公務機關與重點企業建立資安專責推舉資安長
資通安全法規定 A 級、B 級、與 C 級機關須設立資通安全專職人員(或資安專責人員)、定期通過內部資通安全稽核、完成資通安全弱點通報機制並且重視郵件溝通管道,要求機關導入 Email 電子郵件過濾機制。(註1)甚至進一步要求 A 級機關需針對進階持續性威脅攻擊(APT攻擊)建立完整的防禦機制。不只公務機關,面對資安議題,台灣企業也一樣嚴陣以待,金管會陸續要求上百間上市櫃企業、金融單位成立資安長(Chief Information Security Officer, CISO)或資安專責單位,「台灣資安主管聯盟」也應運而生,由國內多家大型企業(如:華碩、富邦金、台達電、國泰世華、遠傳電信等)共同發起,互相分享威脅安防情資、並持續整備資安人力。(註2)。
「郵件安全」是資安專責單位最先關注的議題
觀察近年實際資安駭客事件,例如關鍵基礎設施、公營銀行或中大型企業等單位,多數肇因於變臉郵件詐騙,而在 CIO 大調查中,有將近一半的企業組織自評威脅郵件是重要的資安威脅。(註3)通常在大型資安事件爆發之前數年,惡意駭客程式就已潛入受害單位的內部網路架構之中。資訊病毒傳遞的媒介,可能是隨身碟、Email 附件或網路釣魚連結等情境,推測論之,對於隱身在網際網路的海內外駭客來說,透過實體的硬體媒介造成受害單位全內網感染的執行難度相比,反覆投遞各類釣魚威脅郵件,是相對有效率的工具。再加上 Email 組成結構先天有容易被偽冒的特色,例如:收件者看到的寄件者可能是偽造的,不一定是真的寄件者,因此讓 Email 成為駭客最常用來設局的第一步陷阱。
網路駭客手法日新月異,如數發部唐鳳部長在資安大會的簡報提及「APT 鎖定式攻擊與社交工程詐騙」都是近年重點資安威脅趨勢(註4),若要保護機關同仁免於這類威脅危害,有賴資安人員持續與同仁溝通、宣導新知、加強重要公務資料的保護意識,例如以下情境圖示意。
資安專責單位的四大工作重點
如果說機關同仁的工作目標是達成組織使命的專業項目,資安人員就是建立安全的資訊環境,在網路威脅之下掩護同仁、協助同仁順利完成機關專業項目。除了資訊安全的專業技能之外,讓同仁了解配合資安機制的重要性,建立謹慎與高資安敏感度習慣,都是為了每一步的踏實向前,承接上圖的工作使命看板,以下更進一步說明相關執行步驟與任務關鍵:
機關導入雲端共契的四種工作溝通需求情境
由於每個政府機關現行的資訊系統與架構不盡相同,所以面臨到的需求情境也不一樣,當資安人員欲著手優化的時候,建議可以先參考資通安全法規的規範需求,在了解法規框架之後,更進一步了解實際的需求情境,以下將可能的情境分為 4 大類,提供給機關參考是否有類似的需求情境:
選擇可信賴的雲端服務廠商的三大衡量
一、雲端服務架構是否完整
不是每一個號稱可提供雲端服務的品牌就能提供 99.95% 的服務穩定保證。服務機房的所在地、以及多重備援架構的完整性,是導入前的重要評估指標。唯有可以自主掌握基礎建設的雲端服務才能夠即時配合政府規範動態調整。
二、第三方認證與獲獎經歷
雲端服務商需要被評比的面向很多,從服務穩定度、國際品質保證、資訊安全認證、廠商營運力、產業實績或代表案例、技術研發能力等,例如:ISO27001 國際認證、雲端共契往年的評選實力等。更重要的是對於資訊安全技術的持續進步,隨時回應最新的資安弱點威脅。
三、主管機關的選擇品牌
選擇有口皆碑的品牌是比較有保障的,且建議至少是要能讓機關使用超過兩年以上的品牌,無論機關工作量高峰或離峰時段都能保持穩定服務的使用經驗會是更可靠的前測指標。在地化服務是品牌價值的延伸,經由政府雲端共契嚴格把關下,確保雲端服務商的服務品質。
資安專責單位應該了解的雲端服務優勢
雲端服務導入,通常都會由一群專業的雲端服務團隊協助,對於機關來說,需要的技術門檻降低了,再加上導入快速、帳號授權彈性高、價格實惠經濟、24 小時客服、專業技術顧問。機關將可以過往更精省的人事與技術維運成本,就能享受品質更高的服務穩定保證(SLA 99.95%),省去資訊管理人員許多自建維護主機的困擾。在資訊工具益發多元的情況下,善用雲端服務,更能讓管理人員快速獲得更多更完整的資訊解決方案。
以 111 年度第 4 季開始的政府共同供應契約採購方案來看,機關人員規模在 50 人左右的郵件安全防偽偵測標準方案,目前約在兩萬五千元左右,視採購項目不同而略有差異,若有採購需求,歡迎機關同仁直接登入政府電子採購網瀏覽選購。
Openfind 網擎資訊連續六年評選第一,廣受公務機關好評採用
政府共同供應契約(雲端服務)採購項目,快速導覽 >>
參考資料
1. 資通安全法懶人包 - 跨域資安強化產業推動計畫
https://www.acw.org.tw/Match/Default.aspx?subID=38
2. 台灣資安主管聯盟成立 3年強化企業防護架構
https://digi.nstc.gov.tw/Page/1538F8CF7474AB4E/6c08f28a-1661-4a3a-ae34-e49a733541f9
3. 2022年度CIO大調查報告
https://www.cio.com.tw/annual-cio-survey-report-2022-pdf-download/
4. 2022年9月21日數位發展部唐鳳部長臺灣資安大會演講簡報檔
https://www-api.moda.gov.tw/File/Get/z9HUkFsXN1VCvzo