觀點

IT資產知多少! 資安從最基本的資產管理開始

2010 / 09 / 16
廖珮君
IT資產知多少!  資安從最基本的資產管理開始

「什麼!這台伺服器竟然有這麼多筆客戶資料!」「這台電腦平常都無人使用,沒想到會變成駭客的跳板,」這些是發生資料外洩事件時,經常會出現的對話,多數企業對於IT資產及資料的掌握度不夠,不知道資料被偷了,也不知道伺服器內儲存了這些資料,這麼多的不知道,其實就是平常疏於管理的緣故,也因為這樣,給了駭客最佳的攻擊機會,資料想不被竊取也難。

 

根據Verizon最新發佈的2010年資料外洩調查報告,多數企業並不清楚自身所擁有資訊資產的狀態,這種未知(unknown unknowns)讓駭客有機可乘,Verizon調查反應部總監Bryan Sartin表示,企業對資訊資產的未知分成四種:IT設備的狀態、資料流向、不明網路連線及未授權登入,如果沒有做好管理,很容易釀成資安風險,因此,企業最好定期盤點IT資產、檢閱使用者帳號、及分析網路連線狀態和資料流向。

 

對此,華義國際資訊長謝安也有相同看法,他指出,管理資訊資產的方式有很多,電腦名稱正名便是一例,只要確認好每台電腦的名字,當駭客竄改電腦名稱就能立即發現,另外也要注意無形資產的管理,像是編製部門與個人IP、並封鎖多餘的IP,讓駭客無法偷IP來用,減少駭客攻擊的管道。

 

台灣是全球最多釣魚網站及僵屍電腦的地方,其中一個原因就是IT資產管理不足,內政部警政署資訊室主任李相臣表示,台灣採購制度不夠完善,假設IT採購預算為新台幣100萬元,那麼,該年度一定要全數使用,否則隔年預算總額就會降低,使用單位為了消耗預算,買了等級最高的電腦、容量最大的硬碟,但卻根本沒有使用需求,於是閒置一旁不予管理,這些用不到的IT設備也就變成駭客最好的跳板,之前某盜版光碟集團利用縣市政府的硬碟做為資料庫,便是最好例子。

 

零售產業每年都會進行資產盤點,盤點店內實際庫存數量,是否與帳面數字相同,對IT資產來說,其實也需要這樣的年度盤點,當企業為了強化資安體制而去採購設備時,不妨先回頭檢視究竟擁有多少IT資產,畢竟做資安不一定要花大錢,管理才是做好資安防護的基礎。