http://www.microsoft.com/taiwan/part...ritysurvey.aspxhttp://www.google.com.tw/search?hl=zh-TW&q=%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8+%E6%A6%82%E8%AB%96&meta=什麼是資訊安全-定義與背景
要討論資訊安全,首先要先定義什麼是資訊。在這裡,我們將資訊定義為使用電腦系統處理、傳送、或儲存的資料,稱之為資訊。
從世界上第一部電腦誕生至今,大約六十年,其應用的發展,從資料處理系統 (Data Process,如會計、進銷存處理),到管理資訊系統 (Management Information System,如報表資料統計與分析),到決策支援系統 (Decision Supporting System,如潛勢趨勢預估),到商業智慧(Business Intelligence,如資料倉儲),人類對於電腦系統上所處理、傳送、或儲存的資料的依賴性,已越來越高,幾乎已到了密不可分的地步,自然,資訊安全就被廣泛的注意與討論。
資訊安全是一個複雜的問題,不是靠購置單一的軟、硬體即可達成的,但是對一個中小企業的網路環境而言,最少要先從四大防護重點項目開始:
資訊安全的四大防護重點項目:防毒、防駭、防災、防竊
一、 防毒:
當第一隻病毒被製造出來後,資料的備份開始被注意並尋求對應之道。在初期,病毒是由軟體的撰寫者為了保護本身的智慧結晶,與懲罰盜用其軟體版權者所製造,是一種自衛性的防止措施,但是後來被惡意的傳播與製造,因此造成電腦使用者無可避免的夢魘,於是資料備份便成唯一的消極自保方式,直到第一代的防毒程式上市,使用者才有積極的防禦武器。然而,病毒得產生與防毒軟體的更新,變成了一場無止境的競賽,資訊系統毫無選擇的成為他們的競技場。
二、 防駭:
隨著資訊系統使用日趨普及,網路及通訊普遍被架設與使用,於是第一位駭客誕生了,開始時,他只是到你家的客廳坐坐,留個記號告訴你它的存在;演變到後來的系統破壞 (有意或無意),甚至是資料竊取。於是系統安全規劃,如通行密碼、身分驗證、回撥、乃至於防火牆的建置,開始普遍地被使用,期望能因此豁免於駭客的入侵。電腦系統的使用者至此以為可以鬆一口氣,回家睡個安穩的覺,誰知 921 大地震及 911 紐約世貿中心的恐怖攻擊,震撼了資訊系統的使用者,警覺到資訊安全光是靠防毒與防駭是不夠的,還有許多其他工作需要去做。
三、 防災:
其實防災設計並非始自 921 或 911 事件,而是自此事件之後,使用者開始以更嚴肅的態度來面對更完整的防災計畫。在過去,只是針對環境 (如空氣,溫度,溼度,電力等) 與系統容錯 (如磁碟陣列,容錯元件,主機叢集等高可用性規劃) 投入心力與預算,但是自 921 及 911 事件之後,原本只應用在政府或國防單位的資料與系統的異地備援,被廣泛的運用在企業系統上。甚至「分署辦公」的機制,也在 SARS 盛行時,被許多機關與企業採用。
四、 防竊:
由於資訊系統的普及,幾乎已到「人手一機」的地步。資訊的氾濫與不當的使用,又成為大家頭痛的問題。所謂「外賊好防,內賊難料」,資料的內部安全,自然成為資訊安全的新課題。在過去,老闆們習慣把軟碟機拔除,以為如此一來,員工自然不能竊取公司資料,熟知隨著電子郵件的普及與必要,加上外接式儲存裝置 (如隨身碟) 的問世,似乎諸位老闆們只有眼睜睜的看著公司的機密資料流失而一籌莫展。於是資料的加密與防止不當的竊用、誤傳誤用,就成了救命丹,資料加密管理系統 (如微軟公司的 EFS 或 RMS/IRM),也成了資訊安全的新話題。
光是依照採購並建置了四大系統仍是不夠的,因為許多的使用者會有許多的盲點,包括正確的建置、使用、與維護
一、 問題的發生:經常聽到使用者抱怨,裝了防毒軟體還是照樣中毒,為此還與廠商起爭執;也有使用者抱怨,買了防火牆還是有駭客入侵;更有使用者建置了昂貴的資料與系統備援及自動回覆系統,結果遇到狀況才發現系統功能根本發揮不了作用;這些意外狀況的發生,到底原因是什麼,又要如何改善呢?
二、 觀念的建立:所謂「工欲善其事,必先利其器」,所有的防範系統,不過是工具而已,使用的人必須具備足夠的知識與專業技能,妥善的使用與管理,才有可能期待系統能發揮功效。
三、 完善的規劃、建置與維護:
以防毒而言,現在的病毒不只種類繁多,且傳播的方式也多元化,安裝了防軟體後,必須經常性的更新病毒碼與引擎;作業系統與應用系統業要注意原廠隨時提供的修補程式,避免蠕蟲與木馬程式的入侵與破壞;不要因好奇而開啟甚至執行來路不明的信件與程式;養成對收到或是下載的檔案做病毒掃描的習慣;如此自然可以大幅降低 (無法保證不會) 中毒的機會。
防火牆絕對不是買來就會自動發揮功效的系統,它需要專業的網路通訊專家,參酌使用者的需求與環境,做「客製化」的調整與設定。曾經遇過一個個案,某家公司聽從系統廠商的建議,購買昂貴的防火牆,以為自此可以高枕無憂,豈料反而造成公司對外通訊癱瘓,公司網頁還遭到入侵者隨意篡改。經防火牆原廠派工程師處理,才發現所有的通訊閘道設定幾乎完全錯誤,因此弄巧成拙。
資料備援與系統容錯設計,幾乎已是企業與機關資訊系統的必要規劃。市場上形形色色的產品非常多,也各有其特色。如何慎選一套合宜的系統,則需仰賴系統規劃專家,因應使用者的整體環境做完整的規劃建議,建置完成還需不定期的演練,以確保操作之熟悉與所備份的資料的可用性與可靠性。
資料加密處理,必須經過妥善的規劃與小心管理,否則很可能造成「作繭自縛」的後果。文件的分類、授權機制的設計,將是資料加密系統規劃的兩大前提,內部資訊流程 (Data Flow) 與工作流程 (Work flow) 的合理化,將會左右加密系統的成敗。
市場的趨勢-龐大的商機在等著您
因應環境的多變,許多企業對於資訊人才的需求與培養,由過去著重在系統平台面 (Infrastructure Architect),轉換至應用開發面 (Application Development)。深究其原因其實很單純,應用面為內部需求,是使用者可以掌握的「變數」,所以值得投資與擁有;但是平台面是大環境的「變數」,絕非使用者能控制的,若要投資,可能所費不貲且無法預估收益,因此大多數的使用者趨向將此需求以外包方式處理。資訊安全系統的規劃,屬於環境面的平台設計,一般的使用者並不具備完整的專業技能,多需仰賴資訊服務廠商提供規劃建議,這將是資訊服務業的一大潛在商機。以微軟公司的產品為例:利用 SMS 2003 來協助使用者不屬必要的軟體更新與病毒碼更新;利用 Exchange Server 2003 的郵件過濾器協助使用者過濾可疑的郵件,減少中毒與被植入木馬程式的機會;利用 ISA 2004 來管理網路通訊機制,防制駭客入侵;利用 Storage Server 達到使用者線上即時備援與災害重建的需求;利用 RMS 與 IRM 協助使用者機密資料的加密與管理等等機會,筆者會在將來利用此園地與大家分享。