中華電信資安團隊成員具多年資安實務經驗與國內外博碩士學歷,並累積上百張國際資安證照(CISSP、CEH、GWAPT、CHFI等),從管理、網路、系統、終端、資料、雲端、行動等面向,提供全方位資安解決方案與專業顧問服務,協助 貴部規劃事前、事中與事後完善的資安防禦建置與維運機制。
表 1、本公司資安團隊專業證照
| 分類 | 本團隊擁有之專業證照 |
| 資安檢測與事件鑑識 | GWAPT網頁滲透測試認證 |
| GCFW防火牆事件調查分析員 | |
| GCFA事件調查分析員 | |
| CHFI資安鑑識調查專家認證 | |
| CEH駭客技術專家認證 | |
| ECSA資安分析專家認證 | |
| Acunetix Certification專家認證 | |
| IBM Rational AppScan專家認證 | |
| McAfee Vulnerability Manager | |
| Retina Network Security Scanner(eEye)認證 | |
| 資安分析與管理 | ISC2 CISSP 資訊系統安全專家認證 |
| CISA 資訊系統稽核師認證 | |
| SSCP系統安全認證從業人員 | |
| BS 10012個人資料管理系統主導稽核員 | |
| ISO27001資安管理系統主導稽核員 | |
| CSA STAR雲端資安稽核員認證 | |
| TCSE 趨勢資訊安全專業級認證 | |
| NSPA 網路安全封包分析認證 | |
| CCSA,Check Point安全管理員認證 | |
| SCTS、FCNSP、HP ATP-TippingPoint Security V1、SFCP、CCNA Security | |
| ArcSight認證:AESA、ACIA、AELA | |
| CompTIA Security+ 國際網路資安認證 | |
| 專案管理 | PMI PMP國際專案管理師認證 |
| ITIL Foundation Certificate | |
| BS 25999營運持續管理主導稽核員 | |
| ISO9001 LA、ISO/IEC 17021、TPIPAS | |
| 網路管理 | Juniper相關認證JNCIS-R、JNCIA-R、JNCIA-S |
| 虛擬化技術 RHCVA、VCP | |
| RHCE,Red Hat認證系統工程師 | |
| Linux相關認證NCLA、NCLP、LPIC-1、LPIC-2 | |
| CCNA思科認證網路工程師 | |
| CCNP思科認證網路工程師 | |
| CCIE思科認證網路工程師 | |
| 微軟認證 | MCP/MCTS 微軟技術專業認證 |
| MCSE 微軟認證系統工程師 | |
| MCSD 微軟認證解決方案開發工程師 | |
| MCSA 微軟認證系統管理師 |
中華電信資安團隊具豐富的資安服務經驗,曾參與財政部財政資訊中心、技術服務中心、交通部、教育部、中華郵政、中央選舉委員會、台灣微軟、行政院研考會等機構之資訊安全系統規劃、建置、監控及管理服務,相關經驗實績。 本團隊於102年起加入資安共同供應契約,提供各政府機關資訊安全服務,為共同供應契約市佔率最高的資安服務提供廠商如圖 1,歷年各項服資安服務均獲評為優等以上,其中SOC監控服務與滲透測試服務獲評特優,如圖 2所示。中華電信資安團隊具高度智慧化分系統,整合資安檢測與SOC監控,提供客戶最佳資安服務。
圖 1、中華電信資安共契服務成果
圖 2、中華電信資安服務獲評特優
資策會「2003~2008年度ITeS Best Choice」,中華電信資安服務於「資訊安全委外服務」及「入侵防禦系統IDS/IPS」項目榮獲第一名,「2011年度ICT Best Choice」,中華電信資安服務於「資訊安全系統整合與諮詢服務」 及「資訊安全產品與服務」項目榮獲第一名。
中華電信資安監控中心技術總監游峰鵬於2015年獲頒亞太區ISLA(資訊安全領導成就表彰計畫)「高級資訊安全專家」(如圖 3)。
本團隊豐富的資安專案建置、資安事件分析與處理經驗,結合在地化服務優勢,快速提供最適服務,資安實力履獲國際肯定。
圖 3、2015 (ISC)²ISLA Senior Information Security Professional
(ISC)²目前在全球共有約90,000名成員,亞太資訊領導成就表彰計畫ISLA目的於表彰亞太地區為資訊安全作出貢獻的專業資訊安全業者以及推廣資訊安全重要性的領導者。
第一金證券
|
|||
|
金融業在資訊系統的資安控管上不容許有任何疏失,以免造成可能的危害,而金融主管機關的嚴格稽核,也使得各金融單位如履薄冰,透過各種機制檢查及維護系統的安全性。第一金證券為了因應主管機關嚴格的要求,除了建構完整且強固的內部安全防護機制外,亦導入資訊安全評估方案,利用弱點掃描與滲透測試機制找出及防制資安漏洞,讓駭客無可趁之機,強化電子交易的安全。 第一金證券為第一金控旗下專責證券交易與相關事務的子公司,除了提供傳統證券交易服務模式之外,也提供電子交易平台,讓投資戶可以利用網路便捷地查閱相關資訊並申購或銷售股票。 金管會對於金融相關業者在資訊系統的安全性規範,採行相當高標準的要求,業者除資訊安全架構要依據國際標準之外,還須定期進行資訊安全評估,以確保內部資訊系統及電子交易的安全。
網路交易危險多,檢核保安全 「傳統的金融與證券交易大多靠電話與本人親自到營業櫃檯辦理,因在封閉系統中,資訊安全較能受到保障,」第一金證券資訊服務處協理林忠誾表示,「但開放網際網路交易後,風險越來越高、越來越多樣化,常面臨包含網頁竄改、SQL Injection或其他的資安威脅。」 資訊部門人員由於工作負擔繁重,專業知識與處理能力無法跟上資安威脅與防護架構專業的快速發展,因此委外由專業廠商執行資安服務是最好的方式,也能藉此降低企業內部資訊管理的工作負擔,同時確保整個資訊安全不會有任何疏失。 第一金控集團體系相當龐大,除了弱點掃描由第一金控統一規劃執行外。為了提昇整體資訊安全能力,第一金證券則另外自行採取HiNet為服務供應商,提供其他多種資安解決方案與服務。
HiNet資安專業實力強 委託評估最安心
第一金證券採用多種HiNet提供的服務,除基礎網路連線之外,還採用「HiNet入侵防護服務」,利用位於HiNet網路端的入侵防護服務,過濾所有匯流至企業入口網站的內容,將有害或攻擊封包屏除於管道之外,讓頻寬得到更有效的利用率。 對第一金證券而言,過去在沒有導入「HiNet入侵防護服務」之前,資訊部門時常以為因下單或查詢過多, 導致頻寬不足,但細究其內容,發現可用的內容僅只有70%;但是在導入「HiNet入侵防護服務」後,在網路端即阻擋過濾有害內容,頻寬可利用率幾乎達到100%。 「建構一條從網路端到企業入口端,乾淨又安全的管道一直是資訊部門的理想,」林忠誾認為,「現在導入『HiNet入侵防護服務』之後,不但安全性提昇許多,也讓頻寬可用率大幅提昇,讓我們享受到更多的額外效益。」 俗話說:「術業有專攻」,金融業除了自己的專業領域及知識外,其他資訊基礎建設部分應該是交由專業廠商處理。如果第一金證券自行建構同等級的資訊安全防護,除讓資本支出過於龐大,維運費用也相當可觀,因此交由專業資安廠商負責,可以降低設備與人力等相關成本,更可提高服務品質。
到府服務佳 訓練更確實 「HiNet安全評估」方案提供內部與外部兩種執行方式,這是因為某些重點設備並非外部網路能夠直接存取,必須要委由資安專家由內部測試,才能找出系統可能的問題所在。而除了專案服務執行地點的差異外,HiNet同時也提供到府簡報與教育訓練等專業諮詢服務,讓企業在了解內部資訊架構狀態,亦能夠了解最新的資安威脅與相對應的解決方案。 「我們之所以要採用『HiNet安全評估』,就是因為目前資安架構的複雜性與專業度越來越高,」林忠誾表示,「由HiNet SOC監控中心資安專家提供服務,可以降低內部人員的工作負擔;並藉由到府簡報與教育訓練,則能夠加強對現今資安威脅與資安知識的強度。」
第一金證券確保安全 讓服務更完整 第一金證券對於資訊安全的要求相當嚴謹,因此將電子交易平台與內部員工上網電路分開,而其安全需求也不盡相同。電子交易要優先做到防竄改與防竊取,而員工上網則是導入行為管理與網站安全管理;資料庫部分則是導入DLP,以及用戶端的控制。行為控管方面是為了確保軟體的一致性、行為的可靠性並預防不當行為而引入病毒、蠕蟲或木馬等惡意程式,並確保機密檔案安全性。
「之所以選擇HiNet,是因為服務品質好、人力充足,且時間上能夠配合第一金證券,」林忠誾表示,「畢竟證券業有其維運時間的特殊性,需要廠商能夠彈性配合,才能有效執行專案。」 第一金證券長久以來便是採用HiNet的上網服務,在基礎建設部分給予HiNet相當高的評價。因此許多與網路安全相關的專案,包含安全評估、入侵防護方案,乃至於ISO 27001認證也是由HiNet協助輔導導入,因此所有的資安部分都與HiNet相當程度的結合。為了提昇公司整體資訊安全能力,除了配合第一金控集團統一執行弱點掃描,第一金證券另外規劃執行「HiNet 安全評估」專案,可以強化安全防護並縮短弱點補強的時間。 就整體資安規劃來說,透過HiNet的服務能夠大幅降低企業內部員工的負擔,舉例來說,透過「HiNet入侵防護」報表對於log分析與判斷,可以降低許多人力與時間,可以讓現有資源發揮更好;另外就是跟隨現行攻擊、駭客行為與工具的演變,可以讓相關安全防護也跟上腳步。 「資安已經是現在企業亟需關注的項目,」林忠誾認為,「但受限於企業規模與人才培養等問題,與其內部自行作業不如將非企業專業領域的工作,委由其他專業廠商執行,如此更能收到事半功倍之效。」
|
「過去我們時常聽見HiNet在寬頻服務上的硬實力,而資安服務部分則更展現了HiNet的軟實力,」林忠誾表示,「從網路安全維護與管理機制,乃至於對於政策規章的執行力,都呈現了HiNet的專業與技術,而這些也是我們遴選廠商的重要關鍵。」
安全評估方面則是與HiNet合作,針對電子交易與資訊平台,進行滲透測試。上次的專案執行過程中,HiNet派來4名資安專家,共花費1.5個月時間,針對各個系統、漏洞與相關軟體人員及程式開發者進行遠端及到府測試,並提供相關技術諮詢。
網頁及系統滲透測試