鈺松：匪諜就在你身邊！

當網路成為全球企業資訊往來的高速公路，知識管理變成商業競爭利器，伴隨而來的資訊安全議題即受到熱烈的討論。公司機密外洩、駭客入侵銀行或網路下單系統、利用個人銀行帳號密碼竊取戶頭存款等行為，無論是實體環境或虛擬世界的資訊，在資訊安全專家的眼中都是屬於「人」的問題。

再高超的入侵技術，還是有防禦的方法，不過人心叵測，無論是個人資料或企業資料，都有可能在不設防的情形下洩漏出去。 鈺松資訊安全顧問處顧問部經理徐士坦說，技術不可能解決所有資訊安全問題，其中以人的問題最複雜、最難防範；即使投資千萬的安全系統或設備，還是防不了有心人。

專業服務處副理盛盟權說，由人的互動所引起的安全問題，稱為「社交工程」（social engineering）。「這是目前國外最熱門的安全議題之一。」

徐士坦指出：「用『小心匪諜就在你的身邊』這句話來形容社交工程，再恰當不過了。所謂社交工程，就是用人性面的弱點、以各種手段得到需要的資訊。」也就是說，隨手一丟的紙屑都有可能是安全漏洞，例如日前臺中發生的銀行提款機竊盜案，就是收集廢紙堆收據的帳號，製造歹徒入侵銀行系統的機會。

盛盟權認為，在辦公室裡任何的電話交談，都有可能洩漏公司的機密資料，如兩個公司的MIS討論公司的資訊系統、ISP詢問公司的連線情形等，「多數企業幾乎沒有實施任何安全政策，內部資料也沒有經過安全定義，只要隨便一通電話，在沒有任何防備和警覺的情形下，言談間就會透露出公司的機密。」

上班族談話免不了聊公事談心事，這樣的劇情時常上演，交換情報後則潛藏著被攻擊或被中傷的風險。這些發生在周遭的社交工程問題，應該如何防範？

「制訂安全政策當然是最基本的第一道防線。首先定義公司資訊的安全等級，透過不同的傳播管道，讓員工了解風險控管的觀念和資訊安全的重要性。這點說起來簡單，卻是主管最疏於執行的。

另外，應加強安全意識的宣傳，提高員工的警覺心和責任感。」徐士坦強調說：「平日防患未然才能降低無形的損失。」