錢花在刀口上，但『刀口』在哪?

2018 / 03 / 05

侍家驊

一直以來做資安，資源永遠不足，雖然大家都知道錢要花在刀口上，但是所謂的『刀口』在哪裡呢?
台北市政府資訊局李維斌局長指出，現在的問題是不易定義『刀口』。因為平時資訊單位繁雜事情太多，很難仔細評估每件事情的輕重緩急，再加上資安人員缺乏職涯規劃，因此經常發生資安相關人員在同領域內待的時間不夠久，造成人員的專業能力因職務經常變動而不易積累。

就資安整體防禦面來看，目前政府或企業大多數可謂廣度不夠、深度不足，因為人員要做的工作實在很多。以北市府實際經驗來說，該買的設備都有了，但真正的問題其實是在底層的細節。譬如市長上任之初，清查發現虛擬區域（Virtual Local Area Network, VLAN）切不乾淨是弱點之一，而這個現象又來自於內部單位組織的變動，造成兩個不同單位置身於同VLAN的環境下，或是系統下線但未移除，這都再次指出專職資安人力的必要性。

另一種狀況，在政府部門大量委外情況下，則是系統開發過程到變更所留下的文件不夠完備，一旦出事只能倚賴前人追尋問題的根源。沒有完整的文件資料、加上沒有留下過去的知識技能，這對於問題的追朔及專業能力的積累會出現明顯的斷層現象。然而，現在藉由推動知識管理（KM, Knowledge Management）及導入資訊技術基礎架構庫（ITIL, Information Technical Infrastructure Library）來改善，除了持續將經驗結構化成文件進行保存及分享外，並且藉由將流程標準化改善IT服務效率與品質。

李維斌局長表示府內目前資安推動的重點為:

1. 強化應用程式安全強度，新的軟體開發就專注在降低漏洞，積極導入安全軟體發展流程(Secure Software Development Life Cycle, SSDLC)、資訊基礎架構庫（Information Technology Infrastructure Library, ITIL）等。除此之外，針對安全系統設計文件、系統分析文件，訂定必要標準及流程給同仁和協力廠商遵循。

2. 完成整個資訊系統的盤點，如此才能看透目前有哪些問題? 有哪些方案可解決問題? 目前可用的預算有多少? 哪些部分必須即刻解決、哪些問題可以等待預算與資源的支援? 如此一來，則可以逐漸具體刻劃出每件事情的輕重緩急。

3. 接著就是人的問題，任何規定的貫徹都是管理的挑戰。府內各項規定與要求是否能真正落實執行呢? 甚至協力廠商的PM與駐點人員都有著類似的問題，再加上人員的經常性的流動，相對拉高了教育訓練的難度，但是，也唯有堅持持續投入人力與物力，不鬆懈的執行。

但感謝前輩們過去的努力，府內同仁普遍資安意識不差，碰到新的要求，大都直接指出執行上具體的難處，而不是一味心理上的抗拒。也因此各單位的挑戰又回到了資安單位，這也促使資安單位更加嚴謹審慎地幫各局處解決具體的難題，或提出必要調整的做法。

4. 買服務來支持專業資安廠商，資安成敗不在於設備的購置，而是廠商的專業服務。首先改變預算編列方式，維持經常性的預算來購買服務，使廠商們有足夠的業務量來培養解決問題的能量，除此之外還需足夠的情境，透過實際的狀況來優化解決方案，也因為持續不斷優化，才能讓問題真正地被解決。

此外，局長以個人過去的經歷和國內駭客團隊們合作，開放府內的場域讓駭客們驗證想法及作法。同樣的方式也運用在目前或正在選擇廠商產品或服務上，經過實際驗證，就知道廠商產品與服務是否有效，以及是否符合組織的需求。

資安的挑戰日新月異，但是資源的增加卻慢如龜步。集中資源於最關鍵的點上、選擇正確的防禦方式，這兩者是我們大家承認現實環境下最佳做法，北市府的作法可以給我們大家參考，同時我們也期待未來北市府有更多的分享!

資安防禦資安推動