企业管理面临两难局面 解读十大安全问题

        这是因为有许多因素一直需要被持续关注，包含：优先性的冲突、业务环境因素、信息敏感度、对于互联网的欠缺管理、道德观沦丧、犯罪活动、漫不经心、以及连线与入侵层级的提高。在危机控制与企业生产力上，其实是个两难局面：100%的安全管理会造成0%的生产力，但0%的安全管理并不会有100%的生产力。

没有人希望被控制。控制会让人不快，同时减损公司的生产力，公司员工也讨厌这样的不信任行为，好像只要不被控制，就会轻易弄坏公司的网络一样。但另一方面，企业也必须要能确定电脑与网络的正常运作情况，以及信息正确性与可得性的可靠程度。既然我们无法进行，也不希望受到完全的安全控制，那适当安全管理的目标，就是要把风险降低到可接收的层级。
 

       要入侵系统有各式各样的方法。在二次大战的时候有一句流行语：“口风不紧船舰沉”（Loose lips sink ships），这是用有点夸大的说法强调一个事实，那就是即使你在酒吧喝着酒，都可能遇到隔墙有耳的情况。我们多数人都常常有可能接触到商业间谍、社会情报收集者或其他类似职业的人。要不小心泄露可能被非法或不道德地利用来伤害某个机构，而图利另个机构的重要信息，实在太容易了。

       在没有切碎的情况下，不经意地丢弃密码或其他个人帐号信息，是不法之徒得到这类机密信息的最常见手法。设定不良或不适当的系统（没有多重安全层级、密码很好猜，信息未加密等等）都容易造成问题，从信息品质不良到被外人入侵。

       如果防火墙与(或)病毒垃圾邮件过滤器的管理不佳，网络也有被轻易入侵的可能。公司必须要有在安全方面足够的预算；管理阶层若把安全措施方面的预算，当做有去无回的任意花费，就可能对整家公司的存亡造成危机。公司员工为作业时做（或未做）的每一步负起责任，同时建立一个切实而且容易理解的公司安全政策，是能有效防止入侵发生的最好方法。
 

       虽然互联网过去是建设给军方使用，今日的网络并没有太多对信息的保护措施。任何网络节点的管理员都能看到通过的信息封包，只要没有适当加密，信息都有可能被窃取。互联网并不会自动保护企业的信息--公司企业必须要自行处理这部分的问题。

       如果没有适当管理，公司员工就可以远端存取公司的任何信息，然后把它带到公司外部。外部的入侵者也可以存取网络与电脑。一般来说，除非信息的接收者特意暴露身份，不然位于网络外部的信息接收端很难找到。送信息的一方，无法确定接收信息的到底是谁。

       网络黑客组织也渐渐变得有组织，借由彼此合作，就可以更容易地突破网络封锁。互联网是一个开放性的，不受控制的网络架构，无法依照公司企业的要求来改变。网络上已知的危险与威胁并不会自行修护，需要企业本身主动进行。

       网络上已知的安全问题，其实都不在于网络本身，而是企业的态度问题。企业必须要假设所处的是一个潜在危险的环境，因此必须借由以下方法：对敏感信息完整加密，对信息认证的数字签名，良好维护的防火墙与其他的过滤器，员工的良好沟通与对问题的重视，以及其他适当而不过度的内部管理，来保护企业自身的安全。
 

       随身携带笔记本电脑的公司业务人员，造成不少安全上的挑战。更大更快的硬盘，以及更强大的处理器，都提供电脑强大的能力可以在本端下载或使用公司的敏感或机密的数据库。无所不在的互联网存取也让我们可以随时跟公司网络保持连线。一些像Groove之类的虚拟办公室网页服务，也可以用来避开公司的文件防护措施。

       笔记本电脑必须要至少使用两个防护措施，包含信息加密与使用者名称／密码或生物特征认证等。公司更必须要切实地对那些在外移动的业务人员们严格执行这种规定。
 

       你的公司有提供黑莓机或Treo之类可以连线的个人数字助理(PDA)吗？这些设备安全吗？有许多的公司并不了解这些新颖的手持设备可能会带来多大的信息安全威胁。这些设备一般来说连到企业的中央网络服务，如Outlook或Notes，然后持续地自动提供无线的信息同步（如电子邮件、日程管理与通讯录）。如果丢失了一台未加上密码防护的手提设备，可能可以入侵系统。最少也可能会被盗打，产生一份费用可观的冤枉帐单。

       企业必须要了解，就算会造成一些不便，所有的这类设备都必须要有本机密码，限制连上网络的权限，同时也要对密码改变的频率与形式制定良好的安全政策。同时公司必须规定当设备遗失时要立即通报，这样公司至少可以把与该设备相关的连线权限与信息整个清除，让该设备无用武之地。
 

       现今的软件系统往往整合了许多复杂的元件，这些元件本身难以分别认证，让多层次的安全措施无法实行。这是因为一个有权限使用一般网络存取的使用者，不一定可以使用网络中，或某个特定环境(如ERP)中，一个特定元件。研究调查显示，公司员工普遍认为公司内部有太多不同的密码，难以妥良管理。有些大公司的使用者甚至必须记住超过15组的使用者帐号／密码的组合。使用单一登入的设定，可以让使用者在一次登入时，提供一个软件元件来使用，这就不会对使用者的帐号管理产生太大的负荷。
 

       这是另一个与复杂性有关的问题，同时也是我们需要认知到一个事实，那就是互联网的大众化存取特性。一个供应链的流程，可以供原料商、制造商、加工厂商与零售商来链接。就如字面上的含义，一条链子的强度是取决于其最脆弱的一环。就算是供应链上的一个企业都做好本身适当的安全控管，其他合作伙伴的疏失也可能造成整个操作流程的停摆。

       让我们考虑一个供应商的网络被入侵及(或)被破坏的情况。在这种情况下所有下流的零件流程可能都会受到不良影响，包括作业的延迟、重要原料的丧失或是输入信息受到影响。这就好像在生产线开头发生的小故障可能会让整个生产动作彻底停摆一样。因此企业们必须要建立一个明确的风险管理措施，让所有的供应商与合作伙伴都能一同遵守安全控管措施，或至少评估出现无法与重要伙伴互连时要如何处理。
 

       信息就是金钱，而知识就是力量。因此对于有权限存取的公司信息的所有人而言，都有责任保护该信息的完整性与安全性。新型的高密度可携带媒体，让我们更有必要认真看待这份责任。CD、DVD、随身碟以及其他的可携设备都有可能存储数Gigabyte的大量信息，同时往往还可以带着到处跑。

       企业用户对于这些存储媒体的使用方式更应该要慎重小心。在信息安全管理方面，也必须要规定当任何信息发送到USB埠或其他存储媒体时，都要经过加密。同时也必须规定，在一般情况下，任何信息，尤其是敏感或与重大业务相关的信息，不能只用一种型式的媒体来存储一份，同时在不同地点间的携带行为也必须要受限制与管理。
 

       一个地方的电脑出错可能会造成整个安全管理的恶梦。企业架构中愈是集中管理的网络、系统与信息，这个问题就愈严重。规模较小技术资源较为有限的公司就更为危险，因为他们一般只用一个区域网络，或一个服务器柜，来担负整个公司网络的通行。

       当系统入侵、电力问题、通讯故障、通讯协定不兼容或系统设置错误时，这样没有备份的网络可能会造成公司大规模的灾难。不管是因为资源有限还是设计考虑，当网络设备集中管理的情况下，安全管理上就要十分注意，以确保系统能够持续运作。
 

       相反的情况也会造成另外的安全问题。系统或数据库若有多份拷贝，就必须都要接受完善管理。一部分的故障可能会影响整个应用层面。一个跨国的全球化企业常常遇到的困难问题就是互联网存取的不可靠与不稳定。在这种情况下，最好的办法往往是安装多个离线同步的分散式域名名称服务器(DNS)，让当地的公司在网络不通时，可以至少存取一天半以前的信息备分。由于这样需要把敏感与机密的信息分散在世界各地，公司必须严格执行安全控管，让分散的各地机构都能与总公司维持相同的安全等级，避免分公司的信息受到入侵与破坏的行为。
 

      公司员工的职务异动常是安全问题的困难挑战。一二十年前，你只要把公司钥匙交完就可以走人，但在现在这个员工拥有公司域名的存取权的年代，事情就没有那么简单。
      任何允许员工个人的信息存取，在员工离开的时候都必须要仔细追踪然后将其关闭。在一些情况下，比方拥有高层级的安全存取权员工离职时，安全系统还必须要切实做好移交给另个人的动作。