五大資訊資產之弱點與防範

文／李哲祥


資訊資產的弱點通常來自資產本身，或是來自不當的管理制度設計，而將弱點暴露出來。接下來我們就一一說明各類資訊資產的弱點以及其防範之道。
第一類：電腦類實體資產
實體資產最怕的是甚麼？最怕偷、最怕沒電。如果企業使用大量的可移動式儲存裝置，例如手提式電腦、筆記型電腦、PDA、大姆哥Flash Disk、抽取式硬碟等裝置，企業必須提供相對的保護裝置。例如手提式電腦或筆記型電腦，可以用纜線鎖或筆記型電腦安全鎖等，固定在座位上；像是PDA或大姆哥等裝置，則必須要求使用者隨身攜帶；抽取式硬碟大都裝置在桌上型電腦上，且大部分都有鑰匙可以上鎖，只要將鑰匙確實保管好，就不會有失竊之虞。


而如果怕停電，通常企業會購置UPS不斷電系統給系統主機使用，殊不知對使用者而言，個人電腦的用電保護很重要，因此企業也須考慮在使用者端裝置小型個人電腦專用的UPS不斷電系統。對大型機房而言，除了UPS不斷電系統之外，企業也必須考慮架設第二備用電源，不論是自備發電機或是更先進的太陽能發電，都必須考慮到一旦主電源停止供應，而且UPS 不斷電系統的支援也停止後，如果主電源一時還無法恢復供電，企業應該懂得如何因應對業務運作的衝擊。

第二類：電腦類軟體資產
這一類資產的弱點大致上可以分為兩種，第一種是軟體本身的問題，第二種是合法性的問題。不論是自行開發或委外開發的軟體系統，或是購買的套裝軟體，企業都必須注意：1. 系統安裝使用前是否經過完整的使用者測試，而系統測試是否包含存取控制、遠端連線控制測試、版本控管、更新或修正版本測試、維修測試、以及後門測試等等。尤其是使用者存取控制，對於使用者的等級、授權範圍、以及資料使用權限的管理，必須結合組織的Role and Responsibility職位及職務內容來做適當的規劃規範以及授權等。2. 對於使用外購之軟體系統，必須注意是否強烈要求使用者必須使用合法授權之軟體。建議企業建置電腦軟硬體資產管理系統，將使用者端個人電腦的軟硬體資訊，以自動化的工具，自動收集及分析，避免使用非法軟體，觸犯法律。

第三類：電腦類資料資產
這一類的資產包括儲存在電腦系統內的資料 (Data)，經過處理的資訊 (Information)，有價的智慧資產 (Intellectual Property)，以及列印在紙張上的任何資料。他們有一個共同的弱點，就是它們的價值定義不夠清楚，以致於分類分級以及相對的保護措施不夠完善。企業組織應制定完整且清楚的資料資產分類分級，對於不同等級的資料資產，施予不同的保護措施，以保障這些資產不會遭受威脅。

第四類：實體環境資產
企業組織通常會注意辦公室或工廠的環境公共安全，例如火災水災的防範，竊盜的防範等，但是另外一種的環境安全是所謂的「社交工程Social Engineering」。社交工程指的是威脅的來源來自以偽裝的手段或方法，竊取企業組織的有價資訊資產。火災的防範可以用消防設備的安裝、消防演習的演練等方法來做好準備。水災的預防則是注意不要將重要的資訊資產放至於容易遭受水患侵襲的地點或地下室等地方。


社交工程則是最困難的一類弱點，尤其是企業組織的員工人數、部門、及工作地點多且廣泛時，弱點就越多，越容易遭受有不良企圖的未來或內部人員的威脅。對此，筆者建議企業組織必須定期對所有員工安排不同等級及範圍的資訊安全教育訓練，並且安排不定期的稽核抽查及測驗，確保所有員工的安全觀念都已落實在平日的工作流程中。

第五類：管理資產
對企業組織而言，管理制度通常是針對營運所設計的，缺少對資訊安全的著墨，例如資訊安全政策、針對各種特定功能的安全政策，以及標準作業流程等。這些政策平時看似不重要，但是一旦發生資訊安全事件時，適當的資訊安全管理政策可以協助我們保護資訊資產，並且將因此而產生的損失控制在可以接受的範圍內。


例如美國911攻擊事件，世貿大樓的企業組織遭受到前所未有的損失，企業組織如果已經建立了異地備援及緊急應變計畫，則當災害發生時，企業的營運就不會受到影響，或是可以將損失控制在可接受的範圍內。當然失去的員工是無法彌補的，但是對其他地方的員工及客戶而言，至少營運是可以繼續的。


又例如權限控管以及存取限制的資訊安全管理辦法，如果設計完備，企業組織的機密資料就不會遭受心懷惡意的員工不當的取得，更進一步對企業組織的商譽造成損害。因此，我們了解資訊安全的管理制度是必須的，而且必須落實在所有員工的日常作業中，缺一不可。


不同的企業型態、組織規模、部門多寡、工作地點等等因素，都會讓企業組織的不同弱點暴露在不同的威脅之中，企業組織必須了解自身的弱點，以及相對的威脅，才有辦法制定或實施適當的保護措施，避免企業的有價資訊資產暴露在威脅之下，造成損害及損失。