南山人壽網路安全管理滴水不漏
前言:對於內勤及業務人員總數近4萬人、保戶總數超過350萬人的南山人壽來說,要做好網路安全,必須投入多少人力、佈建何種網路架構,並採取什麼樣的資安管理政策才夠嚴密?答案在於AIG集團中央集權卻又不失彈性的IT策略。至於何謂中央集權又保有彈性的IT策略?眼前1份AIG集團的IT政策白皮書說明了一切。
位於紐約的AIG集團總部,為了整合集團內跨越130個國家的相關企業,對IT產品的集團採購優勢,並達到MIS人力資源共享的前提,因此訂定了1套集團內的IT策略準則,讓所有關於資訊產品的採購以及設備佈建都有跡可循,如此一來,即可省去各地區MIS部門在共同性的IT需求上之規劃與管理人力。但是另一方面,對於保單核保等重要核心系統,則在MIS架構下配置3組人力,專注於撰寫符合本地需求的程式,因此,僅有200名人力的MIS部門,依舊能妥善服務近4萬名內勤與業務人員以及350萬名保戶。
總部IT政策明確 整合有線與無線網路架構
在明確的IT政策原則下,對於即將於2006年喬遷至台北市信義區內新辦公大樓的南山人壽來說,無線網路架構該如何佈建早已不成問題。「按集團IT策略所規劃,我們的無線網路架構會採用與現有實體架構相同的解決方案,並由設於紐約總部的Radius Server提供WPA認證服務,使用TKIP以及MIC(Message Integrity Check)進行資料加密,而Client端必須是裝置與無線網路設備相同的網卡,才能連上WLAN環境。」電腦中心技術服務部經理劉順鐘揭示南山人壽的無線網路規劃。
進一步整理南山人壽的網路架構規劃原則,歸納如下:
•有線/無線網路環境一致性
考量與現有實體網路設備環境的整合,以及統一管理上的便利性,集團內的無線網路,將選擇與現有實體架構相同的WLAN解決方案,並預計在新大樓每一層樓佈建4個AP,合計舊大樓約33個AP,南山人壽將來的AP總數約有100個。
雖然讓內勤人員將因此享有暢快無阻的無線網路環境,但是,會不會苦了區區4名網路管理人員?「集團總部資訊中心會協助全球各據點偵測無線AP的安全,若偵測到有弱點的AP,會通知當地網管人員前往處理,這就是為什麼我們集團需要採用一致性設備的原因。」劉順鐘笑著解釋,這樣當然可以分擔網管人員的工作。
•集團總部集中管理、分點加強入侵防禦
雖然由總部集中管理的方式,可以節省網管人力,不過,即使總部偵測到弱點,由於美國與台灣之間有時差,台灣的網管人員如何能在第一時間內,將網路漏洞修補起來,即時處理問題?「因此,集團IT政策也保留了能符合各個國家需求的彈性,我們將在本地採用分散式的無線網路入侵防禦系統Wireless IDS/IPS來解決此一問題。」劉經理補充說明。
Wireless IPS是透過在無線網路環境中佈設感測器的方式,對無線封包進行監控與掃描,並將資訊送到伺服器進行交叉關聯分析,以此達到有效偵測非法AP,加以關閉阻斷並利用Radio Frequency 3點定位方式,標示出非法AP的裝置位置。
•對使用者採取認證與管理政策
若使用者帶著內建有Centrino行動運算裝置的筆記型電腦進公司,欲連上公司的無線網路,恐怕要失望了,因為南山人壽的無線網路架構只認與公司AP相同的網卡,若未持有與公司網路環境相同的網卡,就無法存取公司的無線網路。另外,對每一個受系統認可的合法使用者進行MAC Address設定,也成為必要的防護方法之一。
•弱點掃描委外加強不嫌多
除了以上的防護之外,南山人壽也委外請資訊安全服務供應商進行整體網路環境的弱點掃描,以廠商所能提供的最新安全指標,來加強偵測目前的網路環境是否遭遇任何威脅。「廠商每天都會提供前一天所偵測監控出來的結果,我們的同仁一早就可根據報告上所指出的可能問題點進行處理。」劉順鐘表示,雖然難免會有誤判,但截至目前為止,該公司對於委外服務廠商所提供的弱點掃瞄準確率仍相當滿意。
透過IT政策白皮書 詳述公司資安政策
除了無線網路架構依循著集團IT政策佈建之外,攸關全公司整體資訊安全的資安政策,也在IT政策白皮書內有清楚的規範。
首先是對於員工進入核心系統的帳號密碼管理,公司採取較為審慎的態度,規定所有員工必須每36天更換1次密碼,密碼必須由英文字母與數字組成,而且不能與之前所設定的相同。這樣一來,雖然提高了駭客猜中密碼的困難度,但是員工豈不是叫苦連天?劉順鐘表示:「剛開始實施,的確有同仁反應時常變換密碼所造成的不便,還好公司高層對於資安的管理非常重視。」這一點,由南山人壽資訊中心底下編制了9人的資訊安全管理部即可窺知。電腦中心資訊安全管理部屈誠欽主任回憶道:「那時,總經理親自寫了1封信給提出抱怨的同仁,請他們為了系統的安全性著想,多多配合。」有了高階主管的支持,資安政策得以順利的推行下去。
此外,資安的政令宣導,更是資安管理上必須不斷持續的工作。「由於資訊科技隨時都在改變,因此,對於資安的規範,我們也是每個月都會更新。」屈誠欽表示,平時除了透過e-Mail提醒員工注意事項之外,有關資訊安全方面的教育訓練,也會透過分散在19家分公司的IT窗口同仁進行宣導。此外,新進人員的教育訓練部分,有關資訊安全的訓練,更是重點項目之一。
為了配合AIG集團的資安政策,南山人壽在資安策略擬定上,也必須符合美國沙賓法案的規範,強調身分識別的管理以及存取資料的權限控管,再加上外部稽核單位-資誠會計師事務所定期查核,都必須依照資安政策上所規範來執行。綜合以上所述,欲達成完善的資訊安全,除了選擇適當的解決方案、完整的教育訓練、高階主管重視並定期稽核外,最重要的是,組織上下都必須有落實資安政策的執行力,否則,花費再多的顧問費、擬定再完善的資安政策,也都是枉然。
最後,由南山人壽所屬AIG集團這樣中央集權又保留彈性的IT政策看來,他們以專業分工的概念訂定IT策略,對於哪些是必須由公司的IT人員親力親為,哪些又應該委由專業廠商處理,以達到效益最佳化,相信是企業IT部門在訂定IT策略時,必須審慎評估之處。
電子時報 記者張維君/台北
前言:對於內勤及業務人員總數近4萬人、保戶總數超過350萬人的南山人壽來說,要做好網路安全,必須投入多少人力、佈建何種網路架構,並採取什麼樣的資安管理政策才夠嚴密?答案在於AIG集團中央集權卻又不失彈性的IT策略。至於何謂中央集權又保有彈性的IT策略?眼前1份AIG集團的IT政策白皮書說明了一切。
位於紐約的AIG集團總部,為了整合集團內跨越130個國家的相關企業,對IT產品的集團採購優勢,並達到MIS人力資源共享的前提,因此訂定了1套集團內的IT策略準則,讓所有關於資訊產品的採購以及設備佈建都有跡可循,如此一來,即可省去各地區MIS部門在共同性的IT需求上之規劃與管理人力。但是另一方面,對於保單核保等重要核心系統,則在MIS架構下配置3組人力,專注於撰寫符合本地需求的程式,因此,僅有200名人力的MIS部門,依舊能妥善服務近4萬名內勤與業務人員以及350萬名保戶。
總部IT政策明確 整合有線與無線網路架構
在明確的IT政策原則下,對於即將於2006年喬遷至台北市信義區內新辦公大樓的南山人壽來說,無線網路架構該如何佈建早已不成問題。「按集團IT策略所規劃,我們的無線網路架構會採用與現有實體架構相同的解決方案,並由設於紐約總部的Radius Server提供WPA認證服務,使用TKIP以及MIC(Message Integrity Check)進行資料加密,而Client端必須是裝置與無線網路設備相同的網卡,才能連上WLAN環境。」電腦中心技術服務部經理劉順鐘揭示南山人壽的無線網路規劃。
進一步整理南山人壽的網路架構規劃原則,歸納如下:
•有線/無線網路環境一致性
考量與現有實體網路設備環境的整合,以及統一管理上的便利性,集團內的無線網路,將選擇與現有實體架構相同的WLAN解決方案,並預計在新大樓每一層樓佈建4個AP,合計舊大樓約33個AP,南山人壽將來的AP總數約有100個。
雖然讓內勤人員將因此享有暢快無阻的無線網路環境,但是,會不會苦了區區4名網路管理人員?「集團總部資訊中心會協助全球各據點偵測無線AP的安全,若偵測到有弱點的AP,會通知當地網管人員前往處理,這就是為什麼我們集團需要採用一致性設備的原因。」劉順鐘笑著解釋,這樣當然可以分擔網管人員的工作。
•集團總部集中管理、分點加強入侵防禦
雖然由總部集中管理的方式,可以節省網管人力,不過,即使總部偵測到弱點,由於美國與台灣之間有時差,台灣的網管人員如何能在第一時間內,將網路漏洞修補起來,即時處理問題?「因此,集團IT政策也保留了能符合各個國家需求的彈性,我們將在本地採用分散式的無線網路入侵防禦系統Wireless IDS/IPS來解決此一問題。」劉經理補充說明。
Wireless IPS是透過在無線網路環境中佈設感測器的方式,對無線封包進行監控與掃描,並將資訊送到伺服器進行交叉關聯分析,以此達到有效偵測非法AP,加以關閉阻斷並利用Radio Frequency 3點定位方式,標示出非法AP的裝置位置。
•對使用者採取認證與管理政策
若使用者帶著內建有Centrino行動運算裝置的筆記型電腦進公司,欲連上公司的無線網路,恐怕要失望了,因為南山人壽的無線網路架構只認與公司AP相同的網卡,若未持有與公司網路環境相同的網卡,就無法存取公司的無線網路。另外,對每一個受系統認可的合法使用者進行MAC Address設定,也成為必要的防護方法之一。
•弱點掃描委外加強不嫌多
除了以上的防護之外,南山人壽也委外請資訊安全服務供應商進行整體網路環境的弱點掃描,以廠商所能提供的最新安全指標,來加強偵測目前的網路環境是否遭遇任何威脅。「廠商每天都會提供前一天所偵測監控出來的結果,我們的同仁一早就可根據報告上所指出的可能問題點進行處理。」劉順鐘表示,雖然難免會有誤判,但截至目前為止,該公司對於委外服務廠商所提供的弱點掃瞄準確率仍相當滿意。
透過IT政策白皮書 詳述公司資安政策
除了無線網路架構依循著集團IT政策佈建之外,攸關全公司整體資訊安全的資安政策,也在IT政策白皮書內有清楚的規範。
首先是對於員工進入核心系統的帳號密碼管理,公司採取較為審慎的態度,規定所有員工必須每36天更換1次密碼,密碼必須由英文字母與數字組成,而且不能與之前所設定的相同。這樣一來,雖然提高了駭客猜中密碼的困難度,但是員工豈不是叫苦連天?劉順鐘表示:「剛開始實施,的確有同仁反應時常變換密碼所造成的不便,還好公司高層對於資安的管理非常重視。」這一點,由南山人壽資訊中心底下編制了9人的資訊安全管理部即可窺知。電腦中心資訊安全管理部屈誠欽主任回憶道:「那時,總經理親自寫了1封信給提出抱怨的同仁,請他們為了系統的安全性著想,多多配合。」有了高階主管的支持,資安政策得以順利的推行下去。
此外,資安的政令宣導,更是資安管理上必須不斷持續的工作。「由於資訊科技隨時都在改變,因此,對於資安的規範,我們也是每個月都會更新。」屈誠欽表示,平時除了透過e-Mail提醒員工注意事項之外,有關資訊安全方面的教育訓練,也會透過分散在19家分公司的IT窗口同仁進行宣導。此外,新進人員的教育訓練部分,有關資訊安全的訓練,更是重點項目之一。
為了配合AIG集團的資安政策,南山人壽在資安策略擬定上,也必須符合美國沙賓法案的規範,強調身分識別的管理以及存取資料的權限控管,再加上外部稽核單位-資誠會計師事務所定期查核,都必須依照資安政策上所規範來執行。綜合以上所述,欲達成完善的資訊安全,除了選擇適當的解決方案、完整的教育訓練、高階主管重視並定期稽核外,最重要的是,組織上下都必須有落實資安政策的執行力,否則,花費再多的顧問費、擬定再完善的資安政策,也都是枉然。
最後,由南山人壽所屬AIG集團這樣中央集權又保留彈性的IT政策看來,他們以專業分工的概念訂定IT策略,對於哪些是必須由公司的IT人員親力親為,哪些又應該委由專業廠商處理,以達到效益最佳化,相信是企業IT部門在訂定IT策略時,必須審慎評估之處。
電子時報 記者張維君/台北
全站熱搜
留言列表
認識 馬堤 (3)