最近經常接到企業單位網路遭到病毒入侵感染的消息,許多單位以為是透過檔案分享所造成的感染、擴散,但在經過分析了解後發現,此病毒的手法大多會先透過MSN傳遞一個釣魚網站的連結給使用者,當使用者點擊此連結後,網頁會出現一個視窗訊息,表示只要使用者輸入帳號、密碼,便可得知有誰封鎖了自己。
 |
| ▲奕瑞科技總經理張義淵 |
其實這個釣魚網站的目的主要在於騙取使用者的帳號、密碼,以便將釣魚網站發送給更多MSN的使用者,快速擴散。藉此可以發現,越來越多的病毒案例中,大多是透過MSN、P2P等類似軟體而散佈的,也因此,一些企業單位已經開始考慮,是否要限制員工在公司使用MSN或P2P等軟體,以嚴格控管對於公司內部員工在電腦和網路上的使用。
一般來說,在企業中,資訊安全的責任通常會全部歸屬到IT部門的身上,但自2008年開始,越來越多的惡意程式轉移攻擊目標,找上了對於資訊安全觀念薄弱的個人用戶或企業中採取開放態度的業務、行政等部門,而且這些部門一般都會認為,如果發生了資訊安全上的問題,只要找IT部門就可以解決。
這些情況導致IT部門除了維護系統正常運作的之外,還必須帶給非IT部門一個正確的資訊安全概念,但往往也在實際推廣時,常常與使用的便利性出現衝突,導致在資訊安全推廣上遇到一些困難與挫折。
事實上,資訊安全的維護與責任並不會只是一個簡單的IT部門維運工作。因為如果在企業中的任何一個端點遭到惡意程式入侵之後,不一定會產生系統異常的狀況,也許只是先成為犯罪網路中的一個節點。一但網路罪犯在完成犯罪網路架構後,即可開始利用這些原先部署好的節點進而採取行動。
我們現在也發現,越來越多的惡意程式會結合各式各樣的攻擊手法,製造系統異常的混亂。然而,當IT部門在處理這些系統異常狀態的同時,網路罪犯可能已經將木馬植入,並且開始進行資料的竊取,或者藉此做更多殭屍電腦的散佈,不斷擴大機器人網路以作為其他攻擊行動的跳板。
資訊安全,已經不再只是IT部門的負責管理範圍,而應該是企業或組織中的所有行政管理單位,必須共同達成的工作目標。資訊安全更應該是企業管理中,最重要的工作之一。因此,我們建議企業單位,若能成立一個跟所有部門平行的部門,或者是一個跨部門的單位,一起共同擬定資訊安全的政策及工作目標,相信電腦網路的安全就能夠更容易被達成,完成公司所期望達到的目標。
也許,未來在企業管理的訓練中增加一些企業資訊安全管理的課程,也是一個能夠推廣資訊安全管理的方法之一。