歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
委外服務提供毒門技術
2003 / 03 / 05
林欽裕
如何做好資訊安全防護
以往大家可能對資訊安全的認知存有部份誤解,以為資訊安全防護只是一項資訊系統而已,往往認為只要建置好防火牆、防毒設施、入侵偵測等資訊安全設備就能做到完整的資訊安全防護,而忽略了所建置的只是資訊安全防護工具,仍需隨著外在環境威脅的變化做有效管理及維護,例行性的測試評估本身資訊系統弱點有效彌補,以及面對資訊安全事件的警急反應措施。
其實資訊安全防護是一項持續進行的作業程序,而不是一個短期或執行一、二次就可以完成的專案。從定期資訊安全風險評估、政策制定、日常維護作業流程制定,甚至於資安事件處理程序、資訊安全教育訓練等,都是資訊安全架構上不可或缺的重要項目。而這些項目並不是全部都能夠由資訊或網路部門獨力完成,畢竟這些部門仍有企業日常營運的工作需執行,且無法每日對於外在的資訊安全變化做有效學習及處理。因此專注於資訊安全領域的專業人員所提供的資訊安全委外服務便有其存在的價值。
資訊安全委外服務的項目
一般資訊安全專業人員,會以一系列專業的資訊安全解決方案為企業作規劃並建置整體資訊安全的架構,以確保企業資訊風險降至最低。而隨著實際資訊安全架構及預算大小,進而提供給企業不同的資訊安全委外服務。以下是一般提供企業的資訊安全服務,在此做個簡述:
1. 資訊安全風險評估 在執行資訊安全防護前應先了解本身的資訊安全風險與弱點,經由專業人員針對企業整體的資訊系統基礎架構進行全面性的安全評估測試,以辨認資訊系統架構上潛在的弱點及威脅,讓企業從務實的角度來規劃建置資訊安全規範,落實防護評估出來的風險於弱點。
2. 資安政策制定 主要以資訊安全業界的標準為基礎,參考資訊安全風險評估結果的弱點及威脅,所設計出一份適當且有效率的安全設定規範,並且包含各項標準程序的制訂,如資訊安全設備日常維護程序、定期測試機制、資安事件應變機制等。
3. 規劃建置及安全改善 依資安政策所設計出的安全架構進行防火牆、防毒設施、入侵偵測等設備的部署建置。此服務需有專業資訊技術背景的資訊安全人員全程參與建置,已針對資訊安全設備做有效整合及建置設定;並且對現行的架構進行安全方面的改善,包括資安設備效能及安全檢視與調整。
4. 管理服務 有效、持續地協助資訊人員管理資安設備,以確保系統在其預定的功能下正常運作。包括定期針對規劃建置的資安設備做定期防護狀況稽核,了解本身資訊安全狀況,與定期效能及安全檢視,並對檢視及稽核狀況調整資安設備,並進行系統弱點修復。
5. 資訊安全諮詢服務 針對緊急事件如病毒、駭客入侵等處理提供協助;駭客入侵事件防護諮詢與調查;弱點及病毒訊息及處理方式通知,定期資訊安全訊息發佈好讓資訊人員及早處理等。
6. 技術諮詢及建議服務 針對企業的資安設備提供使用技術諮詢、故障排除、版本及軟體Patch更新等協助。
7. 監控服務 提供資訊安全監控中心(Security Operation Center, SOC)及專業的資安人員,對企業的資安設備提供遠端7x24小時的監控服務,對隨時發生的資訊安全問題提供即時的反應及安全防護,並定期提供狀況報表,讓管理者了解本身資訊安全狀況。
8. 教育訓練 一般教育訓練可分為資訊安全 概念、資安產品、入侵防護技 巧與資安政策的教育訓練,教育訓練可以提升資訊人員對資安設備的專業技術及熟練程度,也可加強資訊人員對資安防護技術的提昇,而且可以將資訊安全的觀念灌輸到企業中的每個員工。
結語
近年來由於網路的廣泛應用,駭客攻擊工具及技術任何人幾乎皆隨手可得,加上資訊技術日新月異,造成資安事件及漏洞數目不斷成倍數成長,而資訊安全所牽涉的範圍十分廣泛,不如人們所認為的只是和電腦網路系統相關的方面,它涵蓋的範圍從單純防火牆設定,到複雜的日常稽核管理,是一項持續進行的作業程序,唯有良好的政策制定,加上日常的稽核及維護調整與落實管理,才能有效降低資訊安全風險。另外,選擇資安委外服務廠商時,應該選擇一家值得信賴的長期夥伴,能依企業資訊環境改變而長期提供專業服務,除了廠商之資安專業背景、專案經驗外,廠商本身財務體質是否健全也是值得注意的評選關鍵。
(作者為精誠資訊安全事業部資訊安全服務規劃師)
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制