企業的十大安全問題 (下)

| | | | | | 留下回應

    

6. 作業連通的程度

這是另一個與複雜性有關的問題，同時也是我們需要認知到一個事實，那就是網際網路的大眾化存取特性。一個供應鏈的流程，可以供原料商、製造商、加工廠商與零售商來連結。就如字面上的含義，一條鏈子的強度是取決於其最脆弱的一環。就算是供應鏈上的一個企業都做好本身適當的安全控管，其他合作伙伴的疏失也可能造成整個作業的停擺。

讓我們考慮一個供應商的網路被入侵及(或)被破壞的情況。在這種情況下所有下流的零件流程可能都會受到不良影響，包括作業的延遲、重要原料的喪失或是輸入資料受到影響。這就好像在生產線開頭發生的小故障可能會讓整個生產動作徹底停擺一樣。因此企業們必須要建立一個明確的風險管理措施，讓所有的供應商與合作伙伴都能一同遵守安全控管措施，或至少評估出現無法與重要伙伴互連時要如何處理。

7. 儲存媒體的高密度與可取得性

資訊就是金錢，而知識就是力量。因此對於有權限存取的公司資料的所有人而言，都有責任保護該資料的完整性與安全性。新型的高密度可攜帶媒體，讓我們更有必要認真看待這份責任。CD、DVD、隨身碟以及其他的可攜裝置都有可能儲存數Gigabyte的大量資料，同時往往還可以帶著到處跑。

企業用戶對於這些儲存媒體的使用方式更應該要慎重小心。在資訊安全管理方面，也必須要規定當任何資料傳送到USB埠或其他儲存媒體時，都要經過加密。同時也必須規定，在一般情況下，任何資料，尤其是敏感或與重大業務相關的資料，不能只用一種型式的媒體來儲存一份，同時在不同地點間的攜帶行為也必須要受限制與管理。

8. 集中化

一個地方的電腦出錯可能會造成整個安全管理的惡夢。企業架構中愈是集中管理的網路、系統與資料，這個問題就愈嚴重。規模較小技術資源較為有限的公司就更為危險，因為他們一般只用一個區域網路，或一個伺服器櫃，來擔負整個公司網路的通行。

當系統入侵、電力問題、通訊故障、通訊協定不相容或系統設置錯誤時，這樣沒有備份的網路可能會造成公司大規模的災難。不管是因為資源有限還是設計考量，當網路設備集中管理的情況下，安全管理上就要十分注意，以確保系統能夠持續運作。

9. 分散化

相反的情況也會造成另外的安全問題。系統或資料庫若有多份拷貝，就必須都要接受完善管理。一部分的故障可能會影響整個應用層面。一個跨國的全球化企業常常遇到的困難問題就是網際網路存取的不可靠與不穩定。在這種情況下，最好的辦法往往是安裝多個離線同步的分散式網域名稱伺服器(DNS)，讓當地的公司在網路不通時，可以至少存取一天半以前的資料備分。由於這樣需要把敏感與機密的資料分散在世界各地，公司必須嚴格執行安全控管，讓分散的各地機構都能與總公司維持相同的安全等級，避免分公司的資料受到入侵與破壞的行為。

10.人事遷移

公司員工的職務異動常是安全問題的困難挑戰。一二十年前，你只要把公司鑰匙交完就可以走人，但在現在這個員工擁有公司網域的存取權的年代，事情就沒有那麼簡單。

任何允許員工個人的資料存取，在員工離開的時候都必須要仔細追蹤然後將其關閉。在一些情況下，比方擁有高層級的安全存取權員工離職時，安全系統還必須要切實做好移交給另個人的動作。

編按：作者Jeff Relkin有在名列美國財星500的大型企業內從事30年以上資訊工作相關的程式開發、顧問與管理經驗。他同時也曾擔任hattanville大學研究所的助理教授。目前他是位於美國華盛頓特區聯邦政府機構Millennium Challenge Corporation (MCC)的資訊長。本文的觀點不代表美國MCC的立場。