RSA舊金山論壇現場直擊

要能達到端對端信任必須要有各方面的參與及配合，因為IPv4本身並不是一項安全的通訊協議，要能夠徹底建置安全網路架構，首要項目就是IPv6的推動，藉由IPv6原生的高安全性及內建的加密機制，才能夠確保傳輸路徑上的安全性。

其次是員工本身的認知，要加入安全措施，使用者就必須要多加上幾道手續，必須不厭其煩的輸入密碼或啟動相關程式。這些步驟或許繁瑣，但資安漏洞往往就是在這些小地方發生。

資安不是單一環節的問題

過去有許多企業認為只要加強閘道端的安全設備與架構，就能確保內部網路的安全，現在已經證明這項論點是錯誤的，因為去年各家廠商或單位的調查報告都指出，事實上目前大多數的資訊安全攻擊都是從內部發生的。

因此在這樣的情況下我們必須重新省思，早期那些資安架構與設備，是否真的能夠因應現在高度行動化及服務多樣化的工作環境，許多專家都不斷強調，資安疆界已經由網路邊界遷移到用戶端設備上，如果企業還停留在「防禦城門」的思考模式，那麼間諜就有可能從不受防禦的後門入侵。

正如同(ISC)2聯盟委員Howard Schmidt所言，資安不是單一設備可以解決的問題，而是技術、人員及政策互相結合之後，才能夠有效提供安全的資訊平台。

技術不是資安唯一解決之道

有許多人會認為資訊安全只需要仰賴各種防護設備就可以完成，但這樣的想法失之偏頗。因為產品雖然可以提供部分的防護工作，但這些都僅能防護外來竊賊，如果使用者自己的習慣不當，或是因為無心之過，打開方便之門供駭客或竊賊進入，再好的防禦措施都沒有用。

Garnter副總裁暨傑出分析師John Girard便表示，許多終端防禦解決方案只是為了協助或強制使用者避免一些壞習慣，例如軟體或病毒碼更新，如果使用者都有正確的使用態度及習慣，應該會減少許多資訊安全上面的問題，特別是在目前無線及行動網路越來越普及的狀況，更應該要留意自己的行動裝置是否會有安全漏洞。

俗話說：「道高一尺，魔高一丈」，這並不是表示駭客或攻擊者一定比較厲害，而是任何防禦一定都會有其漏洞產生，在資安領域中，要體認到的是不可能有「完全防禦」，因此只能盡力減少風險，才能夠讓受攻擊時的損失降低到可接受的程度。

概念完善才能減少風險

在本次論壇中有超過200堂以上的課程，或許很多人會以為主要的課程都集中在產品技術上，其實並不然，純粹討論技術的類別僅有加密學、駭客與威脅、認證與存取控制、無線網路及通訊標準等項目，其他諸如商業營運趨勢與影響、法律規章或是個案研究等類別，都是偏重在商業營運的項目，講者也非如同想像的都是廠商上台發表。

RSA Conference已經不再充斥著關在象牙塔裡面研究演算法的數學狂，近年來更多的是西裝筆挺，希望能夠確保企業營運安全，同時保障客戶服務不受影響的企業家。

不過人太汲汲於一件事情時，往往就會被自己的執著所蒙蔽，沒辦法從更宏觀的角度去看待其他相關事物，在資訊安全領域中，這往往是造成下一階段問題的開端。「從營運流程看待問題，會比從解決方案找問題簡單，」黃惠美如此表示，「頭痛醫頭，腳痛醫腳是沒有辦法根治資安問題的。」特別是主管企業資訊部門的人員，如果沒有足夠的資安概念，就沒有辦法仔細分析問題所在，這時候除了想辦法找外援之外，就只能聽著廠商天花亂墜的廣告形容詞，不到實際測試都不會知道是否真的能夠解決。一點小問題都因為這樣曠日廢時的處理，而釀成大病。

因此資訊部門主管應該要將自己拉到更高的角度，盡力瞭解商業營運與資訊架構的整合性與其相關點，確保重要關鍵點服務正常，這樣才能保障一切營運順利，不能僅顧著伺服器或其他資訊設備不放，而不問世間大小事，認為只要設備正常，企業營運就會順利。