网路资讯/资安防卫战 七大元件缺一不可
作/曹乙帆
新的一年里,企业势将面对许多安全方面的新趋势、新威胁与新挑战,或许这也是企业重新检视自家安全政策的最佳时机点。编辑部特别规划在本年度所应重新自我健检的7大面向,会先从综观的安全防护层面,接着再深入至各个环节,包含端点、伺服器、网路存取、内容与资料安全,以及最后的安全政策落实进行探讨,让企业能够蓄积迎接各种挑战的安全能量。
防护安全重点
安全政策大致分为广义与狭义两种安全政策,大部分的企业在因应各种类型的安全风险与安全威胁时,多半都会事先拟定出符合公司营运状况、人员规模、业务型态、安全需求的最高安全指导原则。
安全指导原则会建立在产品导入之前,亦即有了安全指导的大方向,并且确立了针对自己公司需求的大方向之后,才会决定要采买哪些安全产品。
而以下各篇所列的则是产品采购之后,针对不同重大安全面向之安全议题或安全产品,在符合公司最高指导原则之下所要展开的适当控制措施。这些透过产品来加以落实的措施,其通常也被称之为安全政策或安全规则。
所谓狭义安全政策是指指导性原则、高层级的安全政策而言,在广义安全政策中则将控制措施等安全规则也纳入范畴内。
精诚资讯企业产品应用部产品企划暨技术服务处经理于子欣表示,企业不妨以ISO 27001做为自家安全政策拟定的参考方针,该标准中列举了安全政策落实面之非常详尽的控制项,企业再针对这些控制项找出相对应的解决方案,便可建立完善的安全防护机制。
精诚资讯企业产品应用部资安暨网路产品业务处处长李文谦指出,安全政策是企业整体的安全基准,在此基准下同时考量诸如个资法法律面的规范,以及ISO/BSI国际标准的控制项,然后拟定出必须执行的细项,透过各类安全解决方案的搭配便能让执行细项获得落实,并符合安全政策的基本要求。
Fortinet台湾区技术顾问刘乙也持同样的看法指出,企业一开始就会发展出属于自己专属的安全政策及思维,有了安全政策便会关注与自己息息相关的安全趋势与安全威胁,然后再寻求相对应的解决方案。
从威胁评估、观察到解决方案的导入,会是不断检视并一再确认的循环。唯有透过这样的循环确认,才能针对最重要的环节加以防护,如此才能发挥最大的效益。
FireEye台湾暨香港技术经理林秉忠表示,企业安全政策分成高层级的大原则政策,以及执行面的安全政策,执行面会因现有系统及方案之不同而有不同的做法,企业必须不断检视执行现况与公司大原则政策之间的落差,并透过IT趋势与大原则政策间的定期检视,乃至风险评估来消弭两者间的落差,然后再进行产品的导入。
McAfee台湾区技术经理沈志明则认为,安全威胁、安全趋势、安全政策及安全方案彼此之间是由小到大的同心圆,原则是由安全威胁发展成为安全趋势,然后再由安全趋势形成安全政策,最后安全政策再由各种不同安全方案来进行各个面向的安全防护与安全政策的实践,同时上述每一个阶层都要定期重新检视以做调整。
路事业部业务开发经理郭旭杰表示,当前企业都会先形成大原则的安全政策,面对新的安全趋势与安全威胁后,便会制定出安全程序(Security Procedure),或称安全控制项,这就好比法律也会事后针对酒驾问题而有新的罚则规定一样。基本上,原则性的安全政策不会任意变动,但安全程序则会随着新趋势及新威胁的出现而不断变动。而安全程序与产品之间要思考的是如何落实的问题,这中间必须与业务面方便性及生产力影响程度进行权衡折衷,否则推行上会有成效不彰的状况出现。
HP资讯安全事业部北亚区资深技术协理萧松瀛表示,虽然个资防护并非什么新议题,但随着个资法的正式上路,2013年个资防护议题会获得进一步的强化与发酵,进而带动资料外泄防护、证据保全、SIEM及储存安全的重视与高涨。其中光证据保全对企业而言,便是一个同时跨越诸多部门的一大工程,对此必须要以一个更高层级的宏观角度及思维,才能进行整体性安全政策及防护战略的规划及拟定。同样的,面对APT也必须以同样的高度及思维来因应。
企业不论是拟定大方向性的安全政策,还是执行面的安全细节也好,都有基本的原则可循。对此, 趋势科技台湾区总经理洪伟淦建议指出,安全政策、企业流程与使用者习惯之间必须进行协调。必须了解的是,任何企业都不会视资安为唯一,唯有营运效益发挥到极致才是终极目标。
安全政策的最大作用即在于辅助企业发挥营运效益,当政策与效益发生冲突时,则应以威胁所引发之最坏结果是否为企业足以承担为考量,如果无法承担,才会以安全政策为优先。
其次要注意的,莫过于安全政策的可执行性,亦即安全细项是否会改变使用者习惯,例如,若要求使用者每天更换密码,安全性绝对足够,但可执行性却几近于零。
更重要的是,安全政策必须获得老板的支持,乃至业务主管的愿意配合与参与,否则将有窒碍难行的可能。除此之外,洪伟淦提醒指出,安全政策还需其他单位的配合,例如对于违反安全政策的员工是否有任何惩处措施。
再就整合而言,若要发挥产品间的综效,整合绝对有其必要,但还得视企业本身是否具备整合的能力,对此,企业可以另寻第三方服务供应商提供协助。同样的,于子欣也建议指出,在安全政策及执行细项的拟定上,可以寻求顾问服务的协助,乃至相对应解决方案的导入规划,进而建立更完善的安全防护原则及机制。
网路资讯.254.255期(新春号)