企业平安策略白皮书(此篇白皮书为 Butler Direct Limited 的专利讨论资料。保存所有权。未经 Butler Direct Limited 事前的书面同意,不得就本文件以任何方式进行翻印之行为。)前言企业朝向电子商务开展之脚步已促使、并应促使组织重新思考其平安性策略的完善与否。事实上,在迈向电子商务开展的过程中,最主要应强化的是策略,而非仅止 于解决方案。在过去,平安性措施较为被动 - 只针对所发生的事件来反响;而非主动侦测,以到达预防目的。企业应立即修改此种状况。平安性问题一直以来,单独隶属于 IT 部门主管的管辖范围,但近来我们 不断看到平安性经理及总监(Security Manager and Directors)主管职位的出现,由此可见网络的盛行并成为新的商业活动通路,其伴随而来的平安风险问题,已同时成为高度受重视的议题。被动地在须要时才找寻解决方案的模式,已不被企业所接受了。了解电子商务之本质后,便可了解到完善的企业平安必须起始于制定明确的平安性策略:必须能兼顾 所有目前与未来营运上需要考虑到的所有要素。在同时考虑平安性问题与电子商务运作时,两者会相互抵触:假设电子商务存取遭受拒绝时,系统平安设定可能只被作 最简易的设定。最平安的系统也就是完全不连接到网络,也完全没有安装任何软件的个人计算机,(虽然非常平安,但却无法使用〕;然而这却不符合电子商务的要 求。电子商务为组织的根底建设建立了更多的联系管道,而这每一个联系管道又为有意藉由网络找寻商机的人士达成心愿。然而,此白皮书的目的并非为说明为何群众热 衷于电子商务的原因,而是要让企业了解虽然电子邮件之病毒威胁必须尽可能有效的处理,但平安性问题并不仅止于此,更重大的威胁,是来自于网络黑客的威胁。 企业网络的入侵可能来自四面八方,而入侵的原因与所造成的结果可能也不尽相同,但 Butler Group 信任媒体过度报导一般性、业余黑客之入侵行为,使一般人低估了平安问题的严重程度。企业必须成认网络犯罪问题(cyber-terrorism)的存在,并持续增强中,终有一日会瞄准企业而造成永久的损害。一般来说,这类的入侵事件企图 减少、甚至阻断网络的效劳、窃取并删除资料、损害软件〔或动作可能非常细微至几乎无法侦测〕,最后不仅摧毁技术架构本身,也破坏整个企业运作。企业必须自 我了解其与网络之互动及使用信息科技的同时所承受的风险及威胁程度为何。企业应运用某些专门收集入侵行为之资源情报,整合成适用的平安性政策...
