國家衛生研究院電子報
國家衛生研究院電子報第 266期 2008-08-28
院務紀事
國衛院資訊安全實施現況與未來遠景
Information security at NHRI, present and future
資訊安全實施現況隨著電腦運用的普及和網際網路的蓬勃發展,資訊所帶來的便利性及多元化也大大改變了人類的生活模式;然而水能載舟亦能覆舟,當我們享受著因為資訊科技與網路所帶來的便利性及企業快速成長的同時,伴隨而來的資訊安全危機卻也可能為個人或企業組織帶來重大的損失。尤其近年來,全球重大資訊安全事件時有所聞,造成政府、民間企業,甚而個人難以估計的損失;因此大至政府單位、企業團體,小至個人對於資訊安全均展現出高度的重視。
國衛院自成立以來,以國人重要疾病與健康問題、醫療保健政策與管理、醫藥科技發展、及臨床研究為主要研發方向,期望能在基礎與臨床醫學研究的相互配合下,發展出疾病診斷與治療之最新方法;為確保本院同仁在安全的資訊環境下,可隨時存取正確、完整的相關研究資料,以進行相關研究計畫,故打造可靠又安全的資訊環境便成為本院資訊中心(以下簡稱本中心)首要任務。
本中心於2004年「國家衛生研究院竹南院區資訊設備暨網路工程」專案中,包含網路、機房、主機、備份備援系統、應用系統等資訊基礎軟硬體建置及資訊服務流程導入建置;更以本中心機房之相關作業環境及作業流程為範圍,導入符合資訊安全標準之要求,落實施行,並持續改善資訊安全管理相關系統;於2005年7月通過BS7799資訊安全認證,2006年通過覆驗,2007年5月取得ISO 27001 資訊安全轉版認證, 2008年7月通過ISO 27001覆驗;往後將每年申請外部稽核與覆驗。
資訊安全系統的主要目的在於確認組織內營運相關之重要資訊資產,舉凡院內主機、磁帶、軟體等等皆是,並保護資訊資產之可用性(指經授權通過後可隨時使用資訊資產)、機密性(資訊資產需經過授權方可使用)及完整性(資訊資產是正確完整的),避免因資訊資產遭受破壞而導致組織營運中斷,故本中心建立相關制度,希望能提供本院同仁可靠又安全的資訊應用環境:
機房重要資產之管理與風險管理
鑑別機房內所有重要資產之重要性及敏感性,並進行相關風險及營運衝擊分析,避免因資產本身之脆弱性及可能遭受之威脅而使資產遭受危害,進而影響本院資訊服務之正常運作。
實體及環境安全
為確保機房設備受到完善之保護,並避免未授權之人員隨意進入,竊取重要資料或破壞設備,進行以下管控:
-門禁管制與錄影監控
-電腦設備使用管制
-電腦設備狀況之監控
-溫溼度之監控
-消防措施
-機房例行巡檢
網路區隔與防火牆制度
為確保資料傳送之安全,及防止駭客入侵將網路區分為內部網路及外部網路,欲使用外部網路存取院內服務者,需以虛擬院內網路(Virtual Private Network ,VPN)或跳板主機等方式連至內部網路;同時利用防火牆制度,只開放各主機運作所需服務埠,以提供安全的網路環境供同仁使用。
主機管理
為確保機房內所有主機上所提供之服務能持續運作,不因人為或其他因素之干擾而中斷,故建立以下管理制度:
-主機上下架、異動及測試管理
-定期修補作業系統漏洞及更新病毒碼
-主機弱點掃描及弱點修補
此外,亦提供院內同仁主機代管及主機寄放服務,服務內容包含正常溫溼度之監控、網路之提供、定期修補作業統及更新病毒碼,確保主機能正常運作。
資料備份
針對院內重要系統、服務、同仁存放重要資料之網路磁碟(NAS)或應同仁之需求,定期進行資料備份,同時定期驗證資料之完整性與正確性;於系統損害或資料遺失時,可利用備份資料還原至初始狀態或各個時間點之狀態。
業務持續營運與異地備援
本中心針對國衛院全球資訊網、電子郵件服務、院內應用系統及其資料庫等重要資訊服務,於宏碁公司龍潭電子化資訊管理中心(Acer e-Enabling Data Center, Acer eDC)建置備援機制,以確保本院發生災難時,能於異地承接本院原有資訊服務,支援相關業務之持續運作。
帳號存取控管
針對各主機只依最少權限完成其業務為原則開放,並定期檢查帳號之合法性及變更帳號之密碼,以控管主機存取之安全性,避免主機內之重要資料被竊取或遭植入木馬程式、病毒。
自動監控功能及資訊安全事件管理
機房內之所有設備皆受自動監控,使管理人員可隨時了解每一個網路節點和主機服務的運作狀況,若有事件發生系統也會自動發出警告,讓管理人員能儘速處理。在資訊安全事件的管理上,除了記錄資訊安全事件外,著重事件的預防及系統持續改善、持續追蹤,以降低資訊安全事件再發生的機率。
管理審查及稽核
本院成立圖書與資訊委員會,定期審查資訊安全政策之落實狀況與有效性,並適時修訂資訊安全政策或相關制度;同時也藉由定期的內部稽核與外部稽核,確保資訊安全系統能持續改善與進步。
人員認知之教育訓練
每年實施資訊安全認知教育訓練及相關資訊技術之訓練,以確保本中心人員所具備之相關知識及技術足以維持本院資訊安全系統之運作。此外,本中心今年1月初於院內舉辦資訊安全相關教育訓練課程,於5月針對院內同仁舉辦個人電腦資訊安全防護問卷調查,以加強同仁對資訊安全的了解;未來本中心將不定期舉辦院內資訊安全教育訓練,以宣導相關資訊安全概念。
未來遠景
本中心未來將持續於資訊安全系統上進行改善與精進,並以導入資訊安全管理系統之經驗,將資訊安全之概念推廣至全院,確保同仁研究相關之重要資料、研究成果及敏感性資料能妥善被保護,降低資料外洩之風險;同時,將以資訊服務管理標準ISO 20000之架構為基礎,建置資訊服務管理架構,並整合原有資訊安全之架構,透過持續改善之資訊服務管理體系及資訊安全管理體系以達到下列目標:
-提供準確且高品質之服務
-提昇系統及其服務之可靠性、可用性及靈活度
-加強資訊服務管理能力,提昇院內同仁滿意度與委外管理效率
-健全本中心資訊安全管理機制
-強化資訊治理與資訊管理流程標準化
本中心的終極目標在於提供一穩定安全之研究資訊平台及優質資訊服務,確保院內同仁在此資訊環境下能快速達成其研究計畫目標。
《文/圖:資訊中心劉金和主任、吳玓玲》
觀看之後期數 View Later Volumes 觀看之前期數 View Previous Volumes 查詢 Search