去年在一次的機會中,我看到一家正在推動ISMS(ISO 27001)認證的公司,在會議室的桌上放了一個小立牌。上面寫了一些有關資安的標語,以及其資安的目標。其中一個目標是「每個員工每年至少接受30小時的資安相關訓練」(時間我忘記了,不過那不是重點)。看到這句,我當下的反應是笑了出來,這家公司找的顧問是不是太混了點。
首先,這句話應該是評量的指標,而不是目標。目標指的是你的目的,但是我實在不知道哪一家公司的目的會是讓員工受訓。所有公司進行員工訓練,就算不是希望透過加強本質技能以有效進行工作上的任務,至少也是滿足遠足員工追求成長的心態。如果真是為了受訓而受訓,那公司倒不如把錢拿去丟在許願池還可以許不少願望。
有一部多年前的片子,至今我看過許多遍,可說是百看不厭。片名是Crisom Tide,中文片名叫做赤色風暴。片子由兩大男星(Gene Hackman及Denzel Washington)在一個狹小的空間(潛艦)飆戲,除了演技也沒甚麼可以看的了。故事內容是說一艘潛艦在一次受到敵方攻擊的意外中,接收到了上級傳送一半的指令。而面對敵人的威脅,潛艦內兩位最高軍階的軍官(艦長跟Lt. Commander)因為意見相左,而產生了嚴重的衝突。當Lt. Commander將艦長制服並加以軟禁時,只要求了艦長交出一把鑰匙。這把鑰匙有甚麼作用,它是用來啟動核子武器的。但是,光有艦長的鑰匙,其實並不能啟動核子武器,還必須同時擁有Lt. Commander身上的鑰匙才行。這樣的一個機制我們稱之為Two-Man Control,通常是用於需要高度安全的任務上,必須同時讓兩個或多個擁有權力的人同時執行才能生效,以避免(減少)產生人為弊端。對軍方而言,核子武器的使用,是一件極為重要的事情。稍有不慎,不只賠上國家的形象,更有可能引爆毀滅性的報復或是大規模的戰爭。另外像是銀行的金庫,也可以使用Two-Man Control這樣的機制,進一步確保有價物品的安全。
除了這些以外,有些加密機制或系統也利用了類似的概念,分別由兩個人擁有一個解密的金鑰(或密碼)。而必須同時輸入這兩組金鑰(或密碼),才能夠加以正確的解密或是進行系統的存取。當然,這樣的機制因為造成使用的極不方便,所以一定是要施行在需要高安全性的任務上。除此之外,這兩個人與兩個物品(如開啟核子武器的鑰匙或是解密用的金鑰)更要嚴加慎選,以免讓機制失效。例如挑了兩個”麻吉”或是利害關係完全相同的人來執行,不但不能防止弊端,反而可能加速弊端的產生。而如果兩個物品容易被取得,那麼跟只用一個物品就可以執行沒有甚麼太大的差別,甚至比不上許多只用一個物品加以保護的系統。
這幾年NAC的話題性熱度越來越高,相關的產品也越來越多。從Cisco、Extreme Networks等網路設備廠商,到Symantec、McAfee等防毒軟體廠商,大大小小的廠商陸續推出NAC產品,只為了搶得商機。
NAC的主要目的包含身分與網路資源存取管理、資安政策的落實以及避免遭受0-Day的攻擊。不過以0-Day的攻擊而言,NAC其實並不是一個很有效的管制方法。簡單說來,NAC就是為了確保(內部)網路環境的安全。跟傳統上為了保護內部網路而佈署的防火牆或防毒牆等設備是不一樣且互補的。換句話說,NAC正是因為內部管控議題的延燒而受重視,而且不只是技術面的問題,更是管理面的問題。
