https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資安防護last mile還是得靠自己

2017 / 06 / 26
侍家驊
資安防護last mile還是得靠自己
民航局資訊室本身編制不大,主掌政策擬定及相關管理工作。下屬機關以飛航服務總台及各航空站為第一線服務重點。各航空站資訊系統較為單純,但是飛航服務總台則是極重要的單位,負責全天候24小時對飛航於臺北飛航情報區(Taipei Flight Information Region)內之國內外軍民航空器提供一切有關飛航管制、飛航情報、航空氣象、航空通信、地面助導航設施等之飛航服務,確保本區中之飛航安全及空運便利。是政府單位第一批通過當時BS7799驗證的單位,全面接受資安的洗禮。

內外網緊密控管
總台的航管系統購自國外廠商,系統的專業度高,必須仰賴委外廠商來實際運作整套系統。但機關同仁被要求如同委外廠商般,熟悉整套系統的管理與操作。由於系統重要性高,機關同仁自主性越高,對系統掌握性才能相對提高。

在資安的規劃上,區分為業務網(飛航管理)及行政網。兩套網路間採實體隔離,如有資料需求交換時,只能採專屬USB硬碟,還需透過申請核可才能取得該設備。在業務網內,還規劃了網中網,拉高防禦縱深。飛航服務是24小時不中斷,除了系統本身會有正常的功能監看外,還輔以流量監控,增加安全管控能力。

異常的蛛絲馬跡 自己來發現
總台的網路,除了有自己的資安廠商監看可能之攻擊外,民航局資訊室再提供SOC的服務。說到SOC服務,民航局資訊室潘啟諫主任強調這是民航局,以所屬各機關的整體需求一併發包出去,規模的增加讓廠商的效益增加、同時費用得以下降。

談到資安委外,潘主任認為資安廠商只能擋掉7-8成的問題,其他2-3成仍得靠自己面對。舉例來說,一位電腦不熟的同仁,突然從家裡透過VPN連線進來,SOC廠商不會覺得異常,但從機關自己人來看,這事就是奇怪。或是有些server平常不會有人去碰,突然有人碰了,這就代表異常,委外廠商不會發現這種小異常。資安服務廠商通常只重視守大門,一些異常的蛛絲馬跡,還是要靠自己來發現,特別是端點的異常現象。現在的防禦無法將壞人擋在外面,但要讓他進來後,不能動不該動的地方。

個人就好奇了,單位內人少又這麼忙,如何能發現這些異常的蛛絲馬跡? 潘主任表示他自己寫程式來監看可能的異常。可惜的是,這程式係針對機關環境特性開發,無法分享其他公務機關,至少這觀念是可以複製的。

針對SOC服務,主任也提出一個實際問題,萬一有事件發生,廠商二線人員很難及時現場處理。在民航局是由內部同仁做第一時間的應變,再等廠商來。如果這是常態,別的單位或公司若是完全仰賴SOC廠商,這時是不是只能看天?

專心扮演大腦的角色
民航局及所屬機關,由於業務的特性,人員大都是內部調動。這個特性的好處是,大家彼此熟識,任何工作的推動也就更容易溝通。潘主任是這樣描繪民航局的防禦工作,「大家一起把家顧好!」。

談到專屬資安人力的問題,潘主任認為公務機關不容易達成。組織不可能增加員額是一個原因;另外,專職做資安的人員,少了其他的工作歷練,對未來工作的升遷會產生一定的限制。

針對成立資訊總處的議題,潘主任也提出他的經驗與觀察。各機關首長重視的是機關本身的核心業務,以交通部為例,交通是本業、資訊是副業;民航局的飛航服務及機場管理是本業、資訊是副業。所以在成立資訊總處這樣的規劃下,資訊人員的管考體系及方式,必須好好琢磨。

談到敏感又重要的發包方式,潘主任表示過去這7-8年來,依據招標方式的調整,都採評選標而非最低價格標。當規格非常明確或買的廠牌已固定了,最低價格標很恰當,但資安服務需要選盡責的專業廠商,無法以最低價的方式來招標。

面對現在的資訊及資安現況,潘主任認為委外的關係應該是,廠商就像手與腳,單位自己的人員應該與廠商,共同瞭解問題及系統,才能扮演大腦,來指揮手與腳。