企业安全策略白皮书

企业安全策略白皮书

(此篇白皮书为Butler Direct Limited的专利研究资料。保留所有权。未经Butler Direct Limited事前的书面同意，不得就本文件以任何方式进行翻印之行为。)

前言

企业朝向电子商务发展之脚步已促使、并应促使组织重新思考其安全性策略的完善与否。事实上，在迈向电子商务发展的过程中，最主要应强化的是策略，而非仅止于解决方案。在过去，安全性措施较为被动 - 只针对所发生的事件来反应；而非主动侦测，以达到预防目的。企业应立即修改此种状况。安全性问题一直以来，单独隶属于IT部门主管的管辖范围，但近来我们不断看到安全性经理及总监(Security Manager and Directors)主管职位的出现，由此可见网络的盛行并成为新的商业活动通路，其伴随而来的安全风险问题，已同时成为高度受重视的议题。

被动地在须要时才找寻解决方案的模式，已不被企业所接受了。了解电子商务之本质后，便可了解到完善的企业安全必须起始于制定明确的安全性策略：必须能兼顾所有目前与未来营运上需要考虑到的所有要素。在同时考虑安全性问题与电子商务运作时，两者会相互抵触：若电子商务存取遭受拒绝时，系统安全设定可能只被作最简易的设定。最安全的系统也就是完全不连接到网络，也完全没有安装任何软件的个人计算机，(虽然非常安全，但却无法使用）；然而这却不符合电子商务的要求。

电子商务为组织的基础建设建立了更多的联系管道，而这每一个联系管道又为有意藉由网络找寻商机的人士达成心愿。然而，此白皮书的目的并非为说明为何大众热衷于电子商务的原因，而是要让企业了解虽然电子邮件之病毒威胁必须尽可能有效的处理，但安全性问题并不仅止于此，更重大的威胁，是来自于网络黑客的威胁。企业网络的入侵可能来自四面八方，而入侵的原因与所造成的结果可能也不尽相同，但Butler Group相信媒体过度报导一般性、业余黑客之入侵行为，使一般人低估了安全问题的严重程度。

企业必须承认网络犯罪问题(cyber-terrorism)的存在，并持续增强中，终有一日会瞄准企业而造成永久的伤害。一般来说，这类的入侵事件企图减少、甚至阻断网络的服务、窃取并删除资料、损害软件（或动作可能非常细微至几乎无法侦测），最后不仅摧毁技术架构本身，也破坏整个企业运作。企业必须自我了解其与网络之互动及使用信息科技的同时所承受的风险及威胁程度为何。企业应运用某些专门收集入侵行为之资源情报，整合成适用的安全性政策，以利将风险降低至可接受且可管理的程度。安全性入侵(security breaches)的影响不只是一小时或一天的电子邮件服务阻断之损失，对于企业的品牌形象、客户信赖度、市场占有率、甚至股价都有潜在性的影响。未来，安全性之入侵将具企业杀手的潜力，而企业务必加以谨慎预防。

这些侵袭未来非常可能继续由拥有大量资源，具有技术、智能且富动机的人造成。因此，如前所述，安全性解决方案应化为主动、而非被动式的，同时应该被整合于整体网络风险管理中的一部份，亦即表示企业必须明了本身基础架构中的弱点为何、提供风险评估与管理的工具、及有效的网络安全性解决方案都必须随时准备好；这套解决方案可以处理企业在业务与技术上所需整体网络安全性解决方案的需求，而赛门铁克便提供了这类的解决方案，运用其长期累积之专业技术与经验，推出"赛门铁克企业安全系列"，以一套完全的解决方案及整合性的工具，提供给所有企业捍卫其企业安全。当这篇白皮书发表的同时，赛门铁克也宣布以9亿7千5百万美元收购AXENT Technologies，缔造了第一个价值10亿美元的纯网络安全公司。Axent具有多项针对企业安全而发展的重要技术（包括Raptor防火墙、NetProwler入侵侦测、WebDefender 单一登入存取控制等），而今均整合成赛门铁克的核心技术；除此之外，Axent亦为安全性咨询服务提供的先驱。而赛门铁克视本身为提供企业客户最佳、最完整的安全性技术产品。整项产品及技术开发的重点将是：提供具扩充性(scaleable)、模块化(modular)、适用于多重平台之解决方案，并且能够与现行客户所使用之其它厂牌安全技术紧密配合。赛门铁克具有清晰的目标，及强有力的执行能力。Butler Group也期望尽早能更深入报导有关赛门铁克与Axent科技公司的收购案细节，及其在完成收购案后，所共同发表的企业安全解决方案。

安全性问题管理

首先必需先厘清：安全性是、也将会是介于安全防护之有效程度、网络运作效益、以及建置成本间的抉择。Butler Group也了解现实生活中，并无完美的安全性解决方案存在；也许可以概念性地探讨想要达成的系统安全程度，但是在实际上确是十分不同。赛门铁克体认概念上与实际执行间不同的落差，同时也了解最有效之处理此类问题的方法便是进行企业安全之风险管理。

首先，必需先了解所涵盖的问题为何，其次建立安全性政策，而后将该政策于整个机构中执行；而这些都需配合以下两个重要的元素：

1.百分之百的安全性是不可能达到的目标。

2.所有问题必需与会牵涉到之风险、成本及效益进行测量比对。

一但这些元素都为最高的企业阶层所接受时，然后才可着手恰当且有效的安全管理；若无法确认这些限制/问题时，任何安全性政策、甚或是企业本身都终将失败。赛门铁克具有广泛的产品与解决方案，包括了入侵侦测与警示、防毒与内容过滤。Butler Group认为赛门铁克能够从众多安全性厂商中脱颖而出的原因，便是其坚持提供最完整之解决方案的策略及承诺。 安全性问题之生命周期 赛门铁克对于管理安全性问题之生命周期，采取反复测试的程序，包括了4个持续不断的阶段：

1.评估(Assessment)： 包含于网络上有哪些系统与资产、网络之弱点为何、且对于企业运作之具体

风险是什么，以及该风险对于整体公司情况的影响又是如何。

2.计划(Planning)： 着手建立组织的安全政策，研发安全性所需的技术，并规划针对发生特定事件

时之反应与方法。

3.实施(Implementation)： 这些解决方案必需由一完善的管理控制架构所支持，其中之一重要要素

便是要能协助建立完整之安全性解决方案。

4.检测(Monitoring)： 包含针对网络架构之改变、政策之修改（不论是内部或由外部驱使）、以及

对于新入侵的相对反应。

根据Butle Group的观点，这类策略与产品之相互整合是一套有效解决方案之核心，单一的产品是不足以满足现实市场需求的。

了解风险

广泛地讨论安全性威胁虽容易，但是仍必须确切了解威胁的范围与来源为何；若您的组织在去年并未遭受未经授权之入侵，则属于少数族群，因为只有10%以下的组织可避免这类的侵袭，而此被侵袭的数字是逐年地增加。当企业在电子商务的经营中获利较高的同时，也增加了其成为攻击目标的机会。

更恼人的问题在于这些入侵从何而来？大部分的安全性破坏问题来自于内部的使用者，如员工不当的存取与工作内容无关之资料与讯息；但同时对于外来入侵，也是必须加以谨慎防范。 内部未经许可之存取可能并无恶意性企图，例如某一员工试图取得薪资架构之资料，但是并不会对企业营运造成威胁。然而，外来之入侵则可说是百分之百设计来危害企业利益的。从内部的观点来看，对企业之威胁也许并非都是与安全危害相关的，但是员工于工作场所中使用或滥用网络时，会造成的网络效率与频宽不足问题，对于企业经营电子商务都具有非常重要影响的。或者，员工下载MP3档案、浏览赌博、体育或购物网站，或进入聊天室，则对于员工的生产力与网络效率方面都有负面的影响。更严重的是，不当地使用电子邮件，或浏览网络上色情、种族歧视等内容，都可能使公司面临骚扰的法律控诉问题。

虽然法律对于公司管制企业员工散发不当电子邮件及观看不恰当之网络信息之责任归属，随国情不同而不同，且尚未有明确的规范，但企业应主动出击，以确保本身不会遭致昂贵的法律诉讼问题。而这亦显示出为什么一个完整之安全性解决方案，需透过跨国性企业组织，如赛门铁克，才能具有因应不同国情，而提