當企業將更多交易行為透過網際網路進行,安全風險相對提高。如何在享受高效率的同時兼顧資訊和交易安全,需從落實企業資訊安全政策與強化網路安全科技兩方面同時著手。 台灣思科系統總經理 吳傳輝 愈來愈多企業為提升效率、降低成本,而把企業間的交易搬上網路,運用各種B2B(企業對企業)網路平台,連接客戶與上下游供應商。以台灣而言,近年來由政府主導推動的A、B、C、D、E計畫,就是以特定產業(例如資訊製造業)供應鏈為中心,而延伸到其他配合產業(例如物流業、倉儲業、金融業等)。線上交易正以極快的速度,取代傳統的電話、傳真,成為企業間交易的新溝通工具。 對企業而言,將企業間的交易行為搬上網路,的確有極大吸引力。舉例而言,光是訂貨、查詢訂單、確認交貨時間、帳款催收、貨款交付等動作,如果以傳統的電話、傳真方式進行,往往必須花上數天的時間,但是一旦在網路上進行,卻能夠在數分鐘內完成。然而,對許多積極追求e化的企業來說,在引進線上交易系統的同時,卻也面臨新的隱憂:網路安全。 企業網路安全事故倍增
雖然線上交易可以讓企業節省成本、增進效率,但是從另一個角度來看,當線上交易過程中一旦出現安全漏洞,可能對企業造成無可估計的商機和商譽損失。特別是規模較小的企業,可能在未經加密的網路環境,用電子郵件或網路瀏覽器傳遞極為機密的企業交易資訊,而將自己暴露在資訊遭到截取或偽造的安全風險下。 隨著企業間愈來愈倚賴網路互連建立對內、外的作業流程,如產品生產進度、物流進度,或是帳款等資訊,更意味著網路安全風險的範圍擴大,即當一家企業的網路發生漏洞,也可能連帶影響另一家連線的企業。 在企業線上交易中,容易發生安全漏洞的地方不少,最常見的,就是隱私問題,即保障交易中內含的個人或企業資料。而另一個顧慮,則是身份認證問題,必須運用各種認證技術,確保不讓冒用身份的不速之客登入網路。此外,網路安全更是牽涉到法律責任的問題,如果企業因為自己的網路安全漏洞,而造成合作廠商的損失,更會產生棘手的責任問題。 企業網路安全政策 從管理面預防風險 首先,企業可以採取各種預防政策與措施,將網路安全的風險降到最低。舉例而言,大多企業並不具備專門的網路安全知識,即可委託專業的網路安全服務提供者,協助建置維護企業網路。另外,對於需與合作廠商建立連線的企業而言,與連線企業共同商討、配置網路安全措施,也能強化網路環境的安全。而將網路安全政策予以明確書面化,以供隨時查核執行程度,更是避免出現安全漏洞的重要措施。 除在管理面加強網路安全政策外,引進適當的網路安全科技,也同樣重要。而目前較為廣泛使用的網路安全機制,包括VPN(虛擬私有網路)、防火牆、駭客入侵偵測系統、數位認證、XKMS(XML金鑰管理規範)等。 整合性網路安全方案 防衛網路安全
一旦發現可疑活動,系統就會立即進行確認、回報,甚至自動採取反制措施。如同安裝在企業大樓中的保全系統一樣,一旦門窗被破壞侵入,警報系統立刻作響。 Cisco身為全球網際網路科技領導者,提供完備的網路安全軟硬體解決方案,包括VPN系列產品、PIX防火牆以及駭客入侵偵測系統。Cisco網路安全解決方案,以整體網路安全的概念,從外部網路傳送過程、企業網路門口的把關,一直到網路系統內部的即時監控,為企業營造出完整的網路安全環境,且隨時保護企業線上交易的安全。 結合無線與寬頻 提升企業競爭力 M化無疑是E化的延伸,這是Internet帶來的商業模式的改變,兩者最大差異在於行動的增加。具體而言, 某些特定產業應該率先進行M化,例如具有時間壓力或是緊急事故處理的警察部門。 思科系統亞太區資深電信顧問蔡錫勳說明,Cisco花了七年時間進行M化,遭遇最大困難不在技術,而是流程與員工的抗拒,當中也做了許多修正。首先,公司內部設有call center, 24小時處理突發狀況;隨著E化或M化的腳步,所創造出的資訊暴增,因此每隔一段時間就要調整使用介面,同時將資料庫轉換成有用的資訊,增加企業生產力。 |
根據美國軟體工程協會(Software Engineering Institute, SEI)所屬的電腦緊急事故回報小組(CERT)統計,光是在2002年,美國企業通報近八萬二千多次網路安全事故,還有許多未經回報的安全事故,無可統計。而相對於2001年的五萬多件,以及2000年的二萬多件,也可以看出網路安全事故在近年來倍增速度驚人。
VPN是在網路或是其他公眾網路上,運用軟硬體將傳送的資料加以打亂,使資料即使被攔截也無法讀取,藉此提供安全的連線。VPN就像是一部具備防護功能的裝甲車,行經一般的公路,將機密資訊從一座建築物運送到另一座建築物。而防火牆,則是運用安裝在企業網路系統中特定軟體或硬體,專門針對進出企業私有網路的資料加以分析,以限制網路資源的存取,並保障網路安全。如同在企業門口的警衛與門禁系統,只允許擁有鑰匙、密碼或是特定身份的人進入,而將具有威脅的資料拒於門外。駭客入侵偵測系統,則是一套安全軟體,隨時監視企業網路系統內未經授權而進行活動的軟體。