企業員工的基本資安觀念

Updated : 2005 年 10 月 20 日

作者: 賴榮樞
http://www.goodman-lai.idv.tw

企業資訊安全的重責大任當然是在資訊部門同仁身上,但是企業的資訊安全無法光靠資訊部門的同仁,員工對企業資安的維護也有責任與義務;想想看,員工下班前都得鎖好公司大門或設定保全,同樣的,員工在使用電腦、網路、及相關資訊,當然也有維護資訊及設備安全的責任與義務。

員工若有正確的基本資安觀念,就更能理解企業所公佈的資安措施(或許也更能體會資訊部門同仁的辛苦),不過一般員工大多欠缺這方面的觀念,而且可能也沒想到要主動充實這方面的知識,因此資訊部門除了擬定、執行企業的資訊安全策略,也必須將正確的資安觀念灌輸給其他部門的同仁,但灌輸絕非填鴨,應該以適當的形式、對方能夠理解的講法,才能收到效果。因此我將在本文試圖以最淺顯的文字,描述基本的資訊安全觀念,讓企業的資訊部門能以本文作為訓練的基礎,或以本文作為參考。

本頁內容

基本原則與觀念
資安威脅的侵入方式及解決之道
資安威脅的種類及解決之道
網路應用越普及、資安觀念越重要

基本原則與觀念

沒有人會故意不鎖家中大門,也會在就寢或外出前將門窗鎖好,甚至再額外花錢安裝保全設備、請保全人員定時巡守,目的就會為了維護居家安全,以免宵小盜賊來犯。同樣的,使用者也應該為連上網路的電腦做好正確的安全防護,因為網際網路上的「宵小」也不少,而這些宵小所可能帶來的危害,預計也只會有增無減。

別讓有問題的資料進入電腦,也別讓不相干的人操作電腦

設計全世界最安全電腦的最簡單的方法,就是將電腦束之高閣:不允許用任何方式將資料傳入電腦,也不允許有人可以操作這部電腦(當然還要防止老鼠咬壞電腦、防止電腦因為潮濕或氧化而損壞)。當然,這絕對不是好方法,而且這只是個玩笑話。但實際上,這個玩笑話卻也提示了相當重要的電腦安全防護觀念:別讓有問題的資料進入電腦,也別讓不相干的人(尤其是陌生人)操作你的電腦。

每個人都有可能在資訊不明的情況下做出錯誤的動作

縱使在資訊清楚的情況下,每個人都有可能犯錯,例如無心的手誤或晃神;然而在資訊不明的情況下,犯錯的機率又大為提高。因此正確且清楚的資訊及觀念,是資訊安全防護的首要。

養成安全防護的好習慣

本文會提供許多資安防護的建議,這些建議往往會造成使用者的不便,而讓使用者不想遵守、或者在無意之間忘了這些建議。但千萬別因為不方便就放棄這些資安防護的建議,因為方便與否往往只是「習慣」問題;應該沒有人會覺得將鑰匙帶在身上是一件不方便的事情,就將鑰匙插在汽車上。而現實的情況也經常是因為使用者的習慣太過於「隨便」,才導致電腦遭到安全的威脅。好習慣無法在一朝一夕養成,但是要養成不良的習慣的確真的非常容易。

行文至此,文中已經出現多次「威脅」(threat)這個字眼。所謂的資訊安全受到威脅的意思,是指資訊安全已經籠罩在陰影之下;也就是說,員工所使用的電腦系統及其資料,已經有可能被竊取、損毀。雖然資訊安全受到威脅,電腦系統及其資料也只是「有可能」被竊取、損毀,但這已經表示資訊安全亮起紅燈了,使用者必須要有所動作了,否則等到資料被竊取或損毀往往就已經來不及了。雖然有可能僥倖而過一劫,但面對「安全」這種議題,還是別抱著投機的心理,因為再好的手氣也有用完的時候。

資安威脅的侵入方式及解決之道

在網路還不普及的年代,資訊安全的威脅就已經存在了,但是因為網路提供了無遠弗屆、跨越實際地理限制的特性,並且也提供了越來越快的連線速度,使得網路也成為資安威脅的超級大通路。

但是請切記,網路並非造成威脅的唯一方式,只要是能夠讓資料進出電腦的管道,都有可能造成威脅入侵或資料外洩的後果。因此舉凡網路、磁碟片、光碟片、隨身碟,如果是筆記型電腦,可能還搭配了無線網路(802.11a/b/g等)、紅外線、藍芽,都是可以讓資料進出電腦的管道。

直接入侵

要避免被直接入侵,可以設定不容易被猜到的系統密碼,以防止君子進入系統竊取資料,也可以將電腦鎖在安全的地方,以防止小人將整部電腦搬走。此外,也可以對重要的資料檔案加密,不論君子或小人就算取得加密的檔案,也無法得知檔案內容。

何謂「資料加密」?吳宇森導演的電影「獵風行動」中,二次大戰的美軍在賽班戰場以美洲納瓦荷族原住民語言,創造出日軍無法破解的密碼,就是資料加密的典型例子。當美軍要藉由無線電傳送軍情時,為了避免軍情被日軍得知,先請熟悉納瓦荷族語言的密碼官將英文軍情翻譯成納瓦荷族語,再以無線電送出,就算日軍截到也因為不懂納瓦荷族語而無法瞭解內容。而美軍收到無線電軍情之後,再由同樣熟悉納瓦荷族語言的密碼官將納瓦荷族語的密文回譯成英文。

實體媒介入侵

如果將資安威脅透過像是磁碟片、光碟片、隨身碟(或者是iPod)之類的資料儲存媒介,稱為實體媒介入侵。千萬別小看這些小東西,因為這些往往小東西是讓人遺忘的漏洞。因此有些公司甚至會將這些東西列為管制品,目的就是為了避免機密資料由此外洩,或者是藉此造成資安威脅。

網路入侵

收發電子郵件、瀏覽網頁都有可能造成資安威脅,甚至只是開機連上已經受到資安威脅的區域網路或網際網路,也有受到資安威脅的可能。本文以下將詳述資安威脅的種類。

資安威脅的種類及解決之道

在專家的術語裡,企圖突破電腦系統防護的行為,就稱為「攻擊」,因此不論攻擊的目的、背景或方法,發動攻擊的人就稱為「攻擊者」;因此攻擊者就是製造或散播資安威脅的人。

惡意軟體

攻擊者會利用各種技術來達到攻擊的目的,其中又以「惡意軟體」為最常使用。惡意軟體的英文是malware,是malicious software的複合字,它泛指一切不懷好意的程式。以下是幾種現今常見的惡意軟體:

  • 病毒(virus):依附在正常程式的一小段程式,並且就像生物界的病毒一樣,具備潛伏、繁殖、觸發、執行等特性。而當病毒進入執行階段,往往也就開始竊取或破壞使用者資料,甚至損毀系統而造成無法開機。

  • 巨集病毒(macro virus):根據美國國家電腦安全協會的統計,巨集病毒目前已佔所有電腦病毒總數的三分之二。這是因為巨集病毒容易寫作,並且依附在諸如Word、Excel等文件而容易讓使用者失去戒心。

  • 蠕蟲(worm):蠕蟲的行為和病毒非常類似,但是病毒會依附著「宿主」程式,但蠕蟲不需要宿主;蠕蟲就像一條藉由網路的爬行而會傳染其他電腦的蟲。

  • 特洛伊木馬程式(Trojan Horses):這個名稱是取自特洛伊戰爭當中,久攻不下的希臘人不懷好意送給特洛伊人的那匹大木馬。特洛伊木馬藏著希臘士兵殺進特洛伊城,而特洛伊木馬程式則會依附在正常的程式,當使用者執行偷偷附著特洛伊木馬的正常程式,特洛伊木馬就會悄悄的攻擊者所賦予的任務,例如偷偷的監控使用者行為,而發現使用者在登入線上遊戲時,將使用者所輸入的帳號和密碼藉由網路傳回給攻擊者。特洛伊木馬程式也稱為特洛伊,或稱為木馬,它與病毒的差別,是特洛伊木馬並不會自我複製。

  • 僵屍(Zombie):僵屍是一種會偷偷藉由網路來控制其他電腦的程式,而且常常命令被控制的電腦來發動攻擊。也就是說,攻擊者不用自己的電腦來發動攻擊,而是找個替死鬼來發動攻擊,以免東窗事發被抓到。

要避免惡意軟體的攻擊,最具體的作法就是在執行之前辨識出惡意軟體,並且不要執行;而這項任務可以交給防毒軟體。安裝合法的防毒軟體,並且不要開啟來路不明的檔案,將可以有效降低惡意軟體的威脅。目前的防毒軟體都具備即時偵測,並且隨即阻隔惡意軟體。但最重要的是,使用者必須保持防毒軟體的更新狀態,以阻止最新的惡意軟體。

此外,使用者不應該開啟來路不明的檔案。例如許多攻擊者會利用將惡意軟體夾在電子郵件的附件,並且在郵件主旨打上驚聳的句子:「xxx的裸照」、「可以掃除yyy病毒」、「最新zzz更新檔」。如果收到這類的郵件,千萬別因為興奮就急著開啟附件,這類的郵件往往都夾帶了惡意軟體。而如果系統安裝了防毒軟體,大多可以阻隔這些惡意軟體。

軟體漏洞

軟體在開發之初,可能因為忽略了資訊安全的細節,而隱藏了軟體漏洞,而這些漏洞可能會被攻擊者利用,並且合併利用上述的惡意軟體來發動攻擊。雖然沒有任何廠商敢保證其軟體產品絕對沒有漏洞,但是只要保持軟體修補的更新狀態,將可以降低軟體漏洞的威脅。

Windows雖然偶有軟體漏洞,但所幸微軟也經常修補Windows的漏洞,因此使用者應該保持Windows系統的更新狀態。目前的Windows XP等軟體都提供了「自動更新」的功能,只要開啟這項功能,最新的系統更新檔案就會透過網際網路送入使用者的電腦,這可以有效的修補軟體漏洞。

此外,只要是軟體,都有可能隱藏了漏洞,因此如果軟體提供了自動檢查、下載更新檔案的功能,都建議應該開啟這項功能。如果軟體廠商提供了更新檔案的通知電子報,不妨訂閱以瞭解最新情況,或者也應該定期的瀏覽官方的網站。

阻斷服務

「阻斷服務」(Definition of Service)也是攻擊者經常發動的網路攻擊,這種攻擊相當類似抗議天王柯先生用過的「癱瘓總統府電話總機系統」:在一段時間內,以大量的電話撥入總統府總機,讓總統府的總機線路都佔線,而真的有事情要撥到總統府的民眾就會因為線路都佔線而得不到服務。

舉例來說,攻擊者在一段時間將大量的搜尋服務要求送入某個搜尋網站,整個搜尋網站會被這些假的服務要求而佔滿,無法提供服務給真的需要搜尋服務的使用者,網站甚至有可能會因為不堪負荷而當機。

攻擊者甚至會利用前述的僵屍程式,同時控制上百上千台電腦對某個網站送出服務要求,這種稱為「分散式阻斷服務攻擊」(Distributed DoS)的作法,會造成更大的殺傷力,例如使用者的電腦可能被當作攻擊者之一,而導致電腦無法正常運作,被攻擊的網站除了無法正常提供服務之外,往往也會因為不堪負荷而當機,甚至還可能會癱瘓某個地區的網路。

對一般的使用者來說,應該先避免自己的電腦被質入僵屍程式,才不會成為分散式阻斷服務攻擊的幫兇。而使用者為了避免自己成為無聊之徒的阻斷服務攻擊練兵對象,可以安裝防火牆,而企業也應該設置適當的防火牆。

網路釣魚

「網路釣魚」(phishing)這個字源自「飛客」(phreak)和「釣魚」(fishing),意指利用「社交工程」(social engineering)來騙取任何帳號、密碼的行為;而進行這種行為的人,即稱為「飛客」。

社交工程是利用人際關係以及人性弱點來獲取資料的行為。這的確是一項專業的技術,但其內容與方法與電腦技術完全迥異。舉例來說,攻擊者可以利用「暴力破解」或「密碼字典」等電腦技術來破解某個系統的密碼,然後登入系統。也可以利用偷、拐、騙的方式,直接從某個使用者口中套問出密碼;這就是社交工程。

將phishing譯成網路釣魚並不恰當,因為在網際網路還不流行的時候,飛客早已出沒並趁機騙取個人資料,因此phishing並不一定需要網路,也可以透過電話。

甚至,之前曾經有過的案例,是以偽造的提款機擷取使用者的金融卡資料及密碼;或者在無人銀行門口的讀卡機裝上測錄機,再在提款機上加裝針孔攝影機盜拍使用者所輸入的金融卡密碼,這也是phishing。

目前常被用作網路釣魚的手法,有偽冒知名網站或金融機構寄發電子郵件作為釣餌,藉以騙取帳號密碼,另一種常見手法則是偽造正牌的網站,例如讓使用者連上假的銀行網站輸入帳號和密碼。不論哪一種手法,網路釣魚的攻擊者都會以偽造的釣餌來引誘獵物上鉤。

要避免被phishing,就得仔細留意對方到底是不是正牌。銀行客服人員打電話來詢問資料,別急著告訴他,還是自己查詢並回撥銀行電話比較妥當;而銀行當然要時時檢查電話箱沒有被夾線。收到詢問密碼的郵件千萬別急著回答,可以電話洽詢客服人員查證;也應該盡量避免經由不明網頁或電子郵件連到要輸入帳號和密碼的網站。

而且按照一般的作業程序,任何公司或網站應該都不會以電子郵件主動詢問客戶的帳號或密碼,只會客戶在需要登入、使用系統時,要求客戶輸入,因此遇到詢問帳號、密碼的時候,一定要提高警覺。例如仔細檢視電子郵件的寄信者,以及網站的網址。千萬別因為一時的疏忽,而被歹徒詐騙了個人機密資料。

網路應用越普及、資安觀念越重要

電腦與網路的應用都越來越普及,許多人已經不只在公司使用電腦,也會在家裡使用電腦。然而,不論是因為工作還是娛樂的理由使用電腦,也不論是終日掛在網際網路上,還是偶爾連線收收電子郵件,隨著電腦與網路的越加普及,來自網路的威脅就越加嚴重。因此,電腦網路的安全防護常識,就像居家防盜防賊一樣的基本且重要。

使用者應該謹記在心的是,網路可以是企業對內或對外傳遞資訊的快速通道,但也有可能成為駭客進入企業的方便之門。因此當我們享受網路所帶來的便利時,只要能多一點正確的資訊安全觀念,並且確切的落實這些觀念,就能降低駭客入侵的機會。整個企業的資訊安全除了仰賴資訊部門擬定適當的安全策略、購置有效的資安產品,並且正確的設定以發揮作用之外,企業員工在使用電腦、網路時,也務必依循企業所制訂的準則規範,面對資訊安全,千萬不可抱著投機的態度。

顯示: