【專家主場】形外佳興 ─ 公共區域 Public Areas
今早好天氣,一望出街,成群人在低頭捉怪獸。Neo 諗,乜個遊戲仲未死咩?我家對出的地方,平時少外人,但也算係 Public Areas – 公眾地方,原則上屋邨沒有理由趕人走。
前一陣子幫個客寫 Security Policies,寫到差不多,忽然問我:喂,你有沒有考慮 Public Areas – 公共區域嘅 Security 呀?我反問,Public Areas 嘅 Security 唔係保安局以及香港警察負責嘅咩?佢話,大佬,我係講緊企業入面果幾十萬呎地方,平日 D 巿民行出行入,近乎冇掩雞籠,但係有好多 IT 設備,咁要唔要管呀?
Neo 想,Industry Practices 果堆 Physical Security 多數講數據中心、內部辦公室嘅保安要求,講到明,為了保護敏感的數據資產。所以,對於數據中心,設備不可隨搬走;閒入不可隨意進出;不可飲食;要有防火防水後備電力 CCTV 等…以上這些,皆是對數據中心保安物理上的嚴格要求。Neo 想起,以前細個去銀行,我同櫃枱靚姐姐的交流,要透過一道手動活門,講話要透過前面防彈玻璃幾個窿,簡真係 Silence of the Lambs 入面 Jodie Foster 同 Anthony Hopkins 講嘢嘅場面。
但係現今 IT 的趨勢,「內」與「外」、「你」與「我」的分界已越來越模糊,成街都係 IT,自身的領域與公司的領域打成一片,BYOD 就係一個例子。企業越來越親民,公共區域越來越多,但係絶對要管,因為有越來越多接駁企業的 IT 在公共區域中,例如開放式的服務櫃位及其電腦、詢問服務 Kiosks/Touch Screen Display、公眾上網電腦、兒童遊樂設備、智能 Robots,以至Wi-Fi 基站、牆身網絡插頭、USB Ports…皆要暴露在民眾之前,其獸性可升可跌(去過機鋪打機者必知),所以,必須有適合的 IT Security Policy,去保護這些無助的設備及網絡。而且,有別於數據中心的物理保安,呢 D 公共區域的保安,要完全按照該處的業務情況、所處環境、群眾特質等去確定,很難有一個絶對標準。例如,大學的 Campus Areas、醫院內的等候地方、博物館的展區,皆屬公共區域,但係他們的 IT Security Policy 應該很不一樣。