根據資策會MIC調查顯示,國內企業CIO最關心的資安議題,以「垃圾郵件氾濫」、「電腦病毒(惡意軟體)感染」、「員工網頁瀏覽安全」與「機密資料外洩」四大項目為主,顯示出使用者端的資訊安全問題牽扯廣泛,所造成的資安威脅,小從開啟垃圾郵件下載病毒,大至無意間洩漏公司重要機密資料;隨著個資法通過後,企業雖然有約一年的緩衝期限,但更將面臨資料保護的實際要求。
<p>
在企業面臨資訊安全威脅的背後,駭客組織及地下經濟市場操縱著種種惡意程式與攻擊手法,滲透至網路中,進而竊取、買賣有價值資料,造成企業組織難以預估的風險。雖然資安問題百百種,沒有廠商能拍胸脯保證防護做到滴水不漏,但是企業以區域聯防的概念,建立資安防護陣線,不管是個資保護、人員管理等,部署資安設備以及導入管理系統,並沒有最完整的資安方案,只有最適合的資安方案,認清自身環境與需求,才能因應各種資安難題對症下藥。
 |
| ▲Check Point台灣區技術顧問陳建宏表示,企業若未由高層統一公佈資訊安全政策,負責執行資安管制的IT部門就容易淪為使用者的責難對象,無法有效運用資訊安全解決方案落實管理。 |
根據資策會MIC的廣泛調查顯示,台灣企業CIO最困擾的資訊安全問題,主要以「垃圾郵件氾濫」、「電腦病毒感染」、「員工網頁瀏覽安全」、「機密資料外洩」四大項為主。
前兩項資安問題明顯地已經存在許久,資訊安全公司所開發的解決方案也相對成熟,但是病毒和垃圾郵件氾濫的問題卻還是持續存在。且現在垃圾郵件夾雜病毒及惡意網頁連結,以及網頁遭受直接惡意程式,甚至有心人士透過植入企業網路的惡意程式,竊取有價值的機密資料,販賣於地下經濟市場。不僅駭客行為對於企業造成威脅,內部員工有意或無意地將公司機密資料外流,也是防不勝防。
Check Point台灣區技術顧問陳建宏表示,今年普遍發現,多半企業最關心的資安問題是機密資料外洩,但是由於解決方案不易搭配於不同企業環境,資料傳送管道和人員難以管控,以及網路環境限制較多,不論對中大型或中小型企業而言都不容易做得好。
人力是資安根本
陳建宏指出,企業的規模從員工十人以下到幾萬人的公司都有,如果依企業大小和企業類別來區分,不同類型企業關心的資訊安全重點也大異其趣。以大型製造業為例,目前較擔心機密資料外洩的問題,因為該有的閘道端防禦設備以及End-point端防護都已經建置的相當完整。反觀如果是新創立的小公司,因為人員少,管理單純,反而會先在意使用者端病毒感染及垃圾郵件過濾。
他指出,雖然不同規模或不同類別企業要考量的資安標準不同,但是以目前台灣企業的現況來看,人力不足是普遍面臨無法做好資訊安全的困難點。多數企業並沒有專責的資訊安全負責人,且大部分中小企業資訊人員都在忙著擔任Help Desk,僅能應付個別使用者電腦中毒事件,少有餘力處理更多的資安問題。例如中小企業意識到垃圾郵件氾濫問題嚴重,但是就算採用了不錯的防垃圾信工具,還是需要有人員不斷地維護,才有辦法持續發揮功效。
由於較小型企業組織資訊人力不夠,且訓練較為不足,因此他建議最好採用套裝的資安服務,甚至公司租用網路線路的同時,也租用ISP業者提供的資安委外服務,例如中華電信資安艦隊或是台灣大電訊網路大管家等。資訊人力夠多的大型企業,才有餘力去考慮到資安產品好壞及技術面的問題。
「從資安業者的角度,都會強調要從點、到線、到面的考量,以Total Security為終極目標,然而這樣的概念若遇到企業客戶資訊人力不足時,實際上在執行面就不易達成較完整的資安規畫,但如果是套用在大型企業中,執行程度自然就提高許多。」陳建宏說。(更多精采文章詳見網管人第56期)