新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
化神奇為腐朽
2006 / 01 / 23
徐子文
在管理體系稽核標準而言,稽核人員只在乎系統設計和其管理方式及作業程序是否達到規定的標準,而不事先預設如何達成;對於用何種科技產品,也沒有偏好。 不可諱言的,品牌迷思還是會出現在稽核人員身上,特別是對安全設備上。但事實是,若是講單一功能產品,如某些軟、硬體產品,品牌型號確實相當程度的表現了相對的品質和功能,但是當多項產品要整合成為一個系統時,卻常常發現有「化神奇為腐朽」的現象。
花了大筆鈔票,使用一流品牌的安全產品,請知名廠商設計安裝。在錢沒少花的前提下,應該其品質和功能會超過預期。但有好幾次經驗,當筆者實際去稽核時,真的不相信如此的設計和施工品質,會是世界知名廠商的作品;安全系統裝的比自己動手裝家具或是延長線的品質還要糟。更不應該的是,不只工藝不佳,連基本的安全縱深概念都沒有。如:監視保護圍牆的CCTV管線是在圍牆外面,還是用PVC管,讓人不必翻牆,直接在外面一剪就斷訊啦!同樣的也發生在門禁系統上,門禁電子鎖的電源和控制器就在門外的天花板上,一把梯子,一把剪刀,輕易突破。金庫的門比牆壁厚,或是金庫的四牆一地都很牢,不過天花板卻可以相通。警報系統用得是電話線撥號來傳送警報訊號到外部的監控中心,但只有一門線。雖然部分的感測器和警報主機中有裝斷線警報,不過電話線若是先被剪斷,所有的訊號就都送不出去!老電影中壞人用一把剪刀和一隻扁鑽就可以破壞重重安全系統的情節,現在依然適用!
以上現象,一旦被筆者指出來,受稽單位真的是很難堪,以一個業主和使用者而言,他們已經花了足夠的經費,但是他們的廠商卻沒有提供應有的專業服務,幫他們設計和裝置一套適當的安全系統。試想,如用更低價和不專業的廠商會做出什麼品質出來。
前面的例子是實體安全系統部分,一樣可以適用於資訊安全系統上。多年前筆者實際在負責資訊安全時,就曾經詢問來裝機的工程師:系統的後門密碼是什麼?這老兄不假思索的就告訴了我,完全不當一回事。這後門密碼還是寫在程式裡面,固定的,不能改。讀到這兒,看倌大爺,不知您的背脊涼了沒有? 廠商在商言商,只需要滿足顧客的基本需求,好的廠商最多超越顧客期望多一點點。安全系統,不該是一堆安全產品的組合而已,重要的是能發揮什麼管理功能!要避免花冤枉錢,企業就要賦予安全主管足夠的權責,晉用專業的安全人員或是聘請獨立的安全顧問來對企業組織自身的安全管理和系統進行定義需求,遴選夠專業的廠商協同設計,然後執行監督及驗收的工作,如此才會有高品質和效益的安全系統呈現。
徐子文
稽核
最新活動
2026.07.22
2026 政府資安論壇
2026.08.13
2026 南科資安論壇
2026.07.23
防範 AI 資料外流:打造兼顧資安與生產力的管理策略
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
2026.07.30
亞洲晶片安全與CRA 國際研討會:下一代可信晶片安全
2026.08.26
Veeam 攜手 Power Admin,建構從備份、監控到快速復原的資料韌性,打造全方位混合雲數據防禦體系 (高雄場)
2026.08.28
HCL AppScan 應用程式安全檢測實作班
看更多活動
大家都在看
黃隊崛起!AI資安攻防新增第三股力量
從法遵到實戰:台灣AI風險分類框架與ISO國際標準的治理共鳴
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
OAuth Client ID偽造技術興起:新手法鎖定雲端環境行隱密帳號列舉
風險驅動治理:ISO 27005如何協助台灣A級機關與金融業資安合規
資安人科技網
文章推薦
SAP 7月安全性更新修補3項重大漏洞,NetWeaver ABAP現CVSS 9.9高危弱點
Microsoft 2026 年 7 月 Patch Tuesday 修補逾 570 項漏洞,含兩項已遭利用零日漏洞
AWS 攜手 Anthropic 推出 Claude apps gateway for AWS,企業可集中控管 Claude Code 存取與支出