有关资安的事件层出不穷，相关新闻报导不断，目前常见的资安威胁种类繁多，包括网页安全、资料外泄、P2P软件、钓鱼式垃圾邮件、实时通讯等，甚至影音档案都可能含有恶意程序连结或程序码，可以说是防不胜防。

　　对企业而言，信息安全威胁不但可能造成资料外泄，导致商业机密流出，影响企业竞争力，还可能造成商誉受损，或衍生交易纠纷，影响企业运行。

　　但从许多实际发生的资安案例中，却可看出，企业管理阶层对资安威胁带来的危害及损失，往往不够了解，或是不认为会影响自身权利或利益，为了达成企业/组织的营运目的，为股东、员工及客户创造最大利益，领导阶层应将资安投资与企业获利视为经营目标。

　　对抗外部攻击 企业资安要做好基本功

　　企业面对的资安威胁日益严重，以来自外部的攻击为例，企业现在面对的黑客，已经不再是新闻或好莱坞电影描述的，一群因为好奇、孤僻、展现功力或一时好玩的学生黑客，而是一群来自四面八方、具专业性、长期具耐心、为数众多的组织型黑客，而且因为互联网的黑色产业链已经形成，黑客可以利用木马程序盗取QQ、网络游戏、银行帐号、信用卡帐号等个人资料，并从中牟取金钱利益，更增加组织型黑客攻击企业的动机。

　　面对持续不断的资安威胁，企业应从最基本的资安检测做起，以了解当前信息环境的弱点，并加以补强，从评估、检测、报告、修补到追踪，各个环节都要落实，做好基本功之后，才能更有效的执行其它安全防护机制。

　　如许多主管喜欢透过监视器，查看员工是否专心上班，但在网络上却可以很轻易的找到某些监视系统的安装使用手册，里面甚至包含缺省口令，如果企业疏忽口令管理，黑客就可以很容易的坐在计算机前，透过画面窃取资料。

　　甚至有企业入口网站在遭入侵后，才发现没有任何备份及备援机制，导致在重建过程中，花了好几天才让入口网站恢复运行，不但影响企业运行，更造成客户的不便，对企业商誉更带来难以估计的损失。

　　因此，企业应该要建立纵深防御的概念，部署一层层不同的保护措施，如此一来，就不必担心一旦某防御机制被突破，便让入侵者长驱直入、直捣企业核心。无论管理、资料、网站、系统、网络，各个面向都应全部纳入安全考量，而且入侵防护系统(Intrusion Prevention System；IPS)、入侵侦测系统(Intrusion Detection System；IDS)、防火墙、身分认证、网络存取控制(Network Access Control；NAC)……等安全防护机制，亦不可或缺。

　　防止资料外泄 管控措施要落实

　　但由于不管设下多么严密的防御，都只能降低资安风险发生的可能，资料外泄的可能性无法降到零，加上个资法修正后，企业必须承担更大的资料外泄责任。事实上，来自内部人员的资安威胁，其实要远大于外部人员。根据美国CSI/FBI的调查，内部泄密对大企业造成的损失，每年平均为270万美元，而外部攻击平均为5万7千美元，差距近50倍，也显示出内部泄密造成的损害，远大于外部攻击。

　　为了让资料即使外泄，都不会造成企业损失，或承担法律责任，未来有关资料加密的技术，势必将成为资安管理非常重要的环节。如利用目前已广泛用于影片、音乐、游戏、电子书等产品的DRM技术，也可以用于文件控管，让企业信息可以在对的时间，让对的人分享，即使外泄，取得资料的人也无法使用，使用者无论是内部员工、出差、外派人员，或是委外及合作协力厂商，机密文件皆能受到最好的保护。

　　此外，如何确认存取资料的人是谁？如何确保资料在保存或传输中，不被第三者偷窥或窃取？如何确保资料完整、正确、未被窜改？如何确认资料来源，并避免使用者在事后否认曾交换资料？也都是资安管理非常重要的课题。

　　为确保资料安全，企业的基本资安需求包括：身分识别(Authentication)、资料保密性(Confidentiality)、资料完整性(Integrity)与不可否认性(Non-Repudiation)，而这些需求，只要透过可提供数码信息传递安全服务，如签章、加密等相关应用的PKI，就能获得满足。

　　此外，帐号与权限管理，以及稽核与日志管理，也都是防止内部泄密的重要管理策略。如帐号与权限管理要按规则做到自动化，人员只要更换部门，帐号权限就会自动改变，以避免特权帐号泛滥。即使是受信任的管理者，也不能长时间使用特权帐号，以免带来资料外泄的风险。

　　而由于风险难以杜绝，企业更要做好稽核与日志管理，才能找出需要修改的地方，让风险发生的可能性降至最低。企业不能只是注意外患，也要做好内部控管的工作，才能满足法规上的要求，并同时防护实时的新型攻击，

　　提升资安意识 有效落实资安管理

　　但资安问题的核心关键，还是在于许多相关单位没有资安意识，如企业高层对于资安的认知不足，法规也落后新进国家太多，以至于企业可以规避责任问题。使用者也必须提高危机意识，建立正确的资安观念，企业必须积极针对员工，进行资安认知教育训练。

　　事实上，虽然大部分的人都了解资料保护的重要性，但还是有很高比率的员工，会将被规范的客户资料及机密性的公司资料带出办公室，而且就在外工作的员工而言，使用方便性的考量远大于资料隐密性。

　　因此，公司的资安政策一定要明确，管控措施一定要周全，针对云端技术、行动工作者等日新月异的工作环境变化，企业一定要好好思考，如何在不影响企业与员工的运行习惯下，透过适当的资安投资，兼顾降低风险及企业营运目标，以追求企业运行的最高效益。