網際網路已是現代生活不可或缺的一部分,但伴隨而來的卻是令人擔憂的資安問題。近年來,層出不窮的駭客攻擊所造成的事件與影響,儼然成為個人、社會、甚至是國家的一大隱憂。為面對日益漸增的危機, 組織必須建置一套強力的資訊安全防護系統,透過資安檢測、通報、處理及情資交換等功能來抵擋惡意攻擊。
.
資訊安全防護系統是由資訊安全作業中心(Security Operation Center, SOC)、資訊安全資訊分享與分析中心(Information Sharing and Analysis Center, ISAC)及資訊安全危機處理中心(Computer Emergency Response Team, CERT)所組成,透過三個角色間相輔相成,才能有效強化組織的安全性並構築資安防護體系。
.
【資訊安全作業中心, SOC】
.
SOC主要是透過入侵偵測規則即時監控網路封包。發現惡意攻擊時,提出警示並通報相關人員,如此方能隨時掌握組織資安狀態。目前國內機構已廣為建置資訊安全作業中心且頗具成效,然而,透過各個SOC單兵作戰各自分析網路封包,往往難以綜觀網路攻擊事件的全貌,因此必須透過ISAC的情資交換,才能共同建立協同防禦的城牆,達到聯防之目的。
.
【資訊安全資訊分享與分析中心, ISAC】
.
ISAC為整個資訊安全防護體系的神經傳導中樞,透過ISAC接收、統整及分析資安事件,並與國內、外其他組織進行情資交流。在攻擊行為尚未影響防護區域前,預先告警以達預防之目的;並於事後分析事件處理狀況以調整SOC監測規則,降低漏判與誤判之狀況。
.
【資訊安全危機處理中心, CERT】
.
CERT為資安事件處理的第一線窗口。當攻擊事件發生時,即時通報、立即評估並解決產生的問題;事後必須回報處理狀況並交付ISAC進行統整與分析。如此一來,能確實追蹤資安事件並有效優化監控品質。
.
面對今日五花八門的網路安全事件,單純依賴防火牆及防毒軟體的防護與警示已不如以往游刃有餘。除搭配SOC達成即時防護與監控的目標外,更需要ISAC和CERT的偕同合作,才能讓組織的安全等級提升,擁有更堅固的防護體系。