這篇列為日記這個分類是因看了這則新聞有感而發, 並不是什麼有用的情報。
以政府部門的那種態度, 資訊安全不過是個口號而已, 只是另一個消耗預算的錢坑而已。
不要說政府部門那些大家口中的長官不懂電腦, 其實, 在很多單位的資訊室或資訊部門內所謂的資訊人員也是不太懂電腦的。上班時間上網站抓小遊戲就算了, 最慘的是小遊戲中有後門被種了都完全不知情, 這種資訊人員能對資訊安全有什麼做為?
更甚者很多時候網站被入侵, 資訊人員根本就毫不知情, 等到知道時都是好幾個星期後的事了。不過, 知道了他們也不能怎麼樣, 頂多是打打電話叫廠商的人員設法處理。只要一遇到有什麼資安的檢核, 就是臨時做做假樣子, 反正只要網站沒事就 OK, 反正上面的也不懂。
另外, 我一直深信「安全 = 1 / 方便」, 因此對於政府機關在內部發包資訊系統一直強調的單一簽入 (Single Sign-On) 頗不以為然。在我眼中, 那也不過只是個資訊單位為了突顯自己有在做事的一種手段而已, 很多的資訊單位跟本連什麼是單一簽入都不懂, 只因為這個名詞很熱門就要求承包廠商要做到, 以突顯自己單位的績效。
最後, 外交部或其它單位被入侵列為最高機密我看就免了吧! 套句同事的話: 應該列為最高機密的是「負責政府機關資安的顧問,都是白痴。」才對!
No comments:
Post a Comment