2026/01/23 星期五

專訪 IBM 談資訊安全

高科技
作者\資訊與電腦雜誌總編輯 潘啟銘

談到資訊安全,不禁讓我們連想到「不可能任務」電影中的一幕情節,除男主角湯姆克魯斯,帥勁十足幾近神乎奇技的吊鋼索特異功能外,最引人注目的,是男主角對入侵系統,作業人員的生活習性與作息瞭若指掌,這也是任務得以成功的關鍵。在真實生活中,資訊安全事件,事實上就如同電影情節般的不斷上映,唯一不同的是,電影情節畢竟是虛擬的故事,但發生在真實生活裡的資訊安全事件,其所造成的影響和後果是很難想像。

IBM是全球最大資訊公司,其每年投注的研發經費與專利權取得獲益,必須用天文數字來描述,這也使得IBM公司的各項研發成果與市場情報經常成為全球商業間諜覬覦的對象,歷經多年市場嚴苛的環境考驗,IBM自然也發展出一套的實用的資訊安全教戰準則,來防堵各種商業機密被竊取。

對於企業資訊安全管控,IBM早已行之有年,演而優則導,IBM早將內部有關資訊安全的相關專業知識與經驗,轉換成一套務實的政策管理機制,並明確的被落實在全球各個IBM分公司與海外據點。此外,IBM更將多年累積的安全管控經驗,以專業顧問服務的角色,來協助企業建置相關的資訊安全機制,本文專訪台灣IBM公司負責資訊安全的資訊服務事業群經理陳長榮,就IBM全球建立的資訊安全體系與相關防範經驗,提供讀者分享。

防火牆僅是資訊安全的起步

資訊安全觀念的建立,在國內發展較晚,但這兩年隨著網際網路的盛行,愈來愈多駭客入侵事件,促使國人對資訊安全日漸重視,這種市場熱絡的景象,我們不難從坊間琳瑯滿目的各式防火牆、打著資訊安全口號的產品看出端倪,從2、3年前的防火牆,到目前炙手可熱的企業風險評估管理顧問服務,在在顯示,資訊安全將是企業因應未來電子商務時代,必須嚴肅面對的重要課題。有別以往,愈來愈多企業了解到防火牆僅是資訊安全的起步,要真正做好有效的資訊安全管理,事實上是必須透過許多安全政策管控來達成,使需保護的資訊,在明確的條文和機制下,得到最好的保障。

注意資訊安全產品的整合問題

陳長榮指出,就其多年協助企業建置資訊安全系統的經驗,企業在選擇資訊安全產品時,約略可以從3個層面來考量,包括產品的功能面、產品整合能力及價格部分,目前坊間的資訊安全產品,在功能面上都有很清楚的描述,例如防毒軟體、防火牆等產品,用戶應可很清楚了解各項功能與操作要領,需要特別注意的是,在產品整合能力部分,這是用戶較易忽略的地方。由於資訊安全所涉及的層面相當廣泛,因此各類產品都有其專屬的功能與應用領域,也因此造成用戶在管理上的極度不便,如果各類產品無法集中整合管理,所造成的人力資源投入可想而知。

IBM的作法

嚴格的內部稽查機制

再完善的資訊安全政策或機制遠不如有效的政策落實,陳長榮表示,IBM除有引以為傲的資訊安全技術外,更重要的是IBM自已發展出一套嚴謹的內部管控機制,使公司內部的各項機密受到最嚴格的保護,在IBM建構的資訊安全藍圖中,包括資訊的分級與管控、工作站安全管理、實體安全管控、旅遊、會議安全管控、通訊安全、應用程式、網路等領域都有明文規定,如何執行各項安全檢測,甚至連員工的出國旅行、國際會議都訂定了相關預防資料被竊取的教戰守則,其嚴謹的程度可見一斑。陳長榮認為,IBM公司之所以能擁有絕佳的資訊安全機制,全球各地落實內部嚴格的稽查管控是決定性的關鍵所在,從新進人員的基本訓練,到每年的資訊安全講席,資訊安全對IBM全球所有員工而言,早已融入一般的生活之中,而成為工作生活上的一部分。

內部的嚴格管控,對推動資訊安全機制的建立是最重要的決定性因素,IBM在內部管控致少有4個層級,包括單位的主管、當地分公司、大中華地區、亞太地區,每年都會派員來做例行性的督導,更重要的是稽查的嚴格程度絕對超過一般人所能想像。以1993年在台灣IBM公司發生的個案為例,就可約略了解到IBM對於資訊安全內部管控的重視程度,陳長榮指出,IBM總部對於全球各地分公司的主機機房建置及周遭環境,都有一定的明文規訂。當時機房在建置時,機房房門距離大樓天花板間的空隙因施工時,沒注意到條文中不可超過5公分的規定,因而造成不小的爭議。這種不符資訊安全條文規定在IBM公司內部是屬於非常嚴重的缺失,考核影響程度已達區域總經理,雖然當時台灣區總經理不斷的力爭,並對其嚴荷的程度感到不解,但在稽查人員親身示範經由15公分的天花板空隙入侵機房時,大家才感覺到一般人眼中幾近嚴苛的條文規定有其一定的原因,當然這次事件也使得區域總經理被記上了嚴重的缺點,諸如此類一般我們認為的小事,都可能因一時的不慎而引發資訊機密外洩的大災難。

配合外在變化調整資安政策

IBM公司的資訊安全政策,事實上是隨時配合外在環境的變化而不斷調整,這些政策的擬定條文及專業知識來源,除IBM身體力行不斷累積的經驗外,彙集來自全球各地所發生的資安問題,融入IBM原有的資訊安全資料庫中,不斷改進是強化其資訊安全體系的重要日常工作。因此,IBM強調的資訊安全政策絕對不是教條式的一陳不變,而是必需配合不同的業務需求及當時的環境狀況來調整,而整個資安機制最重要的環節是在如何有效的控管與落實。

CSO及CIO負責資訊安全

IBM公司在全球都設有安全官(CSO)的編制,成員多來自軍方退役,主要任務在保護公司資產,其例行工作包括公司內部的巡視、安全政策的督導等工作,有關IT安全部分是由CIO來負責,藉由這兩個系統來確保企業的安全。

委外不失為有效的解決方式

陳長榮指出,由於網路段犯罪手法不斷翻新,對企業資訊安全防範疇無疑是個永無止境的挑戰,因而是,委外不失為一項有效的解決方式,但要注意是,企業應在全面考量自已的安全需求及需要被保護的資源後,採有條件的委外策略,並設定嚴謹的機制來監控,這將有助於資源的有效投入應用,以達事半功倍之成效。

科技之外的最大難題

資訊安全政策,事實上,目前坊間的許多資訊安全顧問公司都可協助企業快速擬定,困難的反倒是在企業如何確切落實部分,以國人的文化習性凡事講人情、套關係,家和萬事興的觀念,如何能監督機制發揮成效,嚴格徹底執行,讓資訊安全政策得以真正落實,反到是在科技外的另一項最大難題。