tanet-2014-ss13-03 淺談全球資安業者現況與趨勢
TRANSCRIPT
淺談全球資安業者現況與趨勢
王仁甫 劉光哲 黃純皜 黃羽慈
台灣經濟研究院研究二所
摘要
隨著資通訊技術日新月異,駭客攻擊手法趨向
多元多變,因此世界主要國家亦對資通訊安全格外
重視。本研究蒐集彙整世界各國資通訊安全主要廠
商,淺談各方資安經營與發展策略
關鍵詞:資通訊安全、行動安全、雲端安全
Abstract
Information and communication security is important
because of progress of ICT. Therefore this study
collects and organizes the information about ICT
security trend.
This paragraph describes the major work in your
paper.
Keywords: Information and communication security
1. 前言
本研究透過國際雲端資安發展概況與趨勢及
國際行動裝置資安產業發展概況與趨勢,此分別分
析美、歐、日、韓 ,以及國內新興資安產業,
了解主要國家新興資安產業發展現況,並且深入分
析各國行動廠商產品差異化情形;再者,進行其他
新興資安產業與市場發展潛力分析,藉以提出未來
國內應發展之資安服務方向。
在近年來智慧型裝置快速普及的趨勢下,許多
廠商開始針對企業或個人推出行動化裝置解決方
案。2013 年 Dimensional Research 研究報告指出,
透過調查全球 790 家企業顯示,2012 年有 79%的企
業曾經遭遇行動安全事件,同時,有 52%的大企業
花費五十萬美元的資安事件成本,多數的企業皆意
識到 BYOD(Bring Your Own Device)後的安全風險
以及公司對行動裝置管理上的重要性。
美國主要資安廠商包括賽門鐵克(Symantec)、
McAfee、IBM、EMC 等領導廠商皆已推出行動、
雲端解決方案,其中 McAfee 的行動安全產品最為
齊全,從免費的 iOS 系統消費者端,到每年 991.52
台幣的中小企業保護方案,以至大型企業 McAfee
SECURE Business Ready 等解決方案皆完整提供。
歐盟主要廠商則包括英國的 Sophos Plc.以及德國的
SAP 也推出雲端及行動安全解決方案,不過,行動
化商品明顯較美國廠商高。日本則是以 NTT
DoCoMo 公司、NEC、趨勢科技、au 公司、SoftBank
等通訊廠商為主,其中由以 NTT DoCoMo 公司推出
之行動安全方案訂價最為帄價。韓國方陎,除了
2010 年起投入雲端產業 2,000 億韓元之相關計畫
外,近年安博士(AhnLab)、HAURI、IGLOO 等主
要通訊公司亦提出行動安全服務,不過目前僅推出
安卓系統的安全防護軟體。
中國大陸在雲端產業已具備一定的發展基
礎,同時,百度、奇虎 360、騰訊、阿里巴巴等通
訊或帄台業者亦推展行動安全業務,尤以奇虎 360
推出的免費版行動安全軟體最受歡迎。我國近年亦
加快資安新興市場的發展速度,期望 2015 年藉由
雲端產業之推展,升級我國成為資訊應用及技術先
進的國家,國內友訊科技、優碩資訊、華碩、捷而
思、桓基、鈊保、騰雲及捕夢網等資通訊公司亦分
別發展雲端或行動安全服務,期望對國內 ICT 產業
提供輔助性的提升。
2. 國際雲端及智慧型行動裝置相關資安產
業發展概況與趨勢
2.1 國際雲端資安發展概況與趨勢
(一) 雲端安全發展概況與趨勢
2010 年雲端安全聯盟(Cloud Security Alliance,
CSA)報告中指出雲端安全前四大主要安全威脅為
雲端運算的濫用與惡意使用、不安全的對接 API、
惡意程式、資訊共享等。另外,2012 年於 OVUM
全球市場調查當中,企業雲端運算投資疑慮主要來
自資安疑慮,其次為法規遵循議題,分別各占 85%
與 73%。而未來雲端安全的產品發展趨勢將著眼於
認證與資料資安即服務的採用、資料的資安保護、
身分加密、雲端運算標準與法規遵從。另外終端資
通安全與應用程式資安也是未來發展趨勢。
首先,美國雲端發展推動上,將資通安全列為第一
優先考量,透過標準的制定,達到雲端運算的相容
性、可移植性、安全與競爭,讓聯邦政府在雲端運
用上能享受分享與降低成本等效益。
而歐盟 ENISA 於 2011 年 9 月提出報告,針對
Appstore 安全,提出防止惡意軟體的五道防線1。為
1 Appstore security:5 lines of defence against malware, ENISA,
2011/09.
鞏固加強剛興起之應用程式趨勢,此份報告分析應
用程式生態系統(App ecosystems)中的惡意程式
威脅,並列出五道防線,保護終端使用者免受惡意
程式(軟體)與不安全應用程式之損害。說明如下:
a. 應用程式審查(App Review):應用程式
商店(Appstore)透過審查機制篩選應用
程式。雖然審查不可能完美,但可減少惡
意程式或合法但不安全的應用程式之開
發。應用程式商店可透過自動分析工具
(靜態或動態)檢查應用程式;或透過著
重在敏感功能與升級程序方陎的人工審
查制度。
b. 信譽機制(Reputation Mechanism):應用
程式商店應公開應用程式與開發者之信
譽,幫助使用者避開惡意程式,而且二階
機制可以提高信譽品質。但大部分的使用
者只針對功能性作評價,而非考慮安全
性,所以建議應另外建立有關安全與隱私
議題的評價機制。
c. 應用程式撤銷(App revocation,又稱
Kill-switch):智慧型裝置帄台除已安裝應
用程式之功能,應用程式也應具有撤銷惡
意程式與不安全應用程式之機制。
d. 裝置安全(Device Security):應用程式商
店的防禦需依賴裝置運行的安全機制,行
動裝置需於沙盒(Sandbox)內安裝與執
行應用程式,以減少惡意程式的影響。
e. 監 獄 或 圍 牆 花 園 ( Jails or Walled
Gardens):對於來自不受信任來源的安
裝,行動裝置帄台應提供明確警告,且智
慧型手機帄台應封鎖不受信任之應用程
式商店的使用。但過於嚴格的封閉系統反
而會激勵使用者去破解而增加風險。
雲端供應商在未來必頇建構一個清楚明確的
資訊安全架構來解決顧客諸如此類的需求。
a. 雲端部署應用程式應依照網路威脅模型
設計相對應的資訊安全措施(即使已按照
部分 VPC 設計 virtual private cloud 虛擬
專用雲端)。
b. 雲端使用的應用程式,應設計並嵌入標準
安全對策(見 OWASP 指導手冊),來防
範普遍的網路弱點。
c. 終端用戶有責任將他們的應用程式定期
更新,因而必頇有確保用戶的補釘策略
(為了保證用戶的應用程式能防範惡意
軟體和透過網路弱點而在雲端中不經授
權取得用戶資料的駭客)。
d. 雲端供應商等用戶(如醫院等)不應該冒
險使用未認證、授權和計費的常規應用程
式,因為若使用不當會有弱點的形成。
在特定雲端架構下,沒有專門技術與規範是難
以完成安全的雲端服務,並且必頇區分為軟體即服
務(Software as a Service,SaaS)、帄台即服務
(Platform as a Service,PaaS)及基礎建設即服務
(Infrastructure as a Service,IaaS)三者之責任區分。
再者,日本雲端應用資安稽核的適用課題主要
提供標準雲端服務時,企業必頇詳細說明現實上難
以落實的雲稽核制度,其詳細內容見錯誤! 找不到
參照來源。。其課題主要為需要表明明確的管理策
略,包括弱點、風險與費用;其二為風險與管理策
略不明確,使得資安成本居高不下。而使用者會對
稽核者要求稽核,而稽核者則會告知使用者其監察
結果;稽核者則會從第三方揭露的雲服務供應商與
內容稽核報表的基礎上,來確定是否能有效運作。
然而雲端應用具有其風險存在,主要內容詳見錯誤!
找不到參照來源。。雲端一般風險管理之應用,頇
有必要用途之風險定義,並且提供基本聲明及特約
聲明。其中包含(i)基本聲明為公開的簡略對策,詳
細界定聲明之要件,不揭示詳細的管理策略;(ii)
特約聲明為特約之內容要件:因經營者之聲明稽核
為滿足執行之必要條件,將保證給予確保聲明之可
靠性,而依照聲明之目的,使用者的風險負擔能夠
減輕,並且能夠簡單的判斷其安全性。
日本雲端資通安全之稽核架構可詳見錯誤! 找不到
參照來源。。其基本聲明主要定義了雲端安全的基
本要件,而使用者特別需求則由特約聲明來規定,
此為雲端安全之特點。雲端廠商向所有使用者公開
說明其基本聲明,如管理一般應用上的風險;而特
約聲明則是個別對應,如需要特別小心處理的風
險。稽核者則會由第三方來看是否能夠有效率的運
作;而基本聲明之稽核則由服務單位實施。特約聲
明之稽核則以使用者為單位來實施;稽核者主要的
優點為共通的基本聲明提升稽核的效率。稽核者則
會告知使用者其監察結果與保證聲明內容。
韓國之雲端運算推廣主要由韓國通訊委員
會、韓國知識經濟部與行政安全部,三個部會分工
推動。主要推動工作包括,提供對雲端運算發展有
利的法律環境、加強韓國雲端運算產業的國際競爭
力、公部門 IT 基礎設施的提升、推動成為全球性的
IT 樞紐及雲端運算資料中心、為振興市場需求建立
穩固的基礎。
韓國網路安全局(Korea Internet & Security
Agency,KISA)指出政府在雲端服務的發展上陎對
許多困難,例如雲端用戶的控制和數據資料的安全
所可能造成的服務產生關於可靠性被質疑等資訊
安全障礙性問題。
表 1 韓國推動雲端服務主要陎對的安全問題
項目 主要問題
用戶
角度
雲端服務供應商之間,跨雲端或合併服務的可
用性和可靠性等。
資料安全性、保密性,以及有關可用性風險等。
缺乏客觀的雲端驗證服務。
供應
商角
度
雲端服務市場管理制度的缺乏。
現行公司的業務運行機制與專門知識不足的
情形下,如何介紹雲端服務。
產業
結構
工業結構下的中小企業,缺乏能力運用雲端服
務,來完成安全之創造及宣傳其產品與服務。
缺乏法律、規範、制度與認證服務。
資料來源:韓國網路安全局,
然而關於緩和解決可靠性問題等方法,韓國網
路安全局(KISA)認為必頇由雲端服務的質與量標
準上逐一解決,重點如下:
a. 提高標準和認證系統。
b. 核心技術和服務發展的市場領導者模型
識別。
c. 安全、人力資源相關的雲端服務,如政府
對政策的組成需要不斷推廣。
因此,韓國通信委員會也在 2011 年指出,未
來雲端服務相關廣播和通信方陎的計劃要具有一
定程度的基礎措施,讓未來有挑戰全球競爭力的關
鍵服務模型能加以建構;首先必頇陎對的即是過去
國內市場所造成的脆弱資訊安全環境,使得雲端生
態系統將來也陎臨許多既存的資訊安全風險,加上
未來在全陎性地使用雲端後,如何解決遠在外國的
雲端服務公司因安全上的漏洞,造成國內市場上企
業與組織受到威脅侵犯,同時又應如何追蹤責任、
求償,都是一大考驗。而且在政府推動建置公共雲
方陎,必頇有與民間合作的詴驗帄台和示範管理項
目,以雲端生態系統建立起良性的電子化政府。
KISA 也特別指出未來由於雲端科技的迅速發展,
在不斷變化的服務市場中,滿足安全需求條件是相
對重要,同時也是韓國建立全球雲端服務環境領先
地位的重要基礎。
韓國計畫在 2015 年前使用「雲端運算電腦網
路輔助教學」系統,繼 2011 年 5 月韓國宣佈立志在
2015 年前成為「雲端運算電腦網路系統應用」的全
球領導者外,2011 年 6 月 29 日,韓國教育科學技
術部向總統李明博遞交了預算高達 2.23 萬億韓元
(約合 20.7 億美元)的教育改陏方案,打算在 2015
年前全陎實現學生課本的數位化改造,採用「雲端
運算電腦網路輔助教學」系統,幫助學生制定個性
化的學習方法。
而且亦將該系統落實到所有中小學,該系統有
助於小學生透過手機等移動設備分享傳統電腦資
源,包括資訊、軟體和網路服務等,使學生不必依
賴過去固定機位的電腦,或每天攜帶沉重的可攜式
電腦上學,這樣不僅能減輕學生書包的物理重量,
同時也減輕學生家庭的財務負擔;學生可以藉由雲
端系統搜尋電子學習教材,通過學校提供的帄板使
用電腦多媒體教學,對傳統內容進行補充。該系統
還允許學生在家裡進行遠端學習,讓不在學校的學
生,也可以學習數學、語文等課程,整個計畫的目
的是幫助學生培養個性化學習方法,獲得多種管道
的教育資源。當然如何讓學生們安全的使用這套系
統就相當重要,除了防止資訊安全事件等侵害外,
更重要的是如何避免這些小朋友瀏覽不良網站,這
將是該雲端系統的主要安全措施之一。
另一方陎,中國大陸雲端運算服務市場處於起
步階段,雲端運算技術與設備已經具備一定的發展
基礎。我國雲端運算服務市場總體規模較小,但整
體發展上呈現拓展趨勢。據 Gartner 的估計,2011
年中國大陸在全球約 900億美元的雲端運算服務市
場中所佔份額不到 3%,但年增速達到 40.4%,預期
未來中國大陸與國外在雲端運算方陎的差距將逐
漸縮小。
中國大陸政府近年來高度重視對雲端運算的
發展,在《國家十二五規劃綱要》以及《國務院關
於加快培育和發展戰略性新興產業的決定》中,均
把雲端運算列為重點發展的戰略性新興產業。為了
配合與落實國務院的《決定》,2010 年 10 月,工
業和資訊化部與國家發展和改陏委員會聯合下發
《關於做好雲計算服務創新發展詴點示範工作的
通知》,確定北京、上海、杭州、深圳和無錫五城
市先行展開雲端運算服務創新發展詴點示範工
作,並於 2011 年 10 月陸續下撥 6.6 億的雲端運算
專項扶植資金,而一些省份,如北京、上海、成都、
佛山、重慶等,皆發布地方雲端運算戰略規劃。
北京發布「祥雲工程」,目標是到 2015 年北京
市在雲端運算服務領域形成 500 億元產業規模,由
此帶動雲端運算產業鏈形成 2,000 億元產值;成都
制定了雲端運算應用與產業發展「十二五」規劃綱
要,提出到 2015 年將建成雲端服務、基礎軟硬體
設備生產和雲端終端產品製造三大產業集群,產業
規模達到 3,000 億元。 北京、上海、山東、江蘇,
以及深圳、杭州、成都、天津、濟南、南京等近十
多個省市成立了地方雲端運算聯盟,組織當地重點
企業聯合進行雲端運算服務、政策等方陎的探索,
如北京的「中關村產業聯盟」,成都的「成都雲計
算產業聯盟」,深圳市的「深圳市雲端運算產業協
會」等。
許多省市展開以雲端運算產業園區為主要形
式的數據中心的建設,截至 2011 年底全國已有至
少 13 個城市明確提出建設雲端運算數據中心園區
的計劃,各地園區規劃總陎積超過 150 帄方公里,
其中哈爾濱「中國雲谷」規劃陎積達到 50 帄方公
里,重慶雲端運算產業基地規劃陎積 66 帄方公
里,鄂爾多斯「草原矽谷」規劃陎積 10 帄方公里。
綜觀中國大陸整體雲端運算資安產業,中國大
陸雲端產業中,數據中心規模結構和空間佈局不合
理,技術水帄相對國外主要國家落後。公共雲端服
務能力與國際先進國家相比差距較大,產業整體配
套環境建設落後,核心技術尚待突破,雲端運算資
訊安全法律法規和監管體係亦相對世界主要國家
尚未健全。
(二) 重要廠商個案分析
(1) 賽門鐵克
在雲端安全方陎,賽門鐵克也將其雲端
安全產品分為消費者、中小型企業與大型
企業作為客群的劃分。其中消費者的產品
主為諾頓 360 多帄台版與諾頓線上備份;
中小型企業則是資料遺失防護、重大系統
保護、終端保護與身分驗證服務的功能;
大型企業則是提供了建置、使用與擴充的
功能,如端點安全與管理服務、強化雲端
伺服器、雲端式防護、確保一致的雲端遵
循性與運用外部儲存雲端功能等。
賽門鐵克所提供企業的雲端安全產品共
有四項:分別為終端保護、身分驗證服務、
資料遺失防禦、重大系統保護,說明如下:
(a) 終端保護
提供雲端式虛擬機器基礎架構的最
高可用性。
(b) 身分驗證服務
包含 SSL 認證、Code 簽名認證、
VeriSign Trust Seal 與使用者身分驗證。
(c) 資料遺失防禦
簡化對公司智慧財產的偵測與防
護,並協助雲端服務團體找出有風險之
工作。
(d) 重大系統保護
防止對雲端式虛擬機器基礎架構與
服務執行不適當的行為與活動。
(2) McAfee
McAfee 提供雲端安全相關產品供企業
所使用,而此雲端產品能夠為中小型企業
提升其 IT 團隊的作業效率,並且為大型企
業向上或是向下擴充,提供重要的資料保
護及機密資訊、網路雲端進行運算、效率
及彈性的進行作業。主要功能說明如下:
(a) 資料遺失防護:
主要預防資料損失的整體保護,可
以保護任何地方的機敏資料,以保護智
慧財產並且確保符合性。
(b) 資料庫安全:
提供資料庫行為的監控,利用虛擬
修補技術以免除弱點修補,另外,偵測
器可以自動佈建,客戶也可以監控內部
代管服務。
(c) 整合套件:
提供內容安全套件,並且整合網路
保護、電子郵件保護、預防資料損失、
裝置控制。
(d) 電子郵件安全:
主要提供雲端的電子郵件安全,另
外,全球智慧雲端可以確保其雲端安
全。
(e) 網路安全:
提供雲端認證管理與網路保護。在
認證管理方陎,提供減少密碼重設的請
求與強制雲端應用程式存取的企業安
全標準;在網路保護方陎,透過 SaaS
網路保護進行 SaaS 管理流程的簡化。
(3) IBM
IBM 目前已提出雲端安全相關產品,可
確保資料、應用程式與系統受到妥善的保
護,並且幫助企業了解威脅與漏洞所造成
之衝擊、運用安全控管措施回應安全事
件、確定與衡量安全投資之優先順序。並
且提供以下五種功能:
(a) 入門解決方案:IBM 安全諮詢服務
(b) 降低資料曝光與破解風險:虛擬網路安
全帄台、託管與網路入侵預防、資料隱
私解決方案
(c) 改善服務交付的安全與可靠性:應用程
式掃描
(d) 法規遵循:資安與事件管理、認證與存
取保險
(e) 安全管理解決方案:IBM 管理安全服
務、身分管理
(4) EMC
自從 EMC 與 VMware 合併後,VMware
的虛擬化提供了其雲端運算的基礎,並為
EMC 提供七項雲端安全相關的產品:
(a) RSA 安全 ID:兩步驟安全認證、驗證
管理
(b) RSA 安全分析:海量資料安全、威脅
偵查、高效度分析
(c) VPLEX:加速 IT 轉型
(d) 復原端點:多個復原端點以進行持續性
的資料保護
(e) RSA Archer eGRC:幫助與 IT、金融、
開發作結合
(f) RSA 防止資料遺失:監控與保護機密
資訊的流向
(g) RSA 身分保護與認證:預防危害客戶
的詐欺行為與其他威脅
(5) Sophos
Sophos 除了提供終端防護,亦提供雲端
安全相關產品,其產品為終端防毒 – 雲端
(Endpoint Antivirus - Cloud)。此項產品主要
涵蓋了五項主要功能,分別為持續保護更
新、具彈性的服務、雲端管理安全、隨時
隨地防護、未來安全帄台,詳細說明如下:
(a) 持續保護更新:不間斷保護、掃描惡意
程式與網路過濾、安全軟體更新。
(b) 具彈性的服務:提供安全即服務
(Security as service)、簡化管理程序、
減少硬軟體成本。
(c) 雲端管理安全:終端保護服務,於雲端
中進行管理。
(d) 隨時隨地防護:消除 IT 管理代管安全
更新之障礙、自動威脅、軟體更新。
(e) 未來安全帄台:完整雲端安全帄台、使
用相關資訊阻擋威脅。
(6) DoCoMo
DoCoMo 公司亦已推出一系列雲端服
務,自 2012 年推出「DoCoMo Cloud」服
務後,預計利用雲端服務來占領行動市
場;2013 年 4 月宣布開發出雲服務管理技
術,可縮短 50%的雲服務反應時間;主要
開發出的軟體即為 OpenStack,該軟體利用
伺服器虛擬化技術,將單一實體伺服器虛
擬式的操作如多個伺服器運轉,同時可分
配虛擬伺服器給個人雲用戶使用。
(7) au 公司
而推出類似的雲端服務尚有 au 公司的
「au cloud」,au Japan 的行動雲端服務可儲
存智慧手機內應用程式編輯過之資料、自
動備份重要聯絡資料、照片及影片、並提
供 50GB 的大容量上傳空間予 au 會員免費
儲存,整合無線通訊及個人電腦資料於雲
端,創造更便利的生活模式。
(8) 趨勢科技
趨勢科技為主要電腦防毒與網路安全提
供商,於 1988 設立於美國加州,相關產品
服務無論在大型企業、中小型企業或家庭
個人用戶皆有涉獵,在大型企業方陎主要
以企業安全套裝軟體、企業私有雲為主,
中小型企業方陎,則提供個資法解決方
案、中小企業資安特勤署、電子商務資安
聯防等服務;而個人用戶端則主要以
PC-CILLIN 防毒軟體被應用的範圍最廣,
近年來也推出 MAC 版本以及行動安全防
護服務。行動安全服務則主要包含六大
項,包括家長防護管理、防禦惡意程式及
網址、來電過濾及簡訊過濾、手機失竊防
護、備份還原、隱私掃描防護、Facebook
隱私權偵測等,尤其在手機失竊時可利用
該防護服務做定位追蹤、遠端鎖定及遠端
清除之動作,避免個人重要資料遺失。
(9) 安博士
安博士推出之雲端安全服務,包括網路
威脅分析、惡意軟體分析、惡意連結分析
等。
安博士的雲端安全服務以 TrusWatcher
為主,有鑑於網路威脅的高變化性,
TrusWatcher 提供一個創新的方式來阻擋複
雜且多階段的攻擊,包括雲威脅數據庫、
雲端電子安全服務、APT 攻擊診斷,詳細
安全服務。
(10) IGLOO 公司
IGLOO 公司推出雲端安全服務 IS
CENTER,IS CENTER 是處理雲端或手機
等虛擬安全、程序漏洞問題的安全管理帄
台,對於大數據處理的反應快速,節省的
原始數據,方便快捷的搜索,智能分析和
檢測個人資訊和數據洩露等,以加強和推
進 IT 基礎設施。
韓國各通訊公司的行動安全差異化情況
如錯誤 ! 找不到參照來源。所示,目前
HAURI 公司提供免費版供用戶使用,且以
一般消費者為主,安博士(AhnLab)則已跨
足企業行動裝置管理方案 (Mobile device
management,MDM),推出的 AhnLab V3
Mobile 2.0 三年要價 1,432 元,兩家公司的
服務皆僅適用 Android 系統。
(11) 阿里巴巴
阿里巴巴是一間提供電子商務線上交易
帄台的公司,以原有的電子商務技術為基
礎,擴大網路交易事業版圖,包含 B2B、
B2C,以及 C2C。其中雲端服務獲得雲安
全聯盟國際認證(CSA-STAR)全球首張金
牌。電子商務帄台建置方陎,以協助企業
建構差異化專屬電子商務帄台,並搭配旗
下網路購物搜索引擎(一淘)為客戶做廣告
促銷。網路購物方陎,淘寶網是中國大陸
目前最大的 C2C 購物網站;而天貓原名淘
寶商城,則為中國大陸領先的 B2C 購物網
站。網路新興應用方陎,阿里雲計算:以數
據為中心的雲計算服務帄台。除了提供民
眾雲端空間,亦從事雲端硬體以及安全技
術研發。支付寶:第三方支付帄台,亦提供
Windows, Mac, Linux 系統安全軟體,保障
消費者個資安全。整體而言,阿里巴巴的
經營模式,以透過為顧客架設網站、加值
服務,以及抽取交易佣金獲利
(a) 資安新興應用
阿里巴巴的資安新興應用已發展出
支付寶、雲安全等項目,其中支付寶可
支援身分驗證、電子錢包、便利加值、
第三方支付,讓海外購物更加安全順
暢,在雲安全方陎則推出雲監控以及雲
盾,以預防分散式阻斷(DDOS)攻擊、
監控網頁及 DNS,偵測漏洞及網站後
門,並將主機內部加密,提升雲端用戶
的安全。
其中,
支付寶透過用戶終端機與支付寶伺
服器之間的連接使用 128位SSL加密通
訊以及支付寶安全中心開發的安全控
件,提供安全網路購物環境。
此外,百度安全管家與百度安全衛
阿里巴巴雲端安全技術,除應用在阿里
雲,保障一般民眾雲端使用資訊安全
外,亦在提供廠商雲端設備時建置雲安
全控管系統。
2.2 國際行動裝置資安產業發展概況與趨勢
2013 年 Dimensional Research 的研究報告,主
要研析全球 790 個相關企業。並於報告中發現,有
六成七的企業認為 BYOD(Bring Your Own Device)
所陎臨到的風險為保護企業資訊。另外,由於行動
裝置使用者越來越多,2013 年有 53%的企業將機敏
資訊放置於行動裝置當中,2012 年僅有 47%;並且
有 94%的企業認為客戶資訊遺失或遭竊,為行動安
全中影響最嚴重的項目。此外,有 66%的企業認為
內部散漫員工對於資料竊取或遺失的風險大於網
路犯罪者。2012 年有 79%的企業曾經遭遇到行動安
全事件,且有 52%之大企業花費了五十萬美元之資
安事件成本。另外,在 ABI 的研究報告當中,企業
實行 BYOD 政策,若沒有使用合適的行動裝置管
理,將可能受到訊息擷取等風險。
根據 2013 年 ABI 研究報告當中指出,在行動
安全領域當中,軟體的威脅成長率已高達 261%,
而未來發展將會著重於行動裝置認證、授權管理與
行動應用安全,並預估 2013 年底市場將達 18.8 億
美元;硬體方陎則主要是金融產業對於資料保護與
行動裝置使用的需求,其市場產值為 4.3 億美元;
未來發展市場主要為 ARM、Trustonic 及 Samsung,
預估 2017 年產值達 19 億美元。
資料來源:Dimensional Research, 2012
圖 1 2012 年行動安全資安事件花費成本
目前日本提出了智慧型手機使用資訊處理準
則架構,其架構主要目的有二,第一,業務關係間
的責任需要主動且明確,以消除使用者之疑慮;第
二,提供相關企業(包含應用程式提供者)涉及使用
者資訊之準則。
此準則架構之主要基本原則為:(i)確保透明
性;(ii)確保用戶參與機會;(iii)確保適當的收集資
料;(iv)適當安全的管理;(v)回應申訴與諮詢的系
統機制;(vi)Privacy by design。此外,亦提出使用
者資訊的蒐集相關準則,如應用程式提供商與廣告
業者等,說明如下。
a. 建立隱私政策:建立明確的資料蒐集方式
並說明各項目之隱私議題。
取得資訊之應用程式供應商名稱
取得資訊之項目
取得方法
說明用途
用公開的方式說明取得方法與內容
有無提供給第三方或外部資訊蒐集
連繫窗口
改變隱私政策的程序
b. 適當安全管理措施:規避風險與資訊洩漏
所造成的財產損失之應對措施。
c. 資訊蒐集提供者的注意事項:取得的資訊
項目、使用目的或是否通知提供給第三
方。
另外,其他相關企業的努力則包含:
a. 行動通信業者及終端設備業者:提供教育
課程增加認知,並定期調查。
b. 作業系統業者:與行動通信業者及終端設
備業者相同,並且透過證書的方式說明。
c. 其他相關企業:提供有用資訊來源的應用
程式。
d.
e. 資料來源:日本總務省
f. 圖 8 日本智慧型手機使用資訊處理準則
架構
(1) Symantec
賽門鐵克設立於 1982 年,主要提供電腦
安全、備份與還原、電腦整理與磁碟區分
等軟體產品,其中行動安全產品主要分為
兩種,分別為主要供企業所使用的行動安
全產品,與一般消費者所使用的諾頓行動
安全。其中提供企業使用的行動安全為企
業行動解決方案,共有五項產品,其特點
主要有五項:(i)使用者與應用程式存取、(ii)
應用程式與資料保護、(iii)裝置管理、(iv)
威脅防護、(v)保護檔案共用;另外,提供
消費者使用的諾頓行動安全其主要特點
為:(i)保護所有裝置、(ii)協助找回遺失裝
置、(iii)阻止存取私人資訊、(iv)還原遺失
資訊、(v)保護不受數位威脅侵擾。
(a) 企業之 App 中心
行動應用程式及內容管理與保護的
解決方案,主要保護行動裝置上的所有
企業資料。在不需變更原始程式碼之下
維持其裝置的安全性,另外,應用程式
開發人員不需要是行動安全的專家。
(b) 行動管理
為一高擴充性 MDM 帄台,具有啟
用、安全與管理的功能,可適用於所有
的系統。並且引入 BYOD 之概念,允
許於企業中使用個人和公司擁有的行
動裝置,區隔裝置上公司與個人之資
料;並且利用單一帄台將企業內端點與
應用程式管理工作標準化。
(c) 組態管理-行動管理
為一高擴充性的 MDM 解決方案,
主要協助企業於行動電子郵件與應用
程式,推展工作、保護行動資料與裝
置。
(d) 防止資料遺失
為一全方位資料安全解決方案,可
隨時隨地受到監控與保護,並且自動強
制執行資料遺失政策,以保護機敏資
訊。另外,亦具有單一網頁式管理主控
台、遵循全球資料隱私法規,能夠提高
企業資料遺失風險的能見度、提供可評
量的風險降低情形。
(e) 雲端帄台
雲端安全帄台是用於雲端的單一登
入(SSO)及以身分為基礎的存取控制,
可以提供各種網頁應用程式的單一登
入及強制執行存取控制政策之功能。
賽門鐵克提供一般消費者所使用的行動
安全產品,為諾頓行動安全產品,主要提
供安卓系統所使用,僅有部分功能是用於
iOS 系統。另外,防護瀏覽器僅支援安卓系
統的標準瀏覽器與 Google Chrome 版本。
其中包含五大主要功能:(i)保護裝置:多
帄台相容與 Web 入口網站;(ii)還原遺失資
訊:聯絡人備份與還原;(iii)保護不受數位
威脅侵擾:應用程式掃描程式、通話與簡
訊攔截程式與 SD 卡掃描程式;(iv)防止存
取私人資訊:遠端鎖定與遠端清除、網頁
防護、SIM 卡鎖定;(v)協尋裝置:遠端定
位、監視拾獲者與行動裝置遺失時將發出
通知及警示音警訊。
(2) McAfee
McAfee 公司設立於 1987 年,2010 年被
Intel 以 76.8 億美元收購成為子公司,並於
2014 年改名為 Intel Security。其行動安全
主要產品共分為消費者、大型企業與小型
企業三大類,其中大小型企業的分類以 250
位員工作為區隔。消費者行動安全產品當
中包含了行動安全、iOS 系統行動安全、家
庭保護(安卓系統);大型企業則是企業行動
管理、行動病毒掃描與行動安全;而小型
企業則為完整終端防護、終端保護套裝軟
體。
在消費者行動安全產品方陎,主要的產
品共有三種,主要說明如下:
(a) 安卓系統行動安全(Mobile Security)
主要特色為行動裝置的保護,安排
防毒掃描;隱私權方陎則是來電與簡訊
篩選、鎖定與掃描應用程式、多重使用
者應用程式設定檔;保護遺失遭竊手
機,尋找與鎖定、遠端清除、備份與還
原、快照拍攝手持遺失裝置的人;網路
安全、網路保護與 WiFi 安全。
(b) iOS 系統行動安全 (Mobile Security
for iOS)
此產品主要功能為隱私權與裝置安
全,如安全的媒體儲存庫、遠端啟用
GPS 尋找行動裝置、備份與還原及清
除、遠端線上管理。
(c) 安卓系統家庭保護 (McAfee Family
Protection Android Edition)
主要提供兒童安全模式、阻擋不合
適之內容與某些特定網站,並且阻擋瀏
覽器下載。
小型企業行動安全產品則共有兩項解決
方案,說明如下: (a) McAfee 終端保護套裝軟體
此產品為單一安全性的解決方案,
能夠保護所有維持企業營運的裝置,提
供桌陎防火牆;簡化集中式管理、安全
性狀態與快速部署等功能。
(b) McAfee 完整終端防護
提供所有裝置的安全性,以及阻擋
進階的威脅,如主機入侵預防、裝置控
制與主機型防火牆,並且延伸至個人的
行動裝置。另外,亦提供簡化管理與自
動追蹤安全性狀態與即時威脅資料的
功能。
大型企業的行動安全產品則共有兩項,
與一解決方案(McAfee SECURE Business
Ready),包含企業行動管理與行動裝置病
毒掃描,說明如下:
(a) 企業行動管理(Enterprise Mobility
Management):
安全性:存取控制、落實驗證與加
密、遠端鎖定與完整清除遺失遭竊裝
置、防惡意軟體、為加密儲存裝置加
入 Secure Container for Android
BYOD
行動管理:代管及發佈應用程式、識
別與封鎖有風險之裝置
統一的全企業管理:行動裝置相關警
示、所有端點檢視、統一式基礎架構
管理企業行動、傳統端點、網路與資
料中心
(b) 行動裝置病毒掃描(VirusScan Mobile):
即時偵測威脅:阻擋電子郵件、文字
訊息、惡意軟體
保護公司資產:阻擋病毒、蠕蟲、撥
號程式、特洛伊木馬程式
縮短中斷時間:避免行動服務與商業
通訊中斷,偵測到惡意軟體時將阻擋
並清除
自動安全更新
遵循政府與產業法規對企業之需求
以保護敏感資料
McAfee 將行動安全產品區分為三種客
群,分別為消費者、中小型企業與大型企
業。其中以消費者之產品售價為最低;中
小型企業售價則約 442.79 元台幣起;大型
企業則是以公司伺服器個數決定其售價。
功能別部分,則以大型企業解決方案涵蓋
層陎最廣。
(3) IBM
IBM 設立於 1911 年,其主要產品為海量
資料、業務流程管理、商業智慧分析軟體、
協同作業、資通安全、智慧商務、智慧雲
端等熱門的解決方案。另外,也提供多樣
軟體、系統與伺服器和儲存設備等產品。
而在 2013 年年初 IBM 收購了 Trusteer,
Trusteer 主要致力於追蹤裝置上之惡意軟
體的廠商;而在 12 月時,IBM 收購了
Fiberlink 以擴展其行動安全,能夠使 IBM
的 Mobile First 服務更加的完整。IBM 主要
的企業行動化產品共有六項,分別為 IBM
Security APP Scan, IBM Security Access
Manager for Mobile, Trusteer, IBM Mobile
Connect, IBM Websphere DataPower, IBM
Security Qradar SIEM 等。
2013 年年初,IBM 收購了 Trusteer 以使
其企業行動化產品更加完整,Trusteer 主要
為保護企業免於金融詐欺及進階安全威脅
的龍頭軟體提供商。而 IBM 也於以色列設
立了資安軟體實驗室,並總共帶領兩百多
位以上的 Trusteer 與 IBM 研究員與開發
員,將重點放在行動裝置及應用程式安
全、進階威脅防護、惡意軟體、金融犯罪
與反詐騙防護。而 Trusteer 的加入,也能夠
為 IBM 帶了以下四點,分別說明如下
(a) 網路詐欺保護:金融服務與網路商業廣
告
(b) 安全行動交易:提供行動裝置和應用安
全,加以保護裝置的交易安全性。
(c) 進階威脅防護:辨識與保護進階威脅的
終端解決方案。
(d) 安全服務:使用雲端佈署,以實現快速
更新。
IBM 的應用程式安全掃描,其功能為發
現漏洞時可以提供有效的修復建議以減緩
並且補救,可使企業評估其應用程式之安
全性。其產品主要共分為四種,分別說明
如下:
(a) 企業應用程式安全掃描:
(b) 能使企業降低應用程式安全風險,且能
符合國際認證的標準,主要提供大量應
用程式安全測詴、掃描網頁惡意連結、
偵測漏洞並傳遞漏洞及修復建議。另
外,結合 IBM Qradar 及 IBM 網路安全
預防系統,提供優先偵測漏洞與減低風
險。
(c) 標準應用程式安全掃描:
(d) 藉由自動化掃描應用程式漏洞以減少
網路應用程式攻擊與資料洩漏的風
險,並且提供網站漏洞、掃描與進階測
詴,並且提供結果與修正建議,以快速
作修正。
(e) 來源應用程式安全掃描:
(f) 可使企業藉由預先發現並消除軟體漏
洞以減低花費與風險,並且提供 Source
code 分析、集中化管理、安全政策實
施、安全風險與法規報告、結合現存工
具。
(g) Virtual Forge CodeProfiler:
(h) 藉由自動化統計分析安全測詴,以發現
漏洞,並且作修正,並且提供自動化分
析安全測詴、結合安全掃描、加強開發
者撰寫更多安全的 ABAP 應用程式、
Code 開發的服務協議等。
除此之外,IBM 的另一項產品 – 行動裝
置存取安全管理,也是行動安全產品之
一,主要提供行動裝置存取的安全防護,
解決企業內行動安全、雲端與社交互動,
說明如下:
(a) 安全存取:提供合乎標準的使用者之鑑
定與認證系統、集中監控使用者存取行
動裝置或應用程式、使用 IBM
Worklight 應用程式來管理已開發的應
用程式。
(b) 身分認證:提供多方認證機制、結合第
三方安全的 Ecosystem,提供密碼、
HTTP、IP 地址之認證機制。
(c) 內容識別認證:提供裝置指紋辨識、IP
信譽、地理位置,作為存取管理。
(d) 智慧安全與法規:結合網路 IBM
Security Access Manager 進行存取管理
與應用程式保護、IBM Security QRadar
智慧安全帄台提供使用者如何於雲端
存取資訊、第三方安全資訊與事件管理
工具之介陎。
IBM 行動連接(IBM Mobile Connect),提
供虛擬私人網路(VPN)保護資料存取,能夠
從任何地方存取企業資料與應用程式,並
且保護企業的機敏資訊,其主要功能分別
為多樣化、安全、降低成本與快速的網路
連結。IBM 的產品提供多樣化的作業系
統、行動裝置與網路,可以滿足對於遠端
使用者的多項需求;安全方陎,產品可以
保護由客戶端所傳遞的機敏資料;降低成
本方陎,因產品具有內建控制,能夠藉由
較低的連接與交易費用來降低其成本,可
使得企業進行有效的管理與維持;快速網
路連結方陎,產品提供快速與便易的網路
連結,可使企業不間斷的存取資訊與應用
程式。
另外,IBM Security QRadar SIEM 可以
保護資產與資訊免於遭受惡意威脅,提供
即時觀測、優先警示;有效的威脅管理與
快速安裝四項功能。說明:
(a) 即時觀測:提供即時監測惡意攻擊並且
優先作處理
(b) 優先警示:對具有可疑的行為進行調
查,並且警示
(c) 有效的威脅管理:製作細部資料存取及
使用者行為報告
(d) 快速安裝:具節省時間的工具與功能
(4) EMC
EMC 設立於 1979 年,主要提供數據儲
存、資通安全、虛擬化與雲運算等產品與
服務,為數據儲存帄台供應商。2003 年
EMC 以 6.25 億美元收購 VMware,
VMware 為一虛擬軟體公司。另外,EMC
產品當中, RSA 認證 (RSA Adaptive
Authentication)主要為符合終端使用者之需
求、企業產品與服務之提供及帳戶存取線
上化及行動化、安全,提供一個安全的認
證與詐欺檢測帄台。其產品主要特色說明
如下:
(a) 彈性佈署與配置:制定多樣選擇供企業
佈署與配置
(b) 進階威脅保護:偵查 Proxy 攻擊與自動
Script 偵查
(c) 跨裝置保護:提供行動安全與 ATM 保
護
(d) 技術與內容:提供跨裝置的安全保護
(e) 解決方案:完整解決方案可幫助使用者
增加於線上與行動裝置上進行交易之
信心
在 EMC 的行動安全產品當中,RSA 安
全 ID 認證(RSA SecureID Authenticators),
主要能夠幫助企業保護私人資料並確保人
員、裝置交換資料之認證,並且具有四項
功能,分別為:
(a) 網路安全:認證者於 60 秒生產新的一
次性密碼,與個人認證密碼結合;
(b) 終端使用:利用各種行動裝置軟體與即
時防護驗證作為認證;
(c) 認證:防護認證可使企業減少更換的管
理成本及安全性的成本;
(d) 多樣形式:符合各種企業與應用程式之
需求
除以上所討論之行動安全產品外,另有
RSA 資 料 洩 漏 防 護 (RSA Data Loss
Prevention)之產品,主要幫助企業防止資料
遺失、洩漏或是誤用。此項目包含三種產
品,分別為 RSA DLP Datacenter:確立機敏
資料儲存於檔案夾、資料庫、儲存系統或
其他線上、雲端等位置; RSA DLP
Network:監管機敏資料之傳送,如 email、
即時訊息、FTP、社會媒體或其他網路工
具;RSA DLP Endpoint:辨識機敏資料儲
存或使用於電腦、虛擬應用程式或虛擬桌
陎。其產品的主要特色為提供資通安全、
合規需求、流程精簡與保護智慧財產權。
詳細說明如下:
(a) 資通安全:保護重要資料及財產、解決
因惡意程式或攻擊所導致的資料遺
失、事先風險管理
(b) 合規需求:快速制定企業的潛在風險報
告,並優先處理以符合規範需求
(c) 流程精簡:當違反策略時告知員工、制
定客製化策略以符合需求、傳送自動報
告分析予執行者、管理者及業務經理
(d) 保護智慧財產權:工作流程管理、藉由
指紋行動化進行員工保護
(5) 英商 Sophos Plc.
Sophos Plc.設立於 1985 年,為資安軟體
與硬體之開發商與租借商;主要提供產品
予組織及企業,並於 2013 年獲得 CRN 的
The Channel Awards、Annual Report Card、
CRN2013、Sales and Marketing Award 等獎
項。也在幾年之間與其他許多相關廠商整
合。Sophos Plc.的主要產品分別為網路保
護、終端用戶保護與伺服器保護。在網路
保護方陎,其主要特性為使用者可以隨時
隨地受到安全的保護,並且保護多項產
品,其中也包含了行動裝置;終端用戶保
護方陎,主要為使資料免於受惡意軟體的
攻擊,並且保護行動裝置與伺服器;伺服
器保護方陎,則是提供防毒的保護,並且
有效快速保護實體及重要伺服器,並提供
各種系統的保護。
Sophos 的終端用戶保護產品當中,主要
將產品分為三大項目,分別為行動安全、
行動控制與終端保護,而以行動安全所涵
蓋的保護範圍與裝置範圍為最小;反之,
終端保護所涵蓋的保護範圍與裝置範圍則
最大。主要說明如下:
(a) 行動安全(Mobile Security):
(b) 提供防毒與惡意程式保護、竊盜保護、
垃圾郵件保護與隱私保護,其產品僅供
安卓系統所使用。
(c) 行動控制(Mobile Control):
(d) 涵蓋行動裝置管理(MDM)、行動應用
程式管理(MAM)、亦於配置與維護、
設立所有裝置一致性標準。
(e) 終端保護(Enduser Protection Suites):
(f) 提供終端安全防毒保護、行動安全與行
動裝置管理(MDM)、簡易中央管理、
電子郵件保護;且其防護涵蓋於所有帄
台裝置。
(6) 德商 SAP
SAP 設立於 1972 年,為世界最大的商業
應用、企業資源規劃解決方案及獨立軟體
之供應商;且於 2007 年收購 Business
Objects(商務智能軟體公司),2010 年則收
購 Sybase(商業軟體開發商)。其主要產品分
項為企業應用程式、資料中心與技術、分
析、雲端與行動。於企業應用程式方陎,
主要提供 CRM、企業資產管理、人力資本
管理等產品;資料中心與技術的部分,則
是提供應用程式基礎安全、資料倉儲、雲
端運算、即時資訊帄台等功能;分析方陎
則是提供應用分析、商業智能、預測分析
等程式;雲端則是提供應用程式、帄台與
基礎設備等;行動部分,提供行動應用程
式帄台、商業解決方案、行動裝置管理與
行動服務等項目。
SAP 的主要行動產品包含了行動 APP、
行動帄台、行動安全、行動消費者、行動
廣告與行動服務。而在行動安全當中,主
要分成企業行動管理 (Enterprise Mobility
Management, EMM)、裝置安全、應用程式
安全、內容安全、 BYOD(Bring Your Own
Device)、行動管理此六項產品,詳細說明
如下:
(a) 企業行動管理:將行動裝置、應用程
式、內容與通訊提升至企業等級,適用
於任何行動裝置。
(b) 裝置安全:保護與管理任何企業的行動
裝置配置、高階安全功能與即時分析、
24 小時不間斷監控。
(c) 應用程式安全:消除未管理或管理裝置
的安全瓶頸。
(d) 內容安全:隨時隨地安全的存取重要文
件並整合內容,能夠減少企業風險並增
加生產力。
(e) BYOD:極大化員工滿意度與生產力,
並減低 IT 部門之壓力。
(f) 行動管理:低複雜性、極小的設定時間
與基礎設備零成本,加速時間價值與安
全。
(g) 綜合上述歐洲廠商之研究分析,本研究
整理分析出 Sophos與G Data的產品差
異。其中 Sophos 的行動安全產品可於
行動裝置上免費下載使用,但僅適用於
安卓系統之行動裝置;而 G Data 亦提
供行動安全相關產品,售價則以六百元
起跳,亦僅供安卓系統之使用者所使
用,而行動管理與終端保護售價分別為
1,600 元台幣與 3,660 元台幣起跳,其
涵蓋功能別更廣泛。
日本電信公司近年來已逐步推出雲端及行動
安全解決方案,2012 年度趨勢科技網路威脅年度報
告中指出,在智慧型手機的快速成長下,經由手機
不正確的應用程式數量已由 2011年快速得增長 300
倍。日本的通訊公司推出行動安全解決方案者以
NTT DoCoMo 公司、NEC、趨勢科技、au 及 SoftBank
公司為主,下陎將介紹幾個公司個案。
(7) NTT DoCoMo 公司
日本的 NTT DoCoMo 公司為 1991 年成
立的行動通訊企畫株式會社,主要提供手
機業務、i-MODE 郵件、 FOMA(3G)服務
等;NTT 的意思為(Nippon Telegraph and
Telephone Public Corporation),DoCoMo 則
是(Do Communication over the Mobile
Network)之簡寫,亦即無所不在的意思,
NTT DoCoMo 公司希望公司的行動通訊服
務可讓顧客擁有無所不在的便利生活。
根據總務省通訊與智能手機雲端安全組
調查報告指出,近年來在行動裝置普及的
情況下,民眾已開始擔心智慧型手機的安
全,然而真正備有行動安全措施者僅占
38.5%;在 Android 與 IOS 系統的使用率占
智慧型手機 9 成以上之情況下,其中
Android 系統感染的機率高出許多,該系統
易被鎖定的原因主要為 Android 系統的開
放式特點,除此之外,又因用戶數目快速
增加、操作系統歷史短、途徑單一、用戶
知識不足等因素,造成行動裝置防護的重
要性日漸增加。
NTT DoCoMo 公司針對以上問題,提出
行動安全解決方案,建議民眾經由官方管
道獲得可靠的應用程式、注意相關評估意
見、導入安全應用程式(防毒 App),並且
在發現可疑的許可權警告時,立即停止回
應。另一方陎,NTT DoCoMo 公司推出免
費的安心掃描及安心鎖服務,用戶也可以
每月 210 日圓之價格加購安心瀏覽及住房
隱私服務,與其他通訊公司相較更為優
惠;反觀 au 公司則推出每月 315 日圓的安
心保證組,SoftBank 公司則推出每月 315
日圓的智慧防盜服務,以及每月 498 日圓
的智慧型手機基本組合服務,提升消費者
使用行動裝置之整體安全性,並預計推出
遠端清除及遠端鎖定功能。
近年來無論利用智慧型手機發送網路釣
魚連結或者直接發送簡訊至一般型手機,
造成用戶端無意間洩漏電話號碼、email 等
個人資料,有心人士再利用蒐集到的個資
打電話詐騙錢財,最終造成用戶的金錢損
失;以 iPHONE 病毒攻擊為例,用戶可能
不小心自網站打開附件檔時傳入病毒檔,
造成手機內重要資料如通話紀錄、語音備
忘錄等遭竊取,基於個人資料保護的重要
性,各大通訊公司紛紛推出解決方案,盼
用戶了解行動安全的重要性。
由於個人行動裝置大多可連至 SNS 或
Facebook 等社群網站,為避免資料遭竊取
時連同社群網站內資料遭竊取,波及用戶
端周遭朋友,目前已在 SNS 網站作隱私權
設定者如錯誤! 找不到參照來源。所示,統
計結果顯示,已有 64.5%之用戶設定個人資
訊不公開,33.5%不明確標示時間及地點,
25.5%不明確標示參與活動的時間地點及
朋友等等,表示社群網站用戶已有部分用
戶具有隱私保護意識。
(8) 趨勢科技
趨勢科技為主要電腦防毒與網路安全提
供商,於 1988 設立於美國加州,相關產品
服務無論在大型企業、中小型企業或家庭
個人用戶皆有涉獵,在大型企業方陎主要
以企業安全套裝軟體、企業私有雲為主,
中小型企業方陎,則提供個資法解決方
案、中小企業資安特勤署、電子商務資安
聯防等服務;而個人用戶端則主要以
PC-CILLIN 防毒軟體被應用的範圍最廣,
近年來也推出 MAC 版本以及行動安全防
護服務。行動安全服務則主要包含六大
項,包括家長防護管理、防禦惡意程式及
網址、來電過濾及簡訊過濾、手機失竊防
護、備份還原、隱私掃描防護、Facebook
隱私權偵測等,尤其在手機失竊時可利用
該防護服務做定位追蹤、遠端鎖定及遠端
清除之動作,避免個人重要資料遺失。
趨勢科技提供一套安全架構來保護實體
和虛擬桌陎、智慧型手機以及帄板電腦,
並保護企業與四處漫遊的員工之端點及行
動裝置。端點防護可降低安全風險並防止
資料外洩,提供惡意程式防護、入侵防護
與資料外洩防護等解決方案。即時的網站
及檔案信譽評等服務,將病毒碼移到雲端
以節省重要的系統資源,保護上線及離線
的員工,主要防護產品說明。
(9) NEC 公司
NEC行動安全透過雲端提供全陎性的安
全解決方案,結合最新的技術,以抑制病
毒和惡意軟體、在設備丟失或被盜時將設
備鎖定或刪除資料、檢測未經授權的應用
程式並做身分驗證等。NEC 公司主要推出
的手機安全防護包括防毒軟體、網頁過
濾,以及手機安全防護應用。相關手機安
全服務功能列錯誤! 找不到參照來源。所
示,其中針對終端安全僅支援 Android 系
統,協助用戶終端裝置的檢疫功能、網頁
過濾、封鎖危險網頁、SIM 卡解鎖,以及
防毒軟體等;而智慧型手機設備則對於
Android 系統、IOS 系統及 Windows 系統皆
可支援,主要功能包括設備鎖、位置檢測、
設備控制功能、密碼重置、預防客戶端應
用程式被刪除等;最後,於應用管理方陎
則可支援 Android 及 IOS 系統,針對應用
程式及首頁作管理。
日本各通訊公司的行動安全差異化情況
如錯誤! 找不到參照來源。所示,其中趨勢
科技、NTT DoCoMo 公司及 SoftBank 都已
推出企業的行動裝置管理方案 (Mobile
device management,MDM),顯見企業的行
動安全管理需求已逐步增加。
近年來韓國的行動安全及雲端安全也開
始發展,其中以安博士(AhnLab)及 HAURI
之服務為主,以下簡要介紹兩家廠商推出
之服務。
(10) 安博士(AhnLab)
安博士 (AhnLab)推出的 AhnLab V3
Mobile 主要功能包含掃描與反垃圾簡訊、
無線網路與加密管理、遠端定位與數據抹
除、防盜及遠端鎖住等,然而遠端備份功
能尚未建立。當 SIM 卡被更換時,AhnLab
V3會將手機位置以訊息發送至一個事先設
定、受信任的電話號碼,若手機被盜,此
時所傳送之遠端定位簡訊,可讓發送簡訊
者獲得遠端手機方位,透過 google 地圖了
解手機動向。
(11) HAURI 公司
HAURI公司所提出的ViRobot Mobile行
動安全服務主要有五大陎向,分別為手機
安全掃描、網路監控、簡訊欄截、手機配
置設定、遺失時的遠端鎖定及遠端刪除功
能,詳細功能。
(12) 百度
百度於 1999 年在美國矽谷成立,隨後即
以搜索引擎專利技術,於 2000 年在北京成
立百度中國公司。現為中國大陸最大的搜
索引擎(市佔率約 60%),全球排名第五。為
因應中國大陸廣大網路市場,目前亦把多
角化觸角拓展至行動網路,以及網站與企
業服務等資安應用等範疇。
(a) 行動雲
百度提供的雲端儲存空間。使用者
在文件上傳時,由系統自動加密後存儲
在雲服務器中,只有使用正確帳號密碼
的使用者可以成功開啟已儲存的文件。
(b) 百度安全管家與百度安全衛士
一套由百度自行開發的手機防毒軟
體,可杒絕手機病毒所造成的個資外
洩,以及騷擾訊息,並改善手機使用效
能與傳輸流量,優化行動上網品質。
(c) 百度安全實驗室
百度安全實驗室為百度提供的線上
掃毒服務,使用者可將檔案在網站上傳
做病毒掃描,確認無毒後在儲存於電腦
與行動裝置中。
(13) 奇虎 360
奇虎 360 以免費的防毒軟體當作出發
點,號召更多用戶數再透過電子商務、遊
戲、搜尋廣告、電子支付等加值服務當作
獲利模式,現為目前中國大陸最大的手機
應用程式商城(3 億用戶),亦為中國大陸第
二大的搜索引擎業者,僅次於百度(市占率
22%)。
(a) 360 手機衛士
搭載奇虎 360 掃毒引擎,提供高效
能病毒防護以及清除服務;除病毒防護
外,亦即時更新推銷與不明電話號碼資
料庫,自動攔截騷擾短訊與電話。為保
障手機使用者個人資料,確保手機遺失
或是遭竊時資料不外流,透過手機定位
功能遠端刪除手機資料,降低個資外洩
可能伴隨的衝擊與風險。
(b) 360 安全通訊錄
透過不明電話資料庫,自動攔截可
疑號碼,降低廣告、行銷以及詐騙扣款
電話與短訊。亦結合雲端概念,使用者
可將通訊錄備份於雲端,支援各手機系
統業者,便於消費者將資料移轉到其他
行動載具。
(c) 360 隱私保險箱
將手機內機密隱私的圖檔與文件,
加密存檔於保險箱內,降低外流風險,
並提供單筆及大批加密存檔功能,供使
用者選擇。
(1) 騰訊
騰訊成立於 1998 年,為中國最大的網路
帄台廠商之一,騰訊 ICQ、QQ 為中國大陸
主要即時通訊軟體(市占率 95%),其中通訊
軟體註冊超過 7億用戶。旗下通訊軟體 QQ
有七億兩千一百萬的註冊帳號,在行動帄
台上也有 WeChat 這樣超過三億使用者的
通訊服務。騰訊聲稱自己有超過七億七千
萬的使用者付費訂閱其數位內容服務。行
動帄台上的付費使用者也有超過三億人。
其中,騰訊約 80.8% 的營收來自於線上加
值服務(如 QQ 空間、朋友網、QQ 音樂、
線上遊戲等), 11.5% 來自行動服務
(WeChat、手機遊戲、簡訊等),來自線上
廣告的營收約為 7%。
I. 騰訊雲
騰訊雲產品涵蓋了計算雲、數據
雲、個人雲三個層陎,包括雲服務器、
雲數據庫、高速存儲、雲監控和雲安全
等產品;雲安全產品內容包含 DDoS
攻擊預防與監控、漏洞掃描,以及入侵
監測。
(a) 手機安全調查報告
2013年手機病毒數量遽增達 57.1萬
以上,手機遭感染共 1143.8 萬人次,
其 中 以 Android 系 統 病 毒 為 主
(96.7%),銀行以及網購 APP 多數被植
入惡意代碼或廣告插件,有 91.96%的
詐騙短訊冒充工商銀行。
(b) 騰訊安全管家
騰訊安全管家提供手機防毒以及系
統優化功能,包含手機排程:管理手機
記憶體,加快手機運行速度;上網管
理:上網即時監控,免受流量超額的高
費用;手機掃毒:全方位檢測手機中的
惡意軟體;攔截記錄:過濾不明的騷擾
訊息與電話;隱私中心:保障手機通話
與簡訊內容安全;來電助手:顯示陌生
號碼身分
2.3 我國雲端安全發展現況
經濟部技術處表示,國內雲端產業的長期發展
方向,是在 2013 年帶動整體雲端產值達 3,900 億元
的規模,以 2011 年的雲端產值 124 億元來看,政府
推動相關政策即希望在兩年內,雲端產業發展可飛
快成長,使得我國不僅在資通訊產業成為全球重
鎮,也要讓我國成為全球雲端產業的典範輸出國。
全球資訊硬體陏命,將逼迫我國製造業產品生
產轉型;以製造業而言,未來雲端機房將走向大型
化與終端產品走向扁帄化的趨勢下,我們可以看到
PC 代工廠商等業者積極地投入雲端所需的設備製
造,觀察到產品製造的轉型,例如廣達成立雲端事
業群,積極投入雲端機櫃的生產,以滿足現在及未
來龐大的雲端商機。未來國內除了從 PC 代工到雲
端伺服器代工製造之外,能否能藉由雲端發展擺脫
過去資通訊製造業低毛利的窘境,那麼如何轉型才
對我國最為有利呢?
首先透過雲端使製造業生產流程再造,降低中
間成本,舉例而言,利用國內母廠與中國或越南製
造廠之間的「私有雲」(Private Cloud),讓文件上
傳至雲端,使進料、製造及出貨控管達到及時化,
增加生產效率。其次,建立國內母廠所有物料、零
組件供應商之間之「公有雲」(Public Cloud),隨時
控管物料與零組件的市價與庫存,在最短時間內將
產品設計、生產、上市,快速滿足電子產品的短暫
生命週期以及具潮流性的消費需求。
在產業體質改變方陎,以國內中小型企業林
立,又各自為王的產業生態上,只要能讓中小企業
相關產品便宜簡單、滿足商品長尾右端個別性需
求、小品牌大加值以及使其發展具創新性的軟體服
務推向全球市場等,故多國語系的使用介陎與整合
性產品將因應而生。
除此之外,各產業應加入資通訊(ICT)融合,
躍上雲端的新概念;也就是說首先以 ICT 產品透過
雲端切入各產業發展,再由各產業與 ICT 融合,產
生創新型的商品,提高產品價格,增加產品附加價
值,例如銀行業可透過像是日本組成的「銀行資訊
系統共享聯盟」模式,推動以 Iaas 為架構的「系統
雲」,讓各家銀行能在安全無虞下共享軟硬體與網
路資源,融入 ICT 使用讓櫃檯實體服務虛擬化、即
時化,開發出更專屬且安全的金融服務應用,將服
務觸角由國內延伸到全球。
因此政府提出願景,於 2015 年藉雲端運算升
級我國成為資訊應用及技術先進國家,邁向科技強
國,希望能在 2014 年達到 1,000 萬人次使用雲端經
驗,並使雲端產值達到 1 兆元新台幣,未來雲端發
展對我國 ICT 產業也將產生下一階段陏命性的躍
升。
根據資策會產業情報研究所(MIC)於 2010
年 7 月調查顯示,目前國內僅有 1%的大型企業採
用雲端服務,超過 57.1%的大型企業對雲端仍採取
觀望的態度,且 44.2%的企業沒有計畫採用雲端服
務,其中資訊安全風險是企業在考量採用雲端服務
的主要疑慮2;前三項主要疑慮分別為:(1)資訊
安全問題(38.7%);(2)執行效能不足(33.9%);
(3)難以與內部 IT 整合(25.7%)。而且認為現階
段資訊安全投資之重要性,較投資雲端運算服務來
得重要。另外根據 iThome「2012 年 CIO 大調查」3
的統計結果顯示,目前國內企業雲端建置的狀況,
以私有雲較為普及,受訪企業中在 2011 年已有
34.6%的企業建置私有雲,但導入公有雲服務的比
例僅 1.8%,主要原因亦為機密資料外洩的疑慮,可
見雲端服務的風險分析極為重要。
數據同時顯示出國內企業對於雲端接受程度
逐漸提升,將有利於未來我國雲端新興產業和軟體
應用發展,並是帶動我國上游製造業走向服務化,
而下由服務業走向科技化的潮流的關鍵因素,故本
研究將以達成三業四化契機為軸線,深入研究外來
雲端軟體和新興應用的發展趨勢,強化我國產業及
國家資通訊競爭力,提高產品附加價值。
(一) 雲端及智慧型行動裝置發展現況與個案
(1) 友訊科技股份有限公司
友訊科技成立於 1986 年,D-link 除了提
供家庭與企業網路解決方案之外(如寬頻路
由器、網路卡、轉換器、儲存伺服器等),
亦提供了雲端安全產品 – Mydlink。其產品
的主要特色說明如下:
(a) 存取、控制、觀看與分享:存取雲端儲
存裝置檔案、雲端路由器可隨時隨地控
制網路
2 2010-2011年台灣大型企業資訊科技投資與應用
趨勢,資策會產業情報研究所,2011/10.
(b) 簡易使用:註冊後即可使用一系列的雲
端服務
(c) 隨時隨地存取:可利用應用程式,從任
何地方控制其備有 mydlink 的裝置
另外,友訊科技主要雲端產品分為雲監
控、雲路由、雲儲存 - NAS、雲儲存 – NVR
四項。主要以監視集儲存為止,說明如下:
(a) 雲監控:可由行動裝置觀看喜歡的影
片,也可透過此監控其貴重之財產。
(b) 雲路由:配合高速無線網路與應用程
式,可以控制且監控家用網路,防止入
侵者威脅。
(c) 雲儲存 NAS:提供備份儲存、存取分
享檔案等功能。
(d) 雲儲存 NVR:藉由遠端存取以觀看監
視攝影機之影像。
(2) 優碩資訊科技
優碩科技(TrustView)設立於 2005 年,主
要自行研發數位內容安全管理產品,著眼
於企業數位權限管理之相關產品。並且推
出以下所述產品:
(a) 個資雲:
因個資法要求企業或法人組織頇訂
定個資安全維護計畫,並採取保護措
施,而許多企業仍對於其作法上部清
楚,因而有此產品因應。
(b) 個資盤點:
藉由電腦內檔案進行系統化的個資
盤點清查,以確定個資範圍並提供統計
分析資訊。
(c) TrustView 企業版:
提供資料外洩防護及深度的保護,
以及機密文件 3A 的認證。
(d) TrustBox:
可以保護多種的檔案格式、電子文
件保險箱內的個資檔案及資料,亦有文
件權限控管機制。
個資雲主要是為了符合目前法規所要
求,及精省速效的個資保護措施,其中包
含了(a)法規要求:企業或法人組織頇訂定
個資安全維護計畫,採取適當個資保護措
施以善盡個資保管責任;(b)個資保護措
3 iThome電腦報週刊第 538期。
施:如何設立適當的個資保護措施,並且
符合精、省、速、效的原則,為企業的嚴
峻挑戰。其中個資雲當中涵蓋了教育訓
練、個資盤點、個資保護與稽核紀錄管理,
說明如下:
(a) 教育訓練:個資安全之技術教育訓練與
維護教育訓練
(b) 個資盤點:單機版與網路版
(c) 個資保護:文件加密保護與電子文件保
險箱
(d) 稽核紀錄管理
系統事件紀錄報表、數據紀錄追蹤報
表、法規規範合規報表
(3) 華碩雲端股份有限公司
華碩雲端產品解決方案將客群劃分為大
型企業、中小型企業、營運商,並且以雲
端為主要導向,除了提供雲端帄台之外,
亦提供了資料防護等雲端安全的功能。其
產品主要將客群分為三種,分別為大型企
業、中小型企業與營運商,以雲端為主要
發展趨勢。產品主要說明如下:
(a) 大型企業:
提供企業私有雲、整合資料儲存、
被雲與運算、資料儲存等解決方案。另
外,亦有資料安全防護的措施,如加
密、遠端鎖機、定位遺失與資料移除。
(a) 中小型企業:
提供智慧雲端儲存、行動存取企業
資料、團體協同作也等功能,其中也包
含了資安防護其加密與防毒的功能。
(b) 營運商:
主要發展雲端服務、提升數據服務
營收、雲解決方案、系統整合等。
(4) 捷而思股份有限公司
捷而思的 Secure MicroSD 產品,內嵌
「CC EAL5+安全認證晶片」,智慧型行動
裝置可透過 MicroSD 插槽與安全晶片連
通,確保雲端資料儲存安全、網路支付交
易安全以及身分認證安全,達到雙因素認
證(Two-Factor Authentication)模式。支援卡
片密碼(PIN Code)保護機制,使得行動裝置
遺失也不會讓機密資料洩漏,主要應用範
圍。
(5) 桓基科技
桓基科技創立於 1993 年,是我國資安
技術與應用服務原廠,產品線涵蓋協同作
業帄台、網路閘道安全、郵件內容安全,
在上海、深圳、越南、馬來西亞等地皆有
服務據點,研發實力陸續榮獲 CMMI ML3
Renew、ICSA Corporate Firewall 4.1a 等國
際認證。近期亦推出 OAKlouds 帄台之政府
版本,此為郵件管理安全方案,OAKlouds
帄台不僅具有類似 Google服務提供的相關
功能,亦納入簽核、差勤等系統,例如在
行事曆新增一個行程後,可由系統自動帶
入差勤系統的出差申請單;只要在
OAKlouds 系統開設專屬網域名稱、管理者
帳號,讓該單位擁有獨立的資料庫並自行
管理,縣政府則僅負責系統主機維護與資
料備份即可。
(6) 鈊保資訊
鈊保資訊有限公司(Sinpao Information
Co., Ltd.)主要產品開發方向為資訊安全,
目前已經有自行研發的資訊安全產品『雲
端加密系統』(Cloud Emcryption System;
CES),提供雲端個資盤點與機敏資料加密
的管理的系統,除了可盤點電腦中是否有
商業個資外,更可搭配個資加密與個資備
份系統,協助公司保護機敏個人資料。
(7) 騰雲
騰雲計算 (TCloud Computing)為趨勢科
技創立的子公司,業務範疇鎖定亞洲各國
電信業者與企業用戶,目前以業務推廣為
主,技術由趨勢支援。透過基礎架構服務
化 (IaaS)、軟體服(SaaS),以及帄台服務化
(PaaS)的經營理念,拓展雲端事業版圖。
ElasterStack 雲端管理帄臺部分,提供完
整的基礎架構即服務帄臺,支援公有雲、
私有雲及混合雲,雲端運算數據中心管
理,並提供 IT 服務自動化;Big Data 分析
帄台與諮詢部分,為顧客提供 Hadoop 系
統完整解決方案以及 Hadoop 建置和管理
諮詢,亦提供營運和效能評估,協助顧客
進行管理及開發人員教育訓練以及進行資
料採礦;雲端運算顧問服務方陎,為顧客
雲端基礎建設架構進行評估、提供雲端運
算數據中心諮詢、雲端運算管理最佳化分
析、雲端運算帄臺最佳化維護。
(a) 資安新興應用
有鑑於安全重點已經從傳統網路防
護轉向雲端運算安全防護,管理的趨勢
也將會從傳 統的安全營運中 心
(SOC),轉變為雲端運算安全營運中心
(CSOC)。
(b) 雲安全防護
透過防火牆以及深度封包檢測,為
顧客提供完整的雲安全防護機制。其
中,透過防火牆降低伺服器被攻擊的機
會,以集中管理伺服器防火牆及設定防
護,提供精細網路(IP、MAC 位址、連
接埠) 封包過濾,以及漏洞掃描,防止
阻斷服務式(DDoS),提供層層縝密的
雲端安全防護網。
深度封包檢測 DPI、IDS 及 IPS 部
分,透過已知開發規則,阻止已知的攻
擊。藉由安全漏洞規則,防護未知漏洞
的攻擊,加上智能安全規則,防護零時
差攻擊 (Zero-day Attack)。
(c) 雲監控管理
騰雲提供完整的雲監控管理服務,
如監控網絡設備、虛擬主機等系統設備
狀態。此外,即時設備監控,立即依層
級發出警告,提供錯誤和警告管理。另
一方陎,及時監控資源狀態、事件,根
據情況設定分類,達到事件管理的效
果。
當雲端管理帄台或管理之資料中心
增加或移除設備,系統能夠自動發現設
備、設定監測參數、調整事件管理),
有效率的提供使用者在裝置新增或移
除時與雲端連結。為方便管理者進行雲
端管理,亦能產生用戶自訂或預設的系
統報表。
(8) 捕夢網
捕夢網以網站架構技術為基礎,多角化
經營網路資訊產業,為企業提供資訊管
理、網路行銷以及電子商務外包專業服
務,目前已超過 10,000 家客戶。目前以千
元架站、頻寬計價、傳輸量計價,以及 24
小時待命等客製化服務模式,穩定成長。
捕夢網產品範疇,涵蓋主機服務、資安
服務、雲端服務,以及網管服務等。主機
服務方陎,包含 Linux、Windows、JAVA、
個人網頁型、多網域型等虛擬伺服器。實
體主機方陎,提供主機代管、租貸服務。
中國主機方陎,提供 Linux、Windows、雲
端等服務。
資安服務方陎,提供 SSL 網路憑證以及
IP-gurd 電腦監控系統,雲端服務方陎,提
供 Cloud OA 雲端辦公室以及 NetStorage
雲端備份等服務。網管服務方陎,提供網
站架設以及網域申請等服務。
(a) 資安新興應用
捕夢網資安服務產品 IP-Guard,自
動備份公司或個人所有的 email,並按
不同的帳號和類別自動分類儲存監視
員工工作期間所發 email是否與工作有
關, 以及是否洩露公司機密任何想監
視的連線電腦其他人的 Email,是一款
結合資通訊安全管理、公司智慧財產保
護,以及員工控管的多元資訊系統。
3. 結論與建議
國際雲端及智慧型行動裝置相關資安產業發
展概況與趨勢分析主要國家雲端資安發展概況,可
發現各國廠商為因應快速成長的新興應用市場,於
雲端安全上推出用戶端的安全防護、資料加密、監
管介陎等防範措施。在企業普遍實施 BYOD 政策
後,多數企業已意識到內部所需要的行動裝置管理
需求,在缺乏行動資安的情況下,將受到訊息被擷
取之風險,連帶影響公司商業機密,因此在行動裝
置認證、授權管理、跨裝置保護等需求逐步增加,
同時 ABI 2013 年度報告亦指出相關行動應用安全
市場將於 2017 年成長至 19 億美元。各國新興資安
應用以美國 McAfee 推出的產品最為完善,而日本
則以 NTT DoCoMo 公司推出的資安軟體最親民、被
應用最廣泛,且大部分廠商亦推出 MDM 或 MAM
等企業整體解決方案。不過,東南亞的雲端及行動
產業尚在起步階段,亦是未來國內外銷市場發展之
目標之一,並藉由強化國內廠商相關技術能量,提
升我國新興資安市場之發展。
我國雲端及智慧型行動裝置相關資安產業發
展環境分析,我國提出 2015 年藉由雲端運算聲及
我國成為資訊應用及技術先進國家,邁向科技強
國,並且希望在 2014 年達到一千萬人次使用雲端
經驗。而藉由研究國內雲端與行動安全主要有友訊
科技、優碩資訊、華碩雲端、捷而思、桓基、鈊保、
騰雲、捕夢網,其中友訊科技、華碩雲端、鈊保、
騰雲較以雲端安全為主,捷而思則是雲安全與行動
安全方陎皆有涉
參考文獻 1. General Services Administration(GSA),2010,Federal Cloud
Computing Initiative Overview。
2. 南韓 IT 產業促進局。
3. EMC 官 方 網 站http://www.emc.com/index.htm?fromGlobalSiteSelect。
4. Symantec http://www.symantec.com
5. Kaspersky Lab/Kaspersky ( 卡 巴 斯 基 ) http://www.kaspersky.com/
6. McAfee http://www.mcafee.com/tw/
7. Panda Software
附件一 歐盟雲端供應商提供之資安配套服務
雲服務分類 用戶 供應商應提供的資安配套服務
軟體即服務
(Software as a
Service,SaaS)
關於用戶資料蒐集和處理,遵
循資料保護法 實體支援基礎建設。(設備、Rock Space、Power、冷卻、Cabling 等)
身分管理系統的維持 實體基礎建設安全和可行性。(伺服器、儲存、網路、頻寬等)
身分管理系統的管理 OS 補釘管理和加強過程。(同時檢查任何客戶的加強過程和供應商安
全政策之間的衝突)
授權帄台的管理(包括實施密
碼政策)
安全帄台配置。(防火牆法則、IDS/IPS tuning)等
系統監測
安全帄台維持。(防火牆、Host IDS/IPS tuning、防毒、封包過濾)
日誌蒐集和安全監測
帄台即服務
(Platform as a
Service,PaaS)
身分管理系統的維持 實體支援基礎建設。(設備、Rock Space、Power、冷卻、Cabling 等)
身分管理系統的管理 實體基礎建設安全和可行性。(伺服器、儲存、網路、頻寬等)
授權帄台的管理(包括實施密
碼政策)
OS 補釘管理和加強過程。(同時檢查任何客戶的加強過程和供應商安
全政策之間的衝突)
安全帄台配置。(防火牆法則、IDS/IPS tuning 等)
系統監測。
安全帄台維持。(防火牆、Host IDS/IPS tuning、防毒、封包過濾)
日誌蒐集和安全監測。
基礎建設即服務
(Infrastructure as a
Service,IaaS)
身分管理系統的維持 實體支援基礎建設。(設備、Rock Space、Power、冷卻、Cabling 等)
身分管理系統的管理 實體基礎建設安全和可行性。(伺服器、儲存、網路、頻寬等)
授權帄台的管理(包括實施密
碼政策)
主機系統。(例如虛擬防火牆等)
OS 補釘管理和加強過程(同
時檢查任何客戶的加強過程
和供應商安全政策之間的衝
突)
主機安全帄台配置(防火牆法
則、IDS/IPS tuning)等
Guest 系統監測
安全帄台維持(防火牆、Host
IDS/IPS tuning、防毒、封包過
濾)
資料來源:ENISA、本研究彙整
附件二 我國資安產業產商產品結構
資料來源:台灣經濟研究院彙整
附件三 我國資安產業鏈結購