搜尋此網誌

2013年4月22日 星期一

[從電影看資安] 資安也要背後靈,跟前顧後保安寧 - 12生肖

12生肖 (CZ12) 是由華人電影圈中極富盛名的犯錯動作男星-成龍-所自導自演的一部冒險電影,也號稱是他最後一部動作片。姑且先不論"最後"兩字的可信度是不是比"天下的男人都會犯同樣的錯"來得高,成龍在這部片中賣力依舊,讓人不得不佩服。
12生肖故事內容講述英法聯軍在與清朝政府的戰爭期間,搶奪了許多中國的寶物,其中原本放置於圓明園的12獸首,日後身價水漲船高,在拍賣市場中屢創價格的新高。也因為利益驅使,所以俠盜 (?) 集團首腦 JC (成龍飾演) 受到好友的委託,希望能夠代為尋找其他尚未被發現的獸首。而在這些失落的獸首中,象徵中國人的龍首,更是寶物中的寶物。有了目標,當然必須先收集足夠的情資,因此 JC 假冒成國家地理頻道的攝影師,前往拜訪專門研究12獸首的關教授,並趁機取得部分獸首的完整資訊。除了取得獸首的資訊,JC 更經由關教授的介紹,認識了女主角 Coco - 一個致力於促進各國國寶"回家"的小女生。就在一連串的胡鬧劇情陰錯陽差後,JC 一行人順利用假的雞首"換"到一個真品,但是 Coco 的弟弟也在過程中遭受奸商,也是 JC 的委託人所綁架。在面對利益與人命的衝突時,JC 想當然爾一定是選擇正妹人命優先。最後,JC 不但順利救出 Coco 的弟弟,還"順便"搶回了原本就一直在委託人手上的龍首,為亞洲飛鷹 JC 的冒險故事,畫下一個完美的句點 (還是逗點?)。
這個馬首的價格是6千9百萬美元,富豪的錢果然都不是錢。vlcsnap-2013-04-15-20h12m54s208
到別人家搶東西就算了,還拍照留戀咧。vlcsnap-2013-04-15-20h15m12s52
這個偷偷摸摸的人就是俠盜 (?) JC。vlcsnap-2013-04-15-20h17m04s186
JC 這次玩的是極限滑輪 (Extreme Rollerblading)。vlcsnap-2013-04-15-20h20m52s148
隨便說說自己是國家地理頻道的攝影師也騙得了人。vlcsnap-2013-04-15-20h22m53s73
教授也懂得拍馬屁。
vlcsnap-2013-04-15-20h23m06s206
關教授,算你還有點警覺。vlcsnap-2013-04-15-20h23m23s110
雖然 JC 的手勢跟關教授的表情充滿無限的想像空間,但是別想歪了,JC 想要摸摸獸首。vlcsnap-2013-04-15-20h25m01s92
反正都是假貨,隨便你摸吧!vlcsnap-2013-04-15-20h25m31s142
關教授還以為 JC 是怕弄髒獸首才戴上手套,真是一個傻B老實人。vlcsnap-2013-04-15-20h25m49s50
這可是高科技的3D立體顯影手套,西德最新產品,11萬美金一副。vlcsnap-2013-04-15-20h51m00s28
數據馬上就送到後端的仿冒工廠。vlcsnap-2013-04-15-20h26m15s76
再加上 3D 列印!?
vlcsnap-2013-04-15-20h27m11s131
馬上就變一個鼠首給你。
vlcsnap-2013-04-15-20h28m16s252
陰錯陽差間認識了一個古堡的女繼承人。
vlcsnap-2013-04-15-20h38m32s16
古堡女主人邀一行人前往參觀。
vlcsnap-2013-04-15-20h38m50s186
竟然把國寶雞首隨便擺放,果然太容易得來的東西都不會受到重視。
vlcsnap-2013-04-15-20h30m13s132
JC 當然不想放過眼前的肥羊,沒想到連正氣凜然的 Coco 都支持。
vlcsnap-2013-04-15-20h31m26s100
這次連手套都不用戴了,Coco 自願當內奸。
vlcsnap-2013-04-15-20h47m50s207
三兩下雞首就被掉包了,家裡太大果然不是一件好事,這麼多人瞎搞也沒被發現。
vlcsnap-2013-04-15-20h34m08s187
這個雞頭裡面藏的可是國寶雞首啊,但是鑄銅為什麼可以飄在空中?
vlcsnap-2013-04-15-20h39m42s201
在電影12生肖中,關教授因為對 JC 所冒充的攝影師掉以輕心,所以導致 JC 可以輕鬆取得獸首的資訊,並進而做出山寨版的獸首。在組織日常的運作中,也常常會面臨到招待外來訪客的情況。外來訪客不一定真是所謂的客人,也可能是協力廠商的維護人員。身為 IT/IS 人員,如果沒有確實遵守必要的作業規範 (如限制可攜帶的物品),並在需要時陪同在側,那就可能產生很嚴重的資安問題。舉例來說,協力廠商可能因為作業需要,所以必須使用系統管理者的權限,或是對重要的網路設備或伺服器進行操作。如果沒有 IT/IS 人員在一旁確認其所進行的動作,那麼機密資料不小心被訪客看到、甚至洩漏出去,也不會是什麼值得大驚小怪的事情。
不可否認,除非訪客是迷死人不償命的帥哥或美女,否則陪同作業不但很無聊,而且還可能嚴重影響原本的工作時間安排。對此,我只能說這就是 IT/IS 人員無法逃避的責任。陪同作業不是陪對方聊天,而是隨時隨地確認對方是否進行了非經許可的動作,並在發生前 (時) 予以阻止。再加上對方來訪本就有原本的任務,因此往往也沒辦法一直閒聊。所以進行陪同作業時更像是把自己當做訪客的背後靈,不能干擾他進行作業的同時,也不能讓對方對組織的資訊安全產生危害。倒是對於 IT/IS 的主管們來說,當部屬告訴你他今天跟了協力廠商支援人員一整天時,可千萬別以為他是偷懶只顧聊天。當然,我相信 IT/IS 的主管,也早就把當訪客背後靈這件乏味但又重要的工作內容,列在 IT/IS 的工作規範當中了。

About