上次聽到某些教授,還有政府機關的人,大談資訊安全政策的限制多嚴格,而且難以改變,多麻煩,有多安全,有多複雜,要通過層層檢驗才能存取網站,「提醒」說要去確認此事,順便批一下若網站放到政府網路之外,有多麼不安全,無法保障使用者的資料,有多麼隨便...
這些事情我都覺得很好,政府做這些規則,不外乎是因為政治因素而構成的資安防火牆,防堵不想公開的訊息。不過這些「提醒」我的人,不論教授好,政府承辦人、教師,偶爾碰一下就覺得懂極了資訊安全...
我一定得吐槽一下,政府單位中的資訊中心,知道是多安全的人把關呢?結果... 政府單位沒人,只好外包,外包廠商要衝業績,只好趕鴨子上架,丟一本書給負責系統管理工程師(大學 or 研究所剛畢業沒多久),從沒碰過Unix/Linux like的系統,說一週內要學會管理...
然後我們偉大的資安政策,被一個剛畢業甚至稱不上MIS的人管理...
然後就出現最高系統權限的密碼是1234。
好一個嚴格的資安政策,好一個痛批放在外部網路不安全的封閉世界...
結果一切都是為了鬥爭和顯示自己的強項而已。