企业的资安意识普遍不足

　　2013 年 10 月，趋势科技发佈了「2013 年台湾进阶持续性威胁白皮书」，为的是分享台湾受 APT 攻击的现况，并进一步协助企业制订对抗 APT 攻击的策略，目的无非就是让企业的 IT 部门可以对 APT 攻击有更多的认识，了解骇客所会运用到的战术和运作，如此才能建立起资安威胁的因应方式。

　　什么是「进阶持续性威胁」(Advanced Persistent Threats，APT)呢?简单的说，就是骇客针对特定组织所做的复杂且多方位的网路攻击。受骇目标并不仅限于政府单位，还包括高科技产业、金融业、学校和中小企业等。

　　该白皮书的内容中指出，超过 80% 的受骇组织并不知道自已曾经 / 已经遭受 APT 攻击。通常，受骇组织往往都在被入侵很一段时间之后才会发觉，像是高科技产业，平均要 346 天才会发现自己遭受到 APT 攻击，最长的甚至等到 1019 天才察觉。

　　其中，有 77% 的受骇组织在发现自已被入侵时，早就被骇客取得掌控权。然而，调查结果却发现，只有 50% 的受害电脑可以被找出恶意程式，那么，另外的 50% 的受害电脑呢?

　　资安问题不得不重视，因为每笔资料都是公司的资产，遭窃、毁损都不能!

　　企业不可不重视内部的资料安全，以及使用者的个人资料。为了让资讯能够发挥其最大价值，我们就必须有效的防止资讯遭受窃取、窜改、毁损、或遗漏等威胁，也就是确保资讯的：

　　(1) 机密性 (confidentiality)：保护资讯不被非法存取或洩漏，而加密是实践机密性要求最常见的方法之一。

　　(2) 完整性 (integrity)：确保资讯在任何阶段都没有不适当的修改或损毁，数位签章是最常见的方法之一。

　　(3) 可用性 (availability)：经授权的使用者能适时存取所需要的资讯。实践安全评估，大致上有这四个阶段：

　　(1) 资产等级画分：这项工作可以帮助我们要保护的主体是什么。

　　(2) 威胁分析：微软曾经提出一个 「STRIDE 模型」，可以协助企业做分析。

　　(3) 风险分析：则可以借助微软所提出的「DREAD 模型」所定义的威胁等级，来做为防守策略以及处理关键资讯的优先顺序。

  (4) 设计解决方案：这个阶段是由上述的资产等级画分、威胁分析以及风险分析等阶段的结果，所设计出来的安全解决方案。

　　「资讯安全」，其实不仅限于技术层面，或是骇客入侵等的议题，它还包含了管理的议题。因此，我们除了以上述的 C-I-A (机密性 – 完整性 – 可用性) 做为判别资讯资产的基準之外，也应该整合人员、流程、技术，透过建立企业全体人员的资安意识，并藉由品质与认证作为不断循环改善的依据。