iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 29
0
Security

IT安全稽核系列 第 29

8.36對於採用語音、傳真及視訊通訊等設施進行資訊交換,是否訂有保護控制措施?

祝大家新年快樂!

去年的最後一天,朋友跟他的家人從美國過境台灣,雖然只有短短的八小時,前後扣掉出關,跟提早報到出境的時間,前後大概只有五個小時不到的時間,所以安排在桃園機場附近晃一晃,然去吃個晚餐,聊一聊就到機場離開台灣。原來是這樣安排….但我的結論是,機場附近真的連間像樣的餐廳都沒有,雖然我知道,最後一天出門,鐵定是人潮洶湧,只要是台灣人會去的地方,鐵定都會爆滿,這可能比鐵人賽發文更難上數十倍的困難,一定要帶些運氣成分才行。

總之,算是有點安全落幕,但今年有個功課,就是想找找看不要離機場太遠的餐廳、景點… 至少讓遠道而來的朋友,能夠安安靜靜坐下來,好好喝杯咖啡,好好聊一聊的地方! 對桃園機場附近,我實在太陌生了!

以下,我們根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容,繼續8.36的分析。

八、通訊與作業管理 (資訊及業務單位)
8.36對於採用語音、傳真及視訊通訊等設施進行資訊交換,是否訂有保護控制措施?

說明:此項說明一個重點:1.資訊交換是否有保護控制。

過去我所工作的地方,跟國外聯繫的方式,就是透過skype召開多方視訊會議,最常見的問題就是,通話有時會忽大忽小,或是出現延遲的狀況,所以公司會請外部廠商針對這個問題,提出改善,結果買了一堆設備,問題還是問題,尤其跟中國大陸子公司通話,可能是受限於對方頻寬(也花錢調高頻寬了)的關係,常常莫名其妙的斷訊,這問題真的是很難有解。

後來公司改用VPN,希望能透過第三方server能改善連線的問題,剛開始雖然有點延遲,但是尚在能容忍階段,只要不斷訊,其實都在能容忍階段。但又不幸的,中國又對VPN進行掃盪,結果,又沒得玩了!

上述是一個實務上的例子,我簡單提到下面幾個IT管控要點(僅作參考):

  1. 先弄清楚自己的內部的網路的伺服器到底能提供多少限制。
  2. 再搞清楚其他子公司的限制。
  3. 接著搞清楚每個地區的網路路由。
  4. 掌握每個地區的流量限制之後,注意監控網路使用量和音訊通話紀錄,進行適當的頻寬管控。

接著我們回到資安面,就是如何預防資料交換的時候,保護公司的資訊。這個我試過很多方法,但實務面我覺得很困難,尤其現在手機很方便的情況下,這種保護有時根本是虛設。我們看前美國國務卿希拉蕊,把公家的Email用到私人信件上,這件事情,在美國總統大選期間,引發喧然大波,但這件事情,FBI、CIA這種單位,老實講,很早都已經掌握,但卻為何不第一時間就警告呢?那再往下探究,難道政府部門的資安單位也無法有效去制止嗎?

我想稽核單位再看這塊的時候,涉及的層面很廣,除非公司規定,所有的公司信件,都要經過檢查,不得公器私用,但手機拍照轉發出去,誰又能去檢查每個人的手機呢?這是否又涉及隱私的問題呢?

我再舉個個人例子,有年我向上級報告個人一些意見時,結果突然間接到資訊部的電話,要我不要一直使用FB,意思就是我上班都不上班,發表甚麼意見呢?我很清楚,人家已經在監控你了,這也不能說公司不對,公司有自己的資安政策,往後,公司的同事知道這件事情之後,全部改用手機3G連線,甚至有人還把筆電送去掃描是否有監控程式,甚至有人就不願意使用公司的筆電了。

因此,資安的防護,到底該做到甚麼樣的層級,我覺得還資訊部門還是要很明確的界定清楚,資訊部門這塊很多都未說明清楚,這才是比較大的問題。


上一篇
8.26是否訂定可攜式媒體(磁帶、磁片、光碟片、隨身碟及報表等)管理程序?
下一篇
9.36重要系統使用者除採一般識別碼外,是否採用適切的身份鑑別技術?
系列文
IT安全稽核30

1 則留言

1
Sergeyau
iT邦研究生 3 級 ‧ 2018-01-01 11:48:46

明確的資安政策才能消除大家疑慮。只是...大家很少去看罷了~

我要留言

立即登入留言