所謂「日防夜防,家賊難防」,企業的網絡保安做好對外防禦,但如果內部的網絡保安程序不足,保安策略便形同虛設。根據研究報告所得,大多數企業出現的系統保安問題,皆發生在公司內部,不少更是由於公司員工疏忽所致。
近日,一位朋友氣急敗壞的致電筆者,說出了他的擔憂。這位朋友是一間企業的負責人,他向筆者說他發現有下屬在電腦內安裝了不明來歷的軟件,朋友懷疑是所謂間諜程式(spyware)或者adware,害怕影響整間公司的系統保安,還向筆者查詢spyware等會否透過網絡監管到其他員工(包括朋友本身)的一舉一動。朋友的驚惶失措,筆者完全理解。筆者促請他要堅持公司內部管理,嚴禁員工安裝非法軟件,並且要裝上防毒軟件,這些已經可算是萬全之策。
所謂間諜程式,就是一些用者也不知道存在,但卻安裝在電腦內,並且會監視用者一舉一動的電腦程式。間諜程式的存在形式很多,不少更潛伏於adware之中,有些更是與部份免費軟件一同存在,例如divx播放軟件或peer-to-peer檔案下載軟件。理論上,間諜程式可以記錄用者輸入的每一個鍵,包括密碼,並可以將之轉送給第三者,令用者蒙受損失。據統計,過去3年內網上間諜程式的數目增加了13倍,換言之,你身邊處處都可能是間諜。
其實,要杜絕間諜程式,方法很簡單,就是不要貪心──不要下載一些「非一般」的軟件,尤其是一些功能強大但免費的軟件。不過,要一般電腦用戶做到這點殊非容易。
筆者曾於某公司短暫工作,並使用該公司一名已離職員工的電腦。開啟電腦後,筆者發現電腦內安裝了不少並無必要的免費軟件,除了整天為筆者獻上一些沒頭沒腦的網上廣告外,該電腦也大有被間諜程式監察之嫌。為求安全,筆者只有盡力將看得到的軟件清除,但看不到的,就不知能否根除。
說到底,一切都要由習慣做起,做好網絡保安,資訊科技教育也應加入這一項。資訊科技教育並非只是學懂用多少種軟件,建多少個網頁;知識型經濟下真正的知識工人(knowledgeworker),要知道「網絡安全」四個字。
侯聯貴電郵地址: