訪客的安全防護

◎魯明德

　　在新的一年開始，一個風和日麗的早上，科技新貴小潘代表公司參加電電公會的參訪團，至新竹科學園區某製造面板的科技廠參觀；在該公司大廳集合時，負責接待的小姐，就在每位來賓的智慧型手機鏡頭上貼了一張貼紙，

同時宣布參觀全程禁止拍照，所有活動的照片都由公司專人負責拍攝並於事後轉寄給與會來賓。

　　經過一早的震撼教育，小潘終於見識到高科技公司對資訊安全的防護作為，真是滴水不漏啊！再回想自己的公司，同樣也在做研發，但似乎並沒有管制得如此嚴密，於是，決定在這個月的師生下午茶約會中，跟

司馬特老師請教關於公司訪客的資訊安全問題。 　　在下午茶時刻，小潘一見到司馬特老師，就把當天參訪的過程巨細靡遺地敘述一遍。司馬特老師靜靜地聽完小潘的敘述，也提出自己的看法。一般人思考資訊安全，

直覺地就是想到駭客入侵、系統中毒的問題，其實這只是資訊安全的一小部分；我們要面對的問題，往往不是那麼單純、容易。而訪客是一種令人既愛又恨的人物，任何企業都不可能阻止防客進入；但是，有時候訪客的無心揭露，

可能造成公司機密資訊的外洩，產生不可收拾的結果。小潘聽到這裡開始迷惑，訪客怎麼會洩漏公司機密呢？

　　司馬特老師從小潘的眼神看出他的疑惑，喝口咖啡後繼續說下去。訪客來公司參訪，屬於公司公關活動的一環，一方面展示公司的產品與研發能量，一方面進行置入性行銷，提升公司的正面形象；

但這兩件事之間，存在著目的性的矛盾。公司的行銷、公關活動，主要目的是讓參訪者在了解公司的產品後，能產生交易、創造收益，給訪客看的是已上市的產品，其機密性較低；而研發能量的展示，

除了會看到研發設備、技術等能量外，一些正在研發中的產品，也可能在展示中曝光，讓競爭對手發現公司正在研發的方向。

　　為了維護公司的機密，在規劃訪客參訪的過程中，就要先考慮動線的規劃，不要經過可能會洩密的地點；如果無法避免，可以把要展示的產品，另外找個展場集中放置，不要讓訪客進入機密場所。其次，

由於目前智慧型手機普及，在資訊安全的維護上，智慧型手機很可能就是資訊安全的一大漏洞；由於智慧型手機都具備照相功能，且具備大量的記憶體，很容易就可以拍到很多資訊。

　　而麻煩的是訪客並不知道那些東西可以拍、那些東西不能拍，一旦拍到不該拍的機密設施，透過社群網站讓競爭者看到，公司的研發方向可能因此洩漏，甚至造成商機的損失。

　　小潘聽到這裡，終於深一層地體會出面板廠對訪客的管制作為。但是，維護資訊安全的作為，除了把手機的照相機鏡頭貼上貼紙外，還有什麼要注意的呢？

　　司馬特老師喝口咖啡，針對這個問題繼續說明。每批訪客到公司來，都有他們特別的目的，既然事先就已知道來訪的目的，接待人員對於參訪行程的安排，就要特別設計，不能一招走天下，

要對不同的參訪目的安排不同的參訪行程。參訪行程的規劃應盡可能地避免讓參訪者看到正在研發中的技術或產品，以減少洩密的機會；當然，將手機的照相鏡頭貼上貼紙，其實也只是一種治標不治本的方法，

因為既然能貼上去，也就能偷偷地撕下來，所以在參訪的過程中，除了在歡迎儀式中宣導公司的資安政策，請訪客配合外，在參訪行程中，還要安排工作人員隨行，隨時制止訪客的不當行為。

　　當然，訪客為了留念都會希望有照片做為紀錄，公司的公關人員可以事先安排拍照的位置，由公司統一替參訪者拍大合照，甚至於個人照，再寄給來訪單位的窗口，就可以賓主盡歡了。

　　聽完司馬特老師的一番說明，小潘發現生活處處都是資安，連公司的訪客都會涉及資訊安全問題；回去之後，也要思考公司在這方面應該怎麼預防。師生下午茶約會，就在濃濃的焦糖瑪其朵香味中結束。

（作者為科技大學資訊管理系講師）

摘自清流月刊104年1月號