安全鏈條的強度取決於最弱一環

在臺灣，我實地參觀過很多企業的資訊部門，發現他們都有很嚴重的安全問題卻不自知，甚至是營業額達數百億元的上市公司，儘管導入了種種資安設備，但是，我還是認為這些公司的資訊安全不及格。

安全的強度，就像是鏈條，整體鏈條的強度取決於最弱的那一環。一間公司的安全防線中，即便所採用的技術達到90分的水準，但管理制度只有20分，兩者相加，整體安全強度還是只有20分。這個最弱的一環其實也是很多企業常忽略的一環。

有一家上市公司將IT部門分成五個科，一個專管資料庫、一個負責網路架構建置，另外三個科則是系統開發一科、二科和三科。將使用者部門分成三群，由每個開發科負責一群。從系統分析、開發、營運、維護到除錯，都是相同一個科來負責，這正是一般企業常採行的作法。

以人事系統來舉例，人事部在每個月底，會利用系統結算當月薪資。這間公司由開發一科的小王來負責人事系統的開發與維護。

漏洞在哪裡呢？小王可以在28日晚上，偷偷修改系統程式，自動將每個人的薪水減少十元，再全部放入另外一個秘密帳號中，隔天等人事部門薪資結算完成，再將系統程式更新為原來的版本。公司薪水支出總數不變，系統程式相同，沒有人會知道小王偷了每一個人的錢。只能仰賴其他會計資料的勾稽才有可能在事後發現，而不能防範於未然。

這種讓同一個人負責開發和維護的作法，缺乏專業分工，完全違背基本任務分工的管理原則，這正是臺灣資訊部門最大的弊病，就會導致不安全。

任何超過十個人的企業，會計跟出納一定不是同一人，管錢的人不管帳，管帳的人不管錢。雖然兩個人也可能串通作弊，但是人越多，串通的難度越高，就能達到防弊的效果。如果都由同一個人負責，就完全無法制衡。

管理機制上採取分工的目的，就是為了防弊，防弊就是安全。可是到了電腦世界，我們難道就不需要防弊了嗎？在沒有電腦的年代中所建立的種種管理機制，例如專業分工這些管理制度中的基本概念，都有其意義，不會因為IT出現就需要拋棄。

但是，現在有很多企業的CIO，拚命導入各種技術性的資安產品，卻連這麼簡單的管理問題都沒有處理，缺乏分工才是會發生安全漏洞的地方。

在有制度的美國大公司中， IT部門的組織架構上，一定會將開發人員和日常作業人員分開成兩個部門，兩個部門的成員不會混合。

開發者依據需求變更請求修改程式後，就必須將程式放到獨立的測試環境中，再由作業人員進行差異分析，找出新舊版程式的異同。然後由開發者和作業者以及雙方主管共同開會，審視這些有差異的程式碼。審查完畢後，由上線人員負責編譯程式，更新系統，開發人員完全不能再接觸到程式碼。作業者無法私自修改程式內容，開發者也無從暗中更新系統，這樣就能建立安全性。企業即使無法採取這樣大動干戈的作法，至少也要做到部分分工，沒有分工就沒有安全性可言。

以上只是眾多例子中的一個。大部分人談論資訊安全時，多半只講到安全的技術，很少有人論及安全的管理。公司高層必須要有決心來推動像權責分工這樣的安全管理，而不是多花兩百萬元採購資安設備。因為整個安全鏈條的強度，取決於最弱的那一環。口述⊙范錚強，整理⊙王宏仁