祝大家新年快樂!

去年的最後一天，朋友跟他的家人從美國過境台灣，雖然只有短短的八小時，前後扣掉出關，跟提早報到出境的時間，前後大概只有五個小時不到的時間，所以安排在桃園機場附近晃一晃，然去吃個晚餐，聊一聊就到機場離開台灣。原來是這樣安排….但我的結論是，機場附近真的連間像樣的餐廳都沒有，雖然我知道，最後一天出門，鐵定是人潮洶湧，只要是台灣人會去的地方，鐵定都會爆滿，這可能比鐵人賽發文更難上數十倍的困難，一定要帶些運氣成分才行。

總之，算是有點安全落幕，但今年有個功課，就是想找找看不要離機場太遠的餐廳、景點… 至少讓遠道而來的朋友，能夠安安靜靜坐下來，好好喝杯咖啡，好好聊一聊的地方! 對桃園機場附近，我實在太陌生了!

以下，我們根據行政院所提供的「資通安全稽核外部稽核(自我評審)表」之內容，繼續8.36的分析。

八、通訊與作業管理　（資訊及業務單位）
8.36對於採用語音、傳真及視訊通訊等設施進行資訊交換，是否訂有保護控制措施？

說明：此項說明一個重點：1.資訊交換是否有保護控制。

過去我所工作的地方，跟國外聯繫的方式，就是透過skype召開多方視訊會議，最常見的問題就是，通話有時會忽大忽小，或是出現延遲的狀況，所以公司會請外部廠商針對這個問題，提出改善，結果買了一堆設備，問題還是問題，尤其跟中國大陸子公司通話，可能是受限於對方頻寬(也花錢調高頻寬了)的關係，常常莫名其妙的斷訊，這問題真的是很難有解。

後來公司改用VPN，希望能透過第三方server能改善連線的問題，剛開始雖然有點延遲，但是尚在能容忍階段，只要不斷訊，其實都在能容忍階段。但又不幸的，中國又對VPN進行掃盪，結果，又沒得玩了!

上述是一個實務上的例子，我簡單提到下面幾個IT管控要點(僅作參考)：

1. 先弄清楚自己的內部的網路的伺服器到底能提供多少限制。
2. 再搞清楚其他子公司的限制。
3. 接著搞清楚每個地區的網路路由。
4. 掌握每個地區的流量限制之後，注意監控網路使用量和音訊通話紀錄，進行適當的頻寬管控。

接著我們回到資安面，就是如何預防資料交換的時候，保護公司的資訊。這個我試過很多方法，但實務面我覺得很困難，尤其現在手機很方便的情況下，這種保護有時根本是虛設。我們看前美國國務卿希拉蕊，把公家的Email用到私人信件上，這件事情，在美國總統大選期間，引發喧然大波，但這件事情，FBI、CIA這種單位，老實講，很早都已經掌握，但卻為何不第一時間就警告呢？那再往下探究，難道政府部門的資安單位也無法有效去制止嗎？

我想稽核單位再看這塊的時候，涉及的層面很廣，除非公司規定，所有的公司信件，都要經過檢查，不得公器私用，但手機拍照轉發出去，誰又能去檢查每個人的手機呢？這是否又涉及隱私的問題呢？

我再舉個個人例子，有年我向上級報告個人一些意見時，結果突然間接到資訊部的電話，要我不要一直使用FB，意思就是我上班都不上班，發表甚麼意見呢？我很清楚，人家已經在監控你了，這也不能說公司不對，公司有自己的資安政策，往後，公司的同事知道這件事情之後，全部改用手機3G連線，甚至有人還把筆電送去掃描是否有監控程式，甚至有人就不願意使用公司的筆電了。

因此，資安的防護，到底該做到甚麼樣的層級，我覺得還資訊部門還是要很明確的界定清楚，資訊部門這塊很多都未說明清楚，這才是比較大的問題。