歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
來自醫藥界的資訊安全啟示 預防勝於治療
2005 / 01 / 31
Jay G. Heiser
公共衛生強調預防
直到十九世紀公共衛生的想法出現,疾病預防才顯得比較實際。透過消除疾病的來源,醫藥從治療性質演進到了預防性質。資訊安全界也正在進行同樣的轉變,其基本性質從反應問題轉進到了預防問題。
礙於知識不足,早期的內科醫師發展出如放血般極度愚蠢與無效率的醫療方式。他們並不知道,擁有乾淨環境與清潔衛生,以及充分營養才是治療疾病的根本之道。
資訊安全業者並不會如上述般的摸不著頭緒,但我們的許多做法都是窮於構思。傳統的醫藥及資訊安全做法都是源自於典據的做法,但是這些做法的效能與功用卻未經評估。每種專業都必須要有完好評估方式的治療方法,以及能夠展示成效的預防措施。
透過蒐集並且分析資料,可以有效發現問題甚至消除這項問題。著名的例子是,當1854年英國醫生John Snow切斷地下水源之後,附近地區霍亂病的發生立即減少。這個結果顯示了此種病毒與特定水源的關聯性。訓練有素的研究人員通常需要發展一套實際的正規量測方法,以便外行人也能在低成本的情況下去實行與檢測。
從問題找出改善措施
企業治理上的新觀點也是採用了相同的理念來處理作業上的風險,應用在資訊安全上,更是再明顯不過。一旦根本問題被找出來,即設計出一種避免方式;一旦作業被更改,便不斷地監測結果並持續地調整順序。使用這種最佳方式的安全管理人員及其客戶都能有較少的困擾。
另一項重要的議題是,以上這些最佳解決方法並無法自動自發地切實執行出來,提高安全認知的教育訓練更必須全面地推展開來。在許多情況下,額外的鼓勵與處罰措施都是增進效果的好方法。為了避免病情復發,保健人員必須不斷地用最佳方式去量測其療效。為了預防高傳染性的疾病,當少數人的健康有可能會危害到整體時,政府必須採用強制的預防措施(如強制幼童施打疫苗等)。這種方式雖然尚未應用於資訊安全界,但其引進指日可待。
不斷檢查確保衛生
企業的稽核人員就像是公共衛生人員,負責監測效率的指標,且保證最佳的運作方法運行於公司的IT環境中。效率指標是至關緊要的,這就是為什麼大量的研究是針對它的設計以及不斷改善。相對的,資訊安全界的最大挑戰就是要發展出一種可以簡單診斷出感染症狀的實用指標。這兩種目標的達成都有賴於規則的不斷精煉。
公共衛生的目標是讓疾病受到控制,而非殲滅。這使得執行準則的層級及其程度變得相當難以拿捏,威脅總是在預防檢測的標準放鬆之後現形。資訊安全界可以從醫藥界獲得的最後一個啟示是:要不斷地徹底執行,並保持戒心。如此才能確保企業的最佳安全。
資訊安全界可以從醫藥界獲得的最後一個啟示,是要不斷地徹底執行,並保持戒心。
作者JAY G. HEISER (jheiser@infosecuritymag.com)是英國TruSecure Corp的安全分析師。
最新活動
2024.04.10
【資安學院】4/10 身分識別與存取控制防護實務
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
提高TLS安全! 微軟將淘汰Windows系統1024位元RSA金鑰
趨勢科技示警LINE輔助認證詐騙手法並建議5大社群隱私防範守則
趨勢科技:台灣需留意Earth Estries駭客組織,鎖定政府機關與科技業
思科完成收購Splunk
Google推出實時網址檢查 升級安全網頁瀏覽功能防範更多釣魚網站
資安人科技網
文章推薦
報告:零日漏洞利用率激增,商業間諜軟體是主要利用者
TheMoon惡意軟體變種肆虐! 超過 6千台ASUS 路由器已被感染
中國國家級駭客組織UNC5174利用ScreenConnect、F5 BIG-IP漏洞鎖定國防及政府單位