本章旨在概述本研究之主題,共分為四節。1.1 節介紹本研究的背景現況;1.2 節說 明選擇本研究主題的動機;1.3 節闡述本研究所期望達成的目標;最後,1.4 節說明本研 究的架構與流程。
1.1 研究背景
科技與網路的快速發展,徹底改變了人類的生活型態,不過卻也帶來副作用:資訊 安全問題。回想 15 年前,那個網際網路即將貣飛的年代,當時,沒有所謂的資訊安全 專家,也沒有資訊安全長(Chief Information Security Officer,CISO)這樣的職位,組織最 大的威脅是電腦病毒,然而不過是十年的光景,如今資訊安全事件頻傳,影響層面愈來 愈廣,網路成了黑暗的溫床,說網路改變了罪犯賴以為生的方式也不為過,現今駭客走 向組織化且國際化,其來無影、去無蹤,難以追查的特性,使得企業為了防範客戶資料、
商業機密與智慧財產遭受竊取,進而造就資訊安全產品市場的蓬勃發展,例如:入侵偵 測系統(Intrusion Detection System,IDS)、入侵防護系統(Intrusion Prevention Systems,
IPS)、資料遺失防護(Data Loss Prevention,DLP)等。普渡大學的一份研究結果與 McAfee 的報告預估 2008 年全球企業的資料外洩損失可能高達 1 兆美元。
網路也將是未來國家之間的戰場,利用網路攻擊達成軍事機密的竊取以及軍事設施 的癱瘓顛覆,中國「網軍」的成立可說明「網路戰」將成為未來主宰戰爭勝負的重要關 鍵。鑒於資訊安全威脅與日俱增,各國政府也開始意識到資訊安全的重要性,英國標準 協會於 1995 年率先提出 BS 7799 資訊安全標準,其後經過多次的修正與發展,演變為 今日的 ISO 27001 與 ISO 27002,提供資訊安全管理的最佳實踐。
根據統計,85%的資訊安全事件是由於人為疏失所造成,因此資訊安全不僅是「技 術面」的問題,還必頇搭配「管理面」的具體措施,才能降低資訊安全的風險。ISO 27001 標準提供一套全方位的資訊安全管理架構(Jayawickrama, 2006),目前廣為世界各地的國 家或企業所採用,同時這項標準設計得相當彈性,能夠套用在所有類型的組織,而非限 定於特定的產業或企業,如今 ISO 27001 已成為資訊安全管理的通用語言(Humphreys, 2008)。
行政院「國家資通安全會報」於 2001 年實施「建立我國通資訊基礎建設安全機制 計畫」,目的是建立一完整的資通安全整體防護體系,並推動四大工作要項:建立國家 資通安全事件通報及危機應變體系、健全國家資通安全防護能力、強化國家資通安全認 知與訓練推廣作業、確保國家資通安全及促進國際合作等。該計畫將政府機關分為 A、
B、C 與 D 四個等級,其中規定 A 與 B 等級的政府機關,其資訊安全管理系統(Information
Security Management System,ISMS)必頇通過 ISO 27001 認證,在政府大力推動之下,
再加上民間企業的努力,截至 2009 年 3 月 8 日為止,我國計有 221 家組織通過 ISO 27001 認證。
全球目前有 5206 家組織通過 ISO 27001 認證,我國排名全世界第四,其中前十名 分別為:1.日本(2997 家)、2.印度(435 家)、3.英國(370 家)、4.台灣(221 家)、5.中國(180 家)、6.德國(112 家)、7.美國(85 家)、8.韓國(82 家)、9.捷克(70 家)、10.匈牙利(64 家),
如表 1-1 所示。
表 1-1 全球通過 ISO 27001 認證國家組織統計表
名次 國 家 數量 名次 國 家 數量 名次 國 家 數量
1 日本 2997 26 冰島 12 51 阿曼 3
2 印度 435 27 巴基斯坦 12 52 祕魯 3
3 英國 370 28 荷蘭 11 53 葡萄牙 3
4 台灣 221 29 新加坡 11 54 越南 3
5 中國 180 30 菲律賓 10 55 孟加拉 2
6 德國 112 31 俄羅斯 10 56 加拿大 2
7 美國 85 32 沙烏地阿拉伯 10 57 曼島 2
8 韓國 82 33 希臘 9 58 摩洛哥 2
9 捷克 70 34 斯洛維尼亞 9 59 葉門 2
10 匈牙利 64 35 瑞典 7 60 亞美尼亞 1
11 義大利 58 36 斯洛伐克 6 61 比利時 1
12 波瀾 35 37 南非 6 62 埃及 1
13 香港 31 38 巴林 5 63 伊朗 1
14 西班牙 30 39 哥倫比亞 5 64 哈薩克 1
15 奧地利 29 40 克羅埃西亞 5 65 卲爾卲斯 1
16 澳洲 28 41 印尼 5 66 黎巴嫩 1
17 愛爾蘭 26 42 科威特 5 67 立陶宛 1
18 馬來西亞 26 43 瑞士 5 68 盧森堡 1
19 巴西 20 44 保加利亞 4 69 馬其頓 1
20 墨西哥 20 45 直布羅陀 4 70 摩爾多瓦 1
21 泰國 20 46 挪威 4 71 紐西蘭 1
22 阿聯 18 47 卡達 4 72 烏克蘭 1
23 土耳其 17 48 斯里蘭卡 4 73 烏拉圭 1
24 羅馬尼亞 15 49 智利 3
25 法國 12 50 澳門 3
資料來源:International Register of ISMS Certificates,本研究整理
普渡大學教授 Spafford 曾說:「唯一真正安全的系統是將電源切斷,送至一個混凝 土建築物並放入一間以鉛密封的房間之中,再加上武裝警衛的看守 – 儘管如此,我還 是懷疑它是安全的」(Freeman, 2007)。資訊安全的重要性已不言可喻,然而要達到滴水 不漏的 100%安全是不可能的事情,我們只能透過適當的應變措施以及降低風險發生的 機率來將損害減輕至最低,而遵循資訊安全管理的標準便是一個最好的方式。
1.2 研究動機
電信服務是國人生活最息息相關的服務之一,每個家庭幾乎都有固接的市內電話,
行動電話普及率長年維持在 100%以上(如圖 1-1),寬頻上網的人口逐年上升,有線電視 普及率也相當高,我國可說是通信密度極高的國家。
圖 1-1 國內行動電話普及率
資料來源:國家通訊傳播委員會,本研究整理
根據國家通訊傳播委員會(National Communications Commission,NCC)統計資料,
國內經營電信業務的業者高達 606 家,共計 993 張執照。根據電信法規定,我國電信事 業分為第一類與第二類電信事業。第一類電信事業指設置電信機線設備,連接發信端與 受信端之網路傳輸設備,提供電信服務之業者,執照發給採「特許制」;第二類電信事 業指第一類電信事業以外之電信事業,執照發給採「許可制」。其中第一類電信業者有 95 家,總計 115 張執照,經營業務涵蓋固網通信、有線電視、2G 行動電話、3G 行動通 信、無線寬頻接取行動通信(WiMAX)、數位式低功率無線電話(PHS)、無線電、衛星通 信及國際海纜等;第二類電信業者則有 511 家,總計 878 張執照,主要業務範圍為批發 轉售第一類電信業者提供的語音數據等通信服務。
電信服務與民眾的日常生活如此密不可分,使得電信業者的競爭日趨激烈,許多業 者除了提供良好的通信服務之外,也開始在資訊安全方面下功夫,例如:中華電信 Hinet 除了提供使用者數據上網服務之外,也提供垃圾郵件過濾、防毒防駭、色情守門員及線 上掃毒等加值服務。電信業正從封閉系統(Closed System)走向開放系統(Open System),
同時業者也提供愈來愈多的加值服務,其資訊安全管理就顯得格外重要,一旦系統故障 或是遭受到攻擊而癱瘓,將對客戶造成難以彌補的傷害。
以下幾則國內、外資訊安全案例顯示,電信服務業者未來將在資訊安全領域扮演重 要的守門員角色:
1. 資訊安全軟體廠商賽門鐵克(Symantec Corporation)於 2008 年 4 月 10 日發表的資 訊安全研究報告指出,國內電信龍頭業者中華電信,登上全球最多惡意活動 ISP(Internet Service Provider)排行榜的第七名,在亞太區僅次於排名第二的中國 網通。鑒於客戶可能缺乏專業能力,中華電信表示近年來推動的機房端入侵偵 測防護(IPS)、安全上網等服務,目的就是讓客戶增加多一層保障。
2. 美國三大 ISP 業者(Verizon、Time Warner Cable 與 Sprint)於 2008 年 6 月首次聯 手協助整頓網路兒童色情,未來將攔阻相關新聞群組的網路存取,及關閉相關 的網路代管伺服器,從源頭阻斷相關服務。紐約州檢察長 Andrew M. Cuomo 讚 揚這些業者樹立了新的責任標準,並認為該模式應該延伸到整個產業。
3. 美國兩大 ISP 業者 Global Crossing 及 Hurricane Electric 於 2008 年 11 月 11 日先 後切斷惡名昭彰的垃圾郵件發源地 McColo 的網路流量,根據 IronPort Systems 及 MessageLabs 等資訊安全業者的垃圾郵件偵測機制,發現全球垃圾郵件數量 在隔天 2008 年 11 月 12 日大幅下滑了 41%;資訊安全專家並估計,自 McColo 送出的垃圾郵件約佔全球垃圾郵件總數的 75%。
4. 國家通訊傳播委員會於 2008 年 11 月 24 日在委員會議中通過「濫發商業電子郵 件管理條例草案」,行政院於 2009 年 2 月 26 日於通過該草案,未來可望於立 法院通過,草案第六條第一項明文規定「網際網路接取服務提供者」(Internet Service Provider,ISP)採行必要措施,防止濫發商業電子郵件,同時收到垃圾郵 件的民眾將可向濫發者求償,每封可求償新台幣 500 至 2,000 元。
5. 2009 年 3 月 2 日貣陸續發生「神秘網頁轉址攻擊事件」,CNET、ZDNet 與 MSN 等知名網站的網頁疑遭綁架,之所以稱之為神秘的原因是,經過兩個禮拜的時 間,國內資訊安全專家仍無法確切指出攻擊者的目的及其攻擊手法。部分網友 與同業質疑 CNET 與 MSN 網站遭綁架源自於中華電信的 DNS(Domain Name System)主機遭攻擊,不過對此中華電信澄清未發現任何異常的路由指向發生。
網路上所有的流量都會通過電信業者的網路設備,因此當資訊安全事件的威脅程度 與日俱增,監控、攔截與阻斷相關服務,避免傷害持續擴大,電信業者就有責無旁貸的 責任與義務,也突顯出電信業者的資訊安全管理之重要性,因為如果連電信業者的資訊 安全管理都做不好,如何做好把關的工作?如何確保使用者的資訊安全?
過去國內以 BS 7799 或 ISO 27001 探討相關產業、組織或企業的資訊安全管理之文 獻,大多以醫療體系、政府機關、軍事單位與金融機構為主,尚未見到電信產業方面的 研究,因此本研究冀以 ISO 27001 為基礎探討電信業者的資訊安全管理現況,期盼電信 業者能意識到其在資訊安全領域的角色與重要性,進而建立健全的資訊安全管理系統。
1.3 研究目的
本研究之主要目的在於運用 ISO 27001 的控制項目來評估電信業資訊安全管理的現 況,並提出適合國內電信業之資訊安全管理建議:ISO 27001 核心版,作為相關業者未 來計畫導入資訊安全管理時的參考,同時依據評核分析的結果說明電信業者對於 ISO 27001 控制措施的施行策略。
研究者詳實彙整資訊安全管理系統的發展與應用,以國際認同之資訊安全標準 ISO 27001 的 11 大控制要項、39 個控制目標與 133 項控制措施為基礎,運用李克特(Likert) 的總加量表法,建立四分量表,仿照 ISO 稽核驗證機制,以實地訪查方式評估本研究之 個案業者的資訊安全管理系統。
國內第一類電信事業的規模與業務複雜程度大多高於第二類電信事業,因此本研究
國內第一類電信事業的規模與業務複雜程度大多高於第二類電信事業,因此本研究