分層式控制　解決內部安全威脅

對企業而言，內部安全威脅是一項極為重要的課題。內部安全威脅的起因，來自使用者在知情或不知情的情況下，濫用其對組織內某些實體、金融及資訊資產的合法存取權限，而且存取的方式超越了使用者所擁有的權限或企業的政策。至於動機，從單純過失到蓄意破壞以造成損害或進行詐騙都有可能。然而，內部威脅所造成的損失卻可能相當可觀。

資訊安全管理導入實務（三）
ISO 27001的文件化要求

上一期說明了ISO 27001標準中有關「實施與運作ISMS」、「監督與審查ISMS」，以及「維持與改進ISMS」的作法，並且提到People（人員）、Process（流程）和Product（產品）是資訊安全管理的基礎，如果要將此三者在組織中予以串聯落實，那麼撰寫明確並可供參考的文件就顯得十分重要。

滴水不漏防外洩　由端點安全做起

今年六月初，國內某大型購物頻道再度爆發顧客個人資料外洩的重大事件，民眾在網站上公開販售其購物台約8,000筆，包含客戶姓名、行動電話、市內電話、信用卡卡號、發卡銀行、信用卡有效期限、生日、身分證字號等信用卡會員資料，並以一筆資料0.5元廉價賣出，此事件因嚴重侵害消費者利益而震驚國內。

IP語音安全　從基礎網路做起
強化網路基建　解除四大VoIP資安威脅

在金融海嘯衝擊下，VoIP是少數仍然得以持續成長的資訊基礎建設，除了可整合更多功能以提高效率之外，最主要的原因就是可節省電話通訊的費用。不過隨著愈來愈多企業採用VoIP，各界也開始關注起它的安全性議題。

HP SWFScan把關企業安全
免費網路資安工具　輕鬆做到FLASH弱點掃描

隨著人們瀏覽網際網路的頻率增加，各大網站均企圖藉由高互動與生動活潑的動畫吸引瀏覽者的目光，尤其是眾多電子商務網站。但在絢麗奪目的互動式內容之下，網站卻漸漸成為犯罪者的溫床。

PCI資安規範　新增無線網路
實用WLAN安全部署指引 目前仍屬參考性質

日前支付卡行業安全標準委員會（PCI Security Standards Council）發佈了一份針對使用802.11無線網路的資安參考指南，指導收受信用卡的商店如何實作部署安全的無線網路環境。雖然在台灣多數企業並未要求強制遵循PCI規範，不過由於無線網路在企業組織中愈來愈普及，保障資訊安全的需求日益升高，這份指南還是相當值得參考。

資訊安全管理導入實務（二）
實施與維護資訊安全管理系統

上一期介紹了目前廣泛被認可的資訊安全管理標準ISO 27001，可以作為企業建立資訊安全管理制度（ISMS）的參考規範，並且說明了支持管理制度運作的PDCA架構和「建立ISMS」條文的內涵，本期將繼續說明標準中有關「實施與運作ISMS」、「監督與審查ISMS」，以及「維持與改進ISMS」的作法。

不景氣下的網路安全統合需求

日前Robert Half & Associates針對CIO做了一份調查報告，結果顯示即使是在經濟不景氣下，10個接受訪談的CIO仍有高達7個表示在未來12個月中，會持續在資訊科技上的投資。這些主管預計會持續進行的IT專案，以資訊安全優先者達43%，其次是虛擬化，佔28%，接下來則是提升資料中心的效率，佔27%。

愛謢地球一小步　節能省碳一大步
伺服器能源之星標章　新節能標準啟動

全球氣候暖化，造成各地氣象紊亂、災情頻傳，但諷刺的是這股大自然的反撲力量，最大的罪魁禍首就是人類，因為大量使用石化燃料並且濫伐森林，造成大氣層中的溫室氣體（a二氧化碳）增加，全球地面平均氣溫日益升高，對於自然生態與社會經濟帶來了深遠的影響，傷害甚鉅。

光纖無線基礎建設 促進生活交通治安
新竹縣建置高速網路　服務便民

自民國95年度，新竹縣成為全省城鎮型縣市資訊化多項指標性排名的常勝軍，在許多經由行政院或是第三方單位的統計結果中都拿到前三名的殊榮，為了擴大內需，新竹縣政府提出的公務固網及應用系統的計畫由內政部營建署特別協助新竹縣政府，如今整體公務固網基礎佈建的成果已經趨於完整，將提供縣民便利的基礎建設。

針對Windows作業系統　透過特製卡進行控制
木馬植入提款機　竊取帳戶密碼

盜取使用者金融卡密碼的木馬程式，居然直接被安裝在銀行的自動櫃員機中！資安業者Trustwave在東歐地區某些安裝Windows XP作業系統的提款機裡，發現了犯罪集團植入的惡意軟體，會從交易處理程式中擷取磁條資料與密碼，甚至操縱提款機。

資訊安全管理導入實務（一）
ISO 27001資訊安全管理系統簡介

消弭中小企業資安落差

根據賽門鐵克今年初針對全球及台灣地區中小企業進行資訊安全調查的報告指出，台灣中小企業認知到今日所面臨的安全威脅與風險，有72%表示極度重視資訊與伺服器的防護，70%極度重視網路防護；而76%的台灣中小企業更將病毒攻擊列為最主要的資訊安全考量問題。雖然這表示台灣中小企業已開始了解到不注重資訊安全將會對營運帶來重大影響，但中小企業仍缺乏正確的基本步驟，以加強企業的安全防護。

掌握趨勢變遷 策劃升級技能
十大夕陽IT技術

在人的一生當中，很多事物永遠不會過時，例如待人有禮的態度。相反地，不同的服裝風格則隨著潮流起伏，原本被視為過氣的款式，也可能在一夕間重新風靡全球。至於各種IT技術，則是有可能隨著市場需求而過時，而且一旦從舞台上離開，往往就很難東山再起。

ESET系統分析軟體SysInspector
免費做好系統的風險管理

一個健康的電腦系統，原則上只須做好系統及軟體的安全性更新或修補即可，其他的風險，絕大多數都是因為使用者的錯誤操作所造成，包括了安裝個人慣用的軟體（P2P）、錯誤的操作行為（胡亂下載、執行）等等，甚至軟體間的共享行為，都有可能會造成安全性的疑慮。

從殭屍網路到鬼網間諜
防範網路大軍的惡意入侵

資安的防禦工作和攻擊手法比較起來，事實上難度更高，也很難全面地加以兼顧。在網路攻擊氾濫的今天，網管人員只要稍有鬆懈，很容易就會受到來自四面八方的惡意入侵，一旦使用者電腦或服務主機受到操控成為跳板，隨之而來的就是更多令人頭痛的問題。

雲端服務　安全問題待解決
面對服務業者　企業用戶宜要求更多保障

防毒軟體走向雲端
擺脫行銷噱頭　雲端防毒加速發展

雖然「雲端」這個字眼堪稱IT領域2009年度最熱門口號，但雲端防毒產品的想法也並不全然是噱頭。姑且不論純粹主機型的防毒機制是否已經面臨瓶頸，廠商會想把病毒偵測等功能移到雲端上，也絕對有其合理性。

全面協調企業內部安全防護系統

長久以來，我們的安全防護系統都各自獨立作業，把自有的資訊藏起來，彼此間互不分享。比方說，入侵偵測系統發現奇怪的行為時，只會記錄下來；而虛擬私有網路（VPN）閘道認證了某位使用者，但也不會把該使用者的身分傳給其他系統。我們應該要想辦法解決這種混亂。因為任何安全防護系統如果要達到成功又要符合經濟效益，就必須做到協調與合作。

UTM的虛擬化趨勢