2006年10月20日 星期五

資訊安全,人人有責?

(點擊圖片可連結影片)
公司常常會有資安宣導,網路安全教育真的有用嗎?有幾個人會認真的去了解網路安全的威脅?看了公司的資訊安全規範,也洋洋灑灑寫了12大項,在電腦病毒及惡意軟體之防範中,的確很難去教育一般的使用者什麼是網路釣魚,什麼是惡意軟體,什麼是木馬程式等等,一下子不能亂開Email的附件,一下子不能隨便上網,為什麼使用者在使用電腦還要去擔心會不會中毒,有沒有駭客入侵?這是IT人員的責任還是使用者的責任,真的是"資訊安全,人人有責”嗎?

Stefan Gorling說得也很有道理,他認為在公司裡面,所謂安全防護的工作,就應該屬於IT部門,而不是使用者。他表示,就好像會計部門專門負責處理財務報表與支出報表,而IT部分就應該處理電腦安全的問題。使用者要擔心的是他們的工作,而不是電腦安全。

就一定會有人去開啟來歷不明的電子郵件,就是有人會中木馬、傀儡、間諜、側錄的惡意程式,所以中毒的使用者就是該死,好像在路上被車撞到就是自已的錯,不應該隨便走在路上。

我們無法去控制使用者的使用模式,更難要求使用者能做什麼,不能做什麼,使用者也是毫無警覺直到電腦掛掉,站在使用者的角度,這時候就怪資訊人員沒有及時擋下病毒郵件,不然就是怪防毒軟體沒有自動更新。如果是資訊人員的角度,就怪使用者亂開啟不明郵件,沒有安裝防毒軟體。這種事永遠是沒完沒了,電腦掛了就是掛了,要不就是掃毒,要不就是重灌,還能怎麼辦?

解決網路安全問題會一直存在,除非每個使用者都變成資訊安全人員,難道不會修車的人就不能開車嗎?與其教會開車的人修車,不如提昇車子的品質,不要動不動就需要修車。


延伸閱讀:
安全防護:饒了使用者吧?
木馬和釣魚 使用網路心驚驚
Related Posts Plugin for WordPress, Blogger...