資訊安全是永續經營的必要條件
資訊安全的話題,機密與授權並不是電腦發明後才有的專門用語,打從人類開始運用文字與圖像就已存在至今, 只是近年來的電腦技術與網路普及後各種的資料傳遞迅速,資訊管道取得容易,當某些不該出現而出現的資訊出現在眼中,人們才會反過來省思...."資訊安全" 這個話題。
但如何去解釋與定義企業的資訊安全呢?
簡單來說,無論有形或無形,舉凡企業內部硬體,軟體,人員,流程及其所產出任何形式資料,文件均視為企業資訊資產,使用任何主動或被動的方法,確保資訊資產得以持續正常運作且永續保存的方法我們可以稱之為"資訊安全"
企業內部常使用的 ERP(企業資源管理,也包含會計,進銷存等) ,CRM(客戶關係管理) ,EIP(企業入口網站),BI(商業智慧分析,資料倉儲等),當資料不再只是分散各地的文件,而這些資料與企業流程息息相關,經過處理,傳送,儲存,分析,企業營運與資訊作業已經密不可分,相形之下資訊安全就會是一個非常重要的課題,但資訊安全是個複雜的問題,並不是靠幾個人訂定遊戲規則,或是購置單一的軟硬體即可達成的,對任何一個中小企業的資訊環境而言,可先從四大重點項目開始規劃:防毒、防駭、防災、防竊
1. 防災:
災害泛指任何天災與人禍導致的資訊軟硬體毀損,成就資訊設備的穩定環境(電力,溫,溼度等) 與系統容錯 (如磁碟陣列,容錯,主機叢集等) 甚至是資料與系統的異地備援均可視為資訊安全防災的方法,也多為大型企業採用實施,大型企業能夠為此投入大量心力與預算,而一般的中小企業並不一定能夠有相同的能力購置這些設備因應防災。
但中小企業可編列些許的預算購置必要的資料備份設備,而備份資料也必需具備可攜性,可交由授權備份人員定期攜離工作地點,每日將日常的資料進行妥善的備份,一旦發生災害時,資料仍可獲得保全,再一定的程序處理後資訊系統仍可在最短的時間內恢復運作。
2 防毒:
在電腦發展的初期,病毒僅是由軟體著作者為了保護智慧結晶的一種防止拷貝方法,原則上只要不盜拷未經授權的軟體就不會造成安全問題,這樣的自保方法被惡意傳播與製造,因此造成目前多如牛毛的病毒,每天創新的病毒與防毒軟體的更新,變成了一場無止盡的夢靨。
無論是大型企業或是中小企業,每一台工作用的電腦都必須安裝適當的防毒軟體防範未然,但更重要的控制因子卻是使用者的使用習慣,企業也應該訂定必要的管理規則: 工作用的電腦除工作必要的上網行為外,應盡量避免員工使用公司電腦上網處理個人事宜,如聽MP3,上網聊天等,畢竟工作相關的使用環境固定且單純,保持工作電腦使用上的單純化也是讓系統免受攻擊的不二法門。
3. 防駭:
由於Internet發展迅速,資訊化已經逐漸融入我們的生活,無論是個人的家庭,企業內部網路Intranet及通訊普遍被架設使用,早期的駭客大多是高竿的程式設計師,為了驗證系統的漏洞,證明自己的實力,無聊時的產物,可能僅是到您的電腦逛逛,到別人的網站留個記號告訴大家他的存在。
但多年來演變為有意無意的系統破壞,甚至惡意的資料竊取等,駭客也不再是個優雅的代名詞,駭客入侵在現在的網路資訊安全絕對是一個破壞者,大型企業購置價昂的防火牆與相關的資安設備因應,而中小企業不大可能花費百萬購置功能強大的網管設備,畢竟預算與日後的調整維護都是很重的負擔,因此評估中低價位功能良好,且易於維護的防火牆是第一個可採行的方針,可藉此關閉不必要的聯外網路漏洞,並對進出網路的訊息進行必要的掌控,另外資訊主機與工作站必須安裝防駭防木馬的軟體也是必要的投資
4. 防賊:
在中小企業幾乎是戶戶有電腦,處處靠資訊,但資訊的傳遞氾濫與不當的使用,卻成為惱人課題。除了外部的防毒防駭,資訊系統所延伸的的內部安全問題,反而是最簡單,也是最困難的資安新課題。為了防堵資訊的外流,企業常習慣以治水的方式阻擋或是圍堵,把軟碟,光碟,usb等能夠外接的媒體拔除,以避免資訊不會被員工不當的攜出,如此一來公司的機密自然不會外洩。
但現今伴隨著員工的作業已隨著電子郵件普及化與必要性,隨時隨地的上網行為也變得理所當然,因此要如何將企業的機密資料不再流失也演變成一個專業的管理行為,資料存取時必要的資料加密是近年來崛起新世代保密工具,一個設計良好的資安加密系統可以將這些繁瑣的管理行為與保密措施變得容易,且不容易影響使用者的正常操作,可達到管控資安於無形的功效。
適度的資訊安全管控是確保企業永續經營的必要手段之一,資訊的便利常讓大家忽略了平日應有的警覺,雖然中小企業無法如大企業般編列大筆預算與人力規劃銅牆鐵壁般的資安城堡,採取適度且常備的資安措施仍是中小企業永續經營不可或缺的一環。
