資訊安全的最大威脅-人員安全

人是造成資安事件的最主要因素。

　　根據Datapro Research Corporation的資安調查，約有5成的資安事件是由人為失誤所造成，加上離職員工或內部犯罪所佔1成，人為因素造成資安事件所佔的比例高達6成。

人員安全威脅

　　去年，全球最大液晶面板玻璃製造商康寧公司的一名前員工，遭美國聯邦調查局逮捕，被指控竊取康寧的
重要業務機密，出售給競爭對手台灣的碧悠公司。任職AOL(American Online)的一位工程師，盜用另一名同事的帳號，竊取3,000多萬筆的客戶資料販售給垃圾郵件業者，這些資安事件案例，都是來自於內部人員或離職員工的電腦犯罪。

　　電腦犯罪的分類方式中，若以安全防護的方式來分類，可分類成實體與環境安全、人員安全、通訊和資料安全，以及系統安全。其中人員安全，簡單地說就是指「確認系統是由被授權的人使用，以及使用者能夠正確地操作所使用的系統」，所以同樣地，人員安全危害即「使用者對於系統的不當操作，或對於系統、資料庫的非法存取或破壞」，發生的原因經常是未對員工做正確的教育訓練、權限控管不當等。

人員安全說明

　　因此，人員安全的意義在於降低人為錯誤、竊取、欺騙和濫用相關設施等風險，及讓使用者能隨時警覺資訊安全威脅，以減少發生意外事件的危害。

人員安全威脅的來源對象有三類，分別是︰

1.不當操作、缺乏警覺心的使用者。

2.違反規定的使用者。

3.惡意意圖的內部人員、離職員工。

而造成安全威脅有下列幾個因素：

(一)使用權限：

人員對於資訊系統所造成的影響或威脅，取決於所擁有的系統使用權限。例如使用者若具有自行安裝軟體的權限，則可能因為自行安裝不明程式而讓電腦中毒。

(二)專業程度：

原則上，使用者具備愈高的資訊專業，所隱藏的威脅愈高。例如，負責程式撰寫的資訊人員，其蓄意犯罪造成破壞之威脅便高於只負責輸入資料的行政人員。但相反地，若對於系統操作的認知、技術程度太低，也可能會有不當操作情況的人員安全威脅。

(三)犯罪動機：

對於來自內部或離職員工的犯罪，應盡可能事先防範或減少犯罪動機。例如，員工在企業內被主管辱罵，或被開除而懷恨在心，因而產生的報復心理即其犯罪動機，所以在管理上對於這類狀況若無適當處理或防範，都可能造成隱藏的威脅風險。

企業的人員安全防護

　　企業對於防範上述不當操作、缺乏警覺心、違反規定的使用者，以及惡意意圖的內部員工、離職員工所造成的人員安全威脅，可由下列幾個步驟來著手。

(一)聘雇前的背景調查：

對於新聘人員作適當的身家背景調查是人員安全第一道防線，特別是某些財務相關業務，或處理敏感性、機密性資料的職務，更應謹慎地篩選過濾。所以除了學經歷、性向的確認，可能還必須包括是否有竊盜前科、是否有財務困難、是否有吸毒記錄，以及是否有不良的離職原因等。

(二)管理與教育訓練：

1.保密切結書與監督

員工在職期間，應依法令課予機密維護責任，例如簽署保密切結書。在管理上也應適度地監督員工是否有踰矩的行為，不過監督可能被曲解成侵犯隱私，所以必須適當拿捏，只是若員工所接觸的資料價值是極敏感和重要時，監督的需要就愈大。

2.職責劃分與職務輪調

職責劃分和職務輪調，是避免人員利用職務之便圖謀不軌的作法之一，職責劃分將權責分派給數個人員，能有制衡、防範不良意圖的作用，另外像系統使用權限也應確實控管，依工作職務只給予足夠的權限；而職務輪調能防範單位主管或業務負責人因長期控有權限，而可能隻手遮天的問題。

3.教育訓練

並非所有的安全事件都是蓄意造成的，很多都是簡單的人為錯誤或疏失所導致，包括像資料輸入錯誤、或對資安認知不足而遭社交工程攻擊等。所以不管是系統使用或防範外部威脅的認知等方面，都需要給予員工正確的教育訓練，讓使用者瞭解他們不但有責任謹慎操作資訊系統，還要小心防範入侵者，並對資安事件的作即時通報。

教育訓練的內容應包括安全政策、相關法令規定、作業程序，及如何正確使用系統的訓練等。

(三)離職處理：

離職員工的報復屬於惡意威脅，應小心防範，所以員工離職的人員安全處置應注意下列幾點，包括︰友善的結束工作關係、檢核離職流程、刪除使用帳號、取回公司資產、修改伺服器密碼等。

員工的人員安全防護

　　除了企業對於人員安全須有正確的規範、因應政策，員工自己本身對於防範機密外洩也應有足夠認知，簡單地說就是責任與警覺心，員工必須知道安全的必要性、哪些缺失可能會讓惡意人士入侵系統、自己能夠採取什麼樣的因應措施等。因此，員工對於自己的密碼應小心保管，不要隨便寫下密碼，也不可以將記錄重要資訊的紙張隨便丟在垃圾桶。

　　員工必須保持警覺，當發現異常的登入或連結訊息，應瞭解那可能是入侵，必須即時通報管理者處理。例如員工星期五下班後即未曾再登入系統，但星期一上班登入系統時，卻顯示最後一次登入時間是星期日，這樣就是有異常的登入記錄；或者登入系統時，顯示星期天有多次登入失敗的訊息，也都是有人嘗試入侵系統的跡證。

　　社交工程也是惡意人士慣用的手法之一，員工須小心防範喬裝成長官、資訊人員、維修人員等的不明電話、電子郵件，這些都是必須有正確的安全意識，讀者可參考i-Security資安認知學習中心提供的「社交工程」線上課程，進一步了解如何防範。

結語

　　在資安威脅中，若概分為人為因素與外部入侵，人為因素其實才是資安威脅的最大主因，而非駭客入侵。所以對於加強資訊安全，人員安全和抵禦外部入侵同樣重要！而企業也必須瞭解正確的防範政策、教育訓練、認知觀念，及加強員工責任與警覺心，才能確實降低人員安全的威脅。