「 滿 足 現 狀 ， 無 疑 是 當 前 企 業 電 腦 保 安 面 臨 的 最 大 問 題 。 」 這 是 Network Box 主 席 Michael Gazelely 對 現 時 的 電 腦 保 安 作 出 的 評 價 。 Network Box 是 一 家 於 全 球 銷 售 網 絡 保 安 解 決 方 案 的 香 港 公 司 。

他 繼 而 指 出 ： 「 如 果 管 理 層 不 明 確 將 保 安 問 題 列 為 其 中 一 項 首 要 工 作 ， IT 管 理 人 員 便 不 會 重 視 保 安 問 題 ， 而 該 問 題 將 成 為 隨 時 爆 炸 的 『 計 時 炸 彈 』 。 在 現 今 社 會 ， 互 聯 網 是 主 要 的 業 務 介 面 ， 雖 然 互 聯 網 使 用 率 不 斷 飆 升 ， 尤 其 是 商 業 交 易 ， 但 大 部 分 公 司 幾 乎 不 關 心 、 不 注 意 、 甚 至 不 匯 報 保 安 問 題 。 」

Gazeley 認 為 造 成 此 局 面 ， 傳 媒 難 辭 其 咎 。 他 說 ， 傳 媒 動 輒 大 肆 報 道 互 聯 網 上 出 現 某 種 病 毒 、 蠕 蟲 ， 或 高 調 的 駭 客 攻 擊 ， 然 後 長 篇 大 論 ， 重 提 更 新 防 毒 軟 件 ， 但 也 僅 此 而 已 。 他 說 ： 「 他 們 不 會 從 更 具 意 義 的 角 度 審 視 潛 在 問 題 ， 不 會 著 眼 於 全 局 ， 亦 不 會 充 份 提 醒 商 界 或 公 眾 ， 若 不 適 當 採 取 保 護 措 施 ， 後 果 堪 虞 。 要 達 致 最 佳 的 效 果 ， 一 套 全 面 、 配 置 得 宜 、 時 刻 更 新 的 保 安 措 施 不 可 或 缺 ； 措 施 更 應 由 專 家 細 心 地 管 理 及 監 察 。 」

內部隱患

誠 然 ， 駭 客 、 病 毒 和 蠕 蟲 的 威 脅 是 企 業 面 對 的 主 要 保 安 問 題 ， 保 安 專 家 對 此 並 無 異 議 ， 然 而 ， 大 部 分 保 安 專 家 認 為 ， 企 業 忽 略 其 他 威 脅 的 陋 習 ， 卻 極 為 不 智 。 這 些 威 脅 看 似 簡 單 ， 一 旦 爆 發 卻 損 害 更 大 。 保 安 專 家 對 此 作 更 深 入 闡 述 時 ， 強 調 了 兩 種 主 要 風 險 ： 外 部 風 險 和 內 部 風 險 。 來 自 公 司 外 部 的 威 脅 固 然 顯 而 易 見 ， 公 司 內 部 的 風 險 ， 也 可 以 是 相 當 嚴 重 的 威 脅 。

Thomas Parenty 說 ： 「 危 機 處 處 。 」 他 從 事 保 安 業 務 逾 20 年 ， 最 關 心 「 防 火 牆 內 」 發 生 的 問 題 ， 即 公 司 面 對 內 部 員 工 引 致 的 保 安 問 題 。

他 續 稱 ： 「 企 業 保 安 網 絡 中 ， 最 脆 弱 的 一 環 總 亦 是 被 忽 略 的 環 節 。 俗 語 道 ： 『 眼 不 見 ， 心 不 煩 』 ， 用 這 句 話 來 形 容 就 最 貼 切 不 過 。 倘 若 純 粹 關 注 傳 媒 普 遍 報 道 的 防 毒 問 題 ， 我 們 將 忽 略 許 多 隱 憂 。 很 少 公 司 會 進 行 保 安 評 估 ， 確 定 哪 是 脆 弱 的 環 節 。 相 反 ， 很 多 公 司 未 就 內 部 保 安 採 取 任 何 措 施 ， 直 至 遭 受 攻 擊 時 ， 卻 為 時 已 晚 。 」

Parenty 強 調 ， 企 業 必 須 採 取 全 面 的 解 決 方 案 ， 兼 顧 上 述 兩 種 威 脅 。 否 則 ， 不 論 是 為 系 統 保 安 投 上 過 百 萬 元 的 大 企 業 抑 或 小 企 業 ， 即 使 在 這 問 題 上 耗 時 再 多 ， 亦 未 必 能 達 至 預 期 效 果 。 他 列 舉 了 一 例 子 ： 某 公 司 在 保 安 事 宜 上 似 乎 絲 毫 不 漏 ， 但 卻 在 未 進 行 加 密 的 情 況 下 ， 將 所 有 重 要 資 料 傳 送 至 印 度 ， 交 由 一 間 不 知 底 蘊 的 公 司 處 理 。 結 果 ， 他 們 回 收 這 些 資 料 時 仍 未 加 密 。 他 說 ： 「 他 們 應 該 慶 幸 ， 在 毫 無 保 護 措 施 的 情 況 下 ， 沒 有 人 複 製 這 些 資 料 ； 但 是 ， 亦 有 可 能 有 人 已 經 複 製 資 料 ， 只 是 他 們 尚 未 察 覺 而 已 。 」

綜合計劃

保 安 專 家 強 調 ， 除 應 考 慮 保 安 系 統 應 付 兩 種 主 要 風 險 外 ， 保 安 還 應 成 為 任 何 大 小 電 腦 設 置 或 系 統 規 劃 中 不 可 或 缺 的 部 分 。

專 門 為 民 用 及 軍 用 客 戶 提 供 保 安 解 決 方 案 的 英 法 科 技 公 司 Thales E - Security 亞 洲 區 業 務 經 理 朱 偉 年 說 ： 「 企 業 從 一 開 始 便 應 在 系 統 中 加 入 保 安 措 施 ， 而 不 應 耽 於 時 日 。 」

他 續 說 ： 「 企 業 可 透 過 採 用 兼 顧 技 術 及 人 為 要 素 的 綜 合 解 決 方 案 ， 去 抵 禦 外 來 及 內 部 心 懷 不 軌 的 員 工 造 成 的 威 脅 。 」 他 說 ： 「 保 安 措 施 應 融 入 IT 系 統 ， 時 刻 肩 負 記 錄 企 業 至 個 人 層 面 使 用 系 統 的 責 任 。 」

朱 偉 年 道 ： 「 保 安 系 統 的 設 計 十 分 重 要 。 設 計 完 善 ， 則 用 戶 要 求 的 改 動 便 可 減 至 最 低 ， 不 會 影 響 正 常 的 業 務 運 作 。 電 腦 保 安 顧 問 可 以 幫 助 企 業 規 劃 及 部 署 符 合 其 日 常 業 務 運 作 ， 且 能 有 效 降 低 各 種 風 險 的 綜 合 系 統 。 」

保安難題

保 安 系 統 能 夠 既 方 便 又 安 全 ， 固 然 最 理 想 ； 但 要 實 現 此 目 標 並 不 容 易 ， 若 系 統 涉 及 金 融 交 易 尤 其 困 難 。 每 每 有 報 章 報 道 互 聯 網 欺 詐 、 網 上 信 用 卡 詐 騙 及 駭 客 攻 擊 得 逞 的 案 件 時 ， 企 業 便 紛 紛 採 用 更 高 效 的 保 安 措 施 － 即 使 系 統 會 為 用 戶 帶 來 不 便 ， 然 而 ， 網 上 交 易 的 買 賣 雙 方 對 此 似 乎 並 無 怨 言 。 正 在 開 發 中 的 若 干 最 有 效 技 術 ， 雖 然 不 符 合 簡 明 易 用 的 原 則 ， 卻 勝 在 保 安 效 果 十 分 理 想 。

不 久 前 ， 專 營 電 腦 保 安 系 統 的 美 國 公 司 Authentify 憑 網 上 金 融 交 易 保 安 系 統 屢 獲 獎 項 ， 足 以 預 示 當 前 業 界 的 理 念 及 日 後 發 展 趨 勢 。 Authentify 採 用 多 項 技 術 ， 包 括 聲 音 識 別 技 術 ， 及 根 據 收 款 人 交 易 時 提 供 的 電 話 號 碼 進 行 「 回 撥 」 的 安 全 系 統 。

Authentify 亞 太 區 董 事 總 經 理 Robert Soden 說 ： 「 我 們 提 供 多 元 素 的 認 證 解 決 方 案 。 」 他 說 ： 「 安 全 識 別 一 個 人 的 身 份 包 括 三 個 元 素 ， 只 要 利 用 此 三 個 元 素 ， 便 可 確 保 任 何 交 易 的 安 全 性 。 首 先 是 『 您 所 知 道 的 事 情 』 ， 即 用 戶 賬 戶 資 料 。 其 次 是 『 您 所 擁 有 的 物 件 』 ， 亦 即 只 有 您 本 人 才 能 提 供 的 指 定 電 話 號 碼 。 最 後 是 『 您 自 身 的 一 部 分 』 ， 對 此 我 們 採 用 聲 音 生 物 認 證 。 倘 無 法 適 當 確 認 上 述 三 個 元 素 之 一 ， 則 不 能 完 成 交 易 。 」

人為要素

毫 無 疑 問 ， 愈 來 愈 多 企 業 在 處 理 內 部 保 安 問 題 時 ， 會 採 用 多 元 素 存 取 保 護 措 施 ； 但 對 於 其 他 問 題 ， 便 仍 使 用 簡 便 或 更 廣 泛 的 解 決 方 案 。 美 聯 銀 行 ﹙ Wachovia Bank ﹚ 保 安 服 務 部 副 總 裁 和 國 際 保 安 領 袖 Paul Bonny 認 為 ， 員 工 是 關 鍵 所 在 。 雖 然 他 不 否 定 攝 像 機 、 警 衛 和 新 技 術 的 功 效 ， 但 他 相 信 ， 最 終 的 解 決 之 道 ， 應 在 公 司 內 部 建 立 信 任 的 環 境 。

他 說 ： 「 人 是 充 滿 智 慧 。 任 何 有 不 良 意 圖 的 人 ， 總 會 設 法 避 開 企 業 所 部 署 的 監 控 技 術 或 系 統 。 只 要 多 動 腦 筋 、 富 有 創 意 ， 便 可 避 開 多 數 保 安 措 施 。 」

他 說 ， 多 數 內 部 盜 竊 和 欺 詐 並 非 由 審 計 人 員 或 警 方 發 現 ， 而 是 由 公 司 同 僚 發 現 舉 報 。

他 說 ： 「 倘 若 企 業 制 訂 了 包 含 行 為 操 守 指 引 等 一 連 串 政 策 ， 並 假 設 每 位 員 工 都 不 諳 其 道 ， 則 有 可 能 防 止 罪 案 。 企 業 亦 必 須 保 護 舉 報 者 ， 並 制 訂 一 套 方 便 對 舉 報 者 所 報 告 的 事 項 進 行 審 慎 核 查 的 制 度 。 畢 竟 ， 並 不 是 每 一 個 舉 報 的 個 案 都 是 真 實 的 。 」

隨 著 IT 使 用 和 電 子 商 貿 的 發 展 ， 電 腦 犯 罪 日 益 普 遍 ， 保 安 措 施 仍 是 主 要 問 題 ， 同 時 亦 是 業 務 中 不 可 或 缺 的 部 分 ， 且 會 不 斷 演 變 。 保 安 系 統 開 發 人 員 會 設 計 出 更 完 善 的 產 品 和 解 決 方 案 ， 但 就 目 前 而 言 ， 商 界 的 最 終 用 戶 似 乎 應 承 擔 更 多 責 任 。 IT 保 安 應 是 當 前 的 重 要 問 題 ， 亦 是 每 個 企 業 不 可 或 缺 的 部 分 。