在這裡,談一下關於人類不知道以及不想讓別人知道的事物:神祕(mystery),祕密(secret),機密(confidentiality)。
所謂的「神祕」,是指我們人類窮盡一切辦法也無法知道的事物。因此,「神祕」並不在資訊安全範圍內。
由於基因架構的限制,人類只能感知到三次元,推論到五次元,超出這個範圍,人類完全無法感知、無法推論,那是只有神才知道、極度神祕的領域。
有些事物,在五次元範圍內,但由於人類目前能力的限制,就算看到了,也不知道那到底是什麼東西。這種事物,就算完全攤開在人類面前,人類窮盡一切辦法也無法知道那到底是什麼,因此,是屬於神祕的事物。但將來,人類若能建立起相關的能力,就能予以解讀。
「祕密」和「機密」則是關於我們不想讓別人知道,但別人若是願意並且能夠付出足夠的時間和資源,就有辦法知道的事物。因此,「祕密」和「機密」在資訊安全範圍內。
在這裡,所謂的「祕密」,是關於自己知道但不想讓別人知道的事物。
有些事物,你希望別人永遠不知道,永遠保留在自己心裡或甚至遺忘,那麼,不講出去、不寫下來,與你一起進到棺材裡,是保有這些「祕密」,最好的方法。
有些事物,你不希望別人知道,只有自己知道而且不能忘記,例如:密碼,那麼,記在自己的腦海裡,是保有這些「祕密」,最好的方法。
如果你怕忘記,那麼,把它記錄在媒體(例如:紙)上,然後藏起來,是一個好方法。如果你怕別人找到這個媒體,知道這個「祕密」,那麼,用加密的方式把它記錄在媒體上,然後藏起來,是一個值得嚐試的方法。
如果你使用電子裝置來記錄「祕密」,要小心你的「祕密」是否會經由網路傳到雲端裡。把網路關掉或使用沒有網路的裝置,是保有「祕密」的比較保險的方法。
人類有探知別人「祕密」的天性,人類也有洩露「祕密」的天性,不管是有意或無意。「祕密」越多人知道,就越容易洩露。
有些「祕密」,你希望只有某些人知道,其它人不知道,那就要使用複雜的控管機制。這個控管機制可能是某些方法的組合,例如:身份識別、密碼、加密、封閉性網路、門禁管制、使用紙張記錄而不使用電子裝置、資通訊安全程序等等。
在這裡,所謂的「機密」,是關於工作方面的事物,這些事物只有工作團體的成員可以知道,其他人不可以知道。
由於希望只有工作團體的成員可以知道「機密」,其它人不知道,所以就必須使用上述的複雜的控管機制。
「祕密」和「機密」的確保,基本上,涉及有效性、效率和成本。
例如,如果想要密碼能夠有效,這意味著要讓別人很難猜出來,那就要使用好的密碼,例如:文、數字以及特殊符號的組合而且要夠長,這意味著你要花比較多的時間和腦筋把它記下來,也就是成本比較高,而當要使用這個密碼時,你也要用比較多的時間把它打進去,也就是效率比較低。
由於不同的事物,對個人或團體,可能有不同的重要性,因此我們對它們不會一視同仁。
對於不怎麼重要的事物,我們大概不會願意付出成本和效率,來確保「祕密」或「機密」。當然,對於高度重要的事物,我們就比較願意以成本和效率為代價,以求能有效確保「祕密」或「機密」。
但是,千萬不要忘記,對於「祕密」或「機密」,別人若是願意並且能夠付出足夠的時間和資源,就能有辦法知道。所以,我們可能要想一想,我們的「祕密」或「機密」,萬一被別人知道了,我們要怎麼辦?
例如,在你要把你的裸照放到雲端上時,你最好先想一想,萬一你的裸照被洩露出去時,你要怎麼辦?
《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》
l 如果你是高階經理人,你如何讓企業和ICT(資訊和通訊科技)的策略和目標結盟,以提升企業的競爭優勢?你應該作成哪些與ICT相關的決策,而不會讓ICT花費大筆的預算,卻達不到你想要的結果?
l 如果你是資訊長,你如何擬定ICT的策略和目標,與事業單位溝通,建立ICT組織,扮演好ICT的角色,以提升企業的競爭優勢,而不會被批評為只是花錢的單位,毫無貢獻?
l 如果你是資訊部門經理,你如何根據企業的ICT策略和目標,建立相關的流程和組織,例如:服務要求管理流程、意外事件管理流程、異動管理流程、資訊安全管理流程等等,並且據以實行,以達成ICT目標?
l 如果你是系統、網路、應用軟體管理、設計、開發、操作人員,你如何將自己從技術人員提升到管理人員,對企業整體的ICT基礎建設及其管理有一個全面的了解,從而提升自己在公司的地位?
l 如果你從事於資訊服務業,你如何管理本身和顧客的ICT基礎建設、如何擬定合理的價格、如何與顧客談判服務水準並且擬定服務水準協定(SLA)?
龍山顧問所出版的《資訊和通訊科技基礎建設管理系統(Information and Communications Technology Infrastructure Management System, ICTIMS)》書籍和相關服務,能夠提供上述問題的解答、滿足你的需求,詳情請參考龍山顧問公司網站http://www.longshine.tw/。
