全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
安全鏈條的強度取決於最弱一環
文/范錚強 (中央大學管理學院特聘教授) 2010-06-11
管理機制上採取分工的目的,就是為了防弊,防弊就是安全。可是到了電腦世界,我們難道就不需要防弊了嗎?

(原文刊載於iThome周刊名家專欄)

在臺灣,我實地參觀過很多企業的資訊部門,發現他們都有很嚴重的安全問題卻不自知,甚至是營業額達數百億元的上市公司,儘管導入了種種資安設備,但是,我還是認為這些公司的資訊安全不及格。

安全的強度,就像是鏈條,整體鏈條的強度取決於最弱的那一環。一間公司的安全防線中,即便所採用的技術達到90分的水準,但管理制度只有20分,兩者相加,整體安全強度還是只有20分。這個最弱的一環其實也是很多企業常忽略的一環。

有一家上市公司將IT部門分成五個科,一個專管資料庫、一個負責網路架構建置,另外三個科則是系統開發一科、二科和三科。將使用者部門分成三群,由每個開發科負責一群。從系統分析、開發、營運、維護到除錯,都是相同一個科來負責,這正是一般企業常採行的作法。

以人事系統來舉例,人事部在每個月底,會利用系統結算當月薪資。這間公司由開發一科的小王來負責人事系統的開發與維護。

漏洞在哪裡呢?小王可以在28日晚上,偷偷修改系統程式,自動將每個人的薪水減少十元,再全部放入另外一個秘密帳號中,隔天等人事部門薪資結算完成,再將系統程式更新為原來的版本。公司薪水支出總數不變,系統程式相同,沒有人會知道小王偷了每一個人的錢。只能仰賴其他會計資料的勾稽才有可能在事後發現,而不能防範於未然。

這種讓同一個人負責開發和維護的作法,缺乏專業分工,完全違背基本任務分工的管理原則,這正是臺灣資訊部門最大的弊病,就會導致不安全。

任何超過十個人的企業,會計跟出納一定不是同一人,管錢的人不管帳,管帳的人不管錢。雖然兩個人也可能串通作弊,但是人越多,串通的難度越高,就能達到防弊的效果。如果都由同一個人負責,就完全無法制衡。

管理機制上採取分工的目的,就是為了防弊,防弊就是安全。可是到了電腦世界,我們難道就不需要防弊了嗎?在沒有電腦的年代中所建立的種種管理機制,例如專業分工這些管理制度中的基本概念,都有其意義,不會因為IT出現就需要拋棄。

但是,現在有很多企業的CIO,拚命導入各種技術性的資安產品,卻連這麼簡單的管理問題都沒有處理,缺乏分工才是會發生安全漏洞的地方。

在有制度的美國大公司中, IT部門的組織架構上,一定會將開發人員和日常作業人員分開成兩個部門,兩個部門的成員不會混合。

開發者依據需求變更請求修改程式後,就必須將程式放到獨立的測試環境中,再由作業人員進行差異分析,找出新舊版程式的異同。然後由開發者和作業者以及雙方主管共同開會,審視這些有差異的程式碼。審查完畢後,由上線人員負責編譯程式,更新系統,開發人員完全不能再接觸到程式碼。作業者無法私自修改程式內容,開發者也無從暗中更新系統,這樣就能建立安全性。企業即使無法採取這樣大動干戈的作法,至少也要做到部分分工,沒有分工就沒有安全性可言。

以上只是眾多例子中的一個。大部分人談論資訊安全時,多半只講到安全的技術,很少有人論及安全的管理。公司高層必須要有決心來推動像權責分工這樣的安全管理,而不是多花兩百萬元採購資安設備。因為整個安全鏈條的強度,取決於最弱的那一環。口述⊙范錚強,整理⊙王宏仁

作者簡介:
范錚強-中央大學管理學院特聘教授
曾任國立中央大學資管系主任多年,任內創立資管所碩士班,曾應邀到北京大學光華管理學院任客座教授。學術方面,擔任過中華民國資訊管理學會第一、二屆常務理事,以及第三、四屆理事長。范教授長期擔任多項政府專案審查人,包括經濟部軟五計畫、ABCDE計畫、企業體系電子化計畫、商業體系電子化計畫、物流運籌業電子化計畫、行政院科技顧問組旗艦計畫等。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome