務將合併到行政院院本部來,也包含相關單位的資訊業務。對此,資訊室成立資訊改造小組,為了要達到業務不中斷的目標,現階段的重點是先了解相關單位的資訊業務,全面清查軟/硬體設備項目、使用手冊、SOP文件,並逐步規劃移轉計畫。設備的移轉解決了,至於人員合併的部份,趙培因會先尊重當事人意願,並參照其目前所執掌的資訊業務比重,再決定是否要併到資訊處任職(組改後現資訊室預計升格為資訊處)。由於新聞局剛好也是此次進駐共構機房的單位之一,因此藉由共構機房的資訊服務管理機制,院本部與新聞局對於將來資訊業務合併後的服務水準已經有共同的討論標準。

 

及早規劃,將組織文化差異對組織合併的衝擊降到最低,透過管理標準(共構機房ISO 20000ISMS)達到合併後資訊作業水準的一致性,行政院有信心通過接下來的挑戰。

 

CIO的管理心法

行政院資訊室主任趙培因:掌握關鍵資訊技術,鼓勵創新思考

 

談到在公務體系推動資訊/資安業務的心得,趙培因認為,要爭取上級支持,就是發生事情時不能讓長官一無所知。上面長官平時公務繁忙,尤其資訊領域有其專業性,因此多半事項資訊主管就決定處理,但是若有重大資安事件的發生,絕對不能讓長官蒙在鼓裡,這樣高階主管才能瞭解資訊單位資源運用的實際情形,並支持資訊計劃的推動。

 

對其他部門而言,資訊單位往往是後勤支援的角色,過去也有部份機關發生業務同仁自己主導資訊需求的計畫,資訊單位不受重視,但後來卻發生委外系統資料外洩的問題,或廠商倒閉系統必須移回來自己接管的窘境。趙培因認為資訊部門是服務單位,對其他部門業務,要能主動關心,再加上本身同仁的專業,才能讓他們感受資訊單位的重要。

 

也因此,儘管目前政府機關的資訊計畫通常採取資訊委外的政策,但她認為重要的資訊技術同仁一定要保留,包括郵件系統、應用程式管理等,不能全靠廠商。而IT例行性的工作如PC管理,可以委外服務,同時間鼓勵同仁要創新思考,一旦有資安賓果活動這般的創意出現時,資訊主管則扮演對外溝通的角色,在主管會議將這樣的創意發想行銷出去。