資訊安全的定義很複雜,從廣義面來看,面對危機事件時,如何管控風險,如何確保企業正常運作,都是資訊安全必須考量的面向,反觀狹義面,則從與資訊系統相關的人、事、物著手,確保資安觀念能深入每位員工的工作當中,因此,平時就必須將資訊安全落實在企業環境上,而非臨時思考一套應變計畫,以應付突發情況。
除非像2000年的Y2K或2003年SARS等事件,資訊部門才會特別撰寫應變計畫書,教導員工發生危難事件時,應如何處理外,農曆新年等長假則較少有紙本文件,也不會因此而提升資訊安全等級,大部分還是以人事安排為主,盡量不更動設備端的配備,以防止長假期間,突然系統發生嚴重當機而人力不足以處理,不過若在長假中需要更新系統,最好在長假前、後更新,以防止未測試系統,導致系統運作錯誤,若平時已有一套完整的運作機制,依據流程運作即可,不需要大幅度調整,以避免員工來不及接收新制度,造成流程產生問題、運作機制出現漏洞。
從系統、人員及內容思考資訊安全
資訊安全應從軟硬體系統、工作人員及資訊內容等方面著手,軟硬體系統是最基本的防護措施,工作人員的協調與配合是企業能否正常運作的關鍵,內容則必須思考企業流程、安全規畫等方面。但是,一切的制度都要落實在每位員工的習慣中,養成良好的習慣比建置一堆資安系統還管用。
備援、更新是最基本的系統安全
在硬體規畫方面,必須確保每臺設備都有備援機制,一旦設備發生問題,能快速更換正常的設備。但是,企業很難決定備援設備的數量,例如當年遊戲新幹線剛推出RO時,同時上線人數屢創新高,為了因應需求,採購數組伺服器,當時連備援機器都不夠使用,但是遊戲風潮一過,當初的採購的機器反而太多,現在則當成其他遊戲伺服器或備援主機使用。
軟體安全方面,至少必須確保系統具備最新的更新程式,根據TWCERT/CC統計,臺灣企業最常發生的安全漏洞就是未補強作業系統及應用程式的更新程式,特別Windows為基礎的應用系統,只是近年來,當系統發現漏洞而產生攻擊程式時間越來越短的清況下(例如2005年12月10號微軟MS05-051的漏洞,在今年1月初在大陸網站就已出現已編碼過的執行檔,可直接下載執行攻擊),必須同時搭配其他資安設備,才能有效防止安全漏洞,許多公司不願意提供網路架構等資料,也是預防若有心人事分析該公司的網路環境後,尋找特定防火牆或防毒系統的漏洞,進而入侵系統主機。最後,長假時期,要記得啟動自動更新病碼,避免長假中新興病毒的發生。
員工必須養成良好的安全觀念
安全觀念不只是資訊部門人員,而是整體員工都必須有正確的知識,現在主流的資安設備,大多以防堵非法的入侵攻擊為主,不容易防護在合法行為下的問題,例如某位員工的筆記型電腦已經申請合法使用權,但員工電腦在公司外面不小心遭入侵後,拿回企業內部使用時,會自動跳過檢查機制,病毒及蠕蟲等惡意程式便自動複製、攻擊其他電腦,最簡單的處理方式是每臺電腦安裝防毒程式、並定期更新病毒碼,但是若員工沒有習慣使用類似程式,反而讓企業產生更多安全性問題。若企業規模較為龐大,也可以考慮使用閘道器等設備,每次員工登入網路時,閘道器會先檢查該電腦的更新程式、病毒碼等,如果未更新最新程式,系統會強迫更新程式,主動防止合法設備安全問題。
此外,可移動式的存儲設備也是資安漏洞來源,當資料遭病毒植入時,使用者往往在不知不覺中存取公司各臺電腦,病毒也跟著四處流串。
平時就要確保流程可靠度
流程是指平時的工作方式,當員工進入企業時,就必須熟悉企業流程,才能順利工作,若大規模改變工作流程,除了員工無法馬上熟悉外,有心人事也能透過人際關係取得重要資料,再安全的防禦計畫都沒用,因此,平時就要確保流程的可靠度,以網路斷線為例,當企業突然網路中斷時,首先先查緝是內部還是外部ISP問題,若是外部ISP線路中斷,一般企業大多有第二條ISP備援網路,比較容易處理,若是內部網路問題,就要查看是否流量異常,哪臺交換器的連接埠碰撞特別嚴重,立即中斷異常的連接埠,再從該網路查詢有問題的設備,以上是基本概念,但若為了長假而更改流程,反而資訊人員不知如何著手處理,更延長處理時間。若是由ISP主機代管,善用專業分工的概念,則能減少處理問題的時間。
交互搭配設備,建立完整防護網
資安設備供應商是否能即時處理安全漏洞也是問題,例如導入以特徵碼比對的入侵防禦系統,若供應商無法即時提供更新的特徵碼資料庫,再強大的防禦功能也無用武之地,加上目前並沒有單一設備就可以解決全部資安問題。(例如防毒軟體是每臺電腦必備的第一線防護工具,防火牆只能阻擋非法連線,必須搭配入侵防禦系統才能分析合法連線的行為)平時就要注重資訊安全,個人電腦必須定期更新病毒碼,作業系統及應用程式則要更新修補程式,若網路遭入侵,則必須保存系統記錄檔,從記錄檔中分析網路問題,而提升資訊安全。
提升使用者資安觀念,更能確保資安等級
遊戲新幹線是線上遊戲公司,代理仙境傳說Online等線上遊戲,主機由Hinet IDC代管,透過專業分工,避免處理機房營運等問題。
遊戲新幹線行銷企畫部經理李初陽認為,通常強調資訊安全的企業,大多不輕易對外發表企業網路架構,因為一旦外部人員知道網路環境與設備,就可以發掘各設備的弱點並發動攻擊。
該公司目前主要安全問題並非系統本身,因為系統防護較完整、不易攻陷,反而是玩家的資訊安全相關知識不足,容易遭到盜用帳號或竊取資料,因為玩家的身分屬於合法使用者,也不透過DoS等方式攻擊主機,資訊系統的軟硬體設備無法防禦,必須從內容安全角度出發,例如透過多重密碼來保障使用者權力,或不定期強迫更新密碼,只是若使用者認為太麻煩,都採用相同密碼保護,入侵者則能從帳號及密碼推敲其他遊戲帳號資訊,因此,使用者必須先具備資訊安全觀念,才能確保第一道防線的安全。
但是要求使用者更改密碼,也具有一定風險,若使用者採用懶人密碼,很容易遭破解外,也會洩露個人資料,若要求採用太過複雜的密碼,使用者可能無法記憶,而造成更大的反彈聲浪,目前遊戲新幹線除了不定期要求玩家變更密碼外,下一波預計當使用者儲值點時,也會要求更改密碼,以確保玩家權利。雖然有些線上遊戲公司採用PKI驗證方式,但是線上遊戲大多以年輕玩家為主,較難要求玩家額外負擔一筆費用採購PKI憑證,效益不佳。
遊戲新幹線的主機由Hinet IDC代管,因為Hinet目前是臺灣最大的頻寬供應商,眾多玩家都是Hinet用戶,直接連線Hinet IDC,能減低頻寬不足等問題,但其他像網頁、郵件伺服器等,則由其他ISP提供,也是1種線路備援機制。
長假期間,企業面臨的問題包括人力調配、設備援援、供應商配合度及原廠公司的支援,以遊戲新幹線為例,臺灣與國外原廠放假的時間可能不同,為了確保遊戲能正常運作,長假期間盡量不變更系統,防止人力太少,而無法處理問題。
其他相關文章
長假IT應變計畫-導論
長假IT應變計畫-建立檢查清單,以防掛一漏萬
長假IT應變計畫-人事篇
長假IT應變計畫-機房管理:平時如戰時,戰時如平時
長假IT應變計畫-系統維運篇
長假IT應變計畫-辦公室作業應變篇
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-06