靠聯防和自動化打造內網可視化，百年彰基資安有一套

於是，他要將原有架構打掉重練，移除舊有防火牆的部署方式，改將防火牆重新部署在所有內外網路的進出口，並且將防火牆政策集中管理。此外，他也採購了APT 進階資安防禦軟體，來協助監控、分析網路行為。
他引進的中控平臺機制尤為重要，統一納管了所有分院的資安政策。由於彰基缺乏資安和網管人力，不可能派人一家一家檢查，因此改借助中控平臺，總院可以集中檢視每家分院的資安規則，先行把關。
比如，若有分院資訊人員訂定規則時，為了省事，開放所有人都能存取某臺主機，資安中心看到時就會退回。不只如此，彰基會直接在中控平臺訂定整體性的規則，自動找出不符合條件的政策，加速揪出不良政策。
中控平臺集中管理的資料不只有政策規則，還包括各分院的各種Log日誌記錄和SIEM平臺的情資。未來，彰基希望可以進一步做到，讓網管就能從中控平臺搜尋所有IP紀錄，來檢視駭客是否入侵過其他分院。這也是粘良祁規畫中的未來方向。
防火牆聯防架構，未來彰基還計畫進一步整合到端點防毒上。彰基早在2019年時，就建置完成了一套APT防毒軟體聯防機制，採購了趨勢科技惡意程式快速偵測產品DDI，採取集中式中控平臺的監控架構，來和防毒主機搭配。
彰基利用這套產品監控所有網路連結埠和通訊協定，追蹤任何人從網路下載的檔案，送到這套產品內建沙盒環境，檢查是否埋藏惡意程式或惡意連結。一旦發現有可疑連結的情資，都統一集中到中控平臺，再同步更新到每一臺防毒主機上，來避免其他使用者或電腦，再次接觸到這些惡意程式。
粘良祁認為，這樣的作法還能更好。因為，「現有機制下，第一臺接收到可疑檔案的電腦，還是有可能遭惡意程式入侵、潛伏，」因此，他計畫在電腦上網的進出口端，加設可以連動到DDI的防火牆設備。
如此，當使用者點擊惡意連結時，DDI就能先行通知防火牆，來阻擋攻擊。如此一來，就能將端點防毒聯防機制，進一步和防火牆聯防機制串聯，透過防毒聯防取得的情資，來強化內網可視化的自動攔截能力。
資安政策要由上而下規畫，由下而上執行，才能避免重複投資。── 彰基資安中心資安長 粘良祁　（攝影／洪政偉）
無線網路聯防不只隔離異常，還要兼顧使用者體驗
彰基會特別考量到這個管制機制在使用者端的體驗影響，不只是將斷網資訊透過 Line及時通知管理者，說明斷網原因與隔離措施。這樣還不夠，「還要通知使用者才行！」粘良祁指出，使用者再次上網時，系統會跳出警示視窗，說明裝置因為中毒而遭斷網，減少使用者的抱怨。
「資安的概念是控管，但人性不想被控管，」粘良祁認為，好的資安策略得在控管與自由之間取得平衡，既不會讓使用者不方便、也不用親自到資安中心申請重新上網，這就是一個平衡點，既不強行永久阻斷、系統也有自動開通的機會。
防火牆聯防不只串聯到無線網路聯防，彰基還準備整合到有線網路的連網設備管理上。先前就已透過MAC位址控管，來管理對有線網路的電腦或連網設備。粘良祁同樣用打造了一套入口網站，讓使用者自助搭配自動化開通機制，來取代過去靠Excel表格搭配人工手動開通權限的作法，減少對人力的需求。後來又進一步結合了審查機制，讓開通流程管理更細緻。今年，粘良祁還準備購置新型網路交換器，要將有線網路也納入網路聯防。
至此，已完成內網可視化三階段的彰基，接下來要進一步實現惡意行為自動攔截。但是，「即便做到內網可視化五步驟，也不代表能高枕無憂。」粘良祁指出，這五階段只是資安入門，還得搭配不同層面的手段，才能強化整體資安體質。
資安政策要由上而下規畫、由下而上執行
粘良祁認為，做好資安的精髓，在於「由上而下規畫、由下而上執行。」舉例來說，2019年時，有些單位原本添購40臺網路交換器，但他考慮到2021年有線網路資安聯防計畫，需具備控管能力的新型交換器而退回採購計畫。如果當時購買舊型交換器，就得再次汰換才能實施新聯防計畫，形成浪費。
「先規畫、再執行，」才不會重複投資。粘良祁指出，網路交換器可用5到10年，IT設備則約3至6年，醫療設備（OT）則是10多年。考量這些設備未來資安要求，他強調，一開始投資時就得仔細規畫，才能減少後續問題。
這個想法，也呼應了近幾年越受重視的OT資安議題。粘良祁坦言， OT一直是個挑戰，為了提高相關單位對這類資安的重視程度，他不只經常花時間到處溝通，更自己寫了一套資安規範的介紹，以白話解釋資安法規，要讓更多同仁理解硬梆梆的資安規定，也舉辦各種院內資安演講，來提高整體員工的資安意識。他希望從技術面和政策面，雙管旗下，能更鞏固彰基的資安防禦能力。
 

Related Keywords

Italy ,Vietnam ,Republic Of ,Taiwan ,Changhua ,Zhanghua Xian ,Chen Hsin ,Zhang Ji ,Alliance Anti ,Management Team Leader Akira ,Akira Foundation ,View Branch ,Other Branch ,Center Ann ,Center Name Akira ,Akira Center ,Law Road ,Point Medical ,Medical Center Press ,Changhua South Guo General Hospital ,China Road ,District Hospital ,Changhua Yunlin Taichung ,Design Akira ,Continued Strong Road ,Fire Anti ,Control Manager ,General Hospital ,Future Akira ,Trend Micro ,Road Goes ,Zhang Ji Continued ,Step Italy ,Hospital Procurement ,Road Anti ,Christianity Hospital ,Mann Hospital ,Changhua Christianity Hospital ,Changhua South School ,Medical Service ,இத்தாலி ,வியட்நாம் ,குடியரசு ஆஃப் ,டைவாந் ,சென் ஹஸின் ,ஜாங் ஜி ,கூட்டணி எதிர்ப்பு ,பார்வை கிளை ,அதர் கிளை ,சட்டம் சாலை ,பாயஂட் மருத்துவ ,சீனா சாலை ,மாவட்டம் மருத்துவமனை ,கட்டுப்பாடு மேலாளர் ,ஜநரல் மருத்துவமனை ,போக்கு மைக்ரோ ,சாலை செல்கிறது ,ஆண்டு மருத்துவமனை ,மருத்துவ சேவை ,