首頁 > 焦點新聞

資安防護last mile還是得靠自己

作者:侍家驊 -2017 / 06 / 26 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
民航局資訊室本身編制不大,主掌政策擬定及相關管理工作。下屬機關以飛航服務總台及各航空站為第一線服務重點。各航空站資訊系統較為單純,但是飛航服務總台則是極重要的單位,負責全天候24小時對飛航於臺北飛航情報區(Taipei Flight Information Region)內之國內外軍民航空器提供一切有關飛航管制、飛航情報、航空氣象、航空通信、地面助導航設施等之飛航服務,確保本區中之飛航安全及空運便利。是政府單位第一批通過當時BS7799驗證的單位,全面接受資安的洗禮。

內外網緊密控管
總台的航管系統購自國外廠商,系統的專業度高,必須仰賴委外廠商來實際運作整套系統。但機關同仁被要求如同委外廠商般,熟悉整套系統的管理與操作。由於系統重要性高,機關同仁自主性越高,對系統掌握性才能相對提高。

在資安的規劃上,區分為業務網(飛航管理)及行政網。兩套網路間採實體隔離,如有資料需求交換時,只能採專屬USB硬碟,還需透過申請核可才能取得該設備。在業務網內,還規劃了網中網,拉高防禦縱深。飛航服務是24小時不中斷,除了系統本身會有正常的功能監看外,還輔以流量監控,增加安全管控能力。

異常的蛛絲馬跡 自己來發現
總台的網路,除了有自己的資安廠商監看可能之攻擊外,民航局資訊室再提供SOC的服務。說到SOC服務,民航局資訊室潘啟諫主任強調這是民航局,以所屬各機關的整體需求一併發包出去,規模的增加讓廠商的效益增加、同時費用得以下降。

談到資安委外,潘主任認為資安廠商只能擋掉7-8成的問題,其他2-3成仍得靠自己面對。舉例來說,一位電腦不熟的同仁,突然從家裡透過VPN連線進來,SOC廠商不會覺得異常,但從機關自己人來看,這事就是奇怪。或是有些server平常不會有人去碰,突然有人碰了,這就代表異常,委外廠商不會發現這種小異常。資安服務廠商通常只重視守大門,一些異常的蛛絲馬跡,還是要靠自己來發現,特別是端點的異常現象。現在的防禦無法將壞人擋在外面,但要讓他進來後,不能動不該動的地方。

個人就好奇了,單位內人少又這麼忙,如何能發現這些異常的蛛絲馬跡? 潘主任表示他自己寫程式來監看可能的異常。可惜的是,這程式係針對機關環境特性開發,無法分享其他公務機關,至少這觀念是可以複製的。

針對SOC服務,主任也提出一個實際問題,萬一有事件發生,廠商二線人員很難及時現場處理。在民航局是由內部同仁做第一時間的應變,再等廠商來。如果這是常態,別的單位或公司若是完全仰賴SOC廠商,這時是不是只能看天?

1
推薦此文章
3
人推薦此新聞
文章回應話題
傻子 發表於: 2017 / 08 / 15
第一線的人員,要肩負起第一線的維運責任
編制越少,對於企業的可容錯性就變低,人員休假會成問題。

飛航安全非一般般等級的資訊安全風險可以容忍,寫程式去自己監控,倘若後續若沒人維護,風險更高,這樣是可以的嗎?

如同文章所提及的萬一有事件發生,廠商二線人員很難即時現場處理。民航局更應該重視加強資訊安全的即時性,或者依照風險比較高的可能控制項讓廠商進駐民航局待命。

從文章中的各個觀點來看,看起來就是一整個高風險,真的不可取。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…