精誠資訊的企業電子化支援系統 指導老師: 王淑卿 教授 第六組組員名單: 9814008許瑋麟 9814083張勝彥 9814158蔡孟翰 王淑卿 教授 第六組組員名單: 9814008許瑋麟 9814083張勝彥 9814158蔡孟翰 9714150黃彥中

Company Profile 公司簡介 精誠資訊SYSTEX Corporation (台股代號6214) 成立於1997年，是台灣資訊服務產業龍頭企業，擁有近3,000名員工，位居台灣前一百大服務業，在跨足兩岸三地及東南亞的亞洲區域資訊服務集團共設有48個營運據點，2012年合併營收為新台幣145億元。 根據台灣權威財經媒體，2012年5月出刊的天下雜誌「台灣五百大服務業調查」，精誠連續6年蟬聯台灣五百大服務業軟體業第一的寶座；同時也是天下雜誌「兩岸三地一千大企業排行」專題報導中唯一入榜的台灣資訊服務企業。

2009 Business Risk 商業風險 ‹ The Top 10 risks for global business 1. The credit crunch 信用緊縮 2. Regulation and compliance 法令遵循(2008 Top 1) 3. Deepening recession 全球性經濟嚴重衰退 4. Radical greening 綠色議題 (環保&永續性) 5. Non-Traditional entrants 非傳統競爭者進入(鄰近產業/跨國企業) 6. Cost cutting 成本控制 7. Managing talent 人才管理 8. Executing alliances and transactions 策略聯盟與交易 9. Business model redundancy 商業模式過時 10. Reputation risks 商譽風險 Source: The 2009 Ernst & Young business risk report

Regulation and compliance 法令遵循 ‹ 電腦處理個人資料保護法 ‹ 個人資料保護法(草案) ‹ 著作權法 法律法規 說明 「金融控股公司法」第42 條 金融控股公司及其子公司對於客戶個人資料、往來交易資料及其他相關資 料，除其 他法律或主管機關另有規定者外，應保守秘密。 「金融機構作業委託他人 處理內部作業制度及程 金融機構作業委外不得違反法令強制或禁止規定、公共秩序及善良風俗， 對經營、 管理及客戶權益，不得有不利之影響，並應確保遵循銀行法、洗 錢防制法、電腦處 理個人資料保護法、消費者保護法及其他法令之規定。 序辦法」第19條 「金融業個人資料檔案安 全維護計畫標準」第1~12 條 本標準依據電腦處理個人資料保護法第二十條第五項規定訂定之。 「保險業個人資料檔案安 全維護計畫標準」第1~9 條 本標準依據電腦處理個人資料保護法 (以下簡稱本法) 第二十條第五項規 定訂定之。 「證券業暨期貨業個人資 料檔案安全維護計畫標 準」第1~12條 本標準依電腦處理個人資料保護法 (以下簡稱本法) 第二十條第五項規定 訂定之。

Reputation risks 商譽風險 ‹ 網路銀行入侵 ‹ 客戶資料外洩 ‹ 網站服務中斷 ‹ 銀行業務中斷

為何要對付攻擊？ ‹ 因為會有損失 ‹ 損失在哪裡？

損失在哪裡？ ‹直接損失：大廈的毀壞與人員的傷亡 ‹間接的損失： ¾ 國內班機因為增加的安檢，生意減少8% ¾ 國內航空業損失11億美元（330億台幣） ¾ 由於民眾改用陸地交通工具，造成超過100條道路 的癱瘓 ¾ 所有活動、交通、場所之成本提升 ¾ 賓拉登可以去放假三年，但是美國要24*7防守

衝擊：網站資安事件-判賠案例 資料來源: 資安之眼-資安新聞

最新個資外洩案例 8

網站應用程式架構 http ://www.none.to/script ?submenu=update&uid =1'+or+like'%25admin%25';--%00 Web Servers App Servers Database Servers Presentation Layer Business Logic J2EE/.NET Customer Info Business Data Transaction Info Legacy Apps Network Firewall Microsoft SQL Server Microsof t IIS Apache Operating Systems Operating Systems Operating Systems Linux Solaris AIX Windows

Web應用程式的風險 ‹ 資訊安全人員 ‹ 程式開發者與 無法瞭解應用 測試人員不知 程式的內容及 道潛在的安全 安全的問題何 資安人員與程式人員的安全觀念差異 ‹ 資訊安全人員 ‹ 程式開發者與 無法瞭解應用 測試人員不知 程式的內容及 道潛在的安全 安全的問題何 風險與威脅!! 在?!

資安人員每天要面對這麼多的「網站攻擊威脅」 ‹ SQL Injection ‹ SSI Injection ‹ LDAP Injection ‹ XPath Injection ‹ Directory Indexing ‹ Path Traversal ‹ Information Leakage ‹ Fingerprinting ‹ OS Commanding ‹ Format String Attack ‹ HTTP Response Splitting ‹ Cross-site Scripting ‹ Buffer Overflow ‹ Credential/Session Prediction ‹ Insufficient Session Expiration ‹ Session Fixation ‹ Content Spoofing ‹ Abuse of Functionality ‹ Weak Password Recovery ‹ Insufficient Anti- automation ‹ Insufficient Authentication ‹ Insufficient Authorization ‹ Insufficient Process Validation ‹ Brute Force ‹ Predictable Resource Location Validation 資料來源：Web Application Security Consortium, WASC ‹ Denial of Service

網站可被打穿的漏洞「越來越多」 ‹ 國際專業機構利用「源碼檢測」等技術分析 3 萬 個網站之統計 結果 ‹ 國際專業機構利用「源碼檢測」等技術分析 3 萬 個網站之統計 結果 ¾ 每個網站平均有 13.11 個漏洞：包括 8.91 個嚴重漏洞 資料來源: 2008/09/ 美國網站安全聯盟 - Web Application Security Consortium (WASC)

資安威脅可能動搖企業經營 以部分的資安對策為 升級為涵蓋整體基礎環境的 主，屬於個別產品、 個別部門層級的對策 以部分的資安對策為 升級為涵蓋整體基礎環境的 主，屬於個別產品、 個別部門層級的對策 資安對策，除了俯視整體環 境之外，更重要的是必須基 於經營策略觀點提出對策 資安威脅對企業造成的 損害，不僅是財務層面， 已大幅擴大至品牌形象， 甚至動搖企業經營 資料外洩對 策需求擴大 資安重要性大幅提升 過往，企業資安建置與投資重點是保護本身的「系統」及「網路」 現在，轉變為以「實現法規遵循」與「落實企業社會責任」為目的 2005 2006 2007 2008 2009 2010 資料來源：資策會MIC，2008年6月

眾多IT投資計畫中 強化資訊安全能力最重要 非常重要 重要 普通 不重要 非常不重要 1 強化資訊安全能力 33.0% 49.0% 14.0% 3.0% 2 法規遵循需求 31.0% 47.0% 17.0% 4.0% 3 強化災難備援能力 28.0% 51.0% 17.0% 3.0% 4 提升風險控管能力 22.0% 57.0% 17.0% 3.0% 5 整併IT基礎建設 19.0% 49.0% 27.0% 3.0% 6 客戶文件影像集中管理 13.0% 24.0% 36.0% 19.0% 7 發展多通路創新金融服務 11.0% 54.0% 21.0% 9.0% 8 汰換舊有或封閉式系統 8.1% 36.4% 41.4% 11.1% 9 發展IP-based環境 6.0% 15.0% 28.0% 24.0% 10 財務系統投資 6.0% 14.0% 52.0% 18.0% 11 6.0% 37.0% 38.0% 13.0% 12 導入SOA & BPM 4.0% 21.2% 42.4% 23.2% 13 移植系統到Linux平台上 8.1% 29.3% 35.4% 附註：有效樣本數100家 資料來源：資策會MIC，2008年9月

了解每一種解決方式擅長之處 ‹ 人工：可以找出工具沒辦法找的漏洞，如邏輯錯誤等 ‹ 工具：可以自動每天免費使用，降低成本與提早發現 與修補問題 ‹ 白箱：掃漏洞深度夠，漏洞在哪一行都很清楚，也可 提供修補建議 ‹ 黑箱：可以掃出設定問題等白箱沒法掃到的，但是深 度不夠，也無法顯示程式traceback ‹ WAF：可以提供即時的保護，對於黑白箱吃力的一些 弱點，如CSRF，WAF處理起來非常直覺簡單 http://www.owasp.org/index.php/Category:OWASP_Best_Practi ces:_Use_of_Web_Application_Firewalls

需要專注於重大弱點的改善 弱點 數 80%的應用程式弱點，是發生在20的項目上， 花20%的資源可以解決80%的問題 的累計 20% 進行快速有效的弱點檢測 弱點 數 80%的應用程式弱點，是發生在20的項目上， 的累計 花20%的資源可以解決80%的問題 20% z35% 弱點的數目

個案說明 精誠資訊「Tapeless無磁帶化備份解決方案」 「資料」是資訊理論中最基本的實體，倘若資料遺失或損壞，資訊也隨之遺失或者被扭曲，嚴重時將導致企業在營運時無法獲得正確的資訊而做出錯誤的決策。 因此，為防止資料意外遺失或者損毀，業界許多先進們想出了一系列方法來保護當前的資料。資料保護和資料備份看似簡單，事實上卻很複雜。資料保護和備份已經成為儲存領域的一門技術，本文以現今流行的無磁帶化備份做簡要介紹，並舉出案例供各位先進參考。

傳統磁帶面臨的挑戰 磁帶因讀寫磨損,環境溫濕度保存等因素，往往有壽命上的限制需定期做更換。此外，磁帶並不支援類似磁碟系統RAID容錯機制，當磁帶無法正常讀取資料時，意味著資料有遺失的可能及風險。另外，磁帶的應用必須使用磁帶機來進行資料讀寫作業，其限制就在於磁帶只能「循序」存取資料，若要還原特定檔案而不是要還原整卷磁帶，就必須從頭定位到特定位置，相當耗費時間。 使用備份軟體時必須搭配自動化磁帶館進行寫入、檢視或回復備份資料，而磁帶機、磁帶館機械手臂也可能因機械故障而無法完成資料備份及回復作業，無法像磁碟一般可即時的還原或檢視備份資料。因此，在許多的磁碟備份技術推陳出新的情況下，傳統的磁帶在備份應用中所占的比重逐漸降低，甚至有某些儲存廠商喊出以磁碟儲存系統產品用來取代磁帶作為最終儲存媒體角色為目標。

傳統磁帶面臨的挑戰 圖說：備份到磁碟的資料可加密且遠端複製自動加密確保資料遭竊。

備份無磁帶化的應用  磁帶過去的最大優點是較低的單位容量成本，以及易於搬移媒體達到遠端備援的效用，但在低價SATA硬碟的衝擊下，許多原先一直由磁帶所統治的應用領域，正在被磁碟儲存系統逐步蠶食鯨吞，加上儲存系統資料遠端複製技術普及後，遭受到了嚴峻的挑戰。 值得一提的是重複資料刪除技術可讓有限的磁碟空間，發揮出數倍甚至數十倍的儲存效率；特別是資料遠端複製功能更可直接透過網路將備份資料傳送到備援機房或其他資料中心，免除搬運實體磁帶的作業。 在這樣的趨勢發展下，已經許多的企業選擇磁碟備份解決方案，而磁帶則逐漸轉向到長期歸檔的功能，用於存放那些必需長期保存，但讀取機會並不多的歷史資料。

備份無磁帶化的應用  很多企業的IT部門都會面臨到一個問題，那就是磁帶備份相關設備會不斷地增加。此外，當企業需要做到異地備援及備份資料異地存放時，隨著業務及資料量的成長，每天需要備份的磁帶數量也越來越多，加上個人資料保護法即將實施，以往實體磁帶的運送和保護管理機制要求也隨之提升。   基於上述這些原因，促使企業IT部門採用磁碟備份加上重複資料刪除技術。如此每日全備份的資料減少30倍，備份完成時間也減少20%，大大降低以往實體磁帶備份效率及費用，並簡化管理。另外，磁碟備份系統透過網路傳輸的資料遠端複製機制完全取代以往人工磁帶外送作業，每日備份的資料量經重複資料刪除技術處理後，約40GB的資料，透過兩地機房中間30Mb/s的網路頻寬作加密傳送備份資料，僅需2小時就能夠傳輸完成。不僅RPO的時間縮短10小時，同時省下了每日運送磁帶的人工，也有效阻絕資料外洩的風險。

備份無磁帶化的應用  圖說：備份去磁帶化架構。

備份無磁帶化的應用  備份無磁帶化作業是在備份資料不斷快速成長下的一種釜底抽薪的方法，透過磁碟系統的重複刪除技術直接減少需要備份的資料量，並解決傳統備份環境中許多無法解決的難題。 此外，個資法條文中特別指明備份檔案也在規範範圍內，企業對於備份檔案的保護勢必提升，未來管理磁帶的方式與機制也必須有一番調整。精誠資訊在此領域已累積多年的實戰經驗，擁有經驗豐富的顧問團隊及技術，協助企業部署更完善的資料保護解決方案，並賦予企業全新的信心，展現遵循法規的能力，保護客戶及其品牌與智慧財產。

23