政府推出的資安服務共同供應契約包含資安健診服務、滲透測試服務、社交工程郵件測試服務、弱點掃描服務、SOC監控服務高流量、中流量及低流量等七項,拍板前就已引起業界廣泛討論,加上政府去年也將資安健診納入資通安全稽核作業中,且占分不低,因此市場一致普遍看好。
中華電信數據分公司資安處副處長謝東明表示,資安服務有別於一般採購項目,涉及許多專業、技術性知識,對多數政府機關來說「常常無從下手開規格」,也因此才由國家資通安全會報技術服務中心出面統一開規格,各政府單位只要選擇所需的服務內容即可;更重要的是,透過這種簡化採購流程作法,資安服務業者也可省去以往每次投標前的繁瑣準備,進而把時間、精力專注在「服務面提升」上,創造真正雙贏局面。
團隊能量充足 專案經驗齊備
中華電信在資安領域的獨到之處,謝東明指出,中華電信在資安方面的技術及開發團隊共有200多人,「團隊能量相當充足」,旗下團隊從2004年就開始接觸各種大型專案,此間也不斷精進服務流程,堪稱經驗豐富,所以共同供應契約內的各種品項都不是問題。
在共同供應契約品項之一「弱點掃描」部分,中華電信也不同於其他業者「只把厚厚一本掃描結果交給對方」的作法,而是安排專家分析資料,進而提出具體改善建議;至於「滲透測試」方面,中華電信有一群經驗豐富的專家,不但可幫客戶找出邏輯上的問題,甚至連不經意洩漏的一些相關資訊也都難逃法眼,更能進一步提供政府機關中肯建議。
至於如何幫助政府部門避免受時下最夯駭客手法──社交工程郵件的侵害,謝東明說,中華電信提供的社交工程演練服務極具警惕效果,透過具吸引力的郵件標題內容誘使受測者開啟郵件,演練成效相當顯著;此外,中華電信分別針對不同職別、主管、技術人員等設計不同報表,各層級人員可在最短時間內掌握測試結果、了解自己應改進之處、讓技術人員可在第一時間解決問題,藉這樣的機制,幫助各機關在最短時間內改善缺失。
有效監控追蹤 徹底解決問題
談到SOC資安監控,謝東明表示,中華電信持續增加各種關聯規則,藉以提升監控能量,他以大門保全為例,若門口僅有一名警衛用目測檢查,那只能看到表面,但如果再增加紅外線檢查、爆炸物檢查,甚至是利用狗的嗅覺檢查,結果可能會出現一百八十度轉變。
「關聯規則不是多就好,有效性更重要!」他說,中華電信透過實際案件累積數據,再從海量資料中找出可疑的蛛絲馬跡,進而發現各種緩慢攻擊,「各種關聯規則都是真正的專家知識,只是最後放到監控系統裡去運行,讓其快速反應各種可能問題」。中華電信一旦發現資安問題,就會立即協助客戶一起解決,並啟動追蹤機制,透過專屬追蹤表,詳細記錄聯絡時間、建議內容,一直到結案為止,「如果沒有人去盯,事情往往就是無法改善,所以我們會一直陪著客戶把事件解決」。
建議分級 落實管理制度
資安服務共同供應契約除了有利政府機關採購外,當初也有著培植資安服務業者的潛在目的,對此,謝東明建議,契約內的各項服務應分別設立投標業者之資格門檻,藉此以提升服務品質,且一旦門檻設立,價格也須調整,方足以合理反應成本;或者,透過「服務分級」方式,將共同供應契約分成A級、B級或C級服務,政府機關則依照自身預算、需求進行採購,如此做法不但可鼓勵有企圖心的廠商持續投資精進,也才有助產業進步,達到培植產業之真正目的。
政府資安還有一項最大問題──落實度,謝東明同時呼籲,該更新的漏洞就要更新,對惡意郵件的警覺性一刻也不能鬆懈;例如一些測試用、無人管的資訊資產,都很可能變成駭客的工具或跳板,必須加強管理力道,「管理面若無法落實,縱使設備再好也無法發揮優勢」。
中華電信堅持不斷創新,透過實際投入資源來提升技術,「目的就是為了提供更好的服務」。謝東明說,中華電信資安服務正朝更自動化、更有感的方向邁進,且積極發展具國際競爭力的產品及服務,盼藉此躍上國際舞台,成為資安服務界的台灣之光。
(來源:2015-01-15 經濟日報 鄭芝珊)
http://money.udn.com/storypage.php?sub_id=5640&art_id=643112
