2016年1月13日 星期三

淺談「PC-cillin密碼管理驚爆漏洞」

據〔iThome 2016-01-12〕報導:「趨勢PC-cillin密碼管理驚爆漏洞,防毒軟體恐成PC遭駭幫兇,Google專家直批荒謬任何惡意網站,可以利用趨勢防毒軟體密碼管理功能的這個漏洞,來執行本地端的任何指令,甚至暗中下令刪除硬碟資料都可以。」see more

趨勢PC-cillin「密碼管理通」的這個漏洞,不僅顯示其產品設計荒謬,專家甚至建議找資安顧問來稽核其產品,而且我想恐怕連整個管理系統都有問題,也應該找管理顧問來診斷其整個管理系統。

然而,在這裡,我並不想討論趨勢科技的失敗及其應該如何自救,而是討論我們一般人應該相信和依賴資安產品和服務到何種程度。

事實上,我是趨勢PC-cillin的長期使用者,已經使用N年的PC-cillin,而且也使用過「密碼管理通」這個產品,但是老實講,我並不相信這些產品和服務能夠保護我的資安到什麼程度。

在這裡,我必須強調,我不相信資安產品和服務能夠保護我的資安到什麼程度,這句話並不只是針對趨勢科技,而是包含所有的資安公司。

那麼為什麼我還是要購買並使用PC-cillin這個資安產品?簡單一句話,求個心安而已,希望在我被動、不小心或無意間遭遇到資安狀況時,PC-cillin這個資安產品碰巧能夠保護我的資訊安全。

身為一個善良的、一般人的ICT產品的使用者,我不會主動去存取任何的高風險網站。如果由於任何的原因,你必須去存取任何的高風險網站,那麼你就不應該希望任何的資安產品能夠保護你的資訊安全。

如果你是一個重要人物,那麼你也不應該期望僅僅依賴任何的資安產品,就能夠保護你的資訊安全。重要人物的資訊安全,僅僅依賴資安產品是不夠的,而是一個有效的資安系統和意識才能夠確保。

我使用過「密碼管理通」,主要是貪圖方便,因為記一大堆的密碼很麻煩,但我不會把重要的帳號和密碼放在「密碼管理通」裡面,因為我不相信它會很安全。同樣地,我也不會把重要的帳號和密碼記錄在網站裡,因為我也不相信它會很安全。

在這個駭客到處橫行的時代,重要的帳號和密碼,最好還是記在腦袋裡或記在紙上,雖然很麻煩,但比放在電腦、手機或雲端裡,要安全得多。

《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》

l 如果你是高階經理人,你如何讓企業和ICT(資訊和通訊科技)的策略和目標結盟,以提升企業的競爭優勢?你應該作成哪些與ICT相關的決策,而不會讓ICT花費大筆的預算,卻達不到你想要的結果?
l 如果你是資訊長,你如何擬定ICT的策略和目標,與事業單位溝通,建立ICT組織,扮演好ICT的角色,以提升企業的競爭優勢,而不會被批評為只是花錢的單位,毫無貢獻?
l 如果你是資訊部門經理,你如何根據企業的ICT策略和目標,建立相關的流程和組織,例如:服務要求管理流程、意外事件管理流程、異動管理流程、資訊安全管理流程等等,並且據以實行,以達成ICT目標?
l 如果你是系統、網路、應用軟體管理、設計、開發、操作人員,你如何將自己從技術人員提升到管理人員,對企業整體的ICT基礎建設及其管理有一個全面的了解,從而提升自己在公司的地位?
l 如果你從事於資訊服務業,你如何管理本身和顧客的ICT基礎建設、如何擬定合理的價格、如何與顧客談判服務水準並且擬定服務水準協定(SLA)

龍山顧問所出版的《資訊和通訊科技基礎建設管理系統(Information and Communications Technology Infrastructure Management System, ICTIMS)》書籍和相關服務,能夠提供上述問題的解答、滿足你的需求,詳情請參考龍山顧問公司網站http://www.longshine.tw/


沒有留言:

張貼留言