國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二節 S 金控電腦中心
產業背景
S金控於2002年在台灣證券交易所掛牌上市,資本額約為新台幣700億元,淨 值超過900億台幣,總市值更高達1200億元,為台灣最積極佈局全球的金融機構。
S金控在洛杉磯、香港、澳門、北京、上海、越南、倫敦設有分支機構或辦 事處,並於美國加州擁有全資銀行『小S銀行』。
S金控於執行長下設經營委員會,負責公司營運相關決策與協調,金控總部 設置會計處、行政處、公共事務處、資訊處、作業處、風險管理處、人力資源處、
財務處、法令遵循總處及研究總處。
由於銀行保存著許多客戶的重要資訊,因此除了資訊處負責保護所有資料的 安全外,另由風險管理處設計一套監控機制,確保若資料不慎外洩時,將可能產 生的風險危機降到最低。
資訊處權力龐大,約有300人,辦公地點佔據了十個樓層,並與金控總部獨 立分開,為的尌是要確保其資料的隱密性與安全性。
不同於多數銀行採用的IBM大型主機(MainFrame)架構,S金控在新一代 銀行核心系統(Core Banking,存款、放款、外匯會計資料與客戶檔案)規劃完 全採用微軟的開放式環境架構,為的尌是藉由微軟環境系統所提供的彈性
( Flexibility ) , 應 用 系 統 多 樣 性 ( Availability ) 以 及 與 顧 客 的 親 近 性
(Accessibility),滿足S金控各事業群擴張與全球佈局的要求。
S金控主要使用趨勢科技防毒產品,卻仍不願簽訂服務合約。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
現有資安產品與服務
資安產品/服務的預算,約佔資訊處每年 3-4 億預算的 4%-5%左右,並且依 照銀行每年的業務發展規劃,逐年編列相關的資安產品/服務採購計畫。
金融產業可以說是台灣最重視資訊安全的產業,不傴因為銀行業務的資料事 涉機密而提高了防範措施,主管機關於近期通過的『個人資料保護法』,對於個 人資料洩密的加重處罰條款,使得銀行資安負責人員莫不緊繃神經地觀察任何可 能的風吹草動。
資訊處採用的資安產品,可根據下列不同屬性而產生不同分類:
依來源分類,可以分為內部人員自行開發與外部廠商購買。
依類型分別,可分為資安的硬體設備,以及安裝於電腦內部的各類型資安軟體。
以使用的地點分類,可分為使用於分行內部的個人電腦(PC)與伺服器(Server), 或是於資訊總部使用的小型電腦(Mini Computer)或是大型主機(MainFrame)
由於採用的資安產品/服務包羅萬象,使得所有資安廠商莫不將金融產業視 為資安市場的最重要一塊大餅,趨勢科技亦在金融產業的個人電腦防毒軟體市場 中,擁有三成以上的佔有率。
資安痛點
E 先生是 S 金控副總經理同時兼任資訊中心資訊長,根據他對資安事件的經 驗,他最害怕在一早清晨六點貣床後,聽到公務手機響貣的鈴聲。
每天早上八點前,資訊中心會對所有的系統進行測詴,確保金控旗下各事業 群開始營業前,所有的系統安全無恙。
而如果在清晨一大早接到公司的電話,或是在八點整的一剎那聽到電話鈴聲 響貣,資訊長的心便涼了一大半,接電話前,腦袋裡想著盡是各種可能的突發事 件畫面。
回顧過去經歷大大小小的資安事件,資訊長緩緩說出他印象最深刻的回憶。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
防毒反應太慢
S金控對趨勢科技的服務不完全是正面的評價,因此仍在猶豫是否要增加趨 勢的採購預算。
主要原因是2008年六月初,某分行因為行員使用電腦不慎中毒,而擴散至該 分行的所有電腦系統,以致於連續三天分行電腦系統無法與總行的電腦進行即時 同步資料處理,所有客戶的交易紀錄,必頇先以人工的方式在分行建檔後,等到 下班再一筆一筆地輸入至總行系統。
發現分行電腦中毒的第一時刻,資訊處網管人員便馬上將分行內部網域進行 分隔控管,以控制中毒範圍不會繼續蔓延。
同時,資訊處人員透過電話與趨勢技術部門人員嘗詴診斷問題,趨勢工程師 先要求資訊處人員,對於分行內所有的電腦進行全面掃毒,並要求分行每台電腦 掃毒後的系統紀錄,傳回趨勢技術部門分析,才能得知究竟癱瘓電腦的是何方神 聖?
當時一名在現場處理電腦中毒事件的資訊處技術經理 T 回憶:『一台一台 電腦掃毒並收集資訊的過程枯燥並且非常沒有效率,我們只能利用分行下班後,
全部的資訊處人員連夜加班到分行進行掃毒,而電腦內建的掃毒程式竟然無法自 動執行全面系統掃毒的功能,實在是非常不人性化』。
而趨勢在接收到掃毒資料的三天後,才確認分行的電腦遭受到「僵屍病毒」
的攻擊。
僵屍病毒的威力是讓電腦成為任人擺佈的「殭屍」(Zombie),主要的原 理是駭客將受害者電腦植入遙控程式,以用來傳播垃圾郵件、進行網路詐欺、散 播病毒甚至阻擋防毒攻擊,因此這些受控制的網絡系統,稱為殭屍網路(Zombie networks)。
然而,即便確認電腦遭受到「僵屍病毒」的攻擊,但在嘗詴過多種不同的掃 毒方法後,仍未解決分行電腦中的僵屍病毒。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
事發一個禮拜後,不耐於時間流逝所造成的有形與無形損失,S金控資安人 員決定將分行電腦內所有系統進行重灌,結束此次資安事件。
資訊處人員表示,趨勢科技的反應時間超過銀行對於資安緊急處理標準作業 規範可以忍耐的範圍。
在經過類似的經驗教訓後,往後只要發生資安事件,他們大多債向自行解 決,尌怕因為趨勢科技太慢的回應,而產生更大的損失。
目前已經購買的防毒產品也只是當作買保險,因為在資安事件發生時,無法 產生立即的遏止效果。
資訊長擔心即使提高資安預算,在資安問題發生時,仍然無法獲得預期的服 務水準,而配合防毒廠商進行一連串的掃毒作業,在歷經漫長的等待卻得到毫無 幫助的解答,但資安事件期間若再次被惡意人士入侵得逞,若消息被媒體披露而 導致公司股價因此受影響,這責任應該由資訊長來承擔,還是由防毒廠商來負責 呢?
銀行防毒有專業
趨勢科技人員雖然具有處理電腦病毒之能力,但因為對於銀行各部門業務與 作業程序的不瞭解,往往無法根據銀行業務處理關鍵程序,對症下藥。
這尌像是剛從醫學院畢業的年輕醫生,雖然習得了一身學理上的知識,但卻 無法像有經驗的老醫生一般,觀察病人的行為或是日常作息,便能推斷病灶的成 因,甚至在瞭解病人的心態與生活條件後,給予符合患者需求的處方與療程。
而金融產業對於資安的需要,尌像是一群擁有明確固定行為的病患,許多資 安的問題,往往不是突發的事故,而是經過一定時間醞釀而衍生的問題,但面對 金融產業的電腦中毒問題或其他資安事件,趨勢科技人員往往花費許多時間在銀 行覺得無關痛癢的問題上,而浪費許多寶貴的時間與機會,也讓資訊處人員對於 趨勢的專業產生懷疑。
金融產業的資安工作,與其他產業有何不同呢?
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
以每天負責接待客戶的分行據點為例,負責不同業務的行員,在電腦操作功 能有一定的權限,不同的行為因而衍生出不同的問題。
好的療程必頇建立在對於使用者情境的瞭解,方能達到立竿見影的療效,同 時產生藥到病除的效果。
外匯部門行員的電腦傴與總行主機相連,查詢最新的外幣匯率報價,這類型 的電腦因為沒有連線到網際網路的能力,不太可能經由電子郵件或瀏覽網站中 毒,但如果不小心將隱藏病毒的隨身碟連接至外匯部的電腦,便可能讓分行與總 行間的連線受到感染。
負責貴賓理財或是基金業務的行員,常常需要使用網路連結到國內外各大財 經網站,提供客戶最新的市場動態與投資建議。這類型的使用者最容易因為連結 到惡意的釣魚網站使得電腦安全產生漏洞,或因為使用電子郵件中毒,或客戶重 要交易資料於傳輸中被攔截解密,產生高風險的資安問題。
信用貸款部門的行員無頇使用網際網路(Internet)進行日常業務,但卻需要使 用區域網路(Intranet)調閱不同分行間,客戶的交易與擔保資料,而這類型的 行員往往在『資料夾分享』未設定防範措施,而讓業務機密資料,暴露於無管轄 的高度風險環境中。
由於趨勢的防毒工程師不了解銀行的業務內涵,在診斷時可能花費許多時間 進行例行的掃毒措施,(如檢查電子郵件或全面掃毒檔案),卻忽略該行員的業 務範圍所衍生的特定資安問題,再加上每次到現場處理的工程師都不是同一個 人,以致於先前處理資安事件的經驗無法累積,往往錯失了有效制止病毒蔓延的 先機。
缺乏客製化服務通報
趨勢科技每週會定期發佈最新的病毒通報,有時候碰到特殊危急事件,通報 的頻率可能會達到一天多次的狀態。
為什麼會有這麼高的頻率?主要是因為病毒通報記載著全球各地最新產生
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
的病毒或資安事件,卻未分析簡化成不同產業或使用者所應該知道的訊息。
S金控資訊處的資安人員常常淹沒在一大堆的病毒通報中,卻不知如何反 應?資訊處技術經理 T 回應說,『病毒通報裡每個病毒似乎都是來勢洶洶,每 台電腦都有被攻擊的可能,以全球目前每天都產生近一百個新病毒的速度來說,
S金控資訊處的資安人員常常淹沒在一大堆的病毒通報中,卻不知如何反 應?資訊處技術經理 T 回應說,『病毒通報裡每個病毒似乎都是來勢洶洶,每 台電腦都有被攻擊的可能,以全球目前每天都產生近一百個新病毒的速度來說,