資安政策擬定與落實的最終目的,在於法規遵循與降低安全風險,企業要想透過資安政策來達到上述目的,除了管理面的觀念建立與流程佈署之外,IT技術解決方案也是不可或缺的一環。
利用IT技術解決方案,可將資安政策自動化執行,也能夠作為法規遵循的舉證用途。由於資安政策擬定與執行的複雜性,擴大定義範圍來看的話,目前市場上用來協助企業達到自動化、調整政策與舉證用途的IT解決方案不在少數,舉凡可符合IT治理、風險管理與法規遵循相關的解決方案(如日誌管理系統即為其中一環),都可用來提供企業達到自動化執行與調整資安政策的目的。
最佳化企管顧問公司(Best Soultion Consulting,BSC)何銘燁表示,從人員、流程與技術架構出來的管理三角形分析,企業依循「作業流程」管理「人員」,必須藉由「技術」來與管理相輔相成。BSI(英國標準協會)台灣分公司總經理蒲樹盛也指出,光是建置IT技術無法讓企業達到安全共識,IT解決方案無法鋪天蓋地完全保護企業安全,而若只有管理面的觀念與流程的建立,缺乏IT解決方案來達到自動化執行與調整,光靠人力難以有效降低資安風險。
Check Point台灣區技術顧問陳建宏便指出,以「人」為出發點進行防護與管理的Check Point安全管理防護機制,即為一種可協助企業執行與調整資安政策的解決方案,其針對不同使用者管理使用權限,分析與學習使用者行為,回報使用者使用情況,提供管理者修正調整資安政策,另外也能以彈出視窗的方式警告與限制使用者不被允許的使用行為,間接達到員工資安政策教育的目的。
不過,提到輔助資安政策落實的IT技術,目前最多人認知與採用的,還是在於法規遵循的需求下,可提供企業舉證用的日誌管理系統(Log Management System)。
GRC與日誌管理系統
GRC(Governance, Risk & Compliance)IT治理、風險管理與法規遵循解決方案,有助於企業達到IT治理的需求,Novell資深業務經理李逸凡表示,GRC包括自動化以及安全控管等兩大範疇,所謂自動化,指的是透過IT技術讓資安政策可自動運行,如使用者權限管理、帳號生命週期管理等等;而安全控管則包括風險控制、因應法規需求的稽核管理等等,其中,日誌管理系統便是協助稽核管理的措施之一,也是現階段特別針對因應個資法的要求中較具可行性的解決方案。「GRC架構較龐大,企業若是為了整體IT治理的目的佈署資安政策,可考慮導入GRC解決方案;而若是為了因應個資法的規範要求,導入日誌管理系統較可切合企業需求。」
 |
| ▲ 台灣賽門鐵克資深技術顧問張士龍表示,為避免資安政策落實不全的可能,企業必須透過日誌稽核管理機制進行有效管理。 |
日誌管理系統可替企業保留所有資料與其使用行為紀錄,不僅能夠讓企業在面臨法律訴訟時快速舉證,有了資料與行為紀錄也能夠幫助企業釐清高風險的資訊環節,當日後需要提高安全保護等級時,也較能夠選擇正確的IT解決方案。李逸凡表示,無論因應法規要求或佈署資安政策考量,日誌稽核管理系統都是企業可選擇的第一步,也正因此,今年下半年開始,企業對於日誌管理系統的詢問度明顯增加,顯見企業正意識到稽核對於資安政策與法令規範的重要性。
台灣賽門鐵克資深技術顧問張士龍表示,為避免資安政策落實不全,企業必須進行有效管理,稽核便是其中一種方法,「以賽門鐵克的解決方案來說,日誌管理平台可協助企業定期檢測IT設備(如伺服器與終端設備)是否符合資安政策規範與法令要求,同時收集網路端日誌事件作為分析與報表使用。」透過該機制,企業資安管理人員便能確認資安政策是否正確且有效落實,降低資安風險。
解決方案評估要點
面對市場上琳琅滿目的日誌稽核管理解決方案,企業應該如何評估選擇合適的產品?李逸凡表示,從技術面來看,客戶可從紀錄資料保留能力、日誌管理系統安全模組是否符合FIPS美國聯邦資訊處理標準、記錄加密與處理效能須兼顧、資料壓縮能力與最適壓縮比、備份機制、傳輸資料加密等等功能來評估,「舉例來說,不同法規要求資料保存年限不同,當企業必須因應保存年限較長的法令規範,或者要同時符合多項法令規範時,資料儲存的需求量與管理複雜性大幅提高,日誌管理系統應該要能夠因應企業不同的需求,才能符合資安政策與法規遵循。」
張士龍表示,日誌管理解決方案應該要能夠提供客製化的能力,針對不同裝置、不同法規需求,提供客戶不同的管理與檢視介面,才能以同一套解決方案因應多種法令規範;另外,終端設備偵測機制也是資安政策落實的關鍵,再搭配賽門鐵克等SEP端點安全防護解決方案,可更強化安全防護能力。
 |
| ▲ Novell資深業務經理李逸凡表示,IT原廠必須扮演資安政策法規與解決方案之間的橋樑,協助企業找到最適合的IT解決方案。 |
除了產品功能,李逸凡認為,IT原廠不僅提供解決方案,更重要的是必須扮演資安政策法規與IT解決方案之間的橋樑,「過去企業面臨的困難在於,熟知法令規範的資安政策推動者、與負責技術面的資訊架構管理者,缺乏共同的語言,因此難以依循資安政策與法令規範來選擇適合的IT解決方案。原廠必須事先替企業客戶思考,IT解決方案與資安政策、法令規範之間的關聯性為何,能夠替企業解決哪些面向的問題,才是企業真正需要的。」
以發展成熟的日誌管理機制而言,各家廠商解決方案的技術功能落差其實並不會太大,市場競爭優勢關鍵在於可否替企業建立IT解決方案與資安政策的連結,讓客戶理解IT解決方案對應到資安政策與法令規範上的意義,才能取得客戶信任、提出符合客戶需求的產品建議,進而提高客戶建置與落實的意願。
資訊安全是一條無止盡的路,沒有100%的資安防護機制,也沒有絕對完善縝密的資安政策,無論是為求因應法規要求、合作夥伴與客戶的驅力或是為了提高IT可用性與企業競爭優勢考量,兼具管理面與技術面的資安政策,都是企業在資訊安全的道路上,引領方向的重要指標。