iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 28
1
Security

為了明日的重開機系列 第 28

為了明日的重開機-27(Ethics)

幾年前,因為我對Allen做的事,被他發現後,他把我臭罵一頓,就消失了,怎麼會出現在我們公司?

「小菜鳥還是小菜鳥啊,兩年過了,怎麼都沒成熟一些? 沒事就搞滲透和入侵? 」

『要你管,你以為你誰啊?』我很害怕跟他講話,他在看我的眼神,像是把我看透一樣...從小到大,讓我最害怕的,就是站在他旁邊,跟他說話......兩年前,我那赤子之心,被他狠狠的修理後的傷口,到現在都還沒復原,我怕這個人...

「你在這間公司上班? 那你知道,你們公司的營運項目是? 公司全名是?」

『我...我們是ICBM啊, Internet Content Believe Monitoring,公司全名......』這好笑了,怎麼沒人跟我說過,公司全名?

「所以形容你是小菜鳥,不為過吧...領了幾個月的薪水,卻不知道公司全名和營運項目...唉...所以,我來告訴你吧。」

告訴我什麼?『等下啦,你怎麼會在這? 你怎麼進來的? 我們有設保全、也有密碼鎖...』最近這幾天,發生的事,已經讓我不知道該如何判斷了...

「ICBM,你們做的是ICBM沒有錯,但是,應該是...ICB?M(Internet Content Believe? Monitorig),在那個Believe後面,要多加一個問號。

另外,你們公司的全名是...
有錢集團附屬有錢銀行備援中心,簡稱...有錢中心或有心...

你每天工作,監控的是有錢銀行備援中心的資訊設備,這樣清楚了嗎?」

我剛才都聽到什麼了...

『你當我是三歲小孩嗎? 我為什麼要相信你?』

「三歲? 大不帥哥,我怎麼可能把你當三歲小孩? 你不是還停留在四歲嗎?

你該不會認為,我像電影一樣,剪掉保全線路,破解密碼鎖之後,才走到裡面來的吧? 那些畫面,都是電影內容好嗎?」

『就...就算你說的都是真的,你在這幹嘛?』

「清理戰場啊,你看不出來嗎?」

『真好笑,那來的戰場?』

Allen 聽完後,手往牆上的螢幕指過去...「看到沒,戰場就在那。」

那不是我們這兩天去的有錢銀行機房嗎? 那裡怎麼是戰場? 不過,就這幾天發生的事情,用戰場形容,也算合理...

『那我們的敵人是誰?』

Allen好像沒聽到我的問題,一直望著螢幕裡的...Asuka? 完了,他該不會也要向我翻舊帳吧?

「你們不是還有幾個小時,我就告訴你吧。」

『啊? 哦哦...』

「那是一個,熱島效應很嚴重的夏天,我背著打草機,站在大馬路的安全島上,用打草機整理著安全島上的草...」

『等等等等...為什麼你要在安全島上打草?』

Allen 看了看我...「工作啊,不然你這四歲的小孩,要養我?」

好煩,這人真的很煩...『然後呢...』

「為了降低台灣的失業率,我參加了政府降低失業率計劃,就是去做臨時工,每天的工作內容是打草之類的,日薪800元台幣,俗稱800壯士。

那一天,很熱,背著打草機,望著四處飛的草,忽然看到一個身影,在我前方,對我招手...

一開始,我不想理會那個身影,我怕我進度不夠,領不到那天的800元,十幾分鐘後,那個身影還固定在那,這時候,我不理會不行了...」

『為什麼? 你不是要那800元嗎?』

「因為...再30公分,我的打草機,就會打到那個身影了...我只是想領800元日薪,不想表演奪魂鋸啊...你懂嗎?」

這個人,除了煩,還很討厭,真的很討厭。

(待)

如果,對於資訊安全,只限定於「程式」「資料庫」「網路」或類資訊設備,那離「資訊安全」的實質內容,其實還有一段距離。

在ISO27001 及 CISSP的內容中,都有針對「資訊機房」做出相對應的解釋,在台灣常見的,就是像「進入機房要換證件」、「進入機房不準帶什麼什麼東西」,等等的規範,都是在確保「機房安全」,為什麼呢? 如果某間機房「燒掉了」「停電了」,這間機房的資訊設備裡,有再多防毒軟體、入侵偵測系統,都沒有用吧? 要如何使用呢?

有個親身的案子,在某桃園市的某單位,他們有間機房,進入機房那一層辦公室,要換一次證件。要進入機房時,需要再換一次證件,並留下身家資料,另外需要有專人帶進機房,要離開時,也需要有專人去開門。

這些都是好事,因為廠商進進出出,誰知道誰是誰...

但,如果您是這層辦公室,工作人員的家屬,例「小孩」,您要進入這層辦公室,只要在辦公室門口按個鈴,就有人開門,不需要換證件,進入這層辦公室後,想去那就去那...

後來問了一下,原來...他們的資訊安全政策-機房管理的部份,是委外廠商進入機房之管理辦法,適用對像不包括「員工家屬」...我們去做事,有時要等待超過30分鐘,才能進到機房裡。但只要是他們的小孩...30秒就進去了,這到底是什麼狀況呢?

保全系統,很重要,有多重要呢?
如果某組織的保全系統,可以讓我在非工作時間,進入到某組織的電腦中心,拔走重要的硬碟...多好,根本不用學入侵技術,也不用努力的去滲透..

警察大學,保全系統應用課題之探討。
網址:http://www.lcis.com.tw/paper_store/paper_store/seminar-20-2015424235946562.pdf

2017年11月16日-賣場遭竊60萬保全不理 店家控「無良保全」
網址:https://tw.appledaily.com/new/realtime/20171116/1242607/

2014年,iThome-保全系統保安不保隱私?駭客入侵監視器讓隱私全都露
網址:https://www.ithome.com.tw/pr/91243

2018/01/15 SunAllen


上一篇
為了明日的重開機-26( Security Operation Center)
下一篇
為了明日的重開機-28(Third-party security assessment)
系列文
為了明日的重開機34

尚未有邦友留言

立即登入留言