https://twcert2024.informationsecurity.com.tw/

觀點

錢花在刀口上,但『刀口』在哪?

2018 / 03 / 05
侍家驊
錢花在刀口上,但『刀口』在哪?
一直以來做資安,資源永遠不足,雖然大家都知道錢要花在刀口上,但是所謂的『刀口』在哪裡呢?
台北市政府資訊局李維斌局長指出,現在的問題是不易定義『刀口』。因為平時資訊單位繁雜事情太多,很難仔細評估每件事情的輕重緩急,再加上資安人員缺乏職涯規劃,因此經常發生資安相關人員在同領域內待的時間不夠久,造成人員的專業能力因職務經常變動而不易積累。

就資安整體防禦面來看,目前政府或企業大多數可謂廣度不夠、深度不足,因為人員要做的工作實在很多。以北市府實際經驗來說,該買的設備都有了,但真正的問題其實是在底層的細節。譬如市長上任之初,清查發現虛擬區域(Virtual Local Area Network, VLAN)切不乾淨是弱點之一,而這個現象又來自於內部單位組織的變動,造成兩個不同單位置身於同VLAN的環境下,或是系統下線但未移除,這都再次指出專職資安人力的必要性。

另一種狀況,在政府部門大量委外情況下,則是系統開發過程到變更所留下的文件不夠完備,一旦出事只能倚賴前人追尋問題的根源。沒有完整的文件資料、加上沒有留下過去的知識技能,這對於問題的追朔及專業能力的積累會出現明顯的斷層現象。然而,現在藉由推動知識管理(KM, Knowledge Management)及導入資訊技術基礎架構庫(ITIL, Information Technical Infrastructure Library)來改善,除了持續將經驗結構化成文件進行保存及分享外,並且藉由將流程標準化改善IT服務效率與品質。

李維斌局長表示府內目前資安推動的重點為:

1. 強化應用程式安全強度,新的軟體開發就專注在降低漏洞,積極導入安全軟體發展流程(Secure Software Development Life Cycle, SSDLC)、資訊基礎架構庫(Information Technology Infrastructure Library, ITIL)等。除此之外,針對安全系統設計文件、系統分析文件,訂定必要標準及流程給同仁和協力廠商遵循。

2. 完成整個資訊系統的盤點,如此才能看透目前有哪些問題? 有哪些方案可解決問題? 目前可用的預算有多少? 哪些部分必須即刻解決、哪些問題可以等待預算與資源的支援? 如此一來,則可以逐漸具體刻劃出每件事情的輕重緩急。

3. 接著就是人的問題,任何規定的貫徹都是管理的挑戰。府內各項規定與要求是否能真正落實執行呢? 甚至協力廠商的PM與駐點人員都有著類似的問題,再加上人員的經常性的流動,相對拉高了教育訓練的難度,但是,也唯有堅持持續投入人力與物力,不鬆懈的執行。

但感謝前輩們過去的努力,府內同仁普遍資安意識不差,碰到新的要求,大都直接指出執行上具體的難處,而不是一味心理上的抗拒。也因此各單位的挑戰又回到了資安單位,這也促使資安單位更加嚴謹審慎地幫各局處解決具體的難題,或提出必要調整的做法。

4. 買服務來支持專業資安廠商,資安成敗不在於設備的購置,而是廠商的專業服務。首先改變預算編列方式,維持經常性的預算來購買服務,使廠商們有足夠的業務量來培養解決問題的能量,除此之外還需足夠的情境,透過實際的狀況來優化解決方案,也因為持續不斷優化,才能讓問題真正地被解決。

此外,局長以個人過去的經歷和國內駭客團隊們合作,開放府內的場域讓駭客們驗證想法及作法。同樣的方式也運用在目前或正在選擇廠商產品或服務上,經過實際驗證,就知道廠商產品與服務是否有效,以及是否符合組織的需求。

資安的挑戰日新月異,但是資源的增加卻慢如龜步。集中資源於最關鍵的點上、選擇正確的防禦方式,這兩者是我們大家承認現實環境下最佳做法,北市府的作法可以給我們大家參考,同時我們也期待未來北市府有更多的分享!