搜尋此網誌

2009年4月27日 星期一

有才無德或有德無才?

說到人才,有一句成語叫才德兼備,表示一個人除了具備專業的才能之外,也同時擁有高超的品德。這樣的人才,我想就算不是可遇不可求,至少也是萬中選一。所以,我們通常只能退而求其次,包含兩個選擇,有才無德或是有德無才。在商業的環境中,再怎麼簡單的工作,都有一定的”專業”需求,所以有才無德自然便成了大多數情況下的選擇。或者,用一個比較不那麼武斷的說法,品德在商業的環境下,往往不是受重視的要求,甚至有時候違反道德的事情變成了不可說的常態。

然而隨著專業分工越來越細,很多特殊的角色都有其道德的責任。這樣道德的要求,不僅要求對於工作如此,更包含了對社會大眾的責任。嚴格來說,每個職業都要他的職業道德必須遵守,但是對於掌握特殊資訊的職業,其道德要求相對更高。例如律師、醫師,乃至於政治人物,都應該有其道德要求與素養。除此之外,資安從業人員、IT人員、及近來興起的隱私長 (CPO),因為掌握資訊時代的重要資訊,其道德重視程度也越形增高。甚至在去年底的一份調查結果顯示,道德已經成了企業找尋IT人員最重要的考量因素。除了前述的原因,另外一個原因就是經濟衰退造成職場的不穩定,近而產生了更多監守自盜的行為。

前一陣子發生遊戲公司GM監守自盜的行為,就是忽視道德要求下所產生的問題。一般而言,GM在遊戲公司不算是很核心的職務,簡言之不是薪資最高、福利最好的一群,所以對於其人力素質的要求也相對較低。但是如果因此忽略其所掌握業務與資訊的重要性,可能就會產生莫大的風險。除GM之外,其實很多公司的資料庫管理者也是有類似的現象,這些人擁有全公司所有的數位資訊(因為目前大部分的數位資訊都是儲存於資料庫),但是卻不是掌握公司核心業務或技術的人員,所以公司也就往往忽視這些人的存在。這些現象的根本原因在於公司從業務的重要性出發,而不是從風險的角度出發,所以忽略了很多原本應該注意的人事物。 公司針對這些具備高風險的職務,應該訂定相對應的道德要求。包含事前的背景調查、良民證、客制化的工作契約、適當的監測/管理機制,都是可以採用的措施。

另一方面,一些專業的證照近來也越來越強調道德的規範。雖然聽起來似乎有些高調,甚至可能淪於空談,但是我個人認為其重要性絕非一般。雖然對業者而言,用契約規範是比較保險的做法。但是畢竟法律的約束只能算是達到最低的要求,唯有自律才能造成雙贏的局面,而這就需要專業人員對自我的道德要求。所以,有德無才有時(如果不是往往)對業者而言或許是比較好的選擇,而身為專業人員的我們,就”只好”設法成為才德兼備的人才了。

相關連結:

2009年4月22日 星期三

2009 台北國際資訊安全科技展

今年的資安展地點,由往年的世貿一館移到了南港展覽館。除了因為捷運尚未通車造成的往返不便,南港展覽館本身跟周邊的環境,還真是一整個差。不過畢竟這是國內安全產業的最大展覽,參加人數還是維持不少(當然跟Game Show或3C展還是差了十萬八千里),而且研討會的場次也是維持一定的量。

往年參加廠商的數量,資訊安全相關產業比例就偏低,多是實體相關的產業,其中又以監測設備最為大宗。今年的狀況依舊,甚至有過之而無不及。從展場的平面圖可以看到資訊安全相關業者攤位所佔的面積只佔了一成多的比例,最大那塊淺綠色的區域則是監測設備廠商的單位。

資安展的廠商,大多數是老面孔,不過也有一些著名的廠商沒有參加。賽門鐵克、Blue Coat是比較大的攤位,另外中華電信也有參展。除此之外,這一兩年引起極度話題的(網站)應用程式安全的相關廠商與研討會,在會場則是另外一個無法忽視的部分。我特別看了一下作程式源碼安全檢測的廠商,包含 Parasoft、Fortify與阿碼科技都有參展,但是攤位不大也沒有什麼佈置。或許可以推論為源碼檢測在國內不但過去推行上並不順利(或者說沒有很大的利潤),而且廠商短期內對國內這個市場也沒有很大的信心。當然還有一個可能的原因,那就是老闆利用景氣不好這個萬用理由希望減少費用支出。

此外第一天我參加了三場的研討會,內容都是圍繞在網站應用程式的安全,主講單位則包含阿碼科技、F5、與關貿網路。阿瑪科技的內容訴求與表達方式,我認為是其中最明確且有說服力的。就像攤位的佈置一樣,阿碼科技雖然只有小小的一塊,但也不是光放幾張DM就了事,至少維持了一定的風格來引起注意。之間執行力與企圖心的差異馬上顯而易見。當然,這並不表示我認為阿碼科技的產品或服務就是最好或最值得信賴,但是至少不是那種打帶跑的廠商可以比擬,這通常也是原廠跟代理商之間的差別。如果你對源碼檢測有興趣,我之前有一篇相關的文章可供參考 - Gartner研究報告:靜態程式安全檢測,唯一可惜之處是原始報告對象並沒有包含阿碼科技。

以應用程式安全的議題來看,源碼檢測乃至於SSDLC應該是很重要且根本的解決方案,但是看來在推廣上其成效似乎與該議題受到的重視程度有一定的差距。我想原因之一或許是因為大家習慣用之前防火牆的概念來看待這個問題,認為只要想辦法檔或管制資料的傳遞的就可以了。另外在部署防火牆(包含網站應用程式防火牆 WAF)的難度上,也比其他方案容易多了。因為源碼檢測除了要會用工具,還要知道怎麼修改,也要教育程式設計師怎麼避免重複同樣的錯誤。而對SSDLC而言,更是會影響到整個軟體開發的流程,影響層面之大與廣,再再增加導入的難度。但是這是這類廠商無法避免的痛,光有產品並不夠,如何協助客戶導入是必要之事,甚至往往比產品本身更為重要。難度高通常也表示導入成本高,在大環境景氣不佳的這個時間點,似乎讓原有的挑戰更為嚴峻。也難怪乎阿碼科技今年的主題是由資訊主管規劃的角度去看待這個議題,而不是光講產品。其實以安全的角度來看,這種情形並不是一件好的事情,因為這是專屬於有錢人的玩意。但是安全的問題並不是大公司所獨有,更何況在以中小企業為主的台灣,更難讓這樣的概念與應用實際對整體環境產生足夠的影響。CMMI不推,通常不會產生甚麼新的問題。而SSDLC不推,系統大概就只能等著被玩爛。

第二天Fortify的演講,雖然有些文不對題,但是把源碼檢測該注意的事項倒是介紹的蠻清楚。至於翊利得的內容,比較像是EC-Council的課程說明會,對我來說沒甚麼不好,只是同樣偏題了。

 

展場平面圖,除了四樓外還有一樓的展場

P1010153

左下角一小塊就是資安展的部分

P1010156

Fortify代理商 - 叡揚資訊 - 的攤位

P1010183

Parasoft 的攤位

P1010194

阿瑪科技的攤位(依附在代理商),雖小但是至少有設計過

P1010212 

什麼!連思科 (Cisco) 的攤位都這麼陽春?

 P1010184

相較於資安廠商攤位的單調與平凡,監測設備廠商的攤位就有型多了

P1010174

這家監測設備的廠商展示了多個設想的應用情境,其中一個是賭場。而且看來是有辦活動的

P1010158

2009年4月19日 星期日

治本?治標?

雖然我有好一陣子因為私人的原因沒有更新部落格,但是對於前一陣子熱門的話題之一 – Conficker - 倒也是略有耳聞。相關的報導與分析已經多如過江之鯽,而且其真相到現在也還沒個譜,所以 Conficker 本身並不是我這篇文章的重點。我剛好看到另外一篇報導,內容是有關 RSA 與 IDC 分析師針對這類問題提出來的看法與見解。每個人本來就有自己不同的立場與看法,所以也不是說因為看法不同就提出質疑,我要探討的是文章中提到所謂”治本”這件事。

兩者都試著說明自己的意見才是治本的方法,因為治本感覺比治標好,而且大家通常對於治本也比較不會要求立即性的效果。再加上治本往往給人的感覺也比較有學問,所以不管對廠商或分析師而言都是很重要的一件事。有這麼好康的事情,大家當然是卯足勁證明(說服)自己的方法就是治本之道,只是基本上我認為對使用者而言這是沒有多大意義的事情。理由如下:

  1. 問題本身可能還有更深層的問題要解決,而這樣的情況會一直下去。所以針對淺層問題的治本之道,對深層問題而言就變成了治標的方法。嚴格來說,除非真的找到最基本的問題,否則一切方案都是治標。
  2. 資訊安全的基本問題很難被發現,或者說就算被發現也有很大的可能性是無根本解的。我們以前常聽到一個笑話是避免系統受到網路的攻擊,最根本也是最有效的方法就是把網路線拔掉。那要避免一個系統受到攻擊,鎖在保險箱是一個做法,但是很可惜保險箱也不是100%安全。而要保護資訊安全,不使用資訊(或避免資訊的存在)可能是最根本之道,這就是實體銷毀的概念。只是這個方法對不再需要的資訊有效,對還有利用價值的資訊明顯無法施行。這些問題再怎麼樣都比其他問題來的深層,治本之道有嗎?
  3. 就算真的找到了根本的問題,也有了治本之道,那就只管治本之道就好了嗎?幾乎所有人都同意教育是培養道德與守法的治本之道,但是現實環境中哪個國家沒有使用法律這類治標的方案來約束行為?甚至我們有所謂的亂世用重典,而不是亂世推教育。原因在於避免問題的擴散與減緩其影響,往往是最需要先被滿足的。治標與治本來就有不同的目的,而兩者之間的並行與配合,往往更能夠提升推行的效果。

所以治標還是治本對使用者來說並不是最重要的問題。問題還是在於找出組織現況以及預期的目標,據此找出差異與最急需加強的部分,然後導入C/P值最高的方案(Cost-Effective)。當然,我並不是說不要去考量深層的問題。只是這些深層的問題要不要解,要怎麼解,憑據的依舊是針對自我組織所考量的結果,而不是所謂的治本還是治標。

事實上,近一步來分析這個問題,廠商提出這樣的看法有兩個比較可能的原因。第一個是廠商確實抱持這樣的信念,也根據這樣的信念希望解決客戶的問題。這類的廠商我認為具備了職業道德,並不是惡意的出發點,而且也往往能幫客戶達到預期的效果。另一個原因是廠商因為希望導入特定的產品/服務,所以就編了理由來說服自己/客戶。這類的廠商的出發點就有很大的爭議,甚至最後能不能發揮預期的效果都有很大的疑問。如果你是使用者,治標還是治本,就當作是廠商或顧問立場的表達,除此之外就別太放在心上了。而如果你是廠商,你會怎麼選擇呢?

相關連結:

2009年4月18日 星期六

還在掃Key Logger!直接把電線拔掉吧?

Key Logger,簡單來說就是紀錄鍵盤打字的紀錄,這些鍵入的文字通常包含帳號,當然也包含密碼。Key Logger我們比較熟知的軟體的形式,可能是木馬,也可能是rootkit,只要它能夠記錄這些鍵盤的使用即可。因為問題的嚴重性,所以目前也有不少的產品可以用來偵測這類軟體的存在。此外也有一些其他的技術可以用來避免使用者敲擊鍵盤的機會,例如所謂的動態鍵盤。除了軟體之外,其實也有硬體的形式,其中有一種技術是偵測鍵盤連結線所散發的電磁訊號。而最新的偵測手法,則是利用雷射光的技術,將雷射光打到鍵盤上去偵測鍵盤的敲擊。這類技術最大的好處是成本便宜,而且在較遠的距離外就可以加以偵測,缺點是必須在目視的情況下才能加以進行(因為雷射光要目視的條件才能照射)。另外一種技術則是透過電力線偵測鍵盤的敲擊,而這技術所允許的距離更加遙遠,甚至可以在無法目視的情形下加以進行。惡意分子不需目視就可以進行偵測,也就表示被偵測的人無法看到對方,更增加了成功的機會。好在這個偵測方式目前僅能針對PS/2介面的鍵盤,算是不幸中的大幸,不然就真的只能把電腦關掉才能保護自己的資料了。

相關連結:

About