智慧應用 影音
泓格科技
TXOne

台北市政府強化資安治理 有效落實曝險最小化

台北市政府資訊局高級分析師楊世鈺。DIGITIMES

掌理首善之都的台北市政府,在資安治理方面的經驗,頗值得各界借鏡。

台北市政府資訊局高級分析師楊世鈺表示,2019年底柯文哲市長指示,未來資安需以整體架構來推動,不應只冀望各機關1~2位資安人員,於是大幅調整資安組織,設置府級資安長,由副市長出任,驅使各機關更重視資安。

爾後兩年多來,市府陸續面臨一些資安事件,但各機關資安人員習慣採取重灌電腦、拔網路線等處理方式,導致數位證據消失,徒增鑑識調查困難,促使市府決定設立集中化資安事件應變小組(IR Team),爾後當資安事件發生,都依循SOP執行,第一時間由IR人員確認是否保全證據,再進行事件調查,釐清箇中缺失,最終輔導改正。

「資安要靠稽核,否則等於沒有資安。」楊世鈺說,以往市府的資安稽核層級不高,2020年設立全新機制,由資訊局、政風處、外部資安與技術(主機安全與系統安全)顧問、各機關稽核委員共同組成稽核小組,在人力加持下、浩浩盪盪到機關進行稽查,要求對方資安長主持起始與結束會議,嚴格確認此機關對資安的掌控力,在現場仔細核對各項缺失,讓府級、各機關明瞭亟需處理的議題。

藉由稽核過程,察覺到許多單位雖通過ISO 27001認證,但僅止於機房驗證,未涵蓋其他眾多伺服器。因此市府決定將非核心系統納入稽核,發現長期下來許多系統密碼設定從未變更,點出相關缺失後,促使各機關瞭解其資安落差,知道該針對原碼、主機或網站進行哪些補強。

關於市府的資安治理,還包括許多其他的強化措施。例如向上集中資安投資,不僅紓解許多小型單位的預算旱象,連帶提高整體資安可視性,裨益以一致標準集中進行弱點掃描,使各單位掌握資安修補重點,儘速完成修正。另外調整紅藍隊架構,將負責導入、驗證的承包商分開,以利各司其職、落實資安,避免出現球員兼裁判情形。

值得一提,市府與微軟合作打造三層式特權權限分層架構,將Domain Admin等高權限鎖定在Tier 0,不允許出現在Tier 1(偏向伺服器、應用程式),Tier 2(偏向PC),達到曝險最小化。此外還執行防火牆風險審查,杜絕重要系統開放任意連線(Internet Any);為順利推動GCB,由資訊局機房每月推出符合最新資安要求與安裝最新版安控軟體的VM範本,確保各機關使用符合資安要求的VM,不再有相容性等方面的疑慮;另藉由SOAR的導入、合規檢核機制的自動化與持續化,乃至採用DevOps平台統一管理源碼與自動上版與審核、確保上版流程透明化,並研究以自動化做法落實高風險權限JIT(Just-In-Time)存取。

凡此種種,在資訊局攜手各機關持續學習、精進之下,台北市政府的資通訊安全已顯著獲得強化與改善。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 台北市政府 資安