公務機密維護宣導

淺談應用系統外包之安全管理

現代化社會分工精細,不論是公務機關或民間企業為節省人力成本,電腦應用系統委外開發成為大勢所趨,然而此舉是否會成為資訊安全的漏洞,確是一個值得正視的問題。

在資訊系統外包廠商承做時,相關的安全風險,應從軟體委外開發程度與基礎建設雙管齊下加以考量。首先要考慮的是整個系統要委外開發,還是只有程式撰寫的部分委外,這二者的資安風險並不相同。如果要把整個系統委外開發,委託單位就是系統的使用者,須提出系統的需求,讓資訊廠商依需求去開發系統。如果只是把程式撰寫的部分委外,委託單位就要自行做好需求調查、系統分析與設計、測試驗收計畫等,接受委託的廠商只負責依規格寫程式,不用管系統規劃是否正確。因為廠商不清楚撰寫的程式在系統中的位置,而且未來還要跟其他程式整合測試,洩密的機率相對較低。

至於資料庫的資料安全要如何確保,又屬不同層次的問題。資料庫的資料安全可以分為二個階段考慮,在系統開發初期及單元測試階段,可以用虛擬資料做測試,因為資料非真實資料,因此沒有資料安全的問題。在系統整合測試階段,因為使用實際資料上線測試時,應該有嚴格的資訊安全規範,而且業主要有承辦人員在場參與測試,一方面查看系統符不符合規範,另一方面做資訊安全的監控。凡是涉及資料庫的資料,委外廠商都只能在指定的場所存取不能帶走,並做人員隨身物品的管制,以免資料外洩。

其次是在一套結構較為複雜的應用系統上,由於程式數量甚多,又如何知道是否被寫入後門程式?或系統在測試時都沒有問題,在執行期間卻發生問題怎麼辦?其實前面所談的都是在系統開發階段要如何防止資料洩漏,縱然我們沒有辦法用逐行檢視程式的方式,來確保系統中有無後門程式,所以另一個防止洩密的方法,就是從基礎建設上著手。稍具規模的企業,工廠、辦公室可能都不會集中在一處,所以資訊系統建置後,勢必要靠網路連結,面臨的挑戰並非只有軟體開發,硬體的規劃與建置,也是影響系統良窳的重要因素。如果系統間的連結是透過網際網路,被入侵或者後門程式洩密的風險自然很高,這種設計應盡量避免。企業如果有足夠的資源,最安全的方式是跟電信業者租用專線,做為資料傳輸的管道,因為只有一家公司在使用,沒有對外的連結點,即使系統被植入後門程式,也沒有出口可以把資料送出,像全國戶政這麼重要的系統,就可以採用這種方式。由於大部分的公司沒有足夠的資源可以拉專線,也有很多公司的據點遍布全世界各地,無法逐一拉專線,為確保資料的安全,可以把重要的資料集中管理,做好系統的存取管理,防止資料不正常存取,並要求使用者透過虛擬私有網路(VPN)登入,以確保資料的安全。

綜觀一套資訊系統的安全,應該是「軟硬兼施」才對,不能只考慮軟體而已,硬體的防護也是很重要的一環;在軟體的委外開發上,不同的委外策略應有不同的安全議題。以後面臨這些問題時,更應面面俱到,才能確保系統的安全。


 








廉政宣導 公務員必修的學分-弄懂圖利與便民 公務人員做為人民的公僕,替人民服務......(詳全文)
廉政宣導 公務員餽贈罪之立法省思 法務部推動於刑法中增列公務員餽贈等罪,用來為......(詳全文)
機關安全維護宣導 違反交通道路安全規則第102條案例研析 陸軍六軍團一輛軍用卡......(詳全文)
機關安全維護宣導 夏日行車注意事項 台灣地處亞熱帶,終年長夏。近年來更因氣候變......(詳全文)
公務機密維護宣導 公務員未依保密規定處理檢舉案件之法律責任  壹、前......(詳全文)
環友運動賽會系統,環友科技股份有限公司,98全中運,九十八年全國中等學校運動會,秩序冊,即時賽程圖,體適能,健康地圖