回顧 2022 年,我們除了持續推動企業 BCP 實踐外,在這一年裡,我們也依然重視企業的資訊安全與服務穩定性、可用性,並且從匯智的核心服務網站主機及許多人使用的郵件服務為出發點做延伸,本期回顧,簡單切分為以下三大主題:
2023 年的一開始,匯智月刊想要先來個回顧之旅。在過去 2022的這一整年,新冠疫情的持續發生、國家政府政策的轉變以及今年初各國國門的陸續開放,都確認了國人在生活上,對疫情的奮戰與共存,都已有不少因應能力上的積累,而企業在疫情下的運轉方式,也都已趨於成熟並更加穩定,在過去的一年裡,匯智仍秉持「企業 IT 夥伴」的初心,從企業的 IT 網路為切角,持續推廣「企業必須實踐 BCP」的重要概念給大家,同時也協助許多企業落實企業 BCP 計劃。
身處成熟的網路時代,企業營運的成熟穩定,極度仰賴網路架構的妥適與完善,「一步到位並不是我們所追求的,對企業來說,也沒有所謂標準模式能一套符合全體,開始尋求企業完善網路架構所適合的第一步,才是最值得的行動」,這是我們一直帶給我們客戶的觀念,特別是在與疫情共存的當下,無法預期的確診、 WFH 及市場供需的變化隨時會發生,建立企業 BCP 持續營運計畫,導入居家辦公、分流上班所需應用服務,並預先準備服務供應鏈備援,在實踐的過程中,不僅是讓企業能更無憂慮的面對無法預期的變動,也是讓企業能一步一步儲存足夠面對,並解決這些快節奏的成本消耗與供需量能的調節。
▌企業BCP 實踐(企業BCP 的實踐計劃)
BCP 的範圍很廣,核心就是在於維持「持續提供服務、持續營運不中斷(BCP, Business Continuity Plan)」的狀態,只要是能達成這個目標的,都能列入 BCP 的一環,因此 BCP 中所包含的並不只有單一特定服務、或特定多個服務,而每個企業的做法也都不同,企業導入 BCP 的方式,並不是將同一個劇本直接套到每一家企業上,就表示完成 BCP 的規劃與建置的,舉例來說:
- 以 B to B 或跨國合作案為主的企業,最核心的營運重點在於員工工作不中斷,無論在哪裡都需要能隨時作業,而數位資料能安全的共享、商務郵件能穩定安全且隨時隨地的收發,就特別受到重視;首重的BCP 規劃就是安全穩定的連線工作模式,與不論在哪裡都能像進入辦公室工作一樣有效率,且能便捷的取得內部資源;這樣的工作模式需求,在BCP 的規劃上就會著重在 VPN 相關連線安全的建置、商務郵件的穩定與郵件安全防護(特別是跨國信件往來)、雲端工作平台的建立與線上簽署機制的落實。
- 以電商網站經營為核心的企業,除了員工工作不中斷及可以敏捷的工作非常重要外,還需特別花心思在電商網站的 BCP 規劃上;因此,在 BCP 的規劃上,在上一點提到的 VPN 、商務郵件及雲端工作平台蠻必要外,對於在電商網站上的 BCP 規劃與安排上,就會有網站主機及網站安全性的面向需思考,像是網站不能中斷、網站分散式架構(備份備援機制)、網站的安全防護(WAF、DDoS)、客戶 CRM 系統的連線安全性規劃。
當然在這裡面您會發現,VPN 是非常重要的、商務郵件是不可或缺的、雲端工作平台是更聰明的工作趨勢、網站系統的備份備援也是不容忽視的,每個企業是如何在這裡面規劃出差異,就取決於企業的需求順序、預算、適合企業本體系統軟體的配置…等,這延續到每一項服務要採什樣的方式來配置、解決企業的需求;VPN 與商務郵件可能差異不大,但從商務郵件延伸出來的郵件安全防護就會有不同的做法,而備份與備援也是二種不同的規劃作法,預算低一些先從備份做起,再循序漸進的一步一步完成,預算高一些就能直接規劃備援,而這也回到我們前面提到的,「一步到位並不是我們所追求的,對企業來說,也沒有所謂標準模式能一套符合全體,開始尋求企業完善網路架構所適合的第一步,才是最值得的行動」。
BCP 包含的面向很廣,上面的二個例子是最基本的,進階的還能擴大到不單只為了因應疫情而做的 BCP,而是更全面的企業網路服務整體性的 BCP 規劃。
▌服務穩定性與可用性(電商網站運營)
匯智的核心服務就是網站主機了,在 2022 年,我們依然在本業上做努力,以高標準來看待核心服務的提供,從客戶使用網站主機的延伸需求中,我們帶給客戶更多關於網站主機安全、穩定、可用性的資訊與服務,這除了牽涉到主機本身的資源提供、網站主機架構規劃外,主機商所能提供的主機維運支援是更重要的部份;我們特別以電商網站及品牌網站為主題與大家討論:網站到底怎麼做才是最好的、不同的網站做法,分別適合的對象或適合的網站類型是什麼;在管理面上,則再次分享與強調:為什麼會建議客戶在選擇網站主機服務,甚至是所有網路服務時,都應該要留心服務提供商對於服務提供的「管理內容」、「支援深度與廣度」、「服務運行穩定」、「客服支援的即時度」等。
關於服務的管理上,我們可以回顧此文:匯智提供的所有服務核心都是由管理服務延伸而來的
關於網站設計、架網站方式的回顧文章,可以參考:主流的網站架站方式、將網站交給設計公司建置的好處、
▌資訊流通安全性與便利性(簽章系列)
不只新冠病毒在擾亂大家的實體世界,連郵件病毒也不放過大家的虛擬世界,2022 全球以企業為單位來計算,曾經被網路攻擊成功「得逞」(意指詐騙勒索、竊取資料、成功埋病毒碼等行為)的比例從 84% 上升至 90%,企業自覺在 2023 年可能遭受攻擊的比例,也從 76% 上升至 85%,而以台灣CRI 指標來看,也從 2021 下半年的 0.53 提升至 2022 上半年的 -0.06,明顯看到病毒與資安攻擊的發生率在疫情期間大幅攀升。
資料來源:「網路資安風險指標」(Cyber Risk Index,簡稱 CRI) 半年度報告;CRI 指標,是以數千家企業之「企業資安準備度」與「企業遭受攻擊的可能性」之間的分數落差來計算,並以 -10 到 10之間的數值,呈現該期間的風險指標。
生在這時代的孩子們應該對細菌病毒很有概念,趁勢帶入虛擬世界病毒來個延伸學習,培養長大後對資訊安全防護的概念,似乎不錯!J 小小輕鬆一下後,我們回到正題!
是的,網路資訊流通安全性與便利性也是 2022 年一大重要議題,便利性部份首先會想到的就是文件的往來與簽核,這是在疫情間非常需要被解決的問題;接著就是許多人關切的郵件使用安全,郵件是企業必備,也是使用率極高與頻繁的工具,經由郵件發生的資安攻擊事件為數不少,但攻擊方式不再只是發送夾有病毒附檔的信件,或是用一眼就能快速分辨出來的威脅型釣魚信件,而是變成社交工程攻擊模式。
面對不同的郵件安全問題,就需要有不同的對應方式;當信件進入收件者信箱前,先過偵測與過濾,確認信件內是否含有惡意程式碼或惡意附件,一旦偵測到隨即刪除或阻擋,這是解決病毒信件的方式,但另一個興起的社交工程攻擊模式,採取的手法是入侵並直接模仿被盜者的行為模式,若信件內不是置入惡意程式碼或惡意附件,而是佯裝成一封正常的信件,目的是要騙取收件者更換匯款的帳號,那麼在病毒信件偵測與過濾這部份,較無法完全被阻擋或刪除,除了靠收件者的判斷力外,藉由電子郵件數位簽章服務來補強與解決社交工程攻擊所產生的問題是一個不錯的方式。
簽章系列的服務中,還有對網站傳輸資料加密的SSL 數位憑證、用於程式執行檔上的程式碼簽章、用於文件數位簽核上的文件簽章,這些服務都是對於資訊流通的安全性與工作便利性有所加分的,若是對這些內容有興趣,可以再看看以下的延伸閱讀。
延伸閱讀:郵件社交工程攻擊如何防、什麼是文件簽章、什麼是程式碼簽章
歡迎轉載!請見:轉載原則。
Photo by Thirdman from pexels