擁有18年IT經驗的跨國公司IT主管是怎麼看待無線網路?「免布線,很方便,絕對是企業網路未來的趨勢,但先天體質安全性欠佳,要打造1個100%安全的無線網路,安全管理政策必須優先於技術的選擇。」這是鳳凰科技亞太區資訊部總監楊鴻志完成無線網路導入後的心得。
配合美國總公司的IT政策,楊鴻志奉命在亞太區的各分公司導入無線網路,他從沒懷疑過無線網路建置的必要性,但卻對無線網路安全存有疑慮,因為Wi-Fi技術的設計先天上就有瑕疵,使得在Wi-Fi網路上傳送的資料容易被竊取、篡改。
鳳凰科技的辦公室在世貿大樓34樓,「在我們這個樓層的走廊繞一圈,可以用4~5個不同的帳號無線上網,而且帳號、密碼簡單到連我們這些不具IT技術能力的人員猜得到。」鳳凰科技行銷人員李孟穎說。
楊鴻志的擔憂不無道理,無線基地臺(AP)架設的本意是要讓企業內部的網路環境無線化,但技術結構的不完美卻造成不明人士在辦公室外就能使用無線網路,無疑是對駭客洞開無線網路門戶,如果因安全性不足而放棄使用無線網路,又因噎廢食,不少企業就在「方便為先還是安全第一」之間擺盪。
建防火牆先被動防禦
但總部IT主管的命令就是全球配合導入無線網路,楊鴻志只有一條路可走,那就是做到「又方便又安全」的無線網路,第一步先從「被動式防禦」開始,鳳凰科技在無線網路上加了一臺防火牆,「就像防毒,是先有毒,企業再被動的以防毒設備或軟體加以阻擋,在無線網路安全上,我們就先被動地防護企業網路安全」楊鴻志說。
再輔以Wi-Fi設備中內建的WEP加密技術,任何企業內部的資料要在無線網路上傳送都先經過WEP技術的加密,但楊鴻志說,WEP僅防君子不防小人,由於WEP加密封包的位元長度短,又是固定的長度,因此有心人士真要竊取資料,WEP還是擋不了。
不過,有了防火牆、WEP,楊鴻志認為,已可被動地的防毒、防止資料被竊取,算是解決大部份的無線網路安全問題,但要萬無一失,企業仍有必要採取主動的無線網路安全保護動作,而且必須先確立企業的無線網路安全策略與管理方向,單靠IT廠商的安全產品很難全面照顧到企業的無線網路安全。
建立「堅實密碼」政策
導入無線網路的目的就是讓員工的工作型態不必受制固定的網路線,鳳凰科技允許員工自外部無線上網,並進入公司內部網路存取資料,為了確認員工的身份,登入系統時的帳號、密碼管理絕對必要,但楊鴻志卻發現,多數員工的密碼是自已的英文名字再加上數字,這太容易被駭客破解,但要求員工帶一個每1-2秒就能產生新密碼的密碼產生器在身上,又不方便,「讓每位員工的密碼堅不可破(Strong Password)」成為鳳凰科技無線網路安全重要策略之一。
在鳳凰科技的密碼守則中,「凡是在字典中查得到的字、公司名、生日、電話及身份證號碼、連續性的英文字、數字都不被允許設成密碼,此外,密碼60天要更新一次。」楊鴻志說,政策一發布,內部抱怨聲浪不斷,因為由一堆亂數組成的密碼,不好設又不易記住。
而且上有政策、下有對策,有採行這種密碼政策的企業員工為免記憶密碼的麻密碼的麻煩,乾脆電腦不關機,或是貼張密碼小紙條在桌邊,這等於將密碼昭告天下。
楊鴻志認為,要避免上述的密碼管理漏洞,IT人員有必要協助員工設定好記的密碼,他提供了1個小秘訣,每個人都有嗜好或喜歡的人事物,將之以一句英文表達,例如I love my dog,再取每個英文字的第一個字母,就成為獨一無二的密碼,而且不易被猜出。
此外,在辦公室內,為了防止不相干的人盜用員工的電腦,員工的筆記型電腦若超過15分鐘未使用,系統即自動鎖住,員工必須重新輸入一次帳號、密碼。
確認是自家人的筆記型電腦才准進內部網路
密碼管理做好,算是踏出了無線網路安全主動防護的第一步,除了有助員工遠端登入的身份認證,「也可以有效防堵不相干的人藉無線網路進入企業內部網路。」楊鴻志說,但楊鴻志心中還是有疑慮,開放員工自外部連結進企業內部網路,那麼MIS人員如何確定員工的筆記型電腦或是家中電腦的安全無虞?也許員工的筆記型電腦久未更新病毒程式,家中電腦有可能已不自覺地中毒,如果讓這些存有潛在風險的終端設備進入企業內部網路,就像在企業網路上擺著1顆不定時炸彈。
所以,確認員工的身份還不夠,還要確保遠端連線的硬體是處於安全的狀態,這是鳳凰科技無線網路安全主動防護策略的第二步,方向確立後,鳳凰科技採用自家的硬體認證解決方案,從筆記型電腦的硬體狀態來判斷安全性,當員工要連結企業內部網路時,系統不但認人,也要辨認這臺筆記型電腦是否為這名員工所有,而且一旦員工的筆記型電腦遺失,IT人員從安全政策伺服器中就直接取消該臺筆記型電腦的存取權限。
楊鴻志說,當硬體認證的安全管理機制導入後,鳳凰科技才算是真正完成無線網路建置,對他而言,也就像多了一個網路入口,當無線入口有了強壯的警衛為企業安全把關,企業內的各種IT應用資源就能架構在無線網路上,為員工創造行動化的工作環境。
接下來,楊鴻志打算為業務員建立一個更方便的資料存取網路,既然公司有了設備認證機制,理論上,允許進入企業內部網路的筆記型電腦的安全都應處於合格的狀態,那麼業務人員進入屬於自己的業務入口網站,就可以不需要輸入帳號、密碼,就能直接登入存取資料。文⊙陳珮雯
IT人員要有服務業的意識
現任鳳凰科技的亞太區資訊部總監的楊鴻志,歷練過多家外商公司的IT主管,在IT領域闖盪了18年後,最近他開始赴臺大的EMBA修習管理課程,現在他研讀的書籍也以管理議題居多,接觸管理,除了興趣,與他的外商IT經驗有密切的關係。
大型外商公司通常會要求IT主管參與經營會議,多年前,楊鴻志第一次與CEO開會,還沒等到業務報告,就先被修理IT的投資花了太多錢,IT最終的目的是支援企業的營運,後勤的角色讓IT人員很難向老闆提出具體的利潤數字,要向證明IT部門的價值,楊鴻志呼籲,IT人員的觀念要變。
「IT人員要抱持服務業的意識,」楊鴻志說,企業內部的員工都是IT人員服務的對象,對內也要簽下服務水準協定(Service Level Agreement,SLA),以鳳凰科技這次導入無線網路為例,SLA中就對員工保證每月斷線次數在2次以下,一旦斷線,半小時內要回復,而員工申報系統使用障礙,IT人員4小時內一定要有所回應,1天之內要解決問題。
有這些量化的服務水準報告,IT部門也就能向高層證明自己的貢獻與價值。文⊙陳珮雯
PROFILE CIO小檔案<楊鴻志>
鳳凰科技亞太區資訊部總監
●學經歷:中山大學學士、美國史蒂文斯科技學院(Stevens Institute of Technology,NJ, USA)電腦科學碩士,目前在臺大EMBA就讀。並歷任飛利浦半導體亞太區、北電臺灣分公司的IT主管。
熱門新聞
2024-11-29
2024-12-02
2024-11-30
2024-11-29
2024-11-29
2024-11-29
2024-11-29