經歷入侵事件影響資安信心

一位資訊部的工程師張毓夫說，公司今年曾經發生過Windows 2000 Server和IIS 5.0架設的網站伺服器被駭客攻陷。當時公司電源供應突然跳電，伺服器不得不重新開機，卻一直無法順利開機。後來從安全模式登入伺服器，才發現系統服務全部都被停用了，權限也遭到篡改。

公司當時有微軟的ISA Server 2000防火牆，但由於Windows 2000 只允許將網路負載平衡連結到特定一張網路卡，不得已只好把網站伺服器直接連到外部網路。事後，主管購買硬體防火牆取代軟體防火牆，並且把該部網站伺服器移到DMZ區。

「只要能Work，不出事就好」，張毓夫認為遇到駭客入侵的機率很低，即使駭客能夠進到公司網路，多半為了嘗試，即使看到一些資料也無妨，不會對造成重大損害。

他認為，使用者的道德，及主管、MIS人員的資安觀念強弱，都會影響企業的資訊安全。對所屬公司的資安信心他給了40分。至於公司的資訊安全重視程度，他同樣覺得很低，因為公司的政策只關注在害怕使用者洩漏公司機密，駭客攻擊入侵的觀念渾然不覺；雖然員工都很安分，也簽署了保密契約，但實質的網路分享權限控管仍沒有限制太多。我們問到何不考慮文件安全控管解決方案時，他說考量到建置成本，及說服使用者接受與訓練使用等問題，不易克服，更何況沒有為資安專門規畫預算。

因為公司正在導入ERP，IT人力大多投入專案中，張毓夫除了管理網路、系統，也要參與撰寫ERP程式。木馬、垃圾信、入侵威脅頻傳

病毒目前仍然是所有資安事件中能見度最高的，蠕蟲近年來也造成企業電腦重大損失，許多人都認為安裝防毒軟體，以及確實部署病毒碼更新與Window更新檔，可以杜絕企業電腦中毒。

一家電子公司的資訊部經理歐志賢說，由於曾任職於系統整合廠商，他相當熟悉市面上的資訊產品，所以促成公司同時使用McAfee、Norton和Sophos等多套防毒軟體，其中Sophos用在以Linux架設的郵件伺服器，以便在伺服器端攔截病毒信件。

歐志賢說，駭客曾經透過系統套件未及時更新的漏洞，入侵以Red Hat Linux 9架設的郵件伺服器，建立具有系統管理權限的帳號，而且破壞系統。後來MIS恢復系統的運作，並且安裝更新套件，更選擇使用開放原始碼的系統快照與檔案比對工具tripwire及rkhunter，確保伺服器的完整性。

伺服器發生過入侵事件後，導致公司願意採購IDS，再加上一般使用者沒有資訊安全的觀念，公司也沒有資安規範，他還是給了70分的資安信心評價，抱著一點樂觀的看法。歐志賢提到主管的背景會影響資訊相關決策，技術出身的較重視資訊安全，而業務出身的對資訊領域的相關議題較沒有概念，該公司的資安預算同樣不固定。

松下產業科技是受訪對象中，唯一將垃圾郵件視為重大資安事件的企業。雖然該公司具有資安規範和定期稽核制度，不過仍阻止不了垃圾郵件衍生處理的問題，他們打算用IDP攔截，之後才會正式採買垃圾郵件過濾產品。以網路管理及時掌握威脅

我們訪問到一家以有線電視服務跨足ISP公司的線路工程師，雖然所屬的公司建置了IDS，不過僅供協防企業內部網路，由於該公司提供上網服務，在網路骨幹處很重視資料進出傳遞的服務速度，不能架設這種類型的產品強制過濾網路流量，因此典型的資訊安全產品無法適用在該公司。他認為公司目前最需要能夠分析網路流量的資安管理系統，以不干擾網路流量的被動方式，檢測異常的網路使用。

雖然公司有專屬的MIS人力，不過大部分系統管理的工作仍落在線路工程師身上，資訊部門缺乏相關人員負責資訊安全。這位工程師認為公司優先聘請資訊安全的相關人員，解決人力短缺和專業需求。

該公司的內部網路，今年曾經爆發過病毒信流竄感染的狀況，後來他們更新伺服器病毒碼後解決了這個問題，去年SQL蠕蟲的問題則造成較為嚴重的災情。至於垃圾郵件的問題方面，這位工程師說，他們透過郵件伺服器的SpamAssassin垃圾郵件過濾引擎和RBLs黑名單阻擋垃圾信，雖然會有一些誤判的狀況，不過的確發揮了功能。

除了依賴設備防禦各種資訊威脅之外，有的公司也採取實體的限制措施，例如半導體設計業會禁止員工攜帶電腦相關設備，連接公司電腦與網路設備，而其他行業的受訪者單位，大部分還是消極以對。