澳门海洋之神娱乐场 网站被攻击你不能不知道3大问题点LG招财电子
有鉴于部分网站一直呈现维护的状态,连线正常开启也是时好时坏,凸显了资安防护得重要性!
LG小编今天就来说说关于资安这件事情,对菠菜行业有多重要。
上个月,互联网游戏赢得总额为二千零六十万美元(1750万欧元),而2016年七月份为1,740万美元。
什么是资安!?
资安=资讯安全,对中小企业来说,资讯人员的数量往往是屈指可数,不仅如此,资讯人员还要包办所有软、硬体的维护,包含各类应用系统的开发与维护、作业系统管理、资料库管理,甚至个人电脑、印表机、网路、服务器、防火墙、防毒系统、资料备份与灾难复原、机房、不断电系统…等等。而在人力以及资源有限的情况下,光是要确保上述这堆复杂的系统正常运作,又要兼顾资讯安全,是一件非常不容易的任务。
小编的朋友曾经担任过几间中小企业的系统工程师,印象深刻的有两家,一家是外资的大马老板的公司,另一家是国内的土豪老板开的公司,公司规模都不超过500人,办公室电脑数量大约都在100台左右,而这两家公司有几个共同点,就是资讯人员都只有一名,老板对于资安都非常地重视,也投入相当的资源与费用在资安管控上,但是纳闷的是为什么每当病毒肆虐的时候,公司也随即跟着中毒,竞争对手也永远都可以在最关键时刻瘫痪网站,短短的时间内流量瞬间归0,维护的时间长了 用户也开始锐减了到底公司的资讯安全还有哪些不完善的地方呢?
其实根据统计,菠菜大多的大多数的中小企业都已建置防火墙与防毒系统,甚至网页、垃圾或病毒邮件的过滤、资料防护、入侵防护等等机制,资安系统的布建都已具一定程度的投入。然而,尽管拥有完善的资安建置,仍是需要人来维护,而只要有人为介入的环境,不免就会有「蓄意」的风险以及「疏忽」的行为存在,加上中小企业因为人数较少的关系,一旦有任何资安事件,其所造成的影响及损失都将比大企业来得严重,以下将针对几项重点来进行讨论。
中小企业3个常见的资安问题:
问题1:职能分工不当与过度授权
中小企业组织较扁平,人数也较精简,组织中常见的现象就是人人身兼数职,因此,无论是业务的执行或是资讯系统的使用,常因为没有适当的职能分工而造成作业缺乏独立性,以上述个案公司的资讯人员为例,两位资讯人员都掌握了公司所有资讯系统的最高权限帐户,除了可以在资讯系统上执行任何指令,甚至可以清除所有不法的记录,而使用者亦可以透过简单的串谋来取得高度的权限,如果公司缺乏专业的监督,资讯人员以及内部员工几乎可以只手遮天,轻松的窃取、篡改,甚至藉由贩售机密资料来谋取私利。除了可能发生蓄意的风险之外,员工的疏忽亦可能伴随着过度授权而产生相当程度影响。
如前面所述,中小企业的组织较为精简,为求效率与方便,许多作业的「执行」与「复核」几乎都仰赖同一个人来负责,如此的情况,就如同写错字的人再次检查自己写的文章,检查出错误的机率将可能比第三方复核要来得低,且独立性也备受质疑,而只要是存在人工作业的环境,疏忽是绝对在所难免的,这也是造成资安事件无法有效降低的主要原因之一。适当的职能分工也许会造成人力的增加,甚至是效率的降低,但过度授权所带来的影响,也许会让企业经营面临难以复原的冲击,企业仍应审慎衡量,在资安事件所带来的损失与增加人力所增加的成本之间,找出一个适当的平衡点。
问题2:资讯人员沦为救火队
资讯领域是一门专业,但对于资讯领域的从业人员来说,光是热门的程序语言就有数十种,每种程序语言的撰写方式与逻辑也都不尽相同,且常常在你学完某种程序语言后发现自己所学的语言已经淘汰或不适用了,科技进步的速度往往令人措手不及,而除了程序的撰写之外,网路管理、资料库管理、硬体维护等,也都需要不同的专门知识,才能妥善的管理与维护。如果您的公司只有一名资讯人员,除了人力负荷可能不足之外,而要这名资讯人员做好资讯安全,得十八般武艺都会,才能在复杂的资讯系统环境中,设置适当的安全控制,这几乎是一项不可能的任务。
多数菠菜中小企业所配置的资讯人员确实明显不足,就如同个案的这两间公司,都仅配置一名资讯人员,除了造成过度授权且缺乏复核机制之外,资讯人员也因过度负荷或因专业知识的不足,而无法提供企业完善的资安防护,加上繁杂的电脑叫修业务,资讯人员经常疲于奔命。这些先天控制的不足,也许节省许多人力与成本的耗费,但其导致的资安损失,可能远超过节省下来的时间与成本,这也是中小企业不可不审慎面对的重要课题。
许多资安事件的发生往往都是可以预防的,甚至可以藉由众人之力来协助解决,但多数企业对于资安问题事件的统计与分析都明显不足,对经常发生或影响较大的事件,都没有进行适当的了解评估,甚至立即进行补强的作业,所以发生过的资安事件可能很快地又再发了,而这些不断再发的案件,也是导致资讯人员沦为救火队的主要原因之一。因此资讯人员在疲于奔命的同时,更应该思考如何突破沦为救火队的窘境,并协助公司更有效的掌握这些资安风险,最简单的方法就是统计分析,透过定量的方式找出关键风险并对症下药及准备备用方案,避免相同的事件再发生。而面对使用者单位亦可以透过教育训练,教育使用者进行简单的故障排除,甚至预防风险再发的检查等。这些都能大幅降低资讯人员的负荷同时降低企业资安风险,甚至提供更完整的资安现况报告给老板,让老板知道资安投资的成效以及未来可再进行加强之处。相信这些方式,除了能减轻许多不必要的负荷外,更可以让资安的推动更为顺畅。
问题3:缺乏企业经营角度的资安控制
从资安的设计面来看,尽管业界已发表「中小企业资通安全最佳要求与实务导入」,甚至许多同行都使用外包企业的防护措施,以利更有效且更切中要点的掌握资讯安全,但企业的资安人员在专业知识面大多专注在资讯技术上,普遍缺乏企业经营的思维,因此风险与资安布建之间的关系,资讯人员大多无法很明确的指出。举例来说,当询问资安人员如何做好资安防护,多数的人都会都很清楚回答要:安装防火墙、防毒系统、机密资料要加密,但如果进一步询问安装防火墙与防毒系统的目的,大多会回答:防止骇客与病毒,但这会是企业所要的答案吗?
其实防止骇客与病毒入侵仅是一个众所皆知的课题,而避免机密资料外泄导致企业的竞争力降低、防止病毒肆虐导致企业生产中断、企业形象受损等等才是执行资安的真正目的,所以,正确的思考方向应该是:「要避免企业竞争力降低与营运中断,我应该做好哪些资安控制?」,而非:「要避免中毒与骇客入侵,我应该做哪些资安控制?」如此所展开出来的控制活动才能真正满足企业要求。
除了以企业经营的角度来思考资安目的之外,寻找资安管控标的也必须具有企业的思维。到底哪些机密资料要加密,多数的资安人员可能都认为只要跟价格、数字有关的都是算是机密资料,但事实上并不完全正确,毕竟每间公司的先天环境不同,其所要管控的资安标的也会有所不同。
举例来说,游戏公司最重要的机密资料可能是开发的架构,包网公司最重要的机密资料可能是商户资料,BC公司最重要的机密资料可能是客户的资料等等,而这些都必须以企业经营的角度来思考,才能找出正确的资安标的与范围,除此之外,机密资料的重要程度也必须以宏观的企业观点来审视,哪些机密资料的控制要加重,哪些可以放轻,这些都是需要评估并拿捏取舍的,做资安并非为了心安,也不是所有控制都做,但却都不完整,造成到处都有小漏洞,或是所有控制都做到100分,但却造成效率大幅的降低,甚至浪费许多不必要的资源与成本。关键的重点在于要懂得如何以20%的资源来掌握80%的资安风险。
标准给了你方向,但不代表照着做就是最佳指引,如果资讯安全没有量身订做,只是按表操课或是模仿的话,那肯定是会漏洞百出。
中小企业如何抓对重点做资安
规模较大的公司分工较细,在层层的监控与复核之下,问题将很容易被侦测到并予以解决,而中小企业因为规模比例的关系,只要一个小小的环节没有注意,其所可能引发的风险将会非常地广,影响也将非常地大。但换个角度来看,大企业想要掌握一个较高的风险,可能得在许许多多的环节上进行控制才得以降低,反观中小企业,只要掌握任一个小环节,便可避免众多的高风险,所以只要从小地方着手,相信中小企业也可以轻松掌握资安。
1.至少2名资讯人员,相互监督,适当职能分工以避免过度授权。
2.不再只当救火队。资讯人员应做资安事件的统计分析,找出关键风险并对症下药,避免相同事件一再发生。
3.问对问题,以企业营运重点需求规划资安标的、范围与控制措施。
4.危机处理的应变能力,紧急的准备临时备用方案。