此次「花旗銀行網路申請信用卡疑似客戶資料外洩」震驚了台灣各界的事件,讓筆者想起在臺海兩岸的工作崗位上「一再呼籲、再三要求」的資訊安全作為。現就拿一般無專業資訊編組的中小企業來談談:
一、辦公室的個人電腦一律不得有「軟碟機、光碟機、燒錄機、數據機、USB插座、UPS不斷電系統」,若有:則一定即時拆除。若無:則添購電腦時,則因無須購買該等硬體設備而導致資訊化成本降低。因為該等硬體設備是資訊洩密的工具,而UPS不斷電系統係主伺服器的必備品而非個人電腦所急需,無須浪費金額購買。中小企業只需要視電腦總數再搭配一兩部電腦為全配備,採硬體共享方式即可。特別是由於數位器材的微小化,不管有心或無意,數位相機或攝影機,行動電話兼相機,隨身碟等都可以讓資料在不知不覺中無聲無息洩漏出去。
二、部分辦公室的成員「自私而進取的」心態作祟,導致將個人的文書、試算表、資料庫等資料「私訂密碼」,一但離職時如無法即時刪除,也要讓公司的相關人員無法開啟。因此每月統一訂定密碼發布執行,每日資料文員間電腦相互備份,若有主伺服器者可運用系統功能自動備份,相關電腦系統資料的保護,請見「附件一」。
三、「病毒偵檢軟體」的偵讀碼未能即時更新,導致無法及時發現最新的病毒、資料自動送出、駭客進入。
--------------------------------------------------------------------
想自行DIY辦公室e化而不求人者,請至本台台長的另一公益網站瀏覽:
網站名稱:電子豬腦
網 址:http://sunchaoyi.xxking.com/
--------------------------------------------------------------------
寫於2003年11月
大陸台商廠工作暨旅遊經驗談
http://www.wretch.cc/blog/sunchaoyi
附件一:
凡是上線 必留痕跡資料外洩 無聲無息
2003/11/12 聯合報 張瑞雄/東華大學資工系教授兼教務長
花旗銀行網路申請信用卡疑似資料外洩,雖然銀行宣稱是因外包廠商網頁設計出問題,只影響到「單一獨立」的活動網頁,層面有限,僅及於線上申請的新申請者,不涉及原有客戶資料庫,但此資料外洩事件難免讓人對於網路時代的資訊保密和資料隱私的保護喪失信心,再加上前一陣子金融卡的盜領和時常發生的信用卡盜刷,難道沒有東西是安全的?我們要怎麼活下去?
首先銀行應仔細檢查這個不安全的線上申請設計是否有應用到其他業務,例如股票開戶申請、信用卡紅利積點換禮品的申請等,或者其他國家或地區分行是否也有採用相同的系統。還有所有這家外包廠商所設計出來的東西,不管客戶是誰,是何種行業,都應仔細檢查評估軟體或系統是否有安全上的問題。
其實設計一個安全的系統,最重要的就是事前的資料使用分析,即系統有哪些資料,誰有權使用資料,在什麼時間使用,是有權輸入或讀取或改變資料。電腦系統資料的保護就像我們房間要上鎖一樣,例如假設我們有一個資料庫要保護,首先要決定房間要多大,如果房間太大(整個資料庫都可放入),雖然只要管理一把鑰匙,然一旦進入後所有資料庫的東西都能拿到。這次銀行的資料外洩事件可能就是這種情形,客戶可以看到自己的資料,因所有資料都在同一房間,也可以看到別人的資料。所以如果房間夠多,一間房間只有一個人的資料,那麼每個人都只有自己房間的鑰匙,進去後只能看到自己的資料,只有系統管理者才有主鑰匙,才能打開所有的房間,看到所有的資料。不過這樣系統要管理的房間和鑰匙很多,鑰匙還可以分成只能讀的,可以讀和寫的,可以讀寫和刪除資料的等等,可以想見系統複雜度必大大提高,其他方面出錯的機率也相對的大。
不過除了銀行系統外,我們也應關心其他電腦系統的資料安全問題,例如學校的學生檔案、醫院的病人檔案、各種公司的客戶檔案,和所有公家機關的人民檔案等資料,各相關單位都應好好保護。去年加拿大多倫多公衛局因電腦錯誤將四十二萬五千筆學童的疫苗接種記錄刪除,造成必須人工一一詢問補救回來,雖然沒有造成人命損失,所耗費的社會成本也夠驚人的。
由於數位器材的微小化,不管有心或無意,數位相機或攝影機,行動電話兼相機,隨身碟等都可以讓資料在不知不覺中無聲無息洩漏出去,例如在英國二手市場上的隨身碟竟然可以找到某醫院一百多筆的病人資料。所以在網路、數位化和電腦化包圍下,任何活動都會留下痕跡,我們只好審慎為之,不隨便上網填資料,必要時只選擇負責任且隱私權保護說明清楚的廠商。當然這樣絕對還是免不了個人資料的外洩,免不了垃圾(電子)郵件侵襲,除非我們選擇回到石器時代。
留言列表
