预测现在 安全策略新观点：防范于未然

　　预测现在-及时察觉早期的警讯　　Gartner　Group顾问McGee最近在其新作Heads　Up中提到一个相当不错的观念，认为我们无法真正预防未知的危险，只能尽力做好“预测现在（predict the present）”。作者认为出其不意的事件（surprise　events），是因为未能及时察觉早期的警讯，进而做出回应。灾害的发生，常常看起来很突然，但事实上是有迹可循的。通过一套系统的方法，持续地搜集、分析、监控企业营运的各项指标，从各项细微变化中查出各种可能危害企业经营的蛛丝马迹，以达到早期预警的效果，才是防止灾害的有效方式。　　　　辨认、验证-实施监控两个过程　　作者建议首先应该分析应该实时监控哪些信息，并将整个过程分为辨认（identification）以及验证（justification）两个阶段。“辨认”指的是辨认可能会导致灾害的各种相关事件，并订定指标及决定优先级。而“验证”则是指标的筛选。决定了需要分析的信息之后，时时监控这些指标的变化，并实时报告给适当的人员来做响应。作者并建议由最高管理层主导，将及时监控的系统扩展部署到整个企业中，并全面检查企业的流程，以改进企业做出回应的能力。　　　　作者提出这些观念及做法，主要是用在灾害的早期发现以及早期防范。在网络的安全问题上，更是适合。现今的网络安全政策，通常只着重在应变响应，并未考虑到早期防范。因此，当攻击事件一再发生时，大多数的企业与机构，都无法有效地做出响应。大多数的时间及资源，就只好花在灾后的重建了。网络的普及增加了企业的便利性，但同时也增加了其脆弱性，在一个e化的企业中，我们相信建立严谨的监控管理机制更是当务之急，尤其是建立在体制的健全化、平时的诊断、实时且持续的监控。单纯的应变响应，恐怕完全不足以阻挡各式各样、日新月异的网络安全问题。　　　　安全的精髓－防范于未然　　安全是个长久以来的老观念，相信没有任何一个企业或单位会认为它不重要。不管是实体上的安全、思想上的安全，或是维持企业持续经营成长的安全问题，均是企业营运的关键。　　　　今天，由信息技术的角度来说，“网络就是计算机”已经不再是SUN公司几年前提出的商业口号，而是发生在大多数人每天生活中的现象。从前计算机提供的运算能力（computing power）的角色已经被“沟通（communication）”所取代。今天大多数买计算机的人，都是为了上网或发送电子邮件，和朋友、同事等互通信息。一台没有连上网络的计算机，似乎已经不具有太多的价值了。　　　　随着计算机网络化的普及，网络的安全也随之上升到了一个相当重要的程度。换言之，没有好的安全管理机制，网络的发展与运用也将受到极大的影响，甚至面临不可预知的危机。对于众多的企业来说，网络已经是每天营运活动中不可或缺的一部分了。而内部网络和外部网络之间的界线，也越来越模糊。企业必需借助网络，不断地和客户、供货商、合作伙伴等作沟通及交流。一旦网络停摆，对于企业可能造成的损失，是相当惊人的。网络的安全和其它的安全问题有时候更是无法分割的。例如，愈来愈多的罪犯，利用网络的相关技术，进行财务上的诈骗、偷盗等犯罪行为；而在911事件这样的恐怖攻击，或是网络上的全球感染攻击中，唯有能够继续运作的企业，才能持续不断地提供产品及服务给他们的客户，维持客户的忠诚度，而不让客户投向竞争者。事实上，企业的持续及稳定运作，已经成为竞争力及重要的一环了。尤其在全球化的浪潮下，委外制造、共同开发等各种合作方兴未艾，各国企业之间往来频繁，互相依赖的程度极深。当企业在选择合作伙伴时，能不受安全事件的影响，持续及稳定运作，成为考虑的必要条件。　　　　在这样的状况下，越来越多的企业开始思考如何更广泛地提升运营安全。由一次又一次的攻击事件中，人们渐渐地了解到，单单对攻击做出响应，是不足以有效地防止攻击的，因为响应的时间往往太晚，灾害早已发生。在几千年前，中国的黄帝内经就已经提到：“圣人不治已病治未病，不治已乱治未乱……夫病已成而后药之，乱已成而后治之，譬犹渴而穿井，斗而铸锥，不亦晚乎。”许多人都有这样的想法，也因此，有些人致力于预测未来可能发生的攻击或灾害，作为现在行动的依据，但效果并不好。在911事件之前，有谁曾经想到，恐怖分子会挟持民航机，作为攻击的工具呢？因此，“预测未来”并非真正有效。相对地，建立一套“早期预警”系统（early　warning　system）以防范于未然，才是比较有效的一种方法。