記者/陳孟珠
資訊安全的重要性已不容贅述,但糟糕的是,資安問題和一般的社會問題一樣,似乎都得在有意外發生時才能獲得一次短暫的討論。因此本文將完整但卻簡單地介紹企業該如何因應資安問題。
資訊安全所遭遇的挑戰日新月異,企業組織需要使用整體的方案來評估他們整體的安全,以深入瞭解資訊安全需要的是什麼。首先,在頂端有三個主要的元件:實體安全、個人安全、資訊安全。ISO
17799 的Domain 7
將「實體安全」分為以下幾個子題:1.區域安全:包括實體進出控管的周邊實體安全。五個主要的安全領域特性包括:保護辦公室、房間與設備,確保在安全的區域工作、安全的傳遞區與卸貨區的安全;2.設備安全:包括處理設備的安置與保護、電力的供給、各種設備的安全、設備維護、組織外的設備安全,以及安全的設備棄置或其他人對設備的再利用。一般的控管方式是制定明確的桌面與電腦螢幕政策,以及涵括企業實體安全環境外棄置物品的指南。
ISO 17799 在Domain 6
中探討個人安全,則分為以下三個部分:1.工作定義與資源分配的安全;2.使用者訓練;3.對資安事端與運作失靈的回應措施,企業必須灌輸員工「安全是每個人職責之一」的重要觀念。必須檢視員工是否符合保密條款合約(confidentiality
agreement)的相關規範,且將員工的安全責任整合在僱用服務條款中(theterms and conditions of
employment)。而一般使用者也必須接收足夠的安全教育與訓練。
資訊安全是由政策、程序與技術的結合所組成。政策與程序是攸關安全運作的核心,而且包括上述資安事端回應的部分。他們會因為企業組織的差異而有明顯的不同。政策與程序必須以文字紀錄下來,因此它們才可以很容易被理解並作為參考。建置資訊安全的技術是硬體、軟體與服務的結合。服務可以進一步的分為專家服務、教育服務與安全管理服務。專家服務包括協助政策的規劃設計與發展、技術(安全產品)的採購與建置等等。教育服務主要提供員工、約聘人員甚至合作夥伴的認知訓練。安全管理服務是指企業每月支付一定的費用,而由委外服務廠商提供各種安全功能。
在此仍須強調的一點是,今日許多安全解決方案針對的是偵測「已知的」攻擊─是指研究人員先前已經分析過的攻擊。而且,這些系統通常專注在偵測這樣的攻擊,但較沒有緩和與預防攻擊的能力。今後像是無線、寬頻、及時傳訊或線上遊戲等不同平台,都有可能引發前所未有的資安事端。因此,如同上述的整體安全管理更形重要,而安全產業積極研發的主動式系統,提供先發制人的防護,包括行為攔截、異常偵測與新型的啟發式技術,對抗所有類型的網際網路威脅,也同等重要。