文/ 郭慧姿
辦公家具、電腦軟硬體、工廠機台皆是企業資產,當這些資產損壞時,可以採取的解決之道通常即為加以整修或重新購賣,可是對企業來說,更重要的是遇到損害時就難以復原的Data,因為「Data隱含的是深刻的企業管理意義與智慧」,旺宏電子企業資訊技術處副處長鄭亭玉指出了資訊安全對企業的重要性。旺宏以研發為主軸,因此有關研發過程相關的資料就是最重要的,另外,財務、人事資料、客戶等資料也是旺宏在持續營運上不可或缺的,鄭亭玉說,這些資料環環相扣,少了一個都會造成公司營運上的阻力。
目前旺宏相關安全部門包含了:
- 電腦暨通訊部下的通訊課:隸屬於企業資訊技術處,對副總經理負責,副總經理再提報給總經理。
- 職安部:隸屬於行政中心,負責建築、設施相關安全,由資深協理直接報告給總經理。
- 總務處:隸屬於行政中心,負責辦公室門禁部分。
- 設施部(處):在有每一個廠裡皆有,視規模不同而有部、處之分。
- EPC(專案管理中心):負責資訊安全政策的執行,對協理負責,協理再向總經理提報。
- 稽核室:負責稽核工作,直屬總經理。
資訊安全政策 這些安全相關部門皆是旺宏的一級、二級單位,鄭亭玉表示,旺宏的資訊安全政策,若是有關防毒、防範駭客入侵、資料非法存取或被破壞的部分,是由企業資訊技術處訂定;而以系統面來說,由於不同的資訊系統有不同的擁有者,必須由該系統的使用者決定重要等級,才能訂定安全政策,她舉例說明:業務或研發部門使用的系統,就應先由部門主管明定資料的安全等級與權限,然後統一由EPC視資料極機密、機密、普通、可公開等不同安全等級,進行控管執行誰可以看、是否可以列印、列印後是否要蓋上Do Not Copy字樣等相關事宜;至於相關IT平台的支援則由企業資訊技術處負責。
不同於新竹科學園區其他業者,美台電訊是美國Lucent Technologies(朗訊科技)在台灣的合資公司,美台電訊資訊管理處資深經理陳盈州表示,由於是Lucent與中華電信共同合資的合資廠,美台電訊和Lucent美國總公司的IP Domain是分開的,各有自己的企業網路,並進行流量管制以免過多封包與流量流至美國總公司網路,而且在資訊安全的考量下,由於Lucent佔所有股份的85﹪,因此其對於美台的資訊安全會有一定程度的規範,例如防火牆的限制、資料的進或出,再加上Lucent以Bell Labs(貝爾實驗室)為基礎,擁有許多重要研究,以及寬頻與無線的Solution、產品資料,皆建構在Intranet(企業內部網路),而這些都是Lucent企業機密,自然不願隨意被取得,因此像美台這樣的合資廠在取得資訊時有其次序先後,且須取得許可。
BS7799企業資訊安全管理認證針對十個領域,進行企業資訊系統管理架構的分析評估,但並沒有引導企業應該怎麼做,陳盈州表示,Lucent是全球化公司,在資訊安全政策方面,由總公司訂定CCNNS(Coparate Computer and Network Security),內容包含伺服器安全機制管理、網路機制管理與用戶端安全機制管理三部份的規定與政策,美台依循CCNNS並加以執行之,由資訊管理處全權處理美台在美台電訊在台北、新竹、台中、高雄等地辦公室的資訊安全工作。
資訊安全的管理
鄭亭玉指出,旺宏在資訊安全管理的主要政策就是:所有重要系統的資料是無法下載的,並利用資訊技術讓資料無法進行列印,以造成人員意圖偷取資料時的極度不方便;不僅可以加以規範內部同仁,而且外人也無法趁機找電腦進行下載資料。另外,也嚴格控管同仁從公司外部登入公司系統,旺宏的做法是僅開放給業務人員、系統維護人員與高階主管(這些人員必須經過定期稽核),惟必須經過事先申請,再配以60秒改變一次Password 的Security Card,再加上使用者登入的ID,且進入各個不同應用系統時需輸入不同的Password,以增加資訊的安全程度。
對於重要資料的傳真,旺宏的建議做法是,傳送者先與接收者說好,以利接收者確實接收好;若資料安全等級屬於極端機密,卻又必須傳真至公司或印出,以利進行討論,建議的做法則是:可向總務處申請傳真機,或向企業資訊技術處申請印表機,只放在某高階主管辦公室;不過,鄭亭玉表示,以上特殊情況其實並不多見。至於其他資料的列印,旺宏也有相關規定,例如資料可在某些辦公區域印出含Do Not Copy字樣的資料,由該區人員直接進行管理,或是資料直接印出來,但要蓋上Do Not Copy字樣,並進行編冊以管理同仁借還時間。
人、實體安全皆需和資訊安全結合
在旺宏的洗手間有一張醒目的標語,大意是說,所有包含協力廠商、訪客在內的人員,若被發現未在吸煙區吸煙,而在洗手間吸煙,將永遠不得進入旺宏,揭示的不僅是環保問題,更隱含企業實體可能毀損,而珍貴資訊資產可能一去不復反的警示。人員對於資訊安全的認識對資訊安全的推動息息相關,否則,人員進出這麼多,若無妥善管理,將可能造成對資訊安全的危害。陳盈州舉例,美台不僅規定員工可進出的門,而電腦機房也以刷卡進行門禁管制;此外,由於筆記型電腦經常被帶出支援研討會,因此美台也一再提醒員工,筆記型電腦應妥善保管,以免被竊取,否則,容易被探知企業的網路管理內容。
鄭亭玉也表示,旺宏裝設監視器連接到警衛室等地點進行監控,了解同仁或外人是否在非上班時間進入公司,或是於平時進入和其業務毫無關係的樓層;如此一來,不僅可預防物品遺失,且可避免人員不當下載機密資料的情況。如上所提,不論是實體或資訊安全,旺宏各有專事的部門,並在需要時互相配合,鄭亭玉指出,不論是網際網路的入侵偵測、病毒的防治、門禁刷卡紀錄、監視錄影帶的搜尋,資訊安全與實體安全的最後整合即在於所有的資料皆會在電腦留下紀錄,而可以進行整體的控制與分析。
對Single Sign On的看法
有鑒於一個同仁可能需面對公司多則十多個不同的應用系統,每一次記憶、輸入不同的Password實在很麻煩,因此目前旺宏正審慎考慮Single Sign On(單次簽入)是否是一個安全與方便兼顧的方法,而可與人事系統嚴謹連結,在員工離職時,於一致時間內刪除其在各系統的權限。至於陳盈州則表示,DS (Directory Service,目錄服務)是Lucent在安全上做得最好的,理論上當員工離職時,可以Single Sign On方式直接刪除其在企業內部所有的權限,但實際上還是要一個一個系統去刪除,而作為一個跨國性企業,他也坦承全球性的整合實在不容易,尤其Lucent在全球有大約13萬個員工,僅是門禁卡的整合就很難,因為全球每一個員工需前往處理業務的分支都不盡相同,很難做到讓每一位同仁都暢行無阻,就算是高如總經理的層級,所去的分支也相當有限。另外,若將Single Sign On應用在包含13萬個員工的人力資源資料,管理上恐怕也並不容易。
對資訊安全委外的看法
「真正懂得技術及相關領域知識的資訊長(CIO)才有資格決定資訊是否要委外」,陳盈州強調,企業必須要先確定哪些部分是可以委外的,而就其所知,目前一般企業在尋求委外時,多由在顧問公司的協助下進行系統整合,由相關資訊業者提供Total Solution,但值得思考的是,顧問公司通常並無法深入了解企業產業特性。鄭亭玉也認為,企業可以考慮資訊安全委外,不過她對於資料或系統託管持較為保留的態度,尤其研發部分是旺宏經營的命脈,即使委外的確造成節省成本的效果,但此部份是旺宏絕對不可以,也不考慮委外的。
下一個階段的工作重點
隨著駭客入侵手法日新月異,威脅著企業重要資訊的安全性,資訊安全儼然企業競爭力的指標,鄭亭玉表示,旺宏每年皆會依據公司營運狀況,編列資訊安全相關預算,她特別強調,企業應審慎評估企業到底要達成什麼資訊安全目標,並考慮現有人力與物力,每年訂定循序漸進的計劃。企業有多少預算、景氣的好壞的確與資訊安全工作的推動息息相關,陳盈州就指出,隨著景氣的衰退、Lucent全球組織的緊縮,美台至少需到明年第3季以後才會有最明確的下階段資訊安全計劃,眼前主要重點則在尋求穩定發展。
隨著企業日益朝向全球化發展,企業規模愈來愈大,在知識管理的趨勢下,許多關鍵技術與資訊,由原來的散亂變為有系統的分類,在提昇企業競爭力的同時,資訊卻反而有著容易一次被偷取的危機,在在突顯出資訊安全的重要性,鄭亭玉就表示,參考國外大公司如何在企業全球化時思考資訊安全管理,找出所有漏洞,是她明年最想進行的資訊安全計劃。