近來某家工程顧問公司深夜遭到不明人士入侵,並將其公司內之電腦硬碟移走。發生該事件的大樓雖聘有外部保全人員,卻仍然無法阻止損害的發生。由於硬碟內含有諸多重要客戶的機密資料並且又無備份硬碟,此事件已使該公司蒙受難以估計損害。類似這樣的事件,實務上其實是不斷的在重演。有些企業家會主張因為預算有限且發生在自我身上的機率低微,故不需採取任何加強防護措施。殊不知如此觀念在仰賴紙張的時代或許可以如此,然而隨者時代變遷,越來越多資料是儲存在電腦媒體上,形同數萬張或更多之資料在很短的時間內,可以跟隨著一個小型硬碟就全數流出。雖然企業經營的風險已經有明顯改變,但企業家及專業服務人士對於仰賴電腦所產生的風險實不能不加以正視。也有的人會認為反正購入之套裝專業服務軟體本身應已有完善之保護措施,其實不然。單純依賴應用軟體本身所建制之保護措施往往是不足夠的。最好的風險控管方案還是要透過多方面評估風險的可能來源,事前妥善規劃並落實適當(但不一定昂貴)的防制方法,方能符合預防勝於治療的原則。換言之,縱使現今電腦硬體設備已不再是很昂貴,但企業主為保護電腦內所儲存之無形資產,也不應輕易忽視電腦風險控管的重要性。 在正大聯合會計師事務所,我們認為電腦風險控管方案的規劃至少應該考慮到下列幾個大方向: - 硬體環境安全 (Physical Security) 包含整體環境、硬體設施的安全。例如進出人士有無控管,電腦設備有無放置於安全場所,主機及其他重要網路器材有無鎖在機房,主要出入口及機房有無架設監視錄影設備以防未經授權之人士進出盜取資料或將重要設備移走,有線或無線網路是否留有可被入侵的缺口等等。員工訓練中也中也應灌輸企業整體環境資料安全防護的基本常識,例如出入控制卡片或鑰匙的安全保管。 - 資產管理 (Asset Management) 平時應列有清單控管並定期盤點軟硬體資產。移動設備如PDA等也應納入管理。設備上最好貼有統一格式的標籤,清楚標明設備編號、規格、維修廠商以及其他相關設備資訊。軟體清單應包含各軟體的合法授權使用人數或範圍,已使用的人數或範圍,及授權到期日等資訊。軟體安裝光碟也應集中管理。軟硬體資產如被借出則應有明確的借出及歸還紀錄。嚴禁員工使用非法軟體或將筆記型電腦隨意放置。電腦設備淘汰或回收時也應確保內存的機密資料已被適當的刪除。 - 邊界防火牆 (Perimeter Firewalls) 在公司內部網路與外部網路(如網際網路等)交界的地方,應妥善設置防火牆以保護公司網路安全。 以Incoming Traffic方面來說,防火牆的主要目的是防止駭客入侵。而以Outgoing Traffic方面來說,防火牆的主要目的是控管員工可以上的網站,同時也監控網路使用量。防火牆的配置設定最好採納資安方面專業人士的意見。定期請專家協助偵測防火牆及內部網路可能存在的弱點漏洞,以期及早發現問題與以更正。適當的防火牆配置不但確保內部設備及資料的安全,也可以杜絕不必要的員工上網瀏覽,提高工作效率。( 未完待續 )
