當所有企業將研發、銷售及財務資料數位化的同時,這些「知識與資訊」的流動性帶來了極大的便利,但同時也變得非常難以管理。無論是內部員工或外部駭客,都有可能在不被察覺下對企業資料造成威脅。

簡單的來說,企業資訊資產的保護面臨以下三種風險與威脅,任何一種都足以侵害公司利益,影響企業聲譽與競爭力:

  1. 因軟硬體設備缺陷,或操作面問題所帶來的技術性風險與威脅。
  2. 企業內部員工惡意盜取企業資料。
  3. 外部病毒或駭客滲透、攻擊企業網路,並竊取或修改資料。

以下是一家中小企業發現網路硬碟裡的重要企畫案不翼而飛,部門主管與資訊人員探討對策的案例。

Judy 「小戴!完蛋了,今天一到公司就發現網路硬碟裡面,我們部門的企劃書檔案全部都消失了,你快點幫我看一下是怎麼回事。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴

小戴首先查閱了行銷部資料夾的存取日誌紀錄,他很快確認了執行刪除動作的帳號,那是幾個月前行銷部參展時,要求他臨時建立的共用帳號。由於沒有一套帳號管理準則,這類的帳號常在需求結束後忘記關閉,更慘的是,需求單位只求方便,通常密碼要簡單好記,而權限卻又要夠大。

在花了一些時間檢查之後,根據紀錄中的IP位址及時間,小戴一臉嚴肅的說:「看起來是被入侵了,不過因為你反應的快,那台伺服器還沒有被大量寫入其他檔案,因此我用手邊的工具幫你們救回了絕大部分的檔案。」同時他也緊急關閉了那些非必要的帳號。

在看到Judy一臉感激的同時,小戴想起之前曾向高層主管建議過,需要有一套更明確的資訊資產管理準則,同時也應該在重點區域佈署一些防禦設備。但當時主管們以沒有迫切需求和預算等理由予以擱延,趁著這個機會,小戴再次向老張進行了報告。
老張 得知來龍去脈後,老張表示:「看來我們公司應該要更加重視資訊安全問題,我希望資訊單位提出解決方案,公司全權授與小戴和他的團隊改善整體資安環境。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 接到命令之後,小戴分別找了幾家廠商到公司進行簡報,在華麗的圖表及解決方案搭配之下,這些業務口若懸河的點出公司目前資安問題。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  資安公司業務:「我們檢視了目前公司所面臨的問題,要完成前端的入侵防禦措施,貴公司需要建置IPSec VPN並搭配連接埠的驗證機制 …」。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

幾周後類似的術語也出現在公司的內部會議之中。大家聽完小戴的簡報後,雖然沒人搞的清楚那些專有名詞,不過聽起來就是既專業又合理,鬍子老張也爽快的批示了建置這套系統。然而,事實上這是另一場災難的開始,半年後類似的問題又再度發生。

在尋求廠商的協助後,他們表示:「我們目前已經推出了新的解決方案,透過網路存取控制(NAC)的架構,可以要求所有連接到公司網路的電腦,必須符合相關安全規範,否則將無法存取。」

小戴

此時小戴陷入了該不該建議公司導入這套新系統的疑惑中,於是只好尋求小劉的協助。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

小劉

「雖然你們有心徹底改善公司內部的資訊安全問題,但實際上從一開始就犯了幾個錯誤。首先,資訊安全必須由上而下進行,像是當年企業剛開始把ERP高掛在嘴邊時,失敗的案例遠高於成功者。若論推動ERP的關鍵成功因素,大家都不會否認,高階主管的支持與參與必然是最重要的一環。問題同樣在於,何謂高階主管的支持?當公司大頭表示『全權授予』或是『全力支持』時,這多半是他懶得管的意思。如此一來,小戴在跨部門推動時所遭遇的阻力就會極大,這樣的下場通常就是專案的失敗。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

老張 「雖然我知道資安的重要性,但我的確不想多花精神去管理這方面的事物。我一直以為資安只要交給資訊人員掌控就好,再者我認為管理階層也不需要去了解技術細節。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 「你的確不需要去了解資訊安全的技術細節,但你必須知道資安不是只有牽涉到技術面,它還包含了管理面及實體面的議題。高階主管必須先訂定目標、範圍、政策、優先順序以及策略。就如同繪製藍圖一般,就此階段而言,公司完全不需要去考量採用那種資安產品。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 但實際上我們就已經面臨了駭客入侵,這個時候去談論那些不是遠水救不了近火嗎?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉

「當前的緊急問題是應該要優先處理,但如果不在事件過後徹底進行資安管理的話,下次必然又會遇到相同的情形。結果就是公司永遠都不斷在修補資安漏洞。事實上,這類中途修補資安的各項支出,絕對高於一開使就納入資安規劃與考量的整體成本。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

老張 眼睛一亮的說:「成本問題確實是我最關注的部分,既然能夠用更少的花費得到更佳的結果,看來我們的確應該好好進行管理與規劃。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉

您應該具備的資安管理觀念

  • 資訊安全不是一套產品
  • 推動資訊安全必須由上而下進行
  • 管理資訊安全必須先訂定目標、範圍、政策、優先順序以及策略
  • 對於沒有資安人員的中小企業,可以尋求專業單位進行診斷與輔導
經濟部中小企業處 主辦 中華民國資訊軟體協會 執行

Copyright © 2008 Information Service Industry Association of R.O.C. All Rights Reserved.
版權所有,禁止侵害,違者必究