http://www.microsoft.com/taiwan/part...ritysurvey.aspxhttp://www.google.com.tw/search?hl=zh-TW&q=%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8+%E6%A6%82%E8%AB%96&meta=什么是资讯安全-定义与背景
要讨论资讯安全,首先要先定义什么是资讯。在这里,我们将资讯定义为使用电脑系统处理、传送、或储存的资料,称之为资讯。
从世界上第一部电脑诞生至今,大约六十年,其应用的发展,从资料处理系统 (Data Process,如会计、进销存处理),到管理资讯系统 (Management Information System,如报表资料统计与分析),到决策支援系统 (Decision Supporting System,如潜势趋势预估),到商业智慧(Business Intelligence,如资料仓储),人类对于电脑系统上所处理、传送、或储存的资料的依赖性,已越来越高,几乎已到了密不可分的地步,自然,资讯安全就被广泛的注意与讨论。
资讯安全是一个复杂的问题,不是靠购置单一的软、硬体即可达成的,但是对一个中小企业的网路环境而言,最少要先从四大防护重点项目开始:
资讯安全的四大防护重点项目:防毒、防骇、防灾、防窃
一、 防毒:
当第一只病毒被制造出来后,资料的备份开始被注意并寻求对应之道。在初期,病毒是由软体的撰写者为了保护本身的智慧结晶,与惩罚盗用其软体版权者所制造,是一种自卫性的防止措施,但是后来被恶意的传播与制造,因此造成电脑使用者无可避免的梦魇,于是资料备份便成唯一的消极自保方式,直到第一代的防毒程式上市,使用者才有积极的防御武器。然而,病毒得产生与防毒软体的更新,变成了一场无止境的竞赛,资讯系统毫无选择的成为他们的竞技场。
二、 防骇:
随着资讯系统使用日趋普及,网路及通讯普遍被架设与使用,于是第一位骇客诞生了,开始时,他只是到你家的客厅坐坐,留个记号告诉你它的存在;演变到后来的系统破坏 (有意或无意),甚至是资料窃取。于是系统安全规划,如通行密码、身分验证、回拨、乃至于防火墙的建置,开始普遍地被使用,期望能因此豁免于骇客的入侵。电脑系统的使用者至此以为可以松一口气,回家睡个安稳的觉,谁知 921 大地震及 911 纽约世贸中心的恐怖攻击,震撼了资讯系统的使用者,警觉到资讯安全光是靠防毒与防骇是不够的,还有许多其他工作需要去做。
三、 防灾:
其实防灾设计并非始自 921 或 911 事件,而是自此事件之后,使用者开始以更严肃的态度来面对更完整的防灾计画。在过去,只是针对环境 (如空气,温度,湿度,电力等) 与系统容错 (如磁碟阵列,容错元件,主机丛集等高可用性规划) 投入心力与预算,但是自 921 及 911 事件之后,原本只应用在政府或国防单位的资料与系统的异地备援,被广泛的运用在企业系统上。甚至「分署办公」的机制,也在 SARS 盛行时,被许多机关与企业采用。
四、 防窃:
由于资讯系统的普及,几乎已到「人手一机」的地步。资讯的泛滥与不当的使用,又成为大家头痛的问题。所谓「外贼好防,内贼难料」,资料的内部安全,自然成为资讯安全的新课题。在过去,老板们习惯把软碟机拔除,以为如此一来,员工自然不能窃取公司资料,熟知随着电子邮件的普及与必要,加上外接式储存装置 (如随身碟) 的问世,似乎诸位老板们只有眼睁睁的看着公司的机密资料流失而一筹莫展。于是资料的加密与防止不当的窃用、误传误用,就成了救命丹,资料加密管理系统 (如微软公司的 EFS 或 RMS/IRM),也成了资讯安全的新话题。
光是依照采购并建置了四大系统仍是不够的,因为许多的使用者会有许多的盲点,包括正确的建置、使用、与维护
一、 问题的发生:经常听到使用者抱怨,装了防毒软体还是照样中毒,为此还与厂商起争执;也有使用者抱怨,买了防火墙还是有骇客入侵;更有使用者建置了昂贵的资料与系统备援及自动回覆系统,结果遇到状况才发现系统功能根本发挥不了作用;这些意外状况的发生,到底原因是什么,又要如何改善呢?
二、 观念的建立:所谓「工欲善其事,必先利其器」,所有的防范系统,不过是工具而已,使用的人必须具备足够的知识与专业技能,妥善的使用与管理,才有可能期待系统能发挥功效。
三、 完善的规划、建置与维护:
以防毒而言,现在的病毒不只种类繁多,且传播的方式也多元化,安装了防软体后,必须经常性的更新病毒码与引擎;作业系统与应用系统业要注意原厂随时提供的修补程式,避免蠕虫与木马程式的入侵与破坏;不要因好奇而开启甚至执行来路不明的信件与程式;养成对收到或是下载的档案做病毒扫描的习惯;如此自然可以大幅降低 (无法保证不会) 中毒的机会。
防火墙绝对不是买来就会自动发挥功效的系统,它需要专业的网路通讯专家,参酌使用者的需求与环境,做「客制化」的调整与设定。曾经遇过一个个案,某家公司听从系统厂商的建议,购买昂贵的防火墙,以为自此可以高枕无忧,岂料反而造成公司对外通讯瘫痪,公司网页还遭到入侵者随意篡改。经防火墙原厂派工程师处理,才发现所有的通讯闸道设定几乎完全错误,因此弄巧成拙。
资料备援与系统容错设计,几乎已是企业与机关资讯系统的必要规划。市场上形形色色的产品非常多,也各有其特色。如何慎选一套合宜的系统,则需仰赖系统规划专家,因应使用者的整体环境做完整的规划建议,建置完成还需不定期的演练,以确保操作之熟悉与所备份的资料的可用性与可靠性。
资料加密处理,必须经过妥善的规划与小心管理,否则很可能造成「作茧自缚」的后果。文件的分类、授权机制的设计,将是资料加密系统规划的两大前提,内部资讯流程 (Data Flow) 与工作流程 (Work flow) 的合理化,将会左右加密系统的成败。
市场的趋势-庞大的商机在等着您
因应环境的多变,许多企业对于资讯人才的需求与培养,由过去着重在系统平台面 (Infrastructure Architect),转换至应用开发面 (Application Development)。深究其原因其实很单纯,应用面为内部需求,是使用者可以掌握的「变数」,所以值得投资与拥有;但是平台面是大环境的「变数」,绝非使用者能控制的,若要投资,可能所费不赀且无法预估收益,因此大多数的使用者趋向将此需求以外包方式处理。资讯安全系统的规划,属于环境面的平台设计,一般的使用者并不具备完整的专业技能,多需仰赖资讯服务厂商提供规划建议,这将是资讯服务业的一大潜在商机。以微软公司的产品为例:利用 SMS 2003 来协助使用者不属必要的软体更新与病毒码更新;利用 Exchange Server 2003 的邮件过滤器协助使用者过滤可疑的邮件,减少中毒与被植入木马程式的机会;利用 ISA 2004 来管理网路通讯机制,防制骇客入侵;利用 Storage Server 达到使用者线上即时备援与灾害重建的需求;利用 RMS 与 IRM 协助使用者机密资料的加密与管理等等机会,笔者会在将来利用此园地与大家分享。
