對企業而言,針對資料進行分級、分類可說是資安最基礎工作,然而,部門資料重要與否則取決於企業經營特性,但不可諱言的是,研發部門一向都是企業最為倚重的對象,且基於研發效率與銷售時間等因素,安全就很可能被置於第二考量,導致相關規範將較難落實於研發人員身上,這也會讓企業的安全管控隨時產生重大問題。
面對此一現況,合勤科技資訊部資深經理黃天長強調,合勤本身就是製造資安產品的廠商,擁有眾多的RD(研發部門)人員,因此類似危機已不容忽視,當然更基於合勤在產品發展上是著重在快速研發Solution和Function,不能因為防弊來減緩RD的研發速度,否則在漫長研發過程中將導致產品無法順利上市的狀況,這也將導致在資安控制不能太過嚴格,然而如何在「效能」與「安全」中取得平衡點?
資訊分類仍是首重要務
既然資訊的分級、分類如此重要,黃天長指出,合勤在做法上早已針對資訊資產進行所有部門清查,包括文件、CD、Source Code、ERP和製造等資料,且針對所有資訊資產的敏感度來進行評估,舉例來說,研發部門的Source Code可能是最重要的資訊資產,因此資訊部就會評估其保護措施是否足夠,最後再依其等級落實保護機制。
對此,黃天長明確表示,基於合勤科技發展型態之故,與其說是Source Code重要,不如說最重要的是如何保護新產品的idea能夠快速和彈性行銷於市場,這也是客戶最重視的環節,因此整體而言,保護新產品的idea不被竊取,或延遲新產品idea被取得的時間,對合勤產品市場競爭力之取得將非常重要關鍵,因為只能在3個月內將idea做周密保護,縱使三個月後資料被竊取也會失去市場商機,就對合勤本身的產品行銷不會產生重大何影響,因此合勤會針對下一代產品的構思與規劃進行嚴密保護。
全力保護新的idea
至於如何防止或延遲idea被竊?黃天長指出,其實資訊部也曾思考如此的保護是否足夠,因此會針對其重要性與保護程度交叉進行資訊資產分類、分級,當然原則上也不希望管太嚴,否則將無法執行工作。相對於一般高科技公司,許多寶貴資料由研發部自行管理,別的部門完全管不到。對此,合勤針對新idea發展出一套提案的機制,也就是會依循程序進行提案驗證,只要確認通過此一提案就會將其置放於PDM(Product Data Management)系統中(現在則稱為PLM—Product Lifecycle Management);另外在PDM所規範之C0、C1、C2、C3、C4、C5等研發流程中,會將產出的PS和ES文件統一納管於PDM系統內,整體說來,就是會將idea轉成正式作業流程,如此可隨時監視專案進度、缺失和安全性等層面,但這不僅是產品本身的研發問題,更牽涉到之後的市場行銷方面,也就是在產品上市前,研發與產品行銷大致會依C0、C1、C2、C3、C4、C5等階段流程同步進行,更會同步產生PS、ES文件做為達成共識之溝通依據,否則產品終究沒有辦法開發上市的,而市場行銷部門也就能藉由各階段流程來充份掌握開發進度、規格和上市時間等,不致等到最後一刻才被告而導致手足無措的事件發生,因此合勤在研發與行銷流程上是與其他公司很不相同的。
更具體做法就是一旦資料申請進入PDM系統後,系統會自動將傳送來源的原始文件刪除,不會讓使用者留下複本在本機電腦上,只將最終版本鎖在PDM系統內,這樣才能避免重要文件遭受竊取的情況發生;另外,PDM大致分為兩個層級,第一為部門層級,依各自部門來查看部門資料;另一層級則屬於較機密檔案,假若要看這類Detail資料則必須透過相關流程去向文管中心(DCC , Document Control Center)申請,至於極機密文件,不提供電子檔案,只給紙本且加蓋浮水印,一旦發生洩露事件也就可以快速追查來源,以便做為資安事件發生時訴諸法律的重要依據。
雖然合勤對於員工是採信任的態度來進行管理,可是基於內賊難防,例如使用USB工具來存取資料有其必要,但此一層面所產生危機往往較難防範等,是以,為了防止資料遭到竊取,則會採取Access Control等方式,只要透過HTTP、Peer to Peer等方式傳輸時都必須進行文件加密,且傳送時所使用的密碼與系統密碼本身也必須不同,這些動作系統也都會留下記錄來進行追蹤。另外,合勤內部更早已針對內部員工制定相關網路安全管理規範,一旦違反規定則將進行懲處,最高懲處可至開除,這就包括寫程式攻擊他人電腦、藉由公司內部電腦進行駭客攻擊、偷取內部員工帳號和密碼和在公司內部架設網站來進行交易等事件都會開除員工,且這部分規定都會經由總經理簽署後公佈給所有員工。
健全網路架構是確保安全的不二法門
:除了上述提及的管理做法,合勤身為網通廠商又是如何建置自身的網路系統呢,黃天長表示,有關網路基礎架構方面,合勤除了在台灣有研發中心和製造中心,在大陸無錫也有研發中心和製造中心,且歐、美又有許多分公司,為確保資料傳輸的安全性,因此採用SSL VPN方式來進行資料傳遞。
防毒從client端、gateway端到自身內建防毒的防火牆產品上,可針對病毒進行多層防禦,因此防毒對合勤而言問題不大,除此之外,在所有PC購置後,資訊部會先針對所有PC進行防毒軟體安裝,且確認系統功能無誤後才會交由使用者使用。當然如果遭遇新型態病毒攻擊時,合勤做法上會直接在Switch上將某些可能危害系統之port刪除,至於如何判定新型態病毒和實際處置做法為何?首先一旦有病毒攻擊產生就會回報給趨勢病毒中心來進行判斷,另外也會立即將可能受感染的client關閉以杜絕感染,或減低擴散的疑慮,而資訊部也會與研發部門進行商討來整合出最好的做法,值得一提的是,其實通常許多部門也會有警覺心,只要發覺異常時就會自動關閉系統,且會直接和資訊部聯繫進行問題排除,否則資訊部在偵測到異常狀況時,也會透過只有資訊部可執行的中央管理機制立即針對有問題系統進行侷部關閉,來減少攻擊擴大的情況發生,且不影響其他正常系統之運作,其實這部分防禦工作合勤資訊部已做的非常徹底,因為我們(資訊部)經常遭受考驗,尤其合勤身為網通公司,新產品一設計出來就丟到自家網路上實際使用,經常製造意想不到的問題,除了提供RD部門馬上修改外,也練就資訊部網管的豐富經驗。
在Patch管理方面,黃天長指出,合勤內部已有Patch Management Server,在這方面的管理到沒有太大的困擾,另外,2005年底之後將直接針對client規範如果沒有更新至最新Patch時則就不准許執行系統。
至於Mobile Security牽涉Wireless和Mobile user層面,基於擔心員工私建AP,合勤內規早已規定不准員工私設AP,但由於研發部門需運用Wireless機制進行開發,故不在此限制範圍內,因此嚴格說來,合勤對Wireless控管大致可分為測試網段和正式網段等,首先一旦需要架設,資訊部就會給予測試網段之序號進行控管,系統也會記錄分機號碼、使用主機位置,一旦發生任何問題就可以方便追查來源;至於公司正式網段內是不允許架設AP,資訊部除了會要求所有員工針對網路設定Web key,以防止他人任意連結公司內部網路,更會定期以儀器來偵測內部是否有私設AP情況,只要違反公司內規就會進行記過懲處,而在提及國外分公司管理方面,由於國外分公司規模都較小,因此並沒有Wireless的安全問題。
其次有關Mobile user是採用SSL VPN進行公司內部資料存取與保護,甚至在郵件管控上也需再次登入帳號、密碼才能傳送與接收郵件,另外業務人員一旦在外想要連結公司內部網路時,也會被要求進行掃毒和確認是否下載最新病毒碼才能存取公司內部資訊,凡此都不難看出合勤在Mobile Security上控管非常嚴謹。
最後在企業持續營運計畫(BCP, Business Continuation Plan)層面,黃天長明確表示,雖然所耗費的成本很高,但資訊部仍已逐步著手進行規劃,目前也已有初步成效,諸如現階段停機最常接受期間為8小時,今年底以4小時為目標,在2006年時更可達到1小時之目標,但也由於經費問題,備援建置會先以重要系統進行,例如ERP系統等。
『人』還是資安工作的難題
嚴格說來,雖然合勤內部早已成立「資訊安全委員會」來研商具體可行的資安規範,但一開始所採用的稽核規範的確產生實際執行的困難點,如同黃天長所言:「類似政策規範仍需顧及工作效能,假使各類文件的存取、使用等都要被嚴格檢查,如此將令所有工作寸步難行。」為了解決類似問題,資訊部也曾詢問許多廠商的實際做法來從中取得「效能」與「安全」平衡點。另外,黃天長再次重申,雖然合勤並沒有導入BS 7799,因為導入BS 7799對合勤而言負擔太大,但合勤在企業安全管理過程仍遵循BS 7799概念與精神,如前所述會先進行資訊資產的盤點,之後進行風險評估,再依各類問題採取對應政策,這類流程經驗成為合勤科技資安工作未來執行的重要依據。
高層重視但未能積極推動
資安工作執行成效往往取決於企業高層重視與否?在合勤高層很重視資安,經費也不是問題,但由於高層本身都非常忙碌,雖然資安是重大工作,但不是非常緊急的要務,因此往往會被擱置一旁。
黃天長指出,資訊部為因應此一狀況,總不能只能被動等待,因此對策上是採取更積極的變通方式來增加執行成效,找來所有事業群(BU , Business Unit)主管一同來背書,當然也由於BU都很忙錄,因此開會前,資訊部早已將所有規範草稿制定完成,再就各草案進行討論,待BU主管一一簽名認可後,最後再交由高層簽署就會很快;額外一提的是,「資訊安全委員會」擬定的規範不僅僅適用於台灣地區,這類政策也會傳送給其他地區分公司進行意見彙整。
合勤在推動各種作法時,凝聚『共識』非常重要,也許初期要花很多時間,但共識一形成,推起來就很快。共識來自於資訊的透明化,這在公司成立之初就有的觀念,例如董事長與員工進行座談,年輕的工程師可以直接指責公司的不對,董事長完成沒有脾氣,仍然慢慢解釋想法。
後記
一般高科技公司最苦惱的就是『安全』與『自由』無法兼顧,以研發為主的公司為了研發好產品、位了爭取時效,往往放棄資安管控。合勤透過整個設計流程的管理,將研發部門的文件納入整個設計製造流程、甚至行銷流程,讓研發資料統一管理。同時,安全永遠是最不急的事,如何運用組織文化,向全員推動,也是資安工作人員值得深思的地方。