在臺灣,我實地參觀過很多企業的資訊部門,發現他們都有很嚴重的安全問題卻不自知,甚至是營業額達數百億元的上市公司,儘管導入了種種資安設備,但是,我還是認為這些公司的資訊安全不及格。
安全的強度,就像是鏈條,整體鏈條的強度取決於最弱的那一環。一間公司的安全防線中,即便所採用的技術達到90分的水準,但管理制度只有20分,兩者相加,整體安全強度還是只有20分。這個最弱的一環其實也是很多企業常忽略的一環。
有一家上市公司將IT部門分成五個科,一個專管資料庫、一個負責網路架構建置,另外三個科則是系統開發一科、二科和三科。將使用者部門分成三群,由每個開發科負責一群。從系統分析、開發、營運、維護到除錯,都是相同一個科來負責,這正是一般企業常採行的作法。
以人事系統來舉例,人事部在每個月底,會利用系統結算當月薪資。這間公司由開發一科的小王來負責人事系統的開發與維護。
漏洞在哪裡呢?小王可以在28日晚上,偷偷修改系統程式,自動將每個人的薪水減少十元,再全部放入另外一個秘密帳號中,隔天等人事部門薪資結算完成,再將系統程式更新為原來的版本。公司薪水支出總數不變,系統程式相同,沒有人會知道小王偷了每一個人的錢。只能仰賴其他會計資料的勾稽才有可能在事後發現,而不能防範於未然。
這種讓同一個人負責開發和維護的作法,缺乏專業分工,完全違背基本任務分工的管理原則,這正是臺灣資訊部門最大的弊病,就會導致不安全。
任何超過十個人的企業,會計跟出納一定不是同一人,管錢的人不管帳,管帳的人不管錢。雖然兩個人也可能串通作弊,但是人越多,串通的難度越高,就能達到防弊的效果。如果都由同一個人負責,就完全無法制衡。
管理機制上採取分工的目的,就是為了防弊,防弊就是安全。可是到了電腦世界,我們難道就不需要防弊了嗎?在沒有電腦的年代中所建立的種種管理機制,例如專業分工這些管理制度中的基本概念,都有其意義,不會因為IT出現就需要拋棄。
但是,現在有很多企業的CIO,拚命導入各種技術性的資安產品,卻連這麼簡單的管理問題都沒有處理,缺乏分工才是會發生安全漏洞的地方。
在有制度的美國大公司中, IT部門的組織架構上,一定會將開發人員和日常作業人員分開成兩個部門,兩個部門的成員不會混合。
開發者依據需求變更請求修改程式後,就必須將程式放到獨立的測試環境中,再由作業人員進行差異分析,找出新舊版程式的異同。然後由開發者和作業者以及雙方主管共同開會,審視這些有差異的程式碼。審查完畢後,由上線人員負責編譯程式,更新系統,開發人員完全不能再接觸到程式碼。作業者無法私自修改程式內容,開發者也無從暗中更新系統,這樣就能建立安全性。企業即使無法採取這樣大動干戈的作法,至少也要做到部分分工,沒有分工就沒有安全性可言。
以上只是眾多例子中的一個。大部分人談論資訊安全時,多半只講到安全的技術,很少有人論及安全的管理。公司高層必須要有決心來推動像權責分工這樣的安全管理,而不是多花兩百萬元採購資安設備。因為整個安全鏈條的強度,取決於最弱的那一環。口述⊙范錚強,整理⊙王宏仁
專欄作者
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19