資安方案的發展與管理

運用"雲端服務"加速企業的數位轉型願景

20 min readDec 25, 2020

資訊安全方案是組織發展資安相關的政策/標準/程序搭配這些所進行一連串實際的行動，最主要針對相關的"控制措施"進行設計/發展/實行並整合到組織的架構與流程中。從簡單的政策命令/流程到高度複雜的IT技術都可視為是控制措施。

從組織高層的角度來說，他們的目標只有:
"現在組織面對甚麼樣"特定"的風險該如何解決?這種解決的方式為什麼是有用的?並且對組織的業務的效益在哪裡?"

而從發展/實行到持續管理資訊安全方案有基本以下三種要素:

能完全按照組織的資安策略並且達到組織的資安目標。
因為資安是支援組織的業務所以必須得到相關業務部門與組織高層的支持。
在方案設計與發展階段我們需要能夠對這些一連串的行動能夠有量測標準。

前面說到這是一個持續不斷的管理過程，所以資訊安全方案是會跟著組織的要求與業務變化而變的。終極目標就是 —

"保護組織的數位資產並且符合組織內外部的法令法規要求與最小化組織的法律與責任風險".

資安計畫是一個不斷循環的流程，從組織的資安系統的設計/建立/部署/修改/管理/維護等直到它們被移除出服務清單中。而這個方案的成果就會是我們在資安治理中提到的六個目標:

與組織的業務策略高度整合
良好的風險管理
讓資安這個活動對組織是有價值的
良好的資源管理
有績效評估
資安的保護程序與業務流程整合

我們必須能夠了解業務單位他們的業務計畫與目標，通常我們需要知道組織的業務風險是甚麼，並選擇合適的控制目標與措施。而且是要基於組織的可接受風險程度與風險容忍度及考量財務面/營運面甚至是其他的限制因素。
另外因為風險是不斷變動的，故資安方案也必須跟著組織風險不斷的變動而可能會調整。

資訊安全方案的目標

組織的資訊安全方案就是在具成本效益下能夠最大化支援組織的業務功能並且最小化業務中斷的可能性，這個資訊安全方案是基於資安治理與風險管理的目標下所產生出來的。雖然我們之前已經定義良好的資安治理與風險管理但在發展資訊安全方案時相關相關的組成因素仍在在設計階段時根據組織的內外部因素會有所更改。

哪麼我們如何定義目標呢?首先我們需要從"差異分析(Gap Analysis)"開始做起，這是定義行動計畫的開始，而這一切仍需要從組織的業務角度來看。主要驅動方案的原因可能有:

因不斷變動的法規法令的需求或是特定的標準(例如PCI-DSS)
因資安事故高度頻繁的發生與產生的代價
不斷變動的組織目標與流程造成組織的風險不斷增加

最後我們會產生出這個方案的控制措施的活動清單跟它的有效性，若是組織有KGIs(Key goal Indicators)哪麼也能照這個發展出方案。這裡我們提一下甚麼是KGIs，它是一種落後指標是看組織的一些主要功能有沒有達成組織的重要業務目標。如果以IT的例子來看可能有:與廠商簽訂的SLA的達成率?或重要的IT系統的downtime時間等。

資訊安全方案的範圍與憲章(Charter)

任何事一定都有它的範圍，資訊安全方案也是。並且有方案該負有的責任與憲章，所謂憲章通常是指組織的出公告(給你尚方寶劍的意思)。這個憲章的由來是組織高層已經有良好的資案策略與風險管理活動而產生的。一般的資安方案的發展流程如下圖:

一個成熟的資安方案應該是:

資訊安全是業務、資安和IT部門的共同責任，與企業業務目標結合。資訊安全要求已明確定義、最佳化並包含在經過驗證的資安計畫中。資安功能在設計階段就與應用程式整合，終端使用者越來越需要當責於管理他們的安全性。資訊安全報告使用關鍵系統的自動且主動監控方法，提供變化和新出現風險的早期預警。透過自動化工具支援的正式事件回應系統及時地解決事故。定期評估資安計畫實施的有效性。有系統地收集和分析有關新威脅和漏洞的資訊，並及時傳達和實施適當的緩解控制措施。資安事故的根本原因分析和主動識別風險是持續改善的基礎。安全流程和技術在組織範圍內整合。

資安管理框架

概念上有六個部分分別是，technical(技術面)/operational(維運面)/managerial(管理面)/administrative(行政面)/educational(教育面)。而資安方案在這一部分管理框架中有直接與間接的目標分別是:

對組織有戰略性與戰術性的價值
在成本因素下有最大的運作效率
管理階層非常清楚這個方案的資安驅動力，相關活動，效益與需求
方案會給予組織增加資安知識與資安量能
方案能夠促進組織單位之間的合作與善意
促進資安相關的利害關係人了解他們的角色，責任與期望

剛剛提及的這些框架的選擇是從組織訂定的標準而來，而從中又分為幾個層面

Technical技術面

技術的選擇必須從組織的資安標準/程序/政策面而來，並定義適當的量測標準與監管。在這一個層面業務單位是最終的需求決定者(包含資安)，而IT單位只是輔助者/建議者/協助者的角色。而每一個系統/元件都必須有一個負責人，原因是該系統要配合組織相關的資安政策/標準/程序是會沒有人負責的。最終整個組織的IT系統都夠符合組織的資安合規度到可接受的程度並達到組織的資安策略的目標。

Operational維運面

這是一個不斷進行的過程而且伴隨著一些資安的行政管理作業像是
1. Identity management and access control行政作業
2.資安event的監控與與分析
3.軟體硬體要上patch與組態管理
4.change control / release control 流程管理
5.資安的量測與回報
6.資安事故的回應/調查/解決
等等這些，

Management 管理面

為了要實現組織的資安策略而產生的活動，例如標準的制定與修改，政策的檢視，資安方案的監督與執行。而且並須定期或不定期的做資產/威脅/風險分析並根據這些分析適度的修改資安政策或是標準。最重要的是與業務及相關的其他部門共同合作，這樣針對上述所講的才能得到有效與最快的feedback，各單位的支持與組織目標才能達成。

Administrative行政管理面

這個組織的其他單位ㄧ樣免不了有行政作業要處理，像是財務方面可能就有年度的預算要寫製作。或是TCO(total cost of ownership)/ROI分析與管理跟採購/資產等管理事項，還有組織的資安人才管理/組織的資安教育訓練等。

定義資安方案的路線圖

為了達到資安治理的六個目標，我們必須要有一個路線圖來達到這六個目標。基本上可以分為四個階段:

階段一:與業務流程有關的所有部門的利害關係人交談。他們的考量/憂慮是甚麼?

階段二: 將這些列入制定路線圖的因素中，根據這些因素制定出基本資安政策草稿並交由高階主管同意，再根據政策定義出資安方案。

階段三: 資安方案交由組織的資安指導委員會(這是由組織各部門的代表/或主管組成)認可。委員會的功能是資安政策的倡導/行進內部資安的檢討看是否合規。

階段四: 檢查合規的規則與現狀的落差，這個落差在資安檢討時必須要被辨認出來。

資安路線圖是為了實現組織的資安策略而存在的，所以就必須把概念性或邏輯性的東西(策略)轉化成實際作為。我們為了這個路線圖可能會有好多種專案進行，每個專案的資源(預算/時間/人員/技術等等)都要考量到。這部分專門的PM就可以來負責。然而若資安策略沒有良好的定義，風險管理目標也沒有訂好。哪麼資安方案也因為缺乏優先順序與有用的量測值，這個方案也是浪費組織的資源與時間而已。資安方案的中心思想就只有一個 — 設計控制措施可以達到組織需要的控制目標，這個目標能夠被實現/部署/測試有效性。而在發展資安計畫時最後通常都需幾種指標來確認它的有效性，像是KGIs / KPI 及定義方案成功的因素要有那些。

資安的基礎設施(infrastructure)與架構(architecture)

資安的infrastiucture基本上就是與IT的Infra重疊的，但是有加入的資訊安全的因素來設計，這個因素就是組織的資安政策與標準納入考量。絕大部分的組織因為組織運作得越久整個IT架構也會變得越來越扭曲(因為前端的業務需求不斷變動)加上組織並不在意整個資安治理與策略沒有人在乎這一部分，所以也沒有人整體通盤性的資安考量，進而隨著系統複雜化系統的弱點與漏洞也就越趨明顯這個洞就越來越難補，以軟體開發的角度來看這個叫技術債。而在資安層面上的架構稱作EISA(Enterprise information security architecture)，EISA的目標包含了技術層面/業務的結構面/績效管理/安全流程等。達成資安結構目標的方法通常包含以下幾種

確保組織的業務與資安的戰略ㄧ致
支援與完成組織業務需要的成果
實現資安的策略與政策
與組織的其他單位有共通的資安語言(不要拿特有的資安術語溝通,意思是說人話)
確保可以追朔到組織的業務戰略，各項的特定業務要求，組織的最高指導原則。
為組織特定的業務建立技術方面的邏輯結構
以上這些是大略性的概括，特定的EISA可以參考既有的標準如: COBIT/SABSA/TOGAF等等。

資安方案管理與行政作業

資安方案的管理簡單來說就是組織資安活動的指導/監督/監控。資安活動包含了各種層面，從人員/財務面/技術面/流程面乃至於組織運作的環境等等方面。組織的資安方案應該包含了長中短期的計畫與日常資安作業，從風險管理活動/事故與回應管理活動/指導監督等功能面。以下列舉一些檢查清單讓您檢查看看您的資安方案是不是具有以下條件

資安策略本質上的與組織的業務目標相關聯並得到高層的認可與支持
資安策略與標準是與策略相契合的
業務面的重要操作流程在資安程序上是完整且清楚的
組織有清楚的R&R
組織的數位資產根據業務的重要性與敏感性來確認與分類
有效的控制措施，這個措施是有良好的設計/實行/維護
有效的監控流程
經過測試與有功能性的事故與緊急情況的回應能力
經過測試的BCP與DRP
符合組織的變更管理與專案管理流程
良好的資安意識訓練

組織的資安意識訓練與教育

關於這一點對組織的重要性是，資安不能光靠技術的支撐。組織的人員越有資安意識與相關的知識就越能從根本上改變組織的整體行為，也越能與組織的資安政策/標準/合規越相符。在我們制定資安意識訓練與教育下列幾點可以列入考量

誰是相關的目標受眾?(高層?BU主管?IT人員?終端使用者?)不一樣的受眾會有著不一樣的資安意識與教育訓練
要傳遞的訊息是甚麼?(政策?程序?最近的資安事件?)
要甚麼樣的結果?(加強政策的合規性還是組織人員行為的改變?)
用那些溝通管道?(定期會議?email?內部刊物?)

針對組織的人員通常還需要有使用規章(acceptable use policy)，通常是定義資安相關的責任義務而且也是拿來做資安教育訓練的基本教材之一。讓組織中的人員很清楚了解到組織的資安要求是甚麼。

另外一種重要的行政管理活動就是資安文件的管理，資安的文件通常有下列這些，而這些文件也與資安方案習習相關。

政策/標準/程序/指導方針
技術架構相關文件(infra/applications)/資料流等
資安教育與資安意識相關文件
風險分析與建議
資訊系統設計/設定政策/維護
維運程序與流程
組織的RACI model

以上等等文件都需要有負責人來做維護與更新。

資安方案服務與運作活動

資安方案的成功需要靠組織內的各部門協同合作，這些各部門間運作的活動就是要在有限的資源下提供各項的保護活動。所以平常各部門之間的溝通聯絡要暢通無阻。從

實體的門禁(可能是總務部在管的)。
IT的稽核(稽核動作有時可能有害方案的進行，所以要做好溝通協調)
IT單位(絕大多數的IT資安都需要靠這個單位協助)，但這個單位本身經常在效能(方便性)與安全性中掙扎。所以需要經常確認組織的營運目標到底是甚麼?
業務單位(BU)，這是組織的第一線各種的資安議題都需要在資安上進行協調。這邊也是需要考量各種內外部因素最多的地方。
HR，這邊有關資安的議題都是牽扯到人員問題，像是人員晉用錢是不是要做background check，資安的教育訓練，各項對人員的資安宣導，或是惡意員工造成的資安事件等。
法務部門，通常與合規，企業責任等有關。另外比較重要的是與資安有關的廠商外包服務合約，合約需要非常明確的訂定雙方的責任義務。
組織的全體人員，這是組織的第一道資安防線。員工了解組織的資安政策標準/程序越多，其行為也會更符合組織的資安策略。另外員工的資安意識越強我們就能越早得知可能的威脅或資安事故，另外也可以從員工的角度獲得改進資安相關議題的意見。

在這些跨組織的活動中我們需要特別注意SoD(Separation of duty)的問題，也就是在資安活動上不能有球員兼裁判與利益衝突的問題。雖然在一些小型的組織大都很辦到，但仍然是可以有一些補償性的控制措施可以做的。

風險評估與衝擊

所有的資安方案都是為了將風險降低到組織可以接受的程度，目標是將資安事件對組織業務活動造成的破壞將至最小，而這個降低的方法/方案都是要在組織可以接受的代價上。有幾種工作是我們需要不斷持續進行的，例如:

漏洞評估
對組織的資訊資產針對資安的C.I.A((confidentiality/integrity/availability)的持續評估，這個流程是為了偵測未預期的變更而這種偵測最好是能夠自動化並且通知到相關人員。所以從另一方面來說變更管理也是重要的一環，人為錯誤導致的系統弱點是經常發生的。如何防範人為錯誤對於每個組織來說都可能有不一樣的方式，使用管理流程或技術流程可能都是可以解決的。

威脅評估
由於現今的數位世界與業務流程不斷的變動，威脅也在不斷的改變。我們需要不斷評估現有的控制措施是否能減低這些新威脅，在這過程中若是要對應這些新威脅我們可能需要改變組織的流程/資安架構/補償性的控制措施等等方式。

風險評估與BIA(營運衝擊分析)
關於這兩點我們在其他篇章有提到過，在此就不多贅述。

委外作業風險
這裡是指我們將業務外包出去，通常資安的角度來看分為兩種，資安委外與非資安(IT或是其他BU業務)委外。委外的判斷大都是根據"資產的重要性與敏感性來決定"以及衍生出來的服務。風險在於這個委外廠商是否能夠符合組織的資安政策/標準或是要求，例如兩邊的網路可能要互相連結哪就需要考量很多因素。通常需要委外通常是基於經濟效益，而大多都會用TCO(total cost of ownership)來評估。但很多人在使用這個方式時未將資安因素納入，隨著時間/業務/內外部風險不斷的變動組織的活動倒底需要持續委外或是拉回來自己做也是要被不斷評估。然而委外廠商的責任義務都需要明訂在合約中，這個合約的SLA(Service Level agreement)都需要明確定義出來包含資安要求的部分。在合約完成(當然法務部門是需要審核過的)後合約期間我們能夠對委外廠商針對組織的作業能夠稽核與監控，確保資安是到位的。
委外合約存在有兩種目的:

確保雙方都完全清楚的同意雙方各自的責任義務與權利關係
另外就是當有爭議時就必須要依據合約來解決爭端

委外合約的重點通常只有一個: 就是資料的保密。這可能涉及了資安的架構與程序或是要有相關的資安認證要求(例如ISO27001)等等。另外對組織來說很重要的是合約的中止，在某些狀況下組織有權利隨時解除合約關係，可能是廠商方發生了很嚴重的資安問題或是有很大的風險存在等議題。合約中我們也能夠要訂定無預警的稽核或調查的權力(這一點在大的公有雲中做不到)，再來可能就是罰則/法律仲裁的選擇權等等問題。若委外廠商需要access進到組織內部的網路我們也要基於一些原則來給予權限像是 latest privilege/need-to-know/need-to-to。因為委外商的文化與倫理跟組織是不一樣，這種看不見的因素也需要被納入考量。

控制與對策(Controls and Countermeasures)

在資安方案中如何針對風險/威脅而選擇適合的控制措施與對策是非常要的，因為若是沒有好的選擇對組織來說就是資源的浪費。而就整個資安方案計畫中的控制是從一般性的IT infrastructure到程式端控制都是會涉及到的，而這些控制措施大都是在不同的團隊或人員手中。所以我們必須確認每一個資產/資源的控制措施找到負責的團隊或人員。每一個資產/資源的控制都需要有設計/實行/監控/測試/維護這些步驟.

控制措施的種類

通常分為五類，分別是Preventive/Detective/Corrective/Compensating/Deterrent,而這幾種控制措施針對風險/弱點/營運衝擊各有甚麼樣的功能呢?我們可以簡單參考下面的圖示

所有的控制措施都是基於成本效益之下而非單純的IT技術。控制措施的有效性與效率，有效性是指控制措施達成我們要的結果；例如防火牆有一千條規則在裡面是有的達成我們要的結果，但造成了防火牆的負擔。這時若有效率因素，就是可能只用了300條規則ㄧ樣可以達成結果但防火牆卻沒有增加甚麼負擔反而可能還有餘力做其他事。基本上有了"有效性"之後才能追求"效率"這件事。為了達成有效性與效率，自動化可能是較好的解方.在設計控制措施時有以下的原則，這些控制措施的設計原則可以讓不管是內外部的使用者很難跳脫我們的控制措施:

Access(logical) control:
這是指使用者在進入系統前必須經過辨識(可能是USE ID)/驗證(可能是密碼)/授權(根據你的帳號決定你可以做甚麼)。而通常我們會分為兩類分別是MAC(mandatory access control)與 DAC(Discretionary access control)。MAC的限制較高，這是根據每一個資料的等級(極密/機密/一般等)與使用者的安全等級來決定，通常軍隊比較常用到。而DAC就是鬆散一點，根據使用者或群組來決定可以否進入。以下圖示較可以清楚認知到剛剛說到的MAC 與 DAC的方式。

Secure failure:
這是指設備失效後是無法access的。但有些設備或狀況是不應該有此功能的，一切要依組織的資安政策/標準等來決定。

Latest privilege/SoD(segregation of duties)這兩個大家通常都耳熟能詳了。

compartmentalize to minimize damage:
這是指你的系統架構需要有能力對進階的access request能夠不ㄧ樣的處理方法以免造成危害，例如一般的User是透過公司的整體內網進到系統，然而系統的管理者可能需要系統的另一個IP加上管理者所在的內網IP範圍才可以access.

另外對策(countermeasures)是指用特定的保護對應特定的風險它也是控制措施的一種，但此種方式通常只能是"有效性"而缺乏效率。因為通常我們通常希望使用的風險控制措施可應是廣泛的對應性質相通的風險，這樣才能達成較高的成本效益，而countermeasuer通常沒有這樣的效益。所以countermeasues會是附加在原來的控制措施之上。
例如防火牆用來阻擋一般性的攻擊，不過若是獲得一些資訊知道特定的攻擊者的IP來源。哪麼我們就會在防火牆上加上這些特定的IP來源，這一個動作就是countermeasures。這種方式常使用與緊急情況，而跳過組織的變更管理。組織的資安方案必須要能夠適應這種緊急情況的要求。

控制措施的技術分類

我們會有三種分類可以選擇，而選擇的方式是基於系統的操作權限來判定的。這三種分類分別是Native/Supplemental/Support control technologies.

Native control technologies
是資訊系統上本身的資訊安全功能附加在上面。像是一般的web server上都可以啟用SSL/TLS的加密功能就是屬於這一種，但是這又會違反一般SoD的的原則因為web server的功能面是屬於IT人員而安全加密又是屬於資安團隊的負責範圍，故如何定義好兩邊的權利義務與責任範圍是很重要的。

Supplemental control technologies
這是資訊系統本身外的資安功能。像是防火牆或IPS等，而這一些的操作通常會在資安團隊的身上，不過有些組織也還是會與IT團隊共同分擔這些責任。

Support control technologies
這種通常是輔助性的資安功能，也就是說如果這類的系統掛了暨不會影響組織的業務而短時間內也不會影響資訊安全的功能。例如SIEM就是一個例子。

IT資安設備的需求分析是需要根據組織的業務面與組織面對的風險與威脅因素來判定的。當我們分析組織的資安架構時通常我們會從五個方面來判定，並且根據這五個方面問自己如下問題

控制的位置
是要放在哪裡?
是多層次的嗎?
需要redundancy嗎?
有我們不知道無法控制的access channels嗎?
可以提供大範圍(有效性與效率)的保護嗎?
控制的有效性
具可靠性嗎?
有達到最低要求嗎?
是具有抑制的成效嗎?
是自動還是要手動?
可以被監控嗎?是即時的嗎?
控制容易被規避掉嗎?
控制的效率
能夠大範圍的保護組織嗎?
針對特定的資源或資產嗎?
能夠完整利用到所有的功能優點嗎?
業務面(application function)與安全性會有單點失效的問題嗎?
控制的政策
採用fail secure 或是fail open?(以資安的角度來說通常是fail secure，但每個組織的要求可能不同需要視情況或技術而定)
採用restrictive or permissive policy?(就是類似黑白名單的管理法)
是否有least-need 的資安準則與access enforced?
組態準則是否符合組織的資安政策?
控制的實施
是根據組織的政策與標準來實施嗎?
能夠自我保護嗎?
有告警功能嗎?
能夠完整測試我們想要它達到的功能嗎?

資安方案的量測與監控

我們為了組織的目標而建立起的"資安策略"與政策搭配了"風險管理"後定義出來的"資安方案"。這一資安方案內的一連串的行動/計畫/專案都是為了將低組織所面對的資安風險，哪我們如何知道實行的成果呢?如果不知道成果哪又要如何修正方案呢?從組織的高階管理層來看，投入組織哪麼多的資源可能仍有以下問題在他們的心中:

組織目前有多安全?
多少的資安投入才算夠?
我們如何知道何時才能到達適合組織的安全程度?
甚麼是最具成本效益的解決方案?
我們怎麼決定風險程度?
可以預測的風險程度?
我們正在往對的方向走嗎?
缺少了資安對組織的業務產量有甚麼任何衝擊嗎?
當災難性的資安事件發生了組織會有麼衝擊?

為了回答測這問題我們就需要對我們一連串的資安方案/計畫/行動進行量測，有人這麼說 "you can’t manage what you can’t measure”.所以能夠量測才能證明我們的資安方案有效的達成組織想要的目標，量測的目的就是能夠支持組織的資安決策。而為了讓組織的決策正確我們的量測需要有用與享關聯。而不同的量測資訊對不同的組織人員有著不一樣的訊息，我們應該根據組織中的R&R將量測資訊給與組織中的人員應該有三個考量:

誰應該知道?
他們需要知道甚麼?
他們何時需要知道?

而量測資訊會有三種層次訊息，分別是

Strategic 戰略性的
Management(tactical) 管理層面的(戰術面的)
Operational 戰技面

以開車為例，Strategic像是開車的方向；Management車子的儀表板；Opertional 實際開車的動作。

在戰略性上量測訊息給予這個層面的就是確認組織正往”desired outcome”的方向走。戰術面上的組織各項的資安政策/標準的合規，事故管理，資源運用等等方面的執行規劃，而量測資訊就是給予決策讓這一些能夠是有效的執行。操作面是屬於一般技術或程序面的量測資訊，像是有多少漏洞或是patch的管理。操作面的量測資訊基本上有以下屬性: 可管理的/有意義的/可行的/明確的/可靠的/正確的/即時的/可預測的