首頁 > 焦點新聞

錢花在刀口上,但『刀口』在哪?

作者:侍家驊 -2018 / 03 / 05 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
一直以來做資安,資源永遠不足,雖然大家都知道錢要花在刀口上,但是所謂的『刀口』在哪裡呢?
台北市政府資訊局李維斌局長指出,現在的問題是不易定義『刀口』。因為平時資訊單位繁雜事情太多,很難仔細評估每件事情的輕重緩急,再加上資安人員缺乏職涯規劃,因此經常發生資安相關人員在同領域內待的時間不夠久,造成人員的專業能力因職務經常變動而不易積累。

就資安整體防禦面來看,目前政府或企業大多數可謂廣度不夠、深度不足,因為人員要做的工作實在很多。以北市府實際經驗來說,該買的設備都有了,但真正的問題其實是在底層的細節。譬如市長上任之初,清查發現虛擬區域(Virtual Local Area Network, VLAN)切不乾淨是弱點之一,而這個現象又來自於內部單位組織的變動,造成兩個不同單位置身於同VLAN的環境下,或是系統下線但未移除,這都再次指出專職資安人力的必要性。

另一種狀況,在政府部門大量委外情況下,則是系統開發過程到變更所留下的文件不夠完備,一旦出事只能倚賴前人追尋問題的根源。沒有完整的文件資料、加上沒有留下過去的知識技能,這對於問題的追朔及專業能力的積累會出現明顯的斷層現象。然而,現在藉由推動知識管理(KM, Knowledge Management)及導入資訊技術基礎架構庫(ITIL, Information Technical Infrastructure Library)來改善,除了持續將經驗結構化成文件進行保存及分享外,並且藉由將流程標準化改善IT服務效率與品質。

李維斌局長表示府內目前資安推動的重點為:

1. 強化應用程式安全強度,新的軟體開發就專注在降低漏洞,積極導入安全軟體發展流程(Secure Software Development Life Cycle, SSDLC)、資訊基礎架構庫(Information Technology Infrastructure Library, ITIL)等。除此之外,針對安全系統設計文件、系統分析文件,訂定必要標準及流程給同仁和協力廠商遵循。

2. 完成整個資訊系統的盤點,如此才能看透目前有哪些問題? 有哪些方案可解決問題? 目前可用的預算有多少? 哪些部分必須即刻解決、哪些問題可以等待預算與資源的支援? 如此一來,則可以逐漸具體刻劃出每件事情的輕重緩急。

3. 接著就是人的問題,任何規定的貫徹都是管理的挑戰。府內各項規定與要求是否能真正落實執行呢? 甚至協力廠商的PM與駐點人員都有著類似的問題,再加上人員的經常性的流動,相對拉高了教育訓練的難度,但是,也唯有堅持持續投入人力與物力,不鬆懈的執行。

但感謝前輩們過去的努力,府內同仁普遍資安意識不差,碰到新的要求,大都直接指出執行上具體的難處,而不是一味心理上的抗拒。也因此各單位的挑戰又回到了資安單位,這也促使資安單位更加嚴謹審慎地幫各局處解決具體的難題,或提出必要調整的做法。


1
推薦此文章
2
人推薦此新聞
文章回應話題
樊國楨 發表於: 2018 / 03 / 31
淺見,臺北市政府資安之重點應在防禦,現階段,真正的標準化可能辛苦,但能收事半功倍之刀口效果(FISMA實作計畫的實證結論);舉例而言,2015-07,以行政院副院長之尊,卻誤將《網路實名制(前檯匿名、後檯實名)》的控制措施作為《資料去識別化》之驗證要求,即為TW的ISMS/PIMS標準化待努力之例證。
侍家驊 發表於: 2018 / 03 / 14
幾個個人觀點:
1. 體制殺人: 個人從接觸資安開始, 訪過不少公務機關, 在許多角落, 仍有盡心盡力的官員, 在自己可以掌握的空間, 力求做好本份工作
2.請化悲憤為改變的一絲力量, 埋下一顆種子, 明天才有成大樹的機會
3.面對全球的網路威脅, 面對一堆老舊雜處的系統, 誰能不出事? 重點該回置到, 出事前該做的基本防禦工作? 出事後的處置動作與時效性掌握? 損害的掌控力? 事後檢討改進

大家加油了
草包 發表於: 2018 / 03 / 12
好笑囉...公務圈別說資訊、資安了,一般辦事邏輯外行龜速更是不專業,上不了檯面的工作文化,資安?

約聘資訊人員,一個比一個弱,說三流中的三流絕不意外 (真有能耐會待公家? ) 心態為何你我皆知啦

上位者更是技術素養、含量極差的(今年)官,連餅都不會畫,花錢養一堆國內不入流的"資安"公司,順便推廣國產low 軟體,沒這些公家單位,這些大小包的軟體弱者,還不知怎麼活呢

幸好有公家單位,不然這些嘴炮資安業者,還真不知怎麼活下去

面對現實,務實改革制度文化,才叫刀口
老資訊 發表於: 2018 / 03 / 07
李主任的經驗值得參考,感謝.
官啊 發表於: 2018 / 03 / 05
台北市府自己都出過幾次資安問題,還有辦法借鏡給別人!?
是一種久病成良醫的概念嗎?

監委糾正台北市個資外洩 資訊局 : 會虛心檢討
https://newtalk.tw/news/view/2017-12-08/106422
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…