保證安全的無限制存取

2009 年 05 / 06 月 昇陽 Inner Circle 電子報 Sun BluePrints 計畫 10 週年紀念 本期的昇陽資訊長 Bob Worrall 觀點 相關資源 昇陽的資訊公開指南 昇揚身分管理解決方案 Inner Circle 訂戶中心 取得符合您興趣和需求的內容： » 更新您的設定檔。 不是會員？ » 立即加入。 聯絡昇陽

要將網路開放給特定使用者，同時又要讓其他特定使用者無法存取網路，對大部分的資安人員來說是一大難題。加上現在又有社交網站這類外部社群，需要完全開放存取，更是讓前端人員困惱。昇陽首席資訊安全長 Leslie Lambert 建議《Inner Circle》的讀者，透過兩種方法保護公司的安全，一是透過穩固的政策，另外則是告訴員工「方法」，而不是一昧地「否定」。

問： 首席資訊安全長扮演什麼樣的角色？

答： 我負責保護所有數位形式資料，包括公司的資訊資產，像是智慧財產權、客戶資料、商業秘密、源碼，以及網路、伺服器及儲存空間上的任何機密資訊。但我不負責實體站點的安全，包括建築、標章和大廳主管等。

問： 如何針對不同的使用者開放或關閉網路存取權？

答： 我們這幾年來都是使用標準的「存取控制」方式。我們清楚知道，哪些使用者授權存取昇陽的廣域網路，不論他們是員工，或是昇陽為數眾多的從屬人員，像是承包商、顧問、廠商、合作夥伴、外部製造商、或經銷商等。我們運用存取控制中所有有效的舊方法，包括身分管理、授權存取、角色管理等。

我們的企業文化相當開放，與其說像企業，不如說像大學，因為積極採用並支持網路技術和社交網路。昇陽是許多網路企業的 IT 供應商，我們不止供應硬體，還以實際行動提供支援。

問： 目前最大的入侵威脅來自何處？

答： 最大的威脅仍舊是各種惡意軟體。以往的病毒、蠕蟲和殭屍網路等都是出自個人，從車庫誕生。但現在，在某些國家形成了大型「產業」，由組織完善的犯罪集團提供資金，透過網路災難獲取龐大利益。如果入侵者能夠取得大量的信用卡卡號，點擊率也夠高，那麼就能將花費的時間轉成獲利，引發感染。殭屍網路可以跨越網路，感染多台電腦，讓這些電腦幫忙收集資料，成為幫兇。所以我的建議是，不只是公司的系統，連個人用的系統，也要隨時更新您的防毒軟體和防間諜軟體程式。

問： 主管在保護公司存取安全時的首要之務為何？

答： 您應該清楚知道哪些人可以存取，哪些人不行，這是最重要的。其次，就是設立有效的機制和程序來進行控管。您可以利用一些產業架構，像是 ISO 27001 或 27002，或是其他的安全優良實務標準。接著，再運用某些程度的自動化功能備份這些資料，因為人工作業不足以支援我們所需要的數量及速度。在管理存取控制服務時，懂得利用身分管理及存取控制產品是很重要的。

問： 允許員工存取社交網站，或是完全禁止，哪種方式風險較高？

答： 是否允許員工存取社交網站這項政策上，很多公司都有疑慮； 我最近參加的一場安全產業座談會就是以這為主題。我在會中分享了昇陽在社交網路的開放性和連線方面的觀點，而我旁邊的是某製造公司的首席安全長，該公司則是完全禁止員工存取社交網路。我們所處的環境迥然不同，但整個社交網路，以及透過網路連接、合作及分享的方式早已行之有年。只不過我們以前用的工具是叫做新聞群組、佈告欄或聊天室，而 Facebook、MySpace 或 Linked In 這些便利網站也不過是這些工具的延伸。一般員工不至於會將企業機密張貼到佈告欄或新聞群組上。同樣，我們也必須告知並教導員工如何控制當下的網路行為，要求他們不要將企業機密、客戶資料或智慧財產張貼到任何人都可以存取的社交網站上。

一昧地禁止使用這些工具，我認為會造成雙輸的局面。要做到完全禁止，勢必得關閉整個網路、中斷電源，甚至移除所有電腦。但現代人透過手機和 PDA 就可以存取網路，為了使用這些工具可說是無所不用其極。而且，如果貴公司跟昇陽一樣，都是雇用大學畢業生或 Y 世代的員工，那麼他們一定會需要這些工具和服務。如果想要員工保有資訊技術領域的知識和競爭力，這些是不可或缺的。

我的建議是，如果貴公司要允許員工使用這些工具，就必須以書面明確寫下允許及禁止的事項。昇陽有這類的指南和政策，我們的員工也都明白，如何以公司員工的身分來善用這些工具。瞭解並遵守這些政策，是每位員工的責任。政策資訊中應包括違反政策時會發生哪些情形（解聘、績效管理、法律責任等）。如果沒有事先訂定政策並提供教育，而假設員工不會存取這些網站，我認為是很危險的。

問： 如果外部的合作夥伴及社群不合作力行同等級的安全實務，公司要如何與他們合作？

答： 您必須先決定貴公司的風險承受能力，然後制定出相符的安全政策。如果合作夥伴無法力行同等的安全實務，您就必須重新評估是否與其繼續合作。畢竟，如果合作夥伴承受太多的風險，就會影響到自己的公司。昇陽除了將我們的防護實務與合作夥伴分享以外，我們還會要求合作夥伴一同採用這些實務。如果我們之間的業務往來有合約依據，我們就會要求合作夥伴必須符合特定規範。兩年前大家可能會認為這是不可能的任務，但現在大家都已明楚，他們知道與某些公司做生意是需要付出代價的。

問： 採用這些概念時會遇到哪些挑戰？

答： 是的。很多人會猜測密碼來取得系統的存取權，尤其強度太低的密碼很容易就會被破解。我的建議如下：

• 不要使用個人資訊。 不要使用包括個人的姓名、地址、生日、寵物、好友或家人的姓名、身分證號碼，或任何容易被他人取得的資訊。
• 不要使用任何字典或語言中的字詞。 不要使用字典字詞的組合、不要使用像是 aaaaaa 等重複字母，也不要使用 qwerty、abcde 或 12345 如此簡單的模式。
• 不要使用常見的數字替代字母來組成字詞。 常見的替代字詞，像是：用數字 1 替代字母 i、用數字 3 替代字母 e，或用數字 0 替代字母 o，這些都是猜密碼時常用的方法。
• 利用「密碼片語」。 組合喜愛片語（可以是書名、歌名或名言）的第一個字母，建立一串字典中找不到的字元，而且必須要記得住、可重複使用。
• 加入不同的字元類型。 可以使用大寫字母、數字或特殊字元，在密碼片語中加入獨一無二的開頭或結尾。密碼的最小長度應為 8 個字元。務必達到正確的密碼長度。
• 建立密碼提示時，不要使用容易被猜出的答案。 如果提示太容易被人得知，再難的密碼也會被輕易破解。