轉載自 iThome 電腦報

企業主管支持是網安關鍵

公司越大,CIO越需要網路安全的意識和知識
病蟲入侵損失上百萬
全球40%企業暴露在威脅中
要先安內才能攘外
預防勝於治療
買產品還要買專業服務
 
電腦報記者 / 左宛玉 台北報導
( 2001-12-26 19:21 )


能省就省是要度過不景氣時局的基本解決方案,更是企業生存的不二法門,於是裁員、減薪或刪除各部門預算等節約手段重複上演,資訊部門也不例外。

根據摩根史坦利今年五月份的調查,資訊預算一定會因應環境而減少,但其中資訊安全解決方案是最不可能刪除的類別。可見保護既有知識財產的資訊安全解決方案,尤其是網路安全軟硬體產品,是目前企業邁向e化過程最可能的投資。

↑Top
病蟲入侵損失上百萬

越是開放的環境,提供的防衛機制越低,不安全的指數相對增高。在現實環境中這樣的假設可以成立,套用在網路世界一樣說得通,而且指數更有說服力。

就舉商業大樓為例,多數的金融或商業大樓多半會和保全公司合作,由保全公司來規畫大樓的整體安全機制,包括雇用警衛、警鈴或是危機處理應變等措施。大樓的安全除了靠保全公司詳盡的規畫、以及保全人員徹底的執行外,大樓的用戶本身也要有安全基本常識,並遵守相關規定。
同理可證,實體世界發生的事情,虛擬空間也會出現。

War Room調查估計,有85%的入侵事件來自網際網路,其中41%損失金額平均超過5萬美元。美國國防部也遭到25萬次以上的攻擊,其中64%是非法存取,僅有4%被偵測到。無論是駭客的惡作劇,或是有意竊取企業重要資訊,都會產生心理或財產的損失與影響。

↑Top
全球40%企業暴露在威脅中

Gartner分析師曾說,未來一年的時間,全球企業有可能遭受至少三種新型態或變種的電腦威脅,若使用手持裝備接收電子郵件,對企業來說又是另外一項潛在威脅,且攻擊Linux OS事件會增加。更有專家認為,病毒、病蟲和入侵攻擊,是未來最為普遍的資訊安全問題,其中最嚴重的是駭客直接和複雜的破壞行動,唯有適當的安全機制和警覺系統,才能來有效防止企業遭到傷害。

根據賽門鐵克的統計,在已知的攻擊事件中,有38%的攻擊來自於遠端裝置,包括B2B、供應鏈所使用的協定和運作程序,都缺乏有效的保護政策。另外有數據顯示,全球有40的企業沒有建立安全相關防衛機制。

前些日子Code Red(紅色病毒)結合入侵能力,專找微軟網路伺服器IIS和作業系統NT、2000的漏洞侵入,已經非一般防毒軟體可以防制。這隻病蟲除了造成全球數十億美金的損失外,也喚醒政府單位和企業組織對網路安全的注意。而除了防毒防駭客外,還有什麼因素會影響企業資訊安全?企業到底需要什麼安全機制?如何制定企業本身的網路安全政策?

↑Top
要先安內才能攘外

「數位革命帶動人類資訊的需求,而資訊分享藉由網際網路的出現發揮到極點;」微軟產品行銷經理王嘉玲認為:「但資料被破壞的程度比過去更加嚴重。駭客的破壞或病毒的肆虐,對於企業的損失在於信譽和形象,更嚴重的可能是洩漏內部機密。網路蓬勃成長,對網路安全的觀念卻沒有等比例成長。」

由於企業大多採用微軟品牌的產品,而今年中以來一連串的病蟲破壞事件,王嘉玲無奈地說:「微軟因為普及率高,軟體功能多程式結構大,所以容易被攻擊。封閉的系統不需要連接TCP/IP,被入侵的機會較少。在一份Sans的報告列出最常出現的20項攻擊因素,Windows作業系統有6項,Unix則有7項,其中每個作業系統都會發生的有7項。」

「企業資訊人員網路安全相關技術普遍不足,」王嘉玲強調,「IT部門要建立一套完整的制度,包括人員的訓練、安全政策和技術標準流程,透過資訊系統有效管理使用權限,並要徹底執行。而教育內部員工安全認知和規範,是最基本的工作。」

↑Top
預防勝於治療


要看企業網路安全是否建置成功,可從三方面來檢視,包括管理階層的承諾、企業制定內外部安全政策、全體的安全教育。王嘉玲說:「第一點、管理階層要大力支持,才能進一步推動企業資訊安全措施。公司越大,CIO越需要有這方面的意識和知識,更要定期進行專業的技術或安全層面的評估和測試。」

建置安全的資訊環境,企業是否要投入相當大的成本?王嘉玲表示:「安全和生產力永遠是相牴觸的,企業要在成本時間和人力投入間取得平衡點。畢竟災害的發生要比事前預防付出更大的代價。」

「第二點,要使用正版軟體、安裝防毒軟體,並要定期更新。資訊系統登入密碼也要經常更換。IT規則越清楚,越是安全。」

「最後則是教育。就像飯前洗手、飯後漱口的理念,要不斷宣傳和提醒,才能成為習慣。安全不只是IT人員的責任。控制範圍包括實體和軟體方面。實體方面機房進出人士,可使用刷卡、指紋辨識等來控管。不只安裝一套軟體就能一勞永逸。」王嘉玲對於企業如何建置安全環境,提出以上的看法。

在Code Red出現之前,微軟6月已經公布修補程式,隨後並有工程人員支援大型客戶協助救災。臺灣微軟獲得一筆經費補助來執行STTP計畫,至明年3月前,將會有一連串推廣教育活動。

↑Top
買產品還要買專業服務

面對網路上多元的破壞管道,提供資訊安全的技術廠商,是否有新增產品功能?趨勢總經理丘立全說:「網路安全牽涉到的專業領域相當大,目前企業對於網路安全的概念,不是只有停留在產品面。也就是他們不只是要買產品,軟體只是一個一個元件,必須要和企業管理流程結合,專業的顧問服務與量身訂做的服務,才能符合企業需求。」