觀點

淺談員工與機密文件管理

2002 / 07 / 31
文/賴左罕(Han Lai)
淺談員工與機密文件管理

在企業中,員工由於工作上的需求,隨時都會有存取相關內部機密文件的機會。因此企業在防範員工對外洩漏公司內部的機密資訊時面臨極大的困難。再加上自去年起全球的經濟不景氣,許多員工面臨公司裁員的命運,使得企業在對員工的安全管理上就更加棘手,例如每個員工的使用權限並沒有很明確的追蹤紀錄,資訊部門人員可能在員工離職後刪除其主要的網路登錄權限,但卻可能遺漏電子郵件帳號而忘記刪除,又或者忘了刪除離職員工的遠端登錄帳號及權限等;因而使得離職員工無形中對許多大企業形成資訊安全上的重大威脅。


密碼:資訊安全的最後防線
使用密碼作為認證,以限制存取權限的方式來保護企業內部網路資源是目前最為常見的方式,也被認為是成本最低的方法。但是根據調查報告顯示,每年都有上千萬部電腦因為沒有使用較安全的密碼而遭受到非法的存取,而這些例子都是因為使用者沒有正確地瞭解使用密碼的觀念所造成的,例如:





  • 密碼寫在紙條上並貼在電腦附近。
  • 使用常見的英文單字做為密碼。
  • 使用常見的英文單字並加上二到四位數字做為密碼。
  • 使用人名、生日、地方、寵物、偶像,或常見的個人物品做為密碼。
  • 將自己的密碼分享給其他人共用。
  • 所有不同的帳號都使用同一個密碼,而且長期使用不變更。
  • 使用廠商所提供的內定密碼。








因此企業要如何有效地加強密碼的安全性便成為一個很重要的課題。以下為幾種可以確保密碼安全的方法:





  • 建置良好的密碼使用政策:這是密碼保全的第一道防線。
  • 加強密碼檔的安全性:確保沒有人可以未經授權存取密碼檔。
  • 使用多重認證(multi factor)的認證方式:至少要使用雙重認證方式(2
    factor)以增強認證的安全性。
  • 教育使用者:確定使用者確實瞭解密碼。
  • 教育使用者:確定使用者確實瞭解密碼對資訊安全的重要性。






密碼安全,可以說是資訊安全的第一道基本防線,但很不幸的是,有時候它可能是資訊安全中的最後一道防線。





建置完善的身份辨識管理系統
由於單單使用較安全的密碼並不是根本解決問題的最佳方法,這兩年網路及資訊安全觀念已日漸受到各大企業的重視,並且開始在各企業的資訊系統上建置層層的管制,使得資訊安全的管理也日漸複雜。因此建置一套完善的身份辨識管理系統(IdM;Identity
Management)不僅能夠簡化使用者身份的管理,並且可以釋放出更多人力資源來作其他的網路安全服務。







所謂身份辨識管理,其實是一項企業用來針對使用者的所有帳號、存取密碼,以及資源存取權限...等進行集中控制管理的方式。身份辨識管理必須要含蓋到下列的範圍:





  1. 企業資訊系統架構(Enterprise information architecture)



    企業必需要定義那個使用者需要什麼權限去存取什麼資源,而這樣的定義必需是從企業整體的角度,而不是從單一部門的角度來定義。

     
  2. 權限及政策管理(Permission and policy management)



    企業必需建立一整套清楚明瞭的權限及安全政策,而且要確定這些政策確有落實推行。

     
  3. 企業目錄服務(Enterprise directory services)



    企業目錄服務提供對資料庫進行中央控管,用以儲存及管理使用者的身份資訊、存取權限,以及授權存取的應用程式、資訊及網路資源等。

     
  4. 使用者認證(User authentication)



    認證是一項對使用者身份做進一步確認的程序,這樣才可以正確地授權存取所保護的資源。一般認證技巧有單一帳號密碼,或者是較安全的多重認證方式(multi-factor
    authentication)。

     
  5. 使用者支援(User provisioning)



    使用者支援是一項以商業政策為出發點所採用的存取權限,目的在於適當地授予權限給使用者、客戶及商業夥伴,以存取所需的資源。

     
  6. 工作流程(Workflow)



    工作流程是一個程序,目的是將使用者各項支援性的工作做自動化的建置,以簡化工作程序並能提昇整體的效率。





     






相信在這樣的管理方式下,企業將可以不必再擔心員工去留時所產生的人員管理問題,以及機密文件的存取授權狀況。其實最重要的是每一個企業都要致力於建立一個完整並值得信賴的資訊系統架構,讓其所有的員工、客戶及商業夥伴都能維持十足的信心及不變的忠誠度。(本文作者任職於顧問公司)