智慧財產權宣告

本站所有的內容均由本人所原創,受中華民國之智慧財產權相關法律保障。如需轉載、引用或連結,請參考這裡的說明

2007年10月3日

企業與個人資訊安全防禦策略的衝突

一般的個人資安防禦策略大都是很簡易的,主要就是防毒和防間諜軟體,頂多加個軟體防火牆就好了。主要的考量除了個人的財力有限之外,多數的使用者的相關知識不足,尤其是網路方面。如果安裝過於強大的軟體,其中的設定就顯的過於繁複,而且也不知道該如何進行最符合自己要求的設定,其結果往往是採用全部放行的策略,如此才不會覺得煩,也不會阻擋想使用的網路服務。但是下場就是三不五時遭受惡意程式的毒手。

但是企業的資安對策就不能如此草率馬虎,至少要有一定等級以上的防護才行,否則電腦網路系統一旦停擺,損失可是大的難以估計。因此硬體防火牆、軟體防火牆和防毒軟體不但是基本配備,弱點偵測軟硬體也是常見的玩意兒。至於利用伺服器進行權限管理和登入認證管理那更是基本中的基本,更不用說封鎖上網的工具了。

這樣子問題就來啦!公司的員工並不是每個都懂這些限制,甚至很多人根本不知道公司的安全對策是什麼,對自己所分配到的電腦到底只能做哪些什麼事情,更是一無所知,完全把自己在家使用的經驗和薄弱的安全概念搬到公司,絲毫不理會公司的電腦使用與網路安全政策,此時此刻,就注定了 MIS 和這些人之間的仇怨。通常我們很常聽到這樣的對話:

「為什麼不可以使用MSN?」「公司的政策禁止使用。」

「這樣子我怎麼開發客戶啊?」「沒辦法,你如果需要的話請按照公司規定提出申請。」騙誰啊?MSN 才能開拓客戶嗎?

「怎麼申請呢?」「到公司的管理網頁,填好申請書傳給你們部門主管,經他確認你真的需要 MSN,然後送到我們單位經過確認技術上可以安裝,然後呈送總經理批准,我們會擇日幫你安裝並加以設定。」

「要這麼麻煩喔?不能幫幫忙嗎?」聽到這種流程,大部分的人都會軟化,如果是長相清秀的女生更要語帶可憐。「對不起,這是公司規定,請不要為難我。」吃過苦頭的 MIS 就該知道不可迷於世間的一切色相。

這還不可怕,最可怕的是對電腦有點狂熱,對電腦有點了解但不深入的「半桶師」,他們會上網找方法,看看如何能自己偷偷安裝,不然就使用 Web 版的 MSN。如果公司的防禦夠嚴密,要自行安裝軟體可以說是不可能,使用 Web 版的 MSN 多數都能阻擋或監視,但這些對網路安全一知半解的人,如果真的讓他利用這些方法達到目的,就以為已經繞過 MIS 的監視,真的是大錯特錯。MIS 如果設定嚴謹,很快就會察覺某台電腦有異狀,只要加以檢測和監視,這些「半桶師」的一舉一動盡在掌握中。如果此人工作表現不錯,又沒有妨礙到公司系統,再加上沒有洩密,也許主管會睜一隻眼閉一隻眼算了,要是影響工作績效或者平常就惹人厭,MIS 資料一調出來就是鐵證如山,賴都賴不掉。

偷裝軟體或使用 Web 版本服務的動作,往往就是企業網路安全的漏洞。因為這些軟體若能突破各種安裝限制,本身必定經過某種加工,那麼就有可能會創造出不可知的後門。至於 Web 版本的服務或多或少也具備這樣的風險。

這些人講求的是方便,一旦對某種東西有興趣,往往把相關的安全對策丟到九霄雲外。尤其是公司電腦,更是抱持著「電腦掛了就找 MIS 修理,他們的責任就是要維護電腦正常運作啊!」安全視公司安全政策如無物。

因此電腦安全最可怕的不是外面的敵人,而是內部這些自認為高手的人(我承認,我曾經自認為高手,事實上只是三流的庸手),操作人員的觀念不足,守法精神不夠,往往都是造成企業資安問題的元兇禍首。MIS 常常會因為這些人而疲於奔命,而公司的懲處規定很少有相關的規章,因此只能氣在心裡,口頭勸戒。其成效當然你我都心知肚明。

當然,很多資安問題是很難擬定具體的政策,例如 USB 的問題。電腦要不要提供這個?不提供,有天內部區網出現問題而停機修復時,資料怎麼傳輸?不是每家公司的財力都雄厚到能有備援系統,這時候 USB 隨身碟可能是唯一能讓工作即時完成的救星。可是一旦開放了 USB 的使用,就得小心 USB 裝置所帶來的各種惡意程式,就得小心資料外洩(此時不經過區網,MIS 沒辦法第一時間發現異狀)等,一些棘手的問題也會接踵而至。

所以,訓練是必要的,唯有提昇人員的安全意識和遵守的紀律,才有可能讓各種資安措施真正落實,將資安問題降到最低(完全防禦?我認為是不可能的任務),同時要有明確的資安政策,讓所有同仁都清楚了解並加以遵守(保括董事長和總經理這些在資安領域內屬於不食人間煙火的人物,他們往往更是破壞資安的元兇和大漏洞),儘量不要留下模稜兩可的空間。

至於個人,我建議趁此多跟企業的資安對策學習,吸收一點知識,為自己家中的電腦架構出足夠的防禦,免得一天到晚出事,或者讓自己的電腦變成別人殭屍網路的一員,變成幫助他人犯罪的幫凶。別再以為黑客的目標只是那些大企業,根據統計,就是因為個人的電腦缺乏防護能力,目前已經變成黑客的主要攻擊目標,如此黑客的就能架構屬於他自己的殭屍網路,用來攻擊他真正的目標。因此所有的個人使用者,對於個人電腦的資安問題千萬別掉以輕心啊!

沒有留言:

張貼留言

email 圖片:http://services.nexodyne.com/email/