據最近電腦安全學院 (Computer Security Institute) 與聯邦調查局的報告,高達 70% 的機構曾發生電腦安全事故。最常見的當然是在郵件中的病毒,除了病毒以外,70% 未授權闖入系統的,是公司員工的傑作,而 95% 的闖入都涉及到財務損失。技術的進展固然提升系統的效益,也同時提升了闖入的功力。流行已久的一句話:「網路安全的防範,是一個沒有目的的旅程」,確是如此。
大機構,尤其是高科技機構,安全是命脈,不惜花大錢建構安全的作業環境;但中小企業,就不得不在「投資多少才安全」上打算盤了。沒有安全裝置,今年僥倖沒出事,明年能不能再賭?安全出狀況的機率,不難估算,使用的系統愈多,與外界連繫的愈頻繁,中獎的機會就愈大;業務對系統的依賴愈高,出狀況之後損失也愈大。
這幾年網上商務日漸蓬勃,大家也逐漸接受這種便利的方式,但相對的網上不速之客,活動型態也隨著改變,不再是以前遊戲般的闖入,留下「到此一遊」耍酷,而是竊取商務的密碼,然後以「正當」顧客姿態,跟你作商務交易,財物損失自然難免。
網路普及,中小企不得不加入藉以提升營運,但在安全防護上要投資多少,才能把損失機率降至能承擔的範圍,就成了難題,也往往是投資軟硬設備時沒考慮到的。這好像以前建一個工廠,設計好生產部份,才想到還有環保的設施,有時候環保比生產設備花的錢更多。
Gartner 是國際著名的資訊技術研究顧問機構,針對中小企業的網路安全提出幾項基本概念與做法,作為安全措施的基礎建設,基礎打好再往上建構,就容易多了。這幾項基礎建設是:
- 寫成條文的安全政策。明確規範員工使用網路的責任與正確使用方法,Gartner 估計,有 90% 的安全事故,都是利用沒有安全政策、或員工不導守安全規範的空隙入侵的。
- 電腦病毒的防範。病毒大部份藉著電子郵件傳染,郵件伺服機需採用有防毒功能的,當然個人電腦也要安裝防毒軟體。
- 防火牆的正確使用。與外界網路連接,必須加裝防火牆,作必要安全的設定。時間一長,大家若忘記了防火牆的確實功能,就要利用網上工具測試,發現漏洞立即彌補。
- 關了門還要關窗子。防火牆裝在大門上,大門固然安全,但企業常有小窗子對外開放,像是各部門為了便利,自行用撥接方式、或安裝 ADSL 上網。目前流行使用的 VPN 及無線區域網路,更為企業加開了窗戶。對從窗戶進出的人,要格外嚴加管制。
- 網站的安全檢查。網站伺服機直接對外開放,無論放在企業內部、或租用場地放在外面,都需設定廠商所規定的安全防範措施。電子商務式的網站伺服機,有資料進入,更需俱備偵測入侵者的功能。
除了上面幾項,最重要的一項是人的因素。把密碼告訴別人,讓不適當的人看到不應該看的資料,或賦于不應有的功能,都是製造安全事故的根源。統計顯示,最多的事故來自機構內部,現職或離職員工或協力廠商的職員,利用工作的便利製造事端。
沒有廉價的安全,沒有簡便的安全。安全只能用永續不斷的的勞苦換得。業界的一句彥語「九分汗、一分巧」,說的十分入骨。
|