2015年3月23日 星期一

[心得見解] 資訊安全的三道防線

Information Security wordle: Ross Anderson's Security Engineering
最近被客戶問了一些有趣的問題,比如說:我們有沒有辦法知道使用者用Word檔案輸入的資料有沒有違反公司政策?違反公司政策的文件檔案內容我們可以不可以自動進行鎖定或者是刪除?我們要怎麼確保使用者有沒有將確實硬碟裡面的資訊作分類?


理論上都作得到,只是做這些事情的背景是啥?


在下提出幾點看法:


首先,一定要讓大家知道的道理就是:資訊安全絕對不是只有靠軟硬體來做把關或者是懂電腦的人來把關.一定要有基本的三個防線:


第一道防線:要讓使用者自己去養成資安的素養.比如說老闆誤寄了公司稅務資料給業務員,結果業務員還給同事看說:  ㄎㄎ老闆寄錯了好笨喔,業務員一次把老闆好笨還有稅務資料這兩個商業機密給外洩了.有經過教育的人應該是看到嚇一跳 唉呦~老闆怎麼傳這個?我打死也要裝作不知道! 頂多罵一下老闆好笨,絕對禁止資安三不


Information Security Wordle: RFC2196 - Site Security Handbook



第二道防線:一家公司對使用資訊資源的政策有沒有訂定清楚? 是否有行政命令等級的準則讓使用者去遵守? 例如基礎的規範中有沒有一條寫著依照勞基法第十二條第五點,如果沒有保管好公司資料造成損失者立即開除不另行預告 (醫療院所還有病歷法), 有新的資訊系統導入就要針對這資訊系統延伸出來的使用習慣去修改政策.這也跟第一道防線相輔相成.


Information Security Wordle: PCI Data Security Standard



第三道防線:這裡才是硬體與軟體的資安設備,從簡單的網管工具到高階的多設備整合,光log檔一天就好幾G, 再強大一點的甚至是可以自動交叉比對這好幾G的log檔,去找出漏洞或者是異常.不過最後做出結論還是要靠”人”,這種人絕對不是那種懂電腦的人,這種人基本上要有跨單位溝通的能力,因為所有部門的Know How他都了解,基本上這種人職場如果順遂,做到CEO絕對沒問題.所以不要小看MIS或者是來被罵到臭頭的資訊廠商.他比任何人都要有機會變成業界的先鋒.


不要小看任何人喔

這三個防線每一個都有獨立的廠商,花點小錢就可以找到專業的人來幫忙規劃。所以千萬不要Google一下就跑去跟老闆說: 讓我來! ....這樣可是出人命的 XD

沒有留言:

張貼留言

歡迎留下你的評論跟建議喔