網路資訊/資安防衛戰 七大元件缺一不可
作/曹乙帆
新的一年裡,企業勢將面對許多安全方面的新趨勢、新威脅與新挑戰,或許這也是企業重新檢視自家安全政策的最佳時機點。編輯部特別規劃在本年度所應重新自我健檢的7大面向,會先從綜觀的安全防護層面,接着再深入至各個環節,包含端點、伺服器、網路存取、內容與資料安全,以及最後的安全政策落實進行探討,讓企業能夠蓄積迎接各種挑戰的安全能量。
防護安全重點
安全政策大致分爲廣義與狹義兩種安全政策,大部分的企業在因應各種類型的安全風險與安全威脅時,多半都會事先擬定出符合公司營運狀況、人員規模、業務型態、安全需求的最高安全指導原則。
安全指導原則會建立在產品導入之前,亦即有了安全指導的大方向,並且確立了針對自己公司需求的大方向之後,纔會決定要採買哪些安全產品。
而以下各篇所列的則是產品採購之後,針對不同重大安全面向之安全議題或安全產品,在符合公司最高指導原則之下所要展開的適當控制措施。這些透過產品來加以落實的措施,其通常也被稱之爲安全政策或安全規則。
所謂狹義安全政策是指指導性原則、高層級的安全政策而言,在廣義安全政策中則將控制措施等安全規則也納入範疇內。
精誠資訊企業產品應用部產品企劃暨技術服務處經理於子欣表示,企業不妨以ISO 27001做爲自家安全政策擬定的參考方針,該標準中列舉了安全政策落實面之非常詳盡的控制項,企業再針對這些控制項找出相對應的解決方案,便可建立完善的安全防護機制。
精誠資訊企業產品應用部資安暨網路產品業務處處長李文謙指出,安全政策是企業整體的安全基準,在此基準下同時考量諸如個資法法律面的規範,以及ISO/BSI國際標準的控制項,然後擬定出必須執行的細項,透過各類安全解決方案的搭配便能讓執行細項獲得落實,並符合安全政策的基本要求。
Fortinet臺灣區技術顧問劉乙也持同樣的看法指出,企業一開始就會發展出屬於自己專屬的安全政策及思維,有了安全政策便會關注與自己息息相關的安全趨勢與安全威脅,然後再尋求相對應的解決方案。
從威脅評估、觀察到解決方案的導入,會是不斷檢視並一再確認的循環。唯有透過這樣的循環確認,才能針對最重要的環節加以防護,如此才能發揮最大的效益。
FireEye臺灣暨香港技術經理林秉忠表示,企業安全政策分成高層級的大原則政策,以及執行面的安全政策,執行面會因現有系統及方案之不同而有不同的做法,企業必須不斷檢視執行現況與公司大原則政策之間的落差,並透過IT趨勢與大原則政策間的定期檢視,乃至風險評估來消弭兩者間的落差,然後再進行產品的導入。
McAfee臺灣區技術經理沈志明則認爲,安全威脅、安全趨勢、安全政策及安全方案彼此之間是由小到大的同心圓,原則是由安全威脅發展成爲安全趨勢,然後再由安全趨勢形成安全政策,最後安全政策再由各種不同安全方案來進行各個面向的安全防護與安全政策的實踐,同時上述每一個階層都要定期重新檢視以做調整。
路事業部業務開發經理郭旭傑表示,當前企業都會先形成大原則的安全政策,面對新的安全趨勢與安全威脅後,便會制定出安全程序(Security Procedure),或稱安全控制項,這就好比法律也會事後針對酒駕問題而有新的罰則規定一樣。基本上,原則性的安全政策不會任意變動,但安全程序則會隨着新趨勢及新威脅的出現而不斷變動。而安全程序與產品之間要思考的是如何落實的問題,這中間必須與業務面方便性及生產力影響程度進行權衡折衷,否則推行上會有成效不彰的狀況出現。
HP資訊安全事業部北亞區資深技術協理蕭鬆瀛表示,雖然個資防護並非什麼新議題,但隨着個資法的正式上路,2013年個資防護議題會獲得進一步的強化與發酵,進而帶動資料外泄防護、證據保全、SIEM及儲存安全的重視與高漲。其中光證據保全對企業而言,便是一個同時跨越諸多部門的一大工程,對此必須要以一個更高層級的宏觀角度及思維,才能進行整體性安全政策及防護戰略的規劃及擬定。同樣的,面對APT也必須以同樣的高度及思維來因應。
企業不論是擬定大方向性的安全政策,還是執行面的安全細節也好,都有基本的原則可循。對此, 趨勢科技臺灣區總經理洪偉淦建議指出,安全政策、企業流程與使用者習慣之間必須進行協調。必須瞭解的是,任何企業都不會視資安爲唯一,唯有營運效益發揮到極致纔是終極目標。
安全政策的最大作用即在於輔助企業發揮營運效益,當政策與效益發生衝突時,則應以威脅所引發之最壞結果是否爲企業足以承擔爲考量,如果無法承擔,纔會以安全政策爲優先。
其次要注意的,莫過於安全政策的可執行性,亦即安全細項是否會改變使用者習慣,例如,若要求使用者每天更換密碼,安全性絕對足夠,但可執行性卻幾近於零。
更重要的是,安全政策必須獲得老闆的支持,乃至業務主管的願意配合與參與,否則將有窒礙難行的可能。除此之外,洪偉淦提醒指出,安全政策還需其他單位的配合,例如對於違反安全政策的員工是否有任何懲處措施。
再就整合而言,若要發揮產品間的綜效,整合絕對有其必要,但還得視企業本身是否具備整合的能力,對此,企業可以另尋第三方服務供應商提供協助。同樣的,於子欣也建議指出,在安全政策及執行細項的擬定上,可以尋求顧問服務的協助,乃至相對應解決方案的導入規劃,進而建立更完善的安全防護原則及機制。
網路資訊.254.255期(新春號)