據最近電腦安全學院 (Computer Security Institute) 與聯邦調查局的報告，高達 70% 的機構曾發生電腦安全事故。最常見的當然是在郵件中的病毒，除了病毒以外，70% 未授權闖入系統的，是公司員工的傑作，而 95% 的闖入都涉及到財務損失。技術的進展固然提升系統的效益，也同時提升了闖入的功力。流行已久的一句話：「網路安全的防範，是一個沒有目的的旅程」，確是如此。

  大機構，尤其是高科技機構，安全是命脈，不惜花大錢建構安全的作業環境；但中小企業，就不得不在「投資多少才安全」上打算盤了。沒有安全裝置，今年僥倖沒出事，明年能不能再賭？安全出狀況的機率，不難估算，使用的系統愈多，與外界連繫的愈頻繁，中獎的機會就愈大；業務對系統的依賴愈高，出狀況之後損失也愈大。

  這幾年網上商務日漸蓬勃，大家也逐漸接受這種便利的方式，但相對的網上不速之客，活動型態也隨著改變，不再是以前遊戲般的闖入，留下「到此一遊」耍酷，而是竊取商務的密碼，然後以「正當」顧客姿態，跟你作商務交易，財物損失自然難免。

  網路普及，中小企不得不加入藉以提升營運，但在安全防護上要投資多少，才能把損失機率降至能承擔的範圍，就成了難題，也往往是投資軟硬設備時沒考慮到的。這好像以前建一個工廠，設計好生產部份，才想到還有環保的設施，有時候環保比生產設備花的錢更多。

  Gartner 是國際著名的資訊技術研究顧問機構，針對中小企業的網路安全提出幾項基本概念與做法，作為安全措施的基礎建設，基礎打好再往上建構，就容易多了。這幾項基礎建設是：

• 寫成條文的安全政策。明確規範員工使用網路的責任與正確使用方法，Gartner 估計，有 90% 的安全事故，都是利用沒有安全政策、或員工不導守安全規範的空隙入侵的。



• 電腦病毒的防範。病毒大部份藉著電子郵件傳染，郵件伺服機需採用有防毒功能的，當然個人電腦也要安裝防毒軟體。



• 防火牆的正確使用。與外界網路連接，必須加裝防火牆，作必要安全的設定。時間一長，大家若忘記了防火牆的確實功能，就要利用網上工具測試，發現漏洞立即彌補。



• 關了門還要關窗子。防火牆裝在大門上，大門固然安全，但企業常有小窗子對外開放，像是各部門為了便利，自行用撥接方式、或安裝 ADSL 上網。目前流行使用的 VPN 及無線區域網路，更為企業加開了窗戶。對從窗戶進出的人，要格外嚴加管制。



• 網站的安全檢查。網站伺服機直接對外開放，無論放在企業內部、或租用場地放在外面，都需設定廠商所規定的安全防範措施。電子商務式的網站伺服機，有資料進入，更需俱備偵測入侵者的功能。

  除了上面幾項，最重要的一項是人的因素。把密碼告訴別人，讓不適當的人看到不應該看的資料，或賦于不應有的功能，都是製造安全事故的根源。統計顯示，最多的事故來自機構內部，現職或離職員工或協力廠商的職員，利用工作的便利製造事端。

  沒有廉價的安全，沒有簡便的安全。安全只能用永續不斷的的勞苦換得。業界的一句彥語「九分汗、一分巧」，說的十分入骨。