政府機關擁有許多敏感資料,對於資訊安全的要求遠大於一般企業,然而在缺乏專業人員與追逐設備的技術迷思下,公務機關的資安成效往往不如預期。
筆者初到地方基層組織任職時,電腦執行速度、網路速度緩慢,於是改用品牌知名度較高的防毒軟體,進行全面性電腦掃毒作業,平均每台電腦掃出100多支病毒,原以為全面清除後,就能減少許多資訊安全問題,但在日後每週的電腦病毒定期掃描及每半年的資訊安全查核,仍然發現許多問題,經研析後發現有些問題非電腦技術可防範,是使用者使用電腦的「行為模式」所造成。
使用者電腦中毒,不僅增加資料外洩風險,也會影響連網速度,在定期召開的資安月報協調會上,常有其他基層單位資訊人員反應網路太慢、影響正常資訊作業的問題,推估可能是該單位內,使用者皆為「本機最高使用者權限」,其作業系統程式感染電腦(蠕蟲)病毒,無法以防毒軟體自動清除,導致同一網段之使用者上網時的連線速度明顯受到影響,此類新聞常見於學生宿舍或政府機關。然而上層管理者卻經常回答,該機關網路流量未至頂,殊不知此乃該機關內部資訊安全問題,與網路流量是否至頂無關。
6種常見的資安違規行為
以下說明在進行資安稽核時,常見違反資訊安全規定的六種狀況。
狀況1、上班時間瀏覽情色網站:
(1)查獲原因:使用者瀏覽情色網站,被防毒軟體即時判為高風險網站,並記錄於防毒伺服器日誌,經檢視資訊安全月報後發現有異,經簽准奉核後調使用者之網路記錄,確認是蓄意瀏覽。
(2)使用者:為本單位同仁。
(3)處置方式:依本單位資訊安全規定,簽報首長並提報政風單位處置,做適當導正措施,避免損害機關名譽及端正使用者使用網路行為。
狀況2、使用翻牆軟體:
(1)查獲原因:一是依本單位資訊安全規定,對半年內中毒次數最高之前10名使用者,配合政風單位進行資訊安全查核而發現(因為該同仁使用最新版翻牆軟體,故有時間差,防毒軟體未即時偵測出),因為中毒率偏高的同仁,其電腦行為模式往往較為特殊。另一個狀況是本單位二代公文駐點廠商人員,至本單位駐點二代公文紙本簽核、替使用者安裝程式、插入隨身碟時,被偵測出該隨身碟中有無界瀏覽程式。
(2)使用者:為替代役及本單位二代公文廠商。
(3)處置方式:移交政風單位處置及導正行為。
狀況3、使用IE破解密碼軟體:
(1)查獲原因:一是被防毒軟體偵測到異狀,經研析資訊安全月報,發現員工使用IE破解密碼軟體,二是合約廠商使用IE破解密碼軟體時,當下並沒有被防毒軟體偵測為違規軟體,約過2星期後(有時間落差),於防毒軟體預約掃瞄時,才從該硬碟中被偵測出為間諜程式,經系統自動Email通知本單位資訊人員,始發現該合約廠商之硬碟具有該軟體。
(2)使用者:本單位合約廠商及員工各1員。
(3)處置方式:移政風單位處置及導正行為。
狀況4、監視系統存有大量遊戲軟體:
(1)查獲原因:經查核本單位財產,檢視電腦病毒記錄(logs),發現有大量遊戲軟體。
(2)使用單位:某警察分局。
(3)處置方式:行文通知該分局改善。
狀況5、使用FOXY(P2P)軟體:
(1)查獲原因:在例行性資安查核中,依本單位資訊安全規定,對半年內中毒次數最高之前10名同仁,配合政風單位進行查核,發現使用者灌有FOXY程式軟體。
(2)影響範圍:易洩漏公務電子資料及影響網路頻寬。
(3)處置方式:移交政風單位處置及導正行為。
狀況6、監視系統錄影主機(具有3千多支攝影機)中電腦病毒:
(1)查獲原因:合約廠商攜帶USB隨身碟於本單位使用時,被偵測出具有隨身碟AUTORUN電腦病毒,故會同政風單位,全面清查本單位管轄範圍內的監視系統,才發現皆沒有安裝防毒軟體、亦沒有進行微軟作業系統更新,維修及查驗時,皆已感染電腦病毒,故全面安裝防毒軟體。
(2)影響範圍:易洩漏資料、影響網路頻寬及洩漏人民隱私。
(3)處置方式:全面安裝防毒軟體、更新修補程式。
資安改善3部曲
為改善本單位資安狀況,決定採取公告資訊安全月報及資訊安全稽核方式,促使「機關首長」重視及瞭解此議題之重要性,進而提升機關資訊安全程度。本單位執行的資安改善計畫共有以下3個步驟。
第一步、製作資訊安全月報:
1. 每月依上月份電腦病毒logs,製作課室、個人中毒率排名,並分析中毒檔案名稱,有無敏感性資料及特殊違規程式。
2. 評估資訊安全有無異常,若有特殊異常,則會簽政風室,協同處理。
3. 將中毒感染前3名課室公告。
4. 將資訊安全評估結果,簽報機關首長。
第二步、制定本單位資訊安全管理作業規範
第三步、每半年實施資訊安全查核,查核重點如下:
1. 配合政風室機關安全查核計畫。
2. 依資安月報個人排名,對高風險使用者,檢核電腦使用狀況、電腦有無異常狀況。
3. 做成查核記錄報表,並對重大違規資安事件,依相關規定處理。
很多政府機關,不是沒有資訊安全問題,而是沒有「主動發掘」資訊安全的問題,例如本單位就是經由例行性之資訊安全查核,才發現使用者使用不當軟體(如:分享軟體、破解密碼軟體、翻牆軟體)與敏感性電子檔案感染病毒的情形,而透過此資安改善計畫,可有效發揮「事前預防」的功用。
政府資安最後一哩:改善人員任用制度
政府機關改善資安,除了從落實Log分析與稽核制度開始,還須檢討資訊人員任用制度,這是政府機關常見且相當嚴重的資安問題。
各基層政府機關(例如公所),其資訊人員約70%為約僱人員負責,具有任用權的(民選)機關首長,往往未遴用適當專業人選,致其資訊專業素質低落,開會時不知其所云為何,這些人員不會操作及不瞭解防毒軟體、防火牆或網域控制站也就罷了,更嚴重的是購買不當資安設備,致令其功效低落,影響行政作業,例如將防火牆設定為any to any。
即便政府機關每年辦理資訊安全訓練,對基層單位仍是甚難推動,其根本原因就是基層人員資訊素質不夠。
筆者甚為感概此一問題,基層機關資安設備、網路設備,往往都由上述資訊人員採購、驗收、操作使用,在專業知識不足的情況下,甚少有人能夠正確操作上述資安產品,浪費人民納稅錢,就連筆者所任職單位亦不例外。因此建議政府機關,重視基層資訊人員之遴用資格,其影響政府行政效率甚鉅,也是公務機關改善資安的最後一哩。
本文作者現任職於某地方單位。如您對本文有任何想法,歡迎來信交流:isnews@newera.messefrankfurt.com。