最近的凡那比颱風對南臺灣造成了很大的災情,高雄市、屏東縣很多地方10年來頭一次遇到這樣的淹水災情,積水深達一層樓,很多大樓的地下室都泡在水中,像高雄大學工學院有不少位於地下一樓的實驗室,設備全都泡湯損壞。文藻外語學院也同樣災情慘重,5棟大樓地下室淹水,放在大樓地下室的伺服器全數損壞,學校網站和網路服務全面中斷。
其實,臺灣有很多政府機關的電腦中心都設置在地下室,例如忠孝東路上的警政署資訊中心就是在地下一樓,全國最重要的警政資訊系統都在地下室的伺服器中,尤其是成立時間較早、歷史悠久的政府機關,通常將機房設置在大樓地下室。
在這些政府機關成立多年,資訊部門往往是最晚成立的新單位,而且多是任務編組的單位。機關空間都已由既有單位使用多年,後成立的資訊部門只能分配到大樓中位置最差的地方:地下室。
可是,地下室卻是大樓中最不安全的地方,一旦發生像凡那比颱風這樣的淹水災情,在地下室的機房設備通常很難倖免。
除了位於老房舍的公家機關以外,現在企業大多不會將機房設置在地下室,但有不少企業會有安全的迷思,誤以為安全問題只存在電腦內部,解決電腦內的威脅就好,卻忽略了很多實體環境上的不安全。
因此,這些企業多半只會想到如何防止駭客入侵系統,只會關注於各種資安產品和技術,卻忽略了一些更根本的資安威脅,例如地下室淹水所造成的硬體破壞,這也是非常嚴重的安全問題,損失可能更甚於系統被入侵。
從實體安全來看,不只機房不該放在地下室,連通訊設備、電力設施或冷氣設施都不能放在地下室,其中任何一項發生問題,整套系統就會停擺。
南港軟體園區中有一家大型的系統整合業者,納莉颱風襲臺時他們也發生了淹水的災情,雖然樓上機房一切正常運作,但是網路連外設備卻位於地下室,線路全部泡水,伺服器同樣無法對外提供服務,導致全國性服務中斷好幾天。
如果你忽視實體安全、沒有配套的內部安全管理制度、缺乏安全的SOP規定,你的公司就會不安全。莫非定律告訴我們,只要可能發生的事情,就一定會發生,而且會在最不該發生的時間發生,還會發生最壞的情況。那些你認為不會發生的安全威脅,往往是最大的威脅。
資安產品和技術不是不重要,而是這些都只是基本的必要條件,企業還需要考量整套作業流程的End-To-End安全配套。
即使企業另外建置了備援機房來預防地下室淹水問題,這也是一種不得已情況下的解決辦法。備援機制就像是汽車的安全氣囊,最好連一次都不需要用到。保護自己最好的辦法,應該要遠離危險,而不是讓自己常常處於不安全的處境中,再來講究身上的防護措施夠不夠。資訊安全也是同樣的道理。
可是,大部分的安全機制都用來因應惡意的資安威脅,很少有機制是用來預防無意或非人為的威脅,例如像自然災害、硬碟老舊損毀、或程式設計師無能,沒有發現自己寫出問題程式等問題。忽視了這些非惡意的威脅,才是真正的危險。口述⊙范錚強,整理⊙王宏仁
專欄作者
熱門新聞
2024-11-12
2024-11-10
2024-11-13
2024-11-14
2024-11-10