鳳凰科技4種方法打造無線安全

擁有18年IT經驗的跨國公司IT主管是怎麼看待無線網路？「免布線，很方便，絕對是企業網路未來的趨勢，但先天體質安全性欠佳，要打造1個100%安全的無線網路，安全管理政策必須優先於技術的選擇。」這是鳳凰科技亞太區資訊部總監楊鴻志完成無線網路導入後的心得。

配合美國總公司的IT政策，楊鴻志奉命在亞太區的各分公司導入無線網路，他從沒懷疑過無線網路建置的必要性，但卻對無線網路安全存有疑慮，因為Wi-Fi技術的設計先天上就有瑕疵，使得在Wi-Fi網路上傳送的資料容易被竊取、篡改。

鳳凰科技的辦公室在世貿大樓34樓，「在我們這個樓層的走廊繞一圈，可以用4～5個不同的帳號無線上網，而且帳號、密碼簡單到連我們這些不具IT技術能力的人員猜得到。」鳳凰科技行銷人員李孟穎說。

楊鴻志的擔憂不無道理，無線基地臺（AP）架設的本意是要讓企業內部的網路環境無線化，但技術結構的不完美卻造成不明人士在辦公室外就能使用無線網路，無疑是對駭客洞開無線網路門戶，如果因安全性不足而放棄使用無線網路，又因噎廢食，不少企業就在「方便為先還是安全第一」之間擺盪。

建防火牆先被動防禦

但總部IT主管的命令就是全球配合導入無線網路，楊鴻志只有一條路可走，那就是做到「又方便又安全」的無線網路，第一步先從「被動式防禦」開始，鳳凰科技在無線網路上加了一臺防火牆，「就像防毒，是先有毒，企業再被動的以防毒設備或軟體加以阻擋，在無線網路安全上，我們就先被動地防護企業網路安全」楊鴻志說。

再輔以Wi-Fi設備中內建的WEP加密技術，任何企業內部的資料要在無線網路上傳送都先經過WEP技術的加密，但楊鴻志說，WEP僅防君子不防小人，由於WEP加密封包的位元長度短，又是固定的長度，因此有心人士真要竊取資料，WEP還是擋不了。

不過，有了防火牆、WEP，楊鴻志認為，已可被動地的防毒、防止資料被竊取，算是解決大部份的無線網路安全問題，但要萬無一失，企業仍有必要採取主動的無線網路安全保護動作，而且必須先確立企業的無線網路安全策略與管理方向，單靠IT廠商的安全產品很難全面照顧到企業的無線網路安全。

建立「堅實密碼」政策

導入無線網路的目的就是讓員工的工作型態不必受制固定的網路線，鳳凰科技允許員工自外部無線上網，並進入公司內部網路存取資料，為了確認員工的身份，登入系統時的帳號、密碼管理絕對必要，但楊鴻志卻發現，多數員工的密碼是自已的英文名字再加上數字，這太容易被駭客破解，但要求員工帶一個每1-2秒就能產生新密碼的密碼產生器在身上，又不方便，「讓每位員工的密碼堅不可破（Strong Password）」成為鳳凰科技無線網路安全重要策略之一。

在鳳凰科技的密碼守則中，「凡是在字典中查得到的字、公司名、生日、電話及身份證號碼、連續性的英文字、數字都不被允許設成密碼，此外，密碼60天要更新一次。」楊鴻志說，政策一發布，內部抱怨聲浪不斷，因為由一堆亂數組成的密碼，不好設又不易記住。

而且上有政策、下有對策，有採行這種密碼政策的企業員工為免記憶密碼的麻密碼的麻煩，乾脆電腦不關機，或是貼張密碼小紙條在桌邊，這等於將密碼昭告天下。

楊鴻志認為，要避免上述的密碼管理漏洞，IT人員有必要協助員工設定好記的密碼，他提供了1個小秘訣，每個人都有嗜好或喜歡的人事物，將之以一句英文表達，例如I love my dog，再取每個英文字的第一個字母，就成為獨一無二的密碼，而且不易被猜出。

此外，在辦公室內，為了防止不相干的人盜用員工的電腦，員工的筆記型電腦若超過15分鐘未使用，系統即自動鎖住，員工必須重新輸入一次帳號、密碼。

確認是自家人的筆記型電腦才准進內部網路

密碼管理做好，算是踏出了無線網路安全主動防護的第一步，除了有助員工遠端登入的身份認證，「也可以有效防堵不相干的人藉無線網路進入企業內部網路。」楊鴻志說，但楊鴻志心中還是有疑慮，開放員工自外部連結進企業內部網路，那麼MIS人員如何確定員工的筆記型電腦或是家中電腦的安全無虞？也許員工的筆記型電腦久未更新病毒程式，家中電腦有可能已不自覺地中毒，如果讓這些存有潛在風險的終端設備進入企業內部網路，就像在企業網路上擺著1顆不定時炸彈。

所以，確認員工的身份還不夠，還要確保遠端連線的硬體是處於安全的狀態，這是鳳凰科技無線網路安全主動防護策略的第二步，方向確立後，鳳凰科技採用自家的硬體認證解決方案，從筆記型電腦的硬體狀態來判斷安全性，當員工要連結企業內部網路時，系統不但認人，也要辨認這臺筆記型電腦是否為這名員工所有，而且一旦員工的筆記型電腦遺失，IT人員從安全政策伺服器中就直接取消該臺筆記型電腦的存取權限。

楊鴻志說，當硬體認證的安全管理機制導入後，鳳凰科技才算是真正完成無線網路建置，對他而言，也就像多了一個網路入口，當無線入口有了強壯的警衛為企業安全把關，企業內的各種IT應用資源就能架構在無線網路上，為員工創造行動化的工作環境。

接下來，楊鴻志打算為業務員建立一個更方便的資料存取網路，既然公司有了設備認證機制，理論上，允許進入企業內部網路的筆記型電腦的安全都應處於合格的狀態，那麼業務人員進入屬於自己的業務入口網站，就可以不需要輸入帳號、密碼，就能直接登入存取資料。文⊙陳珮雯

IT人員要有服務業的意識

現任鳳凰科技的亞太區資訊部總監的楊鴻志，歷練過多家外商公司的IT主管，在IT領域闖盪了18年後，最近他開始赴臺大的EMBA修習管理課程，現在他研讀的書籍也以管理議題居多，接觸管理，除了興趣，與他的外商IT經驗有密切的關係。

大型外商公司通常會要求IT主管參與經營會議，多年前，楊鴻志第一次與CEO開會，還沒等到業務報告，就先被修理IT的投資花了太多錢，IT最終的目的是支援企業的營運，後勤的角色讓IT人員很難向老闆提出具體的利潤數字，要向證明IT部門的價值，楊鴻志呼籲，IT人員的觀念要變。

「IT人員要抱持服務業的意識，」楊鴻志說，企業內部的員工都是IT人員服務的對象，對內也要簽下服務水準協定（Service Level Agreement，SLA），以鳳凰科技這次導入無線網路為例，SLA中就對員工保證每月斷線次數在2次以下，一旦斷線，半小時內要回復，而員工申報系統使用障礙，IT人員4小時內一定要有所回應，1天之內要解決問題。

有這些量化的服務水準報告，IT部門也就能向高層證明自己的貢獻與價值。文⊙陳珮雯

PROFILE CIO小檔案<楊鴻志>

鳳凰科技亞太區資訊部總監
●學經歷：中山大學學士、美國史蒂文斯科技學院（Stevens Institute of Technology,NJ, USA）電腦科學碩士，目前在臺大EMBA就讀。並歷任飛利浦半導體亞太區、北電臺灣分公司的IT主管。