You are here

資訊安全

受人之託,可有能力忠人之事 - 其二

來談談「從Windows 和 Unix 伺服器的資安白皮書做起」到底有什麼問題?

做這件事本身當然沒有什麼問題,但「從這件事做起」就大有問題了。假設你很重視居家安全,請來保全業者討論。簡略的談過之後,業者建議從制定「書房安全管理規則」做起;因為您提到,重要的東西都放在書房。您覺得很荒謬嗎?

專業人員的訓練與成長,使得特長所在往往也正是盲點所在。

受人之託,可有能力忠人之事 - 其一

銀行資訊高階主管某甲多年的征戰,豐功偉業「罄竹難書」。眼下,公司業務邁入穩定成熟期,大環境又逢經濟蕭條,實在沒有什麼像樣的仗要打。回望來時路,跌跌撞撞,堪堪走過。雖然心知處處埋藏著危機,卻只有諸事順遂,誠實面對自己時,才會審視唏噓一番。這其中又以長期的、有意的忽視「資訊安全」,所造成的潛在問題,最為嚴重。

少了升官的動力與壓力,多了時不我與的屆齡症候群,實在很想在這方面有所建樹。一來保全自己的名節,二來真正的替組織與後進多少打下長治久安的基礎。某甲這時想起長期合作、關係維持得不錯的廠商高階主管某乙。某乙聽了某甲的一番交心,有些許感動,暗暗欽佩其高風亮節之餘,生意人的本能也開始悄悄的運作評估。回去之後,立刻交代給當家的資訊安全顧問,責成後續事宜,務求儘速談出一個「切入點」。廠商通常喜歡用「切入點」這個時髦的詞,意思就是不求大、不求全面,只求弄個馬上可以做,很快可以收到錢的案子。

由於某甲只是一個轉念,並沒有個譜在心中,資訊顧問三兩下就嗅了出來。顧問開始盤算引導著客戶的討論方向,漸漸的、暗自得意的,縮小了範疇,得出個初步的結論:先從「Windows 和 Unix 伺服器的資安白皮書」做起。顧問會這麼做,背後當然有一籮筐的理由,但是最大的原因,當然是主管某乙的殷殷期待。儘管內心終究覺得不妥,也違反自己所受的資安顧問訓練。

系統安全管理-認可(Authorization)

在認可(Authorization)方面、設計重心在階層(Hierarchy)的歸納與功能(Function)的分配。前者是由使用者(內部與外部)、通路(有人與無人)、產品(自有或同業)所構成(當然可以再做更精細的分類、視需求與執行可能)....在認可(Authorization)方面、設計重心在階層(Hierarchy)的歸納與功能(Function)的分配。前者是由使用者(內部與外部)、通路(有人與無人)、產品(自有或同業)所構成(當然可以再做更精細的分類、視需求與執行可能)、後者則是分類型(Classification)與規則(Rule)。

「系統安全管理」-認証(Authentication) 與認可(Authorization)

認証(Authentication)、認可(Authorization)、都是「共通應用系統」豐富內容中重要的一環。隨著顧客接點(Contact Point)需求多樣化、服務內容(Service Content)的複雜化、如果在前端(Front-End System)與及後端(Back-End System)上、建置此類系統安全管理、由於兩者目標任務志不在此....認証(Authentication)、認可(Authorization)、都是「共通應用系統」豐富內容中重要的一環。隨著顧客接點(Contact Point)需求多樣化、服務內容(Service Content)的複雜化、如果在前端(Front-End System)與及後端(Back-End System)上、建置此類系統安全管理、由於兩者目標任務志不在此、以及追求追加此「共通應用系統」對前端後端系統影響的極小化、建置一中端(Middle-End System)來收容諸如「認可」這類「共通應用系統」自是十分恰當。

資訊安全的五分鐘熱度緣由?

需求像午後雷陣雨:每當有事件發生、尤其是媒體披露時,大夥兒都急如星火
可是一開始規劃討論,發現問題複雜,耐性逐漸消失,priority 漸次降低
其結果是迅速冷卻,再議再議,不了了之
不知大家的看法如何? 這是不是資訊安全預算遭排擠,廠商個個倒閉整併的緣由?

Subscribe to 資訊安全