智能应用 影音
未来车产业价值链平台
event

台北市政府强化网安治理 有效落实曝险最小化

台北市政府强化网安治理 有效落实曝险最小化

掌理首善之都的台北市政府,在网安治理方面的经验,颇值得各界借镜。

台北市政府信息局高级分析师杨世钰表示,2019年底柯文哲市长指示,未来网安需以整体架构来推动,不应只冀望各机关1~2位网安人员,于是大幅调整网安组织,设置府级网安长,由副市长出任,驱使各机关更重视网安。

尔后两年多来,市府陆续面临一些网安事件,但各机关网安人员习惯采取重灌电脑、拔网络线等处理方式,导致数码证据消失,徒增监识调查困难,促使市府决定设立集中化网安事件应变小组(IR Team),尔后当网安事件发生,都依循SOP执行,第一时间由IR人员确认是否保全证据,再进行事件调查,厘清个中缺失,最终辅导改正。

「网安要靠稽核,否则等于没有网安。」杨世钰说,以往市府的网安稽核层级不高,2020年设立全新机制,由信息局、政风处、外部网安与技术(主机安全与系统安全)顾问、各机关稽核委员共同组成稽核小组,在人力加持下、浩浩荡荡到机关进行稽查,要求对方网安长主持起始与结束会议,严格确认此机关对网安的掌控力,在现场仔细核对各项缺失,让府级、各机关明了亟需处理的议题。

藉由稽核过程,察觉到许多单位虽通过ISO 27001认证,但仅止于机房验证,未涵盖其他众多服务器。因此市府决定将非核心系统纳入稽核,发现长期下来许多系统口令设定从未变更,点出相关缺失后,促使各机关了解其网安落差,知道该针对原码、主机或网站进行哪些补强。

关于市府的网安治理,还包括许多其他的强化措施。例如向上集中网安投资,不仅纾解许多小型单位的预算旱象,连带提高整体网安可视性,裨益以一致标准集中进行弱点扫描,使各单位掌握网安修补重点,尽速完成修正。另外调整红蓝队架构,将负责导入、验证的承包商分开,以利各司其职、落实网安,避免出现球员兼裁判情形。

值得一提,市府与微软合作打造三层式特权权限分层架构,将Domain Admin等高权限锁定在Tier 0,不允许出现在Tier 1(偏向服务器、应用程序),Tier 2(偏向PC),达到曝险最小化。此外还执行防火墙风险审查,杜绝重要系统开放任意连线(Internet Any);为顺利推动GCB,由信息局机房每月推出符合最新网安要求与安装最新版安控软件的VM范本,确保各机关使用符合网安要求的VM,不再有兼容性等方面的疑虑;另藉由SOAR的导入、合规检核机制的自动化与持续化,乃至采用DevOps平台统一管理源码与自动上版与审核、确保上版流程透明化,并研究以自动化做法落实高风险权限JIT(Just-In-Time)存取。

凡此种种,在信息局携手各机关持续学习、精进之下,台北市政府的资通讯安全已显着获得强化与改善。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 网安 台北市政府