企業(yè)安全策略白皮書

1、企業(yè)安全策略白皮書( 此篇白皮書為 Butler Direct Limited 的專利研究資料。保留所有權(quán)。未經(jīng)Butler DirectLimited 事前的書面同意，不得就本文件以任何方式進(jìn)行翻印之行為。 )、/一前言 企業(yè)朝向電子商務(wù)發(fā)展之腳步已促使、 并應(yīng)促使組織重新思考其安全性策略的完善與否。 事實(shí)上， 在邁向電子商務(wù)發(fā)展的過程中，最主要應(yīng)強(qiáng)化的是策略，而非僅止 于解決方案。在過去，安全 性措施較為被動(dòng) - 只針對(duì)所發(fā)生的事件來反應(yīng)；而非主動(dòng)偵測(cè)，以達(dá)到預(yù)防目的。企業(yè)應(yīng)立即 修改此種狀況。 安全性問題一直以來， 單獨(dú)隸屬于 IT 部門主管的管轄范圍， 但近來我們 不斷看 到安全性經(jīng)理

2、及總監(jiān) (Security Manager and Directors) 主管職位的出現(xiàn)，由此可見網(wǎng)絡(luò)的盛行 并成為新的商業(yè)活動(dòng)通路，其伴隨而來的安全風(fēng)險(xiǎn)問題，已同時(shí)成為高度受重視的議題。 被動(dòng)地在須要時(shí)才找尋解決方案的模式， 已不被企業(yè)所接受了。 了解電子商務(wù)之本質(zhì)后， 便可了 解到完善的企業(yè)安全必須起始于制定明確的安全性策略：必須能兼顧 所有目前與未來營(yíng)運(yùn)上需 要考慮到的所有要素。 在同時(shí)考慮安全性問題與電子商務(wù)運(yùn)作時(shí)， 兩者會(huì)相互抵觸： 若電子商務(wù) 存取遭受拒絕時(shí)，系統(tǒng)安全設(shè)定可能只被作 最簡(jiǎn)易的設(shè)定。最安全的系統(tǒng)也就是完全不連接到 網(wǎng)絡(luò)，也完全沒有安裝任何軟件的個(gè)人計(jì)算機(jī)， ( 雖然非

3、常安全， 但卻無法使用) ；然而這卻不符 合電子商務(wù)的要 求。電子商務(wù)為組織的基礎(chǔ)建設(shè)建立了更多的聯(lián)系管道， 而這每一個(gè)聯(lián)系管道又為有意藉由網(wǎng)絡(luò)找尋 商機(jī)的人士達(dá)成心愿。然而，此白皮書的目的并非為說明為何大眾熱 衷于電子商務(wù)的原因，而 是要讓企業(yè)了解雖然電子郵件之病毒威脅必須盡可能有效的處理，但安全性問題并不僅止于此， 更重大的威脅，是來自于網(wǎng)絡(luò)黑客的威脅。 企業(yè)網(wǎng)絡(luò)的入侵可能來自四面八方，而入侵的原因 與所造成的結(jié)果可能也不盡相同，但 Butler Group 相信媒體過度報(bào)導(dǎo)一般性、業(yè)余黑客之入侵 行為，使一般人低估了安全問題的嚴(yán)重程度。企業(yè)必須承認(rèn)網(wǎng)絡(luò)犯罪問題 (cyber-terror

4、ism) 的存在，并持續(xù)增強(qiáng)中，終有一日會(huì)瞄準(zhǔn)企業(yè)而 造成永久的傷害。一般來說，這類的入侵事件企圖 減少、甚至阻斷網(wǎng)絡(luò)的服務(wù)、竊取并刪除資 料、損害軟件(或動(dòng)作可能非常細(xì)微至幾乎無法偵測(cè)) ，最后不僅摧毀技術(shù)架構(gòu)本身，也破壞整 個(gè)企業(yè)運(yùn)作。企業(yè)必須自 我了解其與網(wǎng)絡(luò)之互動(dòng)及使用信息科技的同時(shí)所承受的風(fēng)險(xiǎn)及威脅程 度為何。 企業(yè)應(yīng)運(yùn)用某些專門收集入侵行為之資源情報(bào)， 整合成適用的安全性政策， 以利將風(fēng)險(xiǎn) 降低至可接受且可管理的程度。安全性入侵(security breaches)的影響不只是一小時(shí)或一天的電子郵件服務(wù)阻斷之損失，對(duì)于企業(yè)的品牌形象、客戶信賴度、 市場(chǎng)占有率、 甚至股價(jià)都有潛在 性

5、的影響。未來， 安全性之入侵將具企業(yè)殺手的潛力，而企業(yè)務(wù)必加以謹(jǐn)慎預(yù)防。 這些侵襲未來非常可能繼續(xù)由擁有大量資源，具有技術(shù)、智能且富動(dòng)機(jī)的人造成。因此，如前所 述，安全性解決方案應(yīng)化為主動(dòng)、而非被動(dòng)式的，同時(shí)應(yīng)該被整合于 整體網(wǎng)絡(luò)風(fēng)險(xiǎn)管理中的一 部份， 亦即表示企業(yè)必須明了本身基礎(chǔ)架構(gòu)中的弱點(diǎn)為何、 提供風(fēng)險(xiǎn)評(píng)估與管理的工具、 及有效 的網(wǎng)絡(luò)安全性解決方案都必須隨時(shí)準(zhǔn)備好； 這套解決方案可以處理企業(yè)在業(yè)務(wù)與技術(shù)上所需整 體網(wǎng)絡(luò)安全性解決方案的需求， 而賽門鐵克便提供了這類的解決方案， 運(yùn)用其長(zhǎng)期累積之專業(yè)技 術(shù)與經(jīng)驗(yàn)，推出 賽門鐵克企業(yè)安全系列 ，以一套完全的解決方案及整合性的工具，提供給所

6、有企業(yè)捍衛(wèi)其企業(yè)安全。當(dāng)這篇白皮書發(fā)表的同時(shí)，賽門鐵克也宣布以 9 億 7千 5 百萬 美元收 購(gòu) AXENT Technologies ，締造了第一個(gè)價(jià)值 10 億美元的純網(wǎng)絡(luò)安全公司。 Axent 具有多項(xiàng)針對(duì) 企業(yè)安全而發(fā)展的重要技術(shù) (包括 Raptor 防火墻、 NetProwler 入侵偵測(cè)、 WebDefender 單一登 入存取控制等) ，而今均整合成賽門鐵克的核心技術(shù)；除此之外， Axent 亦為安全性咨詢服務(wù) 提 供的先驅(qū)。 而賽門鐵克視本身為提供企業(yè)客戶最佳、 最完整的安全性技術(shù)產(chǎn)品。 整項(xiàng)產(chǎn)品及技術(shù) 開發(fā)的重點(diǎn)將是： 提供具擴(kuò)充性 (scaleable) 、模塊化 (m

7、odular) 、適用于多重平臺(tái)之解決方案， 并且能夠與現(xiàn)行客戶所使用之其它廠牌安全技術(shù)緊密配合。 賽門鐵克具有清晰的目標(biāo)， 及強(qiáng)有力 的執(zhí)行能力。 Butler Group 也期望盡早能更深入報(bào)導(dǎo)有關(guān)賽門鐵克與 Axent 科技公司的收購(gòu)案 細(xì)節(jié)，及其在完成收購(gòu)案后，所共同發(fā)表的企業(yè)安全解決方案。安全性問題管理首先必需先厘清：安全性是、也將會(huì)是介于安全防護(hù)之有效程度、 網(wǎng)絡(luò)運(yùn)作效益、以及建置成本 間的抉擇。 Butler Group 也了解現(xiàn)實(shí)生活中，并無完美的安全性解決方案存在；也許可以概念 性地探討想要達(dá)成的系統(tǒng)安全程度，但是在實(shí)際上確是十分不同。賽門鐵克體認(rèn)概念 上與實(shí)際 執(zhí)行間不同的

8、落差，同時(shí)也了解最有效之處理此類問題的方法便是進(jìn)行企業(yè)安全之風(fēng)險(xiǎn)管理。 首先，必需先了解所涵蓋的問題為何，其次建立安全性政策，而后將該政策于整個(gè)機(jī)構(gòu)中執(zhí)行； 而這些都需配合以下兩個(gè)重要的元素：1. 百分之百的安全性是不可能達(dá)到的目標(biāo)。2. 所有問題必需與會(huì)牽涉到之風(fēng)險(xiǎn)、成本及效益進(jìn)行測(cè)量比對(duì)。一但這些元素都為最高的企業(yè)階層所接受時(shí)， 然后才可著手恰當(dāng)且有效的安全管理； 若無法確認(rèn) 這些限制 /問題時(shí)， 任何安全性政策、 甚或是企業(yè)本身都終將失敗。 賽門鐵克具有廣泛的產(chǎn)品與 解決方案，包括了入侵偵測(cè)與警示、防毒與內(nèi)容過濾。 Butler Group 認(rèn)為賽門鐵克能夠從眾多 安全性廠商中脫穎而出的

9、原因，便是其堅(jiān)持提供最完整之解決方案的策略及承諾。 安全性問題 之生命周期 賽門鐵克對(duì)于管理安全性問題之生命周期，采取反復(fù)測(cè)試的程序，包括了4 個(gè)持續(xù)不斷的階段：1. 評(píng)估 (Assessment) ： 包含于網(wǎng)絡(luò)上有哪些系統(tǒng)與資產(chǎn)、網(wǎng)絡(luò)之弱點(diǎn)為何、且對(duì)于企業(yè) 運(yùn)作之具體風(fēng)險(xiǎn)是什么，以及該風(fēng)險(xiǎn)對(duì)于整體公司情況的影響又是如何。2. 計(jì)劃 (Planning) ： 著手建立組織的安全政策，研發(fā)安全性所需的技術(shù)，并規(guī)劃針對(duì)發(fā) 生特定事件時(shí)之反應(yīng)與方法。3. 實(shí)施 (Implementation) ： 這些解決方案必需由一完善的管理控制架構(gòu)所支持，其中之 一重要要素便是要能協(xié)助建立完整之安全性解決方案

10、。4. 檢測(cè) (Monitoring) ： 包含針對(duì)網(wǎng)絡(luò)架構(gòu)之改變、政策之修改(不論是內(nèi)部或由外部驅(qū) 使)、以及對(duì)于新入侵的相對(duì)反應(yīng)。根據(jù) Butle Group 的觀點(diǎn)，這類策略與產(chǎn)品之相互整合是一套有效解決方案之核心，單一的產(chǎn)品 是不足以滿足現(xiàn)實(shí)市場(chǎng)需求的。了解風(fēng)險(xiǎn)廣泛地討論安全性威脅雖容易， 但是仍必須確切了解威脅的范圍與來源為何；若您的組織在去年并未遭受未經(jīng)授權(quán)之入侵，則屬于少數(shù)族群，因?yàn)橹挥?0%以下的 組織可避免這類的侵襲，而此被侵襲的數(shù)字是逐年地增加。 當(dāng)企業(yè)在電子商務(wù)的經(jīng)營(yíng)中獲利較高的同時(shí)，也增加了其成為攻擊目標(biāo)的機(jī)會(huì)。更惱人的問題在于這些入侵從何而來？大部分的安全性破壞問題來

11、自于內(nèi)部的使用者， 如員工不 當(dāng)?shù)拇嫒∨c工作內(nèi)容無關(guān)之資料與訊息； 但同時(shí)對(duì)于外來入侵， 也是 必須加以謹(jǐn)慎防范。 內(nèi)部 未經(jīng)許可之存取可能并無惡意性企圖， 例如某一員工試圖取得薪資架構(gòu)之資料， 但是并不會(huì)對(duì)企 業(yè)營(yíng)運(yùn)造成威脅。然而，外來之入侵則可說是百分之百設(shè)計(jì)來危 害企業(yè)利益的。從內(nèi)部的觀點(diǎn) 來看，對(duì)企業(yè)之威脅也許并非都是與安全危害相關(guān)的， 但是員工于工作場(chǎng)所中使用或?yàn)E用網(wǎng)絡(luò)時(shí)， 會(huì)造成的網(wǎng)絡(luò)效率與頻寬不足問題， 對(duì)于企業(yè)經(jīng)營(yíng)電子商務(wù)都具有非常重要影響的?；蛘撸瑔T 工下載MP3檔案、瀏覽賭博、體育或購(gòu)物網(wǎng)站，或進(jìn)入聊天室，則對(duì)于員工的生產(chǎn)力與網(wǎng)絡(luò)效率方面都有 負(fù)面的影響。更嚴(yán)重的是，不當(dāng)?shù)?/p>

12、使用電子郵件，或?yàn)g覽網(wǎng)絡(luò)上色情、種族歧視等內(nèi) 容，都可能使公司面臨騷擾的法律控訴問題。 雖然法律對(duì)于公司管制企業(yè)員工散發(fā)不當(dāng)電子郵件及觀看不恰當(dāng)之網(wǎng)絡(luò)信息之責(zé)任歸屬， 隨國(guó)情 不同而不同，且尚未有明確的規(guī)范，但企業(yè)應(yīng)主動(dòng)出擊，以確保本身 不會(huì)遭致昂貴的法律訴訟 問題。而這亦顯示出為什么一個(gè)完整之安全性解決方案，需透過跨國(guó)性企業(yè)組織，如賽門鐵克， 才能具有因應(yīng)不同國(guó)情，而提供適合的法務(wù) 經(jīng)驗(yàn)及解決方案。賽門鐵克之解決方案 賽門鐵克企業(yè)安全系列，從提供單一的解決方案，朝向提供最完全整合之策略與解決方案進(jìn)行。 此解決方案并非只是一系列的產(chǎn)品發(fā)表，而同時(shí)運(yùn)用了歷年來所累積 之專業(yè)知識(shí)；賽門鐵克企 業(yè)安

13、全系列之整體架構(gòu)， 包括解決方案與產(chǎn)品， 均著重于滿足企業(yè)安全的需求， 因此強(qiáng)調(diào)風(fēng)險(xiǎn)管 理，以及前面所提及之各項(xiàng)方案，均為因應(yīng) 快速變化之環(huán)境中所發(fā)現(xiàn)的各種威脅。 賽門鐵克企業(yè)安全系列結(jié)合了三種技術(shù)之解決方案， 包括防毒、 過濾解決方案與入侵防護(hù)， 收購(gòu) Axent 之后，我們更希望擴(kuò)展關(guān)于這三方面之各項(xiàng)解決方案。在 每一領(lǐng)域中，賽門鐵克均不斷 開發(fā)出可以支持主要作業(yè)平臺(tái) (如 Linux 等) 的各項(xiàng)技術(shù)，并在網(wǎng)絡(luò)上布署多層防護(hù)，從防火墻、 網(wǎng)絡(luò)或電子郵件網(wǎng)關(guān)口，到服務(wù)器或工作站。結(jié)合賽門鐵克與最近完成之AXENTI攵購(gòu)案后，共同開發(fā)及推出的內(nèi)容過濾、電子郵件掃描與入侵防護(hù)等方面的技術(shù)與產(chǎn)品。 為支持三方面之技術(shù)解決方案， 賽門鐵克企業(yè)安全系列并結(jié)合賽門鐵克與 IBM 合作開發(fā)完成的數(shù) 字免疫系統(tǒng)( Digital Immune System, DIS)。除此之外，賽門鐵克正積極規(guī)劃建立全球之專業(yè)服務(wù)與安全咨詢業(yè)務(wù)。 此外，并結(jié)合賽門鐵克著名之管理工具， 包括遠(yuǎn)程遙控方案 (pcAnywhere) 賽門鐵克魅影系統(tǒng)( Symantec Ghost )與賽門鐵克中央控管中心 (Symantec System Center) ， 也使得賽門鐵克企業(yè)安全系列更為完整。結(jié)論即使在攵購(gòu) Axent 科技公司之前， 有幾家廠商與賽門鐵克共同被視為專門提供現(xiàn)代商業(yè)