歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
化神奇為腐朽
2006 / 01 / 23
徐子文
在管理體系稽核標準而言,稽核人員只在乎系統設計和其管理方式及作業程序是否達到規定的標準,而不事先預設如何達成;對於用何種科技產品,也沒有偏好。 不可諱言的,品牌迷思還是會出現在稽核人員身上,特別是對安全設備上。但事實是,若是講單一功能產品,如某些軟、硬體產品,品牌型號確實相當程度的表現了相對的品質和功能,但是當多項產品要整合成為一個系統時,卻常常發現有「化神奇為腐朽」的現象。
花了大筆鈔票,使用一流品牌的安全產品,請知名廠商設計安裝。在錢沒少花的前提下,應該其品質和功能會超過預期。但有好幾次經驗,當筆者實際去稽核時,真的不相信如此的設計和施工品質,會是世界知名廠商的作品;安全系統裝的比自己動手裝家具或是延長線的品質還要糟。更不應該的是,不只工藝不佳,連基本的安全縱深概念都沒有。如:監視保護圍牆的CCTV管線是在圍牆外面,還是用PVC管,讓人不必翻牆,直接在外面一剪就斷訊啦!同樣的也發生在門禁系統上,門禁電子鎖的電源和控制器就在門外的天花板上,一把梯子,一把剪刀,輕易突破。金庫的門比牆壁厚,或是金庫的四牆一地都很牢,不過天花板卻可以相通。警報系統用得是電話線撥號來傳送警報訊號到外部的監控中心,但只有一門線。雖然部分的感測器和警報主機中有裝斷線警報,不過電話線若是先被剪斷,所有的訊號就都送不出去!老電影中壞人用一把剪刀和一隻扁鑽就可以破壞重重安全系統的情節,現在依然適用!
以上現象,一旦被筆者指出來,受稽單位真的是很難堪,以一個業主和使用者而言,他們已經花了足夠的經費,但是他們的廠商卻沒有提供應有的專業服務,幫他們設計和裝置一套適當的安全系統。試想,如用更低價和不專業的廠商會做出什麼品質出來。
前面的例子是實體安全系統部分,一樣可以適用於資訊安全系統上。多年前筆者實際在負責資訊安全時,就曾經詢問來裝機的工程師:系統的後門密碼是什麼?這老兄不假思索的就告訴了我,完全不當一回事。這後門密碼還是寫在程式裡面,固定的,不能改。讀到這兒,看倌大爺,不知您的背脊涼了沒有? 廠商在商言商,只需要滿足顧客的基本需求,好的廠商最多超越顧客期望多一點點。安全系統,不該是一堆安全產品的組合而已,重要的是能發揮什麼管理功能!要避免花冤枉錢,企業就要賦予安全主管足夠的權責,晉用專業的安全人員或是聘請獨立的安全顧問來對企業組織自身的安全管理和系統進行定義需求,遴選夠專業的廠商協同設計,然後執行監督及驗收的工作,如此才會有高品質和效益的安全系統呈現。
徐子文
稽核
最新活動
2025.04.23
漢昕科技X線上資安黑白講【暗網攻擊視角:駭客如何入侵你的企業郵件?】2025/4/23全面展開!
2025.04.25
線上研討會 : 有效管控企業資安&營業秘密風險
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
外媒看CrazyHunter勒索團體手法,關注防範開源工具攻擊
資安署25年3月資安月報:入侵攻擊持續居首 Line偽冒網站威脅增加
AI時代的資安攻防:趨勢科技揭「網路犯罪即代理」趨勢
Google Cloud:2025 年資安管理者的五大關注重點
報告:網路邊緣設備成為中小企業資安攻擊的主要入口
資安人科技網
文章推薦
區塊鏈雖提供資安優勢,但密碼管理仍不可輕忽
「ELUSIVE COMET」駭客組織濫用 Zoom遠端控制進行社交工程攻擊
中國APT組織 Mustang Panda推出四款全新攻擊工具