[新聞]【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引（下）

新聞：https://www.ithome.com.tw/article/124544
資安法最重要的子法之一「資通安全責任等級分級辦法」，分成5個等級，依照業務機密程度以及牽涉民眾範圍而制定相關的標準，這是相關單位面對資安事件時，「事前」應完成的任務目標之一

在資安法6大子法中，行政院資安處處長簡宏偉認為，最重要的子法，除了施行細則之外，就是「資通安全責任等級分級辦法草案」，因為，機關的資安責任等級一旦分錯，對於防護的強度就立即減弱，就可能對機關組織，帶來立即性的資料外洩，或遭到針對性APT攻擊的威脅。（攝影／洪政偉）

資安法6大子法當中，除了有施行細則補足資安法本身規範或說明不足之處外，最重要的子法應該就是「資通安全責任等級分級辦法」，分成A、B、C、D、E總共5個等級，依照業務機密程度以及牽涉民眾範圍而制定相關的標準。這也是面對資安事件時，「事前」應該完成的任務目標之一。

資安責任分成A級到E級總共5級，首度列出不納管單位

行政院資安處指出，像是健保署、財政資訊中心或者是內政部等這幾個單位或部會，業務與資訊系統牽涉全國民眾，重要性勢必得提升，所以直接列為A級機關。但是，目前所有的機關分級，還是需要進行後續的評估以及公告程序，這三個例子則是目前，少數已經可以很明確確定業務與資訊系統重要性的單位。

行政院資安處處長簡宏偉也說，簡單的概念來看A、B、C、D、E級機關，事涉全國性的業務或系統，大致可以列為A級機關；如果是跨縣市的區域性業務或系統，則可以列為B級機關；若是單一縣市提供的業務或系統，可以列為C級機關；如果是有提供資訊相關業務或服務，但相關的系統都由上級或是主管、監管機關代為管理的話，就是D級機關。

他強調，現在政府也針對各級機關有做業務重要性的分級，但目前只有列為A、B、C、D等四級，不過，在針對資安責任等級的分級時，其實會發現，還是有一些單位並沒有提供相關的資訊服務，相關的資訊系統也都委由上級或主管、監管機關代勞的情況下，就不需要一定要求這樣的業務單位，承擔所謂的資通安全責任，便首度規範了一個E級機關，就是不納管「不具備任何資安責任」的單位，納入資安責任等級的分級制度中。

但簡宏偉指出，未來這些機關資通安全責任等級，除了會由機關單位自行評估重要性外，也會加入主管機關、上級機關或監督機關的看法，最後進行統一公告。這次制定責任等級的過程中，因為等級的規定不同於現有的規定，如何制定一個有彈性又符合現況需求的責任等級分級標準，對於主管機關行政院而言，的確是一大考驗。

資安責任等級分5級，A～C級都得2年內取得臺版CNS 27001認證

在資安法6大子法中，簡宏偉認為，最重要的子法，除了資安法施行細則之外，就是「資通安全責任等級分級辦法草案」最重要，因為，機關的資安責任等級一旦分錯，對於防護的強度就立即減弱，就可能對機關組織，帶來立即性的資料外洩，或遭到針對性APT攻擊的威脅。

若從資安責任等級中所規定的應辦事項來看，不論是公務機關或者是特定非公務機關，A級到C級機關的資安管理，都必須同時著重管理面與技術面，差別會因為等級高低的不同，而有管理強度的不同。

以A級公務機關應辦事項為例，條文中要求，當機關初次核定或等級變更後的一年內，必須依照機密性、完整性、可用性以及法律遵循性等四個構面，針對防護等級高、中、低的差別，確保相關資通系統防護需求的分級原則；而在定義相關的防護需求等級時，都以等級需求最高者為主要的等級標準。

從條文中也規定，不論是A級、B級和C級的公務或是特定非公務機關，都必須要在2年內取得臺版CNS 27001或是ISO 27001的資安認證；同時，針對A級～C級公務機關，也強制要求配置4人、2人和1人的資安專職人員。

簡宏偉表示，政府可以強制機關投入某類資源，例如人力，放在資安領域上，但政府無法強迫非公務機關也必須如法炮製，仍須尊重非公務機關對於營運的自主性。

在技術面上，包括防毒軟體、網路防火牆以及郵件過濾機制等，是從A級到D級機關，共有的資安防護設備，保持定期的軟硬體更新則是落實資安防護的基本功。另外，資安教育訓練則是不管哪一個等級都必須具備的基本防護概念，A級～C級機關有專職的資安人員，每年都必須接受12小時以上的資安專業訓練，但若是一般的使用者或是主管，則必須要接受3小時的資安教育訓練。

透過稽核方式，強化對特定非公務機關監督管理之責

不論是公務機關或是特定非公務機關，「事前」都必須根據資安法施行細則來制定資安維護計畫，但後續相關的適法機關，就必須針對這份資安維護計畫，提出各自的施行狀況；並由主管機關、上級機關、監督機關或者是中央目的事業主管機關，針對該份計畫的執行程度，進行後續的稽核。簡宏偉認為，「事中」稽核最重要的目的，除了要確認整體計畫執行的符合程度，也可以提出「事後」相關的改善計畫。

他表示，公務機關只需要透過行政命令的方式，就可以進行相關稽核的要求與規範，「依法行政」是公務機關的本質；但對於特定非公務機關而言，為了不侵犯其相關的權力，一旦有任何的要求時，都必須制定相對應的法令才行。

為了強化主管機關對於特定非公務機關的監督與管理，也希望要協助這些特定非公務機關，可以及時發現資安維護計畫執行時的缺失，並適時進行修正。因此，行政院便透過制定《特定非公務機關資通安全維護計畫實施情形稽核辦法草案》，以現場實地查核的方式，稽核上述單位其資通安全維護計畫實施情況；一旦有發現缺失，受稽核機關也應該在指定時間內提出事後的改善報告；主管機關也可以要求受稽核機關在必要時，於指定時間內進行說明或調整。

資安情資分享應該避免營業秘密等資料外洩

事前針對《資通安全事件通報級應變辦法草案》制定通報應變機制後，一旦事中爆發任何資安事件，就可以依照規範進行通報。

不過，這些資安事件所產生的情資，如果可以善加利用，不論是對上級機關或者是平行或是下級機關，甚至是產業或是其他國際合作等，都可能帶來加乘的效果。

曾經有資安專家邱銘彰（網路暱稱鳥人）表示，臺灣長期作為許多網軍練兵的場所，遭受到的各種惡意程式攻擊，反而成為臺灣最珍貴的天然資源，都有助於臺灣資安產業未來進一步的發展。

因此，簡宏偉認為，不論是各種惡意程式或是漏洞通報等資訊，都是寶貴的資安情資，可以針對不同機關之間甚至是國際間進行情資交換合作，不僅有助於資安事件的現前預防和事中處理，甚至對於事後鑑識都可以發揮重要的關鍵效益。

但他也強調，所有的資安情資分享的過程中，都必須避免各種營業秘密、個資或隱私資料的外洩事件，也必須確保所分享的資安情資，不會在未經授權的前提下，遭到不當存取、外洩或竄改。

資安治理逐步向上集中，以資安成熟度作為評量標準

資安法這6個子法，補足資安法母法更多的細節，提供更多明確可以執行的參考步驟與方法。但是，要完全參照這6個資安法子法的規範，逐步完成所有應該準備的文件和程序，也並不是一件容易的事情。

簡宏偉認為，所有公務與特定非公務機關面對時間規畫的待辦任務，可以從IT盤點、制定資通安全維護計畫、制定通報級應變辦法以及提報機關資安責任等級著手。

尤其是，資安治理的目標就是希望可以逐步將資安業務做到向上集中，簡宏偉指出，透過分級分類的概念，讓沒有人沒有錢的單位，可以慢慢將資訊、資安業務向上一級單位集中。

若從資安責任等級的公務和非公務機關的應辦事項來看，A級、B級和C級機關，資安管理都必須兼顧管理面、技術面以及相關的教育訓練，但D級機關，只需要做到技術面與認知與訓練的面向即可。

至於機關資安責任等級分級問題，簡宏偉建議，目前要做到IT盤點外，也必須定義核心業務，再來找出核心系統，以及進行營運衝擊分析（BIA）以及風險評鑑（RA)，定義可以接受的風險後，就可以訂出機關的資安責任等級。

目前中央部會加上地方政府以及5院加上總統府，將近有70個機關單位，一般而言，上級加上中央目的事業主管機關通常會有表較多的資安資源，包括資安專責人力等。但以目前子法的規範，A級機關會有4個資安專職人力，B級機關會有2名資安專職人力，C級機關會有1個資安專責人力；至於特定非公務機關，因為要尊重公司營運的權力，並不強制規範是否要設置多少名資安人力。

「資安責任等級的訂定是最重要的，」簡宏偉說，未來相關稽核的目的不一樣，以前是偏重政策宣導性，以及管理面與技術；但未來，偏重資安治理，資安維護計畫強調的是完整性，基礎的運作是否符合維護計畫的規範，有法規遵循的概念在內，至少要做到依法行政、依法處理；另外也要針對資安維護計畫，要提出改善報告和相關的矯正措施。

在相關的資安人才培育上，可以參考「資安產業發展行動計畫」，但簡宏偉認為，臺灣資安發展現況，更適合用「資安成熟度」作為衡量的標準。其他的，對於資安產業的發展，他認為應該要看資安產業帶來的擴散效益，包括政府部門和特定非公務機關的關鍵基礎設施服務提供者等。

在2016年創造的資安產業產值大約3百多億元，如何產生「外溢效應」，從政府部門本身，外溢到關鍵基礎設施，再外溢到140萬家中小企業、2千家電商等，例如，可以透過產業一起進行團購資安服務等，都是可以參考的手段。

特定非公務機關資安事件通報應變流程

特定非公務機關一旦爆發資安事件，處理步驟和公務機關一樣，必須要1小時內，依照主管機關指定的方式，進行資安事件通報；如果是第一級或是第二級資安事件，主管機關在接獲通報8小時內進行資安事件等級的審核；若是第三級或是第四級資安事件，則必須在接獲通報2小時內完成。

資料來源：行政院資安處，2018年7月

資安情資分享方式一覽表

包括惡意程式或是系統漏洞，都是重要的資安情資，有效的情資分享可以做到事前預防，對於事中的事件處理，以及事後資安鑑識也都有幫助。但在情資分享時需注意，設計營業秘密或個資、隱私議題，原則不得分享；但如果法令有規定，或經當事人同意、去識別化後，例外就可以分享。

資料來源：行政院資安處，2018年7月

 相關報導  資安法六大子法草案出爐：翻新責任分級架構，全套法遵執行要求曝光

[新聞]：【行政院預告資安法6大子法草案】適法機關落實法遵的參考指引（上）

新聞：https://www.ithome.com.tw/article/124544
7月9日展開為期60天的預告後，再將子法送交立法院備查，資安處也會提供子法規定相關的文件範本給機關參考，暫定2019年元旦正式實行資安法

資安管理法6個子法，是為了補足資安管理法母法中，來不及詳述的規範內容，透過資安法施行細則補足應該要如何制定資安維護計畫，最重要的關鍵點就是，如何透過資安責任等級分級辦法，將公務以及非公務機關依照業務以及系統的重要性，和牽涉範圍是全球性、區域性、地區性等差異，依照重要性高低分成ABCD等4級，並首度訂出一個不納管的E級機關。（資料來源：行政院資安處，2018年7月）

延宕許久的《資通安全管理法》（簡稱《資安法》）終於在今年5月11日立法院三讀過關，總統府也於6月6日正式公布該法。不過，《資安法》本身是一個提綱挈領的資安大原則，行政院資安處處長簡宏偉表示，有許多更細部的規範，則有賴6個子法進一步闡述說明。

對此，行政院資安處也在今年7月9日，正式對外公布包括：《資通安全管理法施行細則草案》、《資通安全責任等級分級辦法草案》、《資通安全事件通報及應變辦法草案》、《特定非公務機關資通安全維護計畫實施情形稽核辦法草案》、《資通安全情資分享辦法草案》以及《公務機關所屬人員資通安全事項獎懲辦法草案》等6個子法的草案內容，並依法對外預告60天。

簡宏偉指出，在預告的二個月內，也會在八月和九月同步舉辦多場座談會，如果各界對於子法有疑慮或建議，可以在公開的座談會中提出相關的看法外，也可以上國發會「眾開講」的平臺表達意見；在彙整各界意見後，則會將這6個資安法相關的子法，送交立法院備查。

《資安法》第23條規定，施行日期將由主管機關訂定，簡宏偉表示，依照子法預告以及規範適法機關所要面對的程序和作法，參照目前適法機關的準備時間，暫定將於2019年1月1日正式施行。

行政院資安處處長簡宏偉表示，資安法的6個子法終於在7月9日對外預告，對於條文內容有意見或想法的民眾，都可以在舉辦的座談會中提出看法，也可以直接到國發會「眾開講」的公共平臺表達意見。 （攝影／洪政偉）

根據母法資安法制定6大子法，資安處也會提供文件範本參考

《資安法》今年3月～5月時，舉辦二階段、共計14場座談會，也事先收集各界對於《資安法》及其6大子法的建議，而在7月9日，行政院針對6個資安法子法，進行為期60天的預告期間，也會在8月、9月陸續舉辦其他的座談會。

簡宏偉表示，除了持續蒐集各界對於資安法子法的建議外，還會針對公務機關以及特定非公務機關，舉辦到底該如何因應資安法規範的座談會，就是從實作面來看，希望讓這些適用資安法的機關單位，可以知道後續在適法性上有哪些文件要準備、哪些作為要執行，未來，行政院資安處也會準備相關的程序和相關文件範本，作為機關的參考。

簡宏偉表示，《資安管理法》就規定要明訂6個子法，而《資通安全管理法施行細則草案》主要是，針對資通安全維護計畫實施情形的稽核結果，提供相關的改善報告，包含委外和客製化系統的建置、維運和相關服務提供等，藉由稽核或其他適當的方式，確認受委託的業務執行狀況。

資安責任列公務員獎懲參考，「應做未做才罰」是核心精神

若以適用對象來看，資安法主要適用的對象，可以分成公務機關以及特定非公務機關，前者包含中央與地方政府以及公法人外，後者主要是以關鍵基礎設施提供者、公營事業以及政府捐助的財團法人為主；其中，針對公務機關所屬人員，也制定資通安全事項獎懲辦法，就是希望可以提升公務人員對於維護資訊安全的責任和意識。

至於對於罰則的部份，有許多公務人員認為，許多機關在沒人、沒錢甚至長官不支持的前提下，將資安落實與否列為公務人員獎懲的範圍，其實並不妥當，也無法收到正面效果。

簡宏偉則重申，「應做未做的部份才會處罰，」並不是有出事、發生事情就會處罰，他認為，主管機關如果只會一昧指責、懲處這樣的作法，對於提升適法機關的資安意識與強化資安相關的作為，並沒有幫助。而人事總處也表示，未來這些資安相關的指標，都只是公務人員獎懲的參考之一，也降低公務人員的憂心。

資安事件通報依情節輕重，分成第一級～第四級

另外，機關落實資安法也可以分成「事前」、「事中」和「事後」有不同因應措施，並制定相對應的資安法子法作為應變的參考基準。

簡宏偉表示，在「事前」，所有的適法機關一定要制定的規範，除了資安法施行細則中，針對公務機關以及特定非公務機關要求一定要制定的「資通安全維護計畫」之外，就是針對如何訂定通報應變機制而制定的《資通安全事件通報及應變辦法草案》。

目前資通安全事件分成四級，依照事情的嚴重性，從輕到重，分別是第一級到第四級。第一級和第二級主要是非核心業務資訊系統，依照洩漏程度分輕重，這也是目前政府部門最常面對到的資安事件種類；第三級和第四級則通常會涉及到，核心業務資訊系統有沒有遭到輕微或嚴重的資訊洩漏，輕微者列為第三級，嚴重者列為第四級。以去年度政府遭遇到的資安事件種類來看，政府機關還沒有遭遇到第四級、最嚴重的資安事件。

資安事件的通報應變方式，一定都必須在「事前」完成規畫與制定，一旦「事中」遇到第一級～第四級的資安事件時，才能夠依照相關的通報應變辦法進行通報。

資通安全事件分級一覽表

公務以及特定非公務機關發生資通安全事件，依照情節輕重分成第一級到第四級，如果是非核心業務資訊遭到洩漏，通常列為最輕微的第一級或第二級資安事件，這也是政府部門最常發生的資安事件類型；如果是核心業務資訊遭到外洩，輕微者列為第三級資安事件，嚴重者是第四級資安事件。去年政府還沒發生第四級資安事件。

資料來源：行政院資安處，2018年7月

公務機關資安事件通報應變流程

公務機關如果發生資安事件，必須要在1小時內通報上級監督機關以及主管機關，資安事件等級重大者，必須在36小內；非重大者，則在72小時內，完成損害控制與復原狀況

資料來源：行政院資安處，2018年7月

《資通安全管理法》演進歷程

 2015年5月21日 

資通安全管理法草案提出（由資通安全辦公室召開資通安全管理法草案專家座談會）

 2016年8月1日 

行政院資通安全處成立（取代資安辦，成為政院資安專責機構，首任處長為簡宏偉）

 2016年8月31日 

行政院資安處完成資安管理法草案初稿（9月將舉辦了6場法案座談會，並上網徵求全民意見）

 2017年4月27日 

行政院版的資通安全管理法草案通過（送請立法院審議）

 2017年11月6日 

立法院司法及法制委員會審查資通安全法草案（共有行政院、時代力量黨團、親民黨團、民進黨立委陳亭妃、余宛如、國民黨立委許毓仁等6個版本）

 2018年5月11日 

資通安全管理法完成立院三讀（六月中旬總統正式公布，正式施行日期由行政院另定）

 2018年6月6日 

總統府公布資通安全管理法

 2018年7月9日 

行政院預告《資通安全管理法施行細則草案》、《資通安全責任等級分級辦法草案》、《資通安全事件通報及應變辦法草案》、《特定非公務機關資通安全維護計畫實施情形稽核辦法草案》、《資通安全情資分享辦法草案》以及《公務機關所屬人員資通安全事項獎懲辦法草案》等6個子法草案內容

 2018年8月～9月 

舉辦多場座談會

 2018年9月6日 

資安法6個子法草案預告期滿，文字條文修正後，送立法院備查

 2018年10月 

資安責任等級主管機關備查

 2019年1月1日 

暫定資安法管理正式施行

資料來源：行政院資安處，iTh­ome整理，2018年7月

新加坡的資安及個資洩漏事件的新聞，及新加坡政府的因應。

【7个你不得不知道的信息】http://bit.ly/2LCF1je
【新保集团150万病患个人资料被盗 总理是目标】http://bit.ly/2Nwlfqa
【如何检查你的资料是否被盗】http://bit.ly/2O4pqdX
【新保集团旗下医疗机构名单】http://bit.ly/2zUykaX

因ISO顧問工作心裡被燃起的熱情

專職從事資安的ISO顧問工作時間還不是很長，但越了解ISO的各項標準後越激起我想要實踐管理想法的熱情。

過去在管MIS時我沒懂ISO標準對IT的規範，到馬來西亞廠後管的雖然是ISO 9001認證的工廠，但我也只負責簽名，從也沒認真去搞懂ISO對管理上真正的意義。但是當時就算心中沒ISO，工廠經營每天還是要面對一堆問題，我仍然天天都在思考如和透過流程及管理的方法的改善去解決每個我管理上面臨問題。

從今年年初開始我專職從事的是資安的ISO 27001的輔導工作，也跟著一個ISO 9001的管理制度建立的案子。接觸越深了解ISO越多，我才發現當年我在工廠、在MIS的管理面臨的問題其實都是ISO標準規範要去解決的。而當年，我費了很多力氣在解決單點問題，但現在當了顧問了解ISO後才發現，ISO的標準其實才是一個真正全面的管理系統，它更完整地考慮整個企業現在及未來經營上的管理問題，尤其是現在ISO的精神更強調企業經營風險及持續營運更長遠的的議題。

老實說，這次轉換跑道本來是以半退休的態度在從事ISO資安顧問工作，但才卻意外地在我內心激起了熱情。內心不斷有一個聲音出現，應該要找一個企業把我終於打通任督二脈才串起來的企業商業流程管理、IT制度管理、風險因應管理...等，協助企業把管理制度建立及管理落實的想法，做為我職場上最有意義且最漂亮的一戰。

想起4年前我在馬來西亞工廠就是以建立集團的模範工廠為目標，而且我自認在我3年後離開時也真的很驕傲地用績效數字說明我做到了。但現在回頭看，因為當時對ISO的無知，當年我沒認真去了解ISO的各項標準，只會用熱忱片面地去解決每一個單點的管理問題，並沒有真正做到系統面的思考。以我現在的覺悟來看，若再交給我一個類似當年的經營舞台，我相信一切會更不一樣。

我也突然想起當年日本客戶在工程監察時對於我們管理上的問題常會質疑我們的ISO 9001是怎麼通過的，以及要我們更進一步導入TS-16949的要求。我也是到現在才終於了解，日本企業的主管們是認真把ISO當作管理制度建立的標準在要求自己及他們的供應商，但我們這些台灣工廠的只管多數都只是把ISO認證通過當作業務面(接單)的必要條件。我們這些在傳統製造業多數的經營主管其實都沒有認知去思考ISO對企業制度真正的幫助，去思考導入ISO對企業真正的管理意義是甚麼? (所以我當年對日本人的質疑其實很納悶及不解，只是很膚淺的認知日本人做事就是認真而已。)

我也是現在才知道，因為多數企業管理階層對ISO都是一知半解甚至是無知的，所以根本不會去思考導入ISO的PDCA對企業正面積極的意義。

我現在的顧問工作雖很好，每天都可以接觸不同客戶也接受不同企業的挑戰，但我每次輔導客戶過程中我心中總有小小的缺憾，我只能引導組織建立制度，但建立制度之後的管理、監督、績效展現我都沒有立場及權力去讓管理制度變的真正有用及不斷改善，通過完認證之後似乎我的顧問階段性任務就告一段落。再加上我公司9成是公部門的客戶，我更沒有機會完成一個典範的制度建立、執行、運作。

突然內心的熱忱被點燃，想要把對企業經營管理制度建立的新想法在一個有緣的舞台展現，做為職場生涯最後一次表現，讓我可以在10年後還是很驕傲及不斷回味的職場代表作，且補一下我原本驕傲的馬來西亞經驗卻在回台後離開那家公司，一個曾經用心經營且有績效卻不能持續的舞台，心中到現在還是有一個不夠完美的Ending的一生遺憾。

P.S. 哈哈，其實講歸講，當顧問輕鬆自在又沒責任要擔，成就感只是這個工作中小小的缺憾，所以我也只是把心裡的聲音說出來而已。而且，熱情通常過一段時間沒有遇到機會就會被澆熄。等半年後再回頭來看這篇文章的想法。

顧問人生

等待稽核會議

顧問人生

2018/7/19，等待輔導的一刻！

[ˋ新聞]-臺灣資安管理的新標準

資通安全管理法子法草案提出了全新的資通安全責任等級，將遵循機關按照各自業務內容需負起的資安責任分成5級，責任越大者，要求越高

就在7月9日，行政院資通安全處低調地發布了一份公告，預告了資通安全管理法6個子法草案內容。這個在過去一年沸沸揚揚，引起業界熱議，政客激辯的資安管理法，在5月三讀通過之後，默默地在7月初，揭露了更明確的執法細節，但，沒有引起太多討論，甚至幾乎沒有媒體報導。

但這6項子法的每一條，都將會是全臺8千多個公務機關或單位，再加上未來也會納入管理的臺灣關鍵基礎設施機構，在明年法條正式實施前，得要一一落實的要求。雖然子法草案的預告低調如斯，認真因應者，早就鴨子划水，默默展開各項作為。

這些子法分別是《資通安全管理法施行細則》草案（13條）、《資通安全責任等級分級辦法》草案（12條）、《資通安全事件通報及應變辦法》草案（21條）、《特定非公務機關資通安全維護計畫實施情形稽核辦法》草案（10條）、《資通安全情資分享辦法》草案（9條）以及《公務機關所屬人員資通安全事項獎懲辦法》草案（8條）。

看似繁多，但最重要的一項是，子法提出了全新的資通安全責任等級，將遵循機關按照各自業務內容需負起的資安責任分成了ABCDE共5級。責任越大，要求也越高。

A級機關（全國性機關為主）要求最多也最嚴，包括如處理國家機密業務的單位、國防外交單位，或涉及全國性跨機關系統的擁有者、全國性關鍵基礎設施機構以及公立醫學中心等都屬之。第二個B級機關則以區域性機關為主，例如直轄市政府或公立區域醫院等，再次一級的C級機關則是地區性機構，如縣市政府，手上擁有資訊系統主機者或公立地區醫院等。

若是沒有自行維運系統主機，但又有資訊相關業務者，也需要遵守資安法的規範，但就屬於D級機關（無主機者），例如派出所就是一個例子，發生資安事件仍須通報，但需落實的要求最低，而最後一級E級機關，就是還有一些手上既無主機，又不需提供資訊業務的機構，由上級機關統一代辦不用自行處理的機構，也算是這類不需納管的機構。

子法針對每一級都有詳細的資安責任範圍、防護要求，甚至連多久安全健檢一次，各部門主管每年要接受多久資安教育都清楚列出。行政院資安處還透露，未來還會推出資安法法規遵循指南和範本，讓執行者有所參考。

《資通安全事件通報及應變辦法》草案則訂定了一套資安事件的分級定義，這恐怕也將成為未來，討論資安事件嚴重程度的新描述方式，不只如此，資通安全情資分享辦法還讓這群機構，透過同一套資安事件描述語言，彼此互通有無，成為全臺最大的資安經驗共同體，也是新的實驗場和練兵場。

這一套規範和作法，其實不只適用於全臺8千多個公務機關或單位，連企業都可用來形容自己遇到的資安事件層級，才能更容易和業界溝通。尤其需要尋求協助時，可以有一套描述災情的最簡單明確說法。就像地震，與其描述各種災情，不如直接點明發生了震度規模多大的地震事件，能更快溝通。

就算企業不是資安法規範對象，但資安法6子法將形成一套臺灣8、9千家機構統一適用的新資安管理標準，就像ISO 27001那樣的資安作業標準一樣，成為臺灣資安界的新標準，勢必也會要成為企業CIO和資訊部門不得不熟悉的新語言。

資料來源：https://www.ithome.com.tw/voice/124545

PZB模式

• PZB模式是於1985年由英國劍橋大學的三位教授Parasuraman, Zeithaml and Berry所提出的服務品質概念模式。
• 其主概念為顧客是服務品質的決定者，企業要滿足顧客的需求，就必須要彌平此模式的五項缺口。
• 缺口一至缺口四可由企業透過管理與評量分析去改進其服務品質。

gaps model

缺口1. 顧客期望與經營管理者之間的認知缺口，當企業不了解顧客的期待時，便無法提供讓顧客滿意的服務。
缺口2. 經營管理者與服務規格之間的缺口，企業可能會受限於資源及市場條件的限制，可能無法達成標準化的服務，而產生品質的管理的缺口。
缺口3. 服務品質規格與服務傳達過程的缺口，企業的員工素質或訓練無法標準化時或出現異質化，便會影響顧客對服務品質的認知。
缺口4. 服務傳達與外部溝通的缺口，例如做過於誇大的廣告，造成消費者期望過高，使實際接受服務卻不如預期時，會降低其對服務品質的認知。
缺口5. 顧客期望與體驗後的服務缺口，是指顧客接受服務後的知覺上的差距，只有這項缺口是由顧客決定缺口大小。

別跟袁紹這樣的老闆

三國時期，年僅20歲的少年天才謀士郭嘉，曾第一時間跑去找當時實力最強大的袁紹，希望能在他帳下當幕僚，但他跟袁紹見面後大失所望，於是離開遠去。

袁紹謀士辛評、郭圖問他理由，郭嘉說：「夫智者審於量主，故百舉百全而功名可立也。袁公徒欲效周公之下士，而未知用人之機。多端寡要，好謀無決，欲與共濟天下大難，定霸王之業，難矣！」

這段話說的重要，有兩層主要含義，但我拆成四個點來談。第一層說明求職者應該用什麼角度看待求職，以及求職的核心目的為何；第二層則解釋什麼樣的老闆不能跟，值得求職的朋友們借鏡：

1.一個聰明人，一定要懂得慎選，為自己挑一個好老闆。

選好老闆要幹嘛？就是為了給自己有舞台，有表現機會，可為自己建立show case，身價就能越來越高。換言之，求職之目的，不在於有份薪水可拿而已，更重要的是要找能給你舞台的老闆，讓自己有所表現，有所歷練，才能讓更多人看見自己的才華與成績，這樣以後就是職缺來找你而不是你去找職缺。

2.那袁紹是不是好老闆呢？不是。郭嘉的第一個理由是：「他不會用人」。

郭嘉認為，雖然袁紹試著模仿周公那種謙恭的態度去吸引人才，不過他只會做表面功夫，並非真正重視人才，也不懂得如何應用人才。那為什麼老闆懂得用人重要？這就呼應了第一點所說的，好人才要的是舞台，要的是表現機會，若老闆不懂用人，就像太監逛窯子---無用武之地，這樣的老闆跟著也沒用。

3.袁紹不是好老闆的第二個理由是：「他的想法很多，但沒有重點，無法歸納出結論」。

俗話說：「將帥無能，累死三軍」，原因出在很多老闆認為官大學問大，明明不懂還要裝懂，所以硬要針對自己不會的事給很多指導，最後團隊不是空轉就是經常做白工。因此郭嘉不願跟著他，就是不想讓自己浪費時間。

4.最後一個理由，是因為：「袁紹喜歡謀劃、出主意，但又遲遲不下決斷」。

這其實很合邏輯，我們從第二點就可以看出，既然他想法多又沒重點，加上袁紹的個性本來就優柔寡斷，當然就無法給出具體命令。這樣的情況，容易導致重要的時機延誤，皇帝不急急死太監，這樣的老闆，自然也是不能跟的。

那麼郭嘉說得準不準，非常準。

歷史證明，袁紹雖然匯聚不少人才，但最後結局卻是走的走、死的死、散的散，兩個兒子袁譚跟袁尚搞分裂，同時讓集團內的老臣也各自選邊站，最後禍起蕭牆、自相殘殺，終至同歸於盡。這一切，郭嘉很早就料到，因此沒有選擇幫袁紹效命，而改去找曹操，的確是非常明智的選擇。

總結袁紹在歷史上的表現，中國廈門大學易中天教授直言：「袁紹的愚蠢、固執、狂妄，基本上是三位一體的。他因狂妄而固執，因固執而愚蠢，又因為愚蠢而狂妄。」

《三國志》作者陳壽形容袁紹：「外寬雅，有局度，憂喜不形於色，而內多忌害」。也就是說，袁紹這個人，看起來溫文儒雅、寬宏大量，實際上心理陰暗，見不得別人好，容不下別人比他聰明，受不了別人比自己判斷更正確。

也因此，袁紹打曹操，是因為他看不慣曹操出身宦官家庭，地位卑下，怎麼可以因「奉天子以令不臣」而鹹魚翻身、魚躍龍門，甚至還當了大將軍，這口氣怎麼說都嚥不下；他貶了自己的頂尖謀士沮授，因為沮授比自己聰明，料事如神；他殺了田豐，只因為田豐比自己更正確，正確預料了官渡之戰的失敗，所以打了敗仗回頭就立刻殺了他。

摘錄自：https://www.managertoday.com.tw/columns/view/52315

[轉貼]：開原碼SIEM系統 所有人都可掌握事件

個資法推行在即，其中施行細則的十一條安全維護措施中，「事故之預防、通報及應變機制」、「資料安全管理及人員管理」、「設備安全管理」、「資料安全稽核機制」及「必要之使用紀錄、軌跡資料及證據之保存」，可以透過SIEM(Security Information and Event Management)系統來達成。SIEM系統對於公司的設備可以進行管理，對於安全事件、使用的記錄都有使用AES加密保存，並且透過系統的通報可以即時通知使用者安全事件的發生。因此對於實踐個資法的安全措施，十分實用。

AlienVault OSSIM (簡稱為 OSSIM) 是一個開放原始碼的 SIEM系統。目前企業中 SIEM 越來越被重視，以往通常企業只做到了日誌管理、收集及分析，但是對於事件的發生卻沒有辦法即時的應變，因應個資法所著重的鑑識分析也無法有效的應對。因此 SIEM 著重在監控、分析、預警、鑑識，方便管理者直接的對公司安全進行管理，無論是外到內、甚至內對內的攻擊風險。OSSIM 的優點在於整理及過濾系統的記錄資訊，依照內建的規則及定義，做出優先權排序，讓管理者能夠只專注在重要的事件。當然詳盡的管理及記錄報表功能也能讓管理者對細部事件進行分析。

OSSIM開放原始碼版本我們可以自行下載安裝建置。如果只是想單純試用 OSSIM，官方也有提供雲端服務，可以從網站上直接試用。免費的OSSIM由於是由社群所支持維護，包括在關聯式規則、IDS規則方面比不上商業版，在管理功能方面，所有的設備必須各自去管理設定，但商業版則可集中管理。報表方面，商業版提供100多種法規報表，更多關於OSSIM 及商業版的區別，可以在此查看。正如同AlienVault創辦人在網頁上所說，開放原始碼版本的提供是為了讓所有人都有工具可以掌握資安事件，讓大家有機會更安全。而個資法即將上路，所有企業都必須遵循，因此藉由OSSIM的介紹，也希望對預算有限的企業是個開始。以下我們將對此系統做簡單的建置說明。

安裝OSSIM

首先我們至 AlienVault 的官方網站下載系統檔案。在這邊會根據系統的架構分為 32 位元以及 64 位元的版本，請根據您的 CPU 或是需求選擇。我們以 64 位元的版本做示範。下載完畢後可以驗證一下MD5 Hash 是否相同，以確保下載正確無誤。Hash:d9c6b5da8b9edf94c7cc6807316bc8d0

這邊提供的是 ISO 映像檔給我們安裝使用。如果您要在實體機器安裝，直接將映像檔燒錄至 DVD 開機即可。若是在 Virtual Machine 中安裝，則是直接在 VM 中讀取即可。一開機將會看到安裝的選單，在這邊選擇第一項「Automated Install」自動安裝 (圖1)。接著選擇安裝過程中所要使用的語系，「Chinese (Traditional) 中文（繁體）」。不過安裝的過程中文化並不齊全，所以在部分安裝的步驟還是會以英文呈現。不同的語系也會因為不同的地區所有不同，在下個步驟我們選擇「台灣」。鍵盤方式我們選擇預設的「美語」鍵盤。

       圖1 自動安裝

下個步驟將進行網路的設定。首先必須要設定一組 IP 給予 OSSIM 使用。若不知道 IP 可以先設定一組暫時可以進行連線的 IP，之後再進系統進行修改。接下來設定 Netmask 網路遮罩，同樣的是依照您的設定撰寫，此例為 255.255.255.0。下個步驟則是設定 Gateway，沒有設定正確的話將無法連線網路。網路設定的最後一個步驟是設定 DNS，因為安裝過程中必須要進行系統更新，因此必須要指定DNS。在這邊我們設定 Google 所提供的 DNS 8.8.8.8。

網路設定完畢之後，接著就是分割硬碟。在這邊選擇「Guided – use entire disk and set up LVM」。因此必須確認硬碟中是否已經沒有保留其他重要的資料，安裝的過程中會把整顆硬碟重新分割。如圖3。如果您有不只一顆硬碟，在下個步驟中可以選擇您要使用的硬碟。由於寫入硬碟分割區是個破壞性的動作，系統會在此時確認是否要進行分割，或者需要其他自行調整。在這邊因為我們不需要其他的修改，因此直接選擇「Yes」進行寫入動作。系統進行分割以及格式化時，請避免機器斷電或者關機，否則將會造成硬碟損壞。系統在進行分割完畢之後，會一併直接進行系統的安裝。安裝過程依照系統的速度不同可能需要 10 至 30 分鐘。

經過一段安裝過程後，系統將會提示您設定系統的密碼。在這邊必須注意的是，設定的密碼是最高權限使用者「root」的密碼，請牢記這組密碼並切勿提供給他人。root 使用者是 UNIX 系統中最高權限的使用者，如果這組帳號遭到有心人士竊取，將可以直接對系統內部的所有設定進行修改、甚至破壞，更甚者在其中植入後門。在業界常有這樣的案例，負責監控的安全系統，反而成為駭客的溫床，而管理者永遠監控不到自己。因此請特別留意系統的安全。

設定完畢之後，安裝程式將會繼續進行安裝，包括應用程式、第三方套件、OSSIM 內付的檢測程式等等。經過很長時間的安裝，完畢後會進行更新的確認。如果選擇要更新，系統將會即時線上更新，因此必須確認您網路的設定是正確的。更新及設定的步驟相當耗時，因此若您看到畫面一直停止不動，可以嘗試按下「Alt+F1」來切換至終端機畫面，觀看文字介面的設定步驟。安裝完畢後重新開機，將會看到精美的開機畫面，代表系統已經確實安裝完成了。若沒有辦法看到「alienvault」的畫面，可能要檢視一下有無錯誤訊息，或者從前面步驟開始重新安裝。

開機完畢之後，輸入登入的帳號 root 以及您所設定的密碼，即可登入主機。代表系統已經正常運作 (圖2)。除了直接從終端機連線之外，我們也可以直接使用 SSH Client 來進行連線，例如 putty, Xshell, ssh 等。登入的帳號一樣是 root，密碼則是先前所設定的密碼。若您有心要為系統的安全性做加強，可以新增一組一般使用者帳號，並且給予 sudo 權限。將 root 的帳號設定成無法直接登入，並且修改 sshd 的設定 (/etc/ssh/sshd_config)。相關的技術需要 Linux 基本的操作背景，若有興趣可以參考坊間  Linux 網路管理書籍或網路教學文件。

      圖2  系統正常運作畫面

接著正式操作OSSIM 系統。首先打開瀏覽器，輸入原先設定的IP，若無設定錯誤的話，應該可以直接看到 OSSIM 的登入畫面。但因為 OSSIM 是走 HTTPS 協定，因此在第一次連線時瀏覽器會顯示憑證的安全性警告。只要您確認目前的連線是無誤的，選擇信任即可。登入預設的帳號及密碼是 admin / admin，登入完畢之後，由於是第一次登入，系統會要求您自行設定一組密碼，這組密碼將會給admin 管理者帳號使用，因此請妥善保存。

修改完畢密碼之後，就會正式進入到我們的 OSSIM 系統 Dashboard 了。在這個畫面我們可以看到整個系統的狀態及警報(圖3)。在左方的選單根據不同的版本、功能、授權、權限而有所不同。如果要對系統進行更詳細的設定，可以直接在終端機中編輯「/etc/ossim/ossim_setup.conf」檔案，其中有非常詳盡的設定。或者在終端機畫面輸入「ossim-setup」即可開始設定畫面，用方向鍵選擇，用Enter鍵輸入。設定完畢後，輸入「ossim-reconfig」來將所有的設定生效。

 

     圖3  OSSIM儀表板

OSSIM 五大功能

以下列出常用的5大功能：

1.首先在Dashboards 畫面，可以清楚的看出整個監控環境中的風險、警報、事件數量、事件處理的進度等。同時你也可以根據不同的 Sensor、不同的受害主機來進行排序，得知目前問題的主機究竟在哪邊。同時，系統裡面有 ticket 的設計，方便控管事件處理的進度，這個部分在 Dashboards 也可以清楚的看到。

2. Incidents 是非常重要的功能，在這邊列出了所有偵測到的攻擊行為，包括已知的 Exploit 攻擊或者是可疑的行為 (圖4)。畫面上清楚的呈現攻擊的警報是為何，例如「MS06-057」攻擊。發生的風險等級、時間、攻擊來源、目標都呈現在畫面上。這功能也符合個資法安全維護措施的「設備安全管理」、「事故之預防、通報及應變機制」。點選後可以看到更詳細的資料，包括這個風險的詳細描述、來自哪個 Sensor 等等。透過這樣的資訊可以更清楚的知道問題發生點以及嚴重性。

     圖4 各種漏洞或可疑的行為偵測

對於管理者來說更重要的是如何對這個事件做處理，在列表上點選圖示，可以新增 ticket。Ticket 的用意在於對這個事件做出處理，您可以選擇指派給某個使用者處理，對於這個風險應該採取的行動為何、附加檔案、優先權等等。透過 ticket 系統可以更清楚的知道所有事件處理的進度以及是否已經完成，方便管理整個公司環境是否已經脫離安全危害。

  

3.在 Analysis 功能方面，可以得知目前發生的安全事件 (圖5)。與剛剛不同的是，這邊顯示的多為系統的安全事件，而非已經確定的攻擊行為。可能包括了例如系統的帳號登入失敗、系統錯誤的記錄等，包括記錄的內容都會一併的顯示在介面中。這些記錄可以提醒管理者一些可疑的網路行為，提供一個事前的預警功能。這點可滿足法規要求在系統上設定警示機制，以對不正常存取行為做適當的處理。除了安全事件之外，也有 Raw Logs 提供更詳盡的記錄。這些記錄除了安全提醒的功能之外，也包含了系統是否有正常運作，或者系統是否有可疑的狀態。

      圖5  各種系統安全事件的記錄

4.最後重要的功能為「Reports」，提供了各種報告給我們 (圖6)。例圖中我們選了 ISO27001 的安全報告，方便管理者進行稽核管理。報告的時間、目標範圍等都可以自定。

     圖6 報表範本

5.「Assets 資產管理」讓管理者自行的新增需要監控的機器。我們可以自行手動新增主機的IP、DN、指定Sensor等資訊，並且可以新增主機的硬體資訊。同時可以指派機器屬於什麼群組，方便管理者進行管理。如果單位內的機器過多無法一一新增，也可以使用「Asset Discovery」來進行掃描，一次掃描同個網段內的所有主機，並且自動加入管理。不過要注意的是，主機都必須要有對應可以偵測的Sensor 才有作用。

  

OSSIM 是一個全方位的安全管理系統，提供管理者一個非常簡易方便的管理平台。自動化的收集所有資產主機的記錄，並且對攻擊行為進行預警。開放原始碼工具對預算有限的企業來說是個很好的入門，先藉由它來了解此類系統的運作模式也更加掌握企業自己的需求，在未來要評估商業版產品也會更順利。但是系統終究還是系統，面對新型態的攻擊還是得仰賴管理者的專業知識。因此請記得只把系統當做輔助，時時注意最新的資安事件，並且對員工進行資安意識強化，才能就根本面解決資安問題。

資料來源：https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=&aid=6906&pages=1

什麼是塔式、機架和刀鋒服務器結構詳解

相信大家一定注意到了，各種媒體上經常按塔式、機架式和刀片式這三種結構來劃分服務器，服務器的外形為什麼會有這樣的劃分呢?主要原因就是具體的應用環境不同，塔式服務器長得跟我們平時用的台式機一樣，佔用空間比較大，一般是一些小型企業自己使用自己維護

而機架式服務器長得就像臥著的台式機，可以一台一台的放到固定機架上，因此而得名，它可以拿去專業的服務器託管提供商那裡進行託管，這樣每年只需支付一定的託管費，就免去了自己管理服務器的諸多不便;而刀片服務器是近幾年才比較流行的一種服務器架構，它非常薄，可以一片一片的疊放在機櫃上，通過群集技術進行協同運算，能夠處理大量的任務，特別適合分佈式服務，如作為WEB服務器。

看完上面的簡單介紹，相信各位對這3種服務器已經有個基本的認識了，下面我們就來一一細說，為大家做更詳細的講解:

什麼是塔式伺服器:

塔式服務器應該是大家見得最多，也最容易理解的一種服務器結構類型，因為它的外形以及結構都跟我們平時使用的立式PC差不多，當然，由於服務器的主板擴展性較強、插槽也多出一堆，所以個頭比普通主板大一些，因此塔式服務器的主機機箱也比標準的ATX機箱要大，一般都會預留足夠的內部空間以便日後進行硬盤和電源的冗餘擴展。

由於塔式服務器的機箱比較大，服務器的配置也可以很高，冗餘擴展更可以很齊備，所以它的應用範圍非常廣，應該說目前使用率最高的一種服務器就是塔式服務器。我們平時常說的通用服務器一般都是塔式服務器，它可以集多種常見的服務應用於一身，不管是速度應用還是存儲應用都可以使用塔式服務器來解決。

就使用對象或者使用級別來說，目前常見的入門級和工作組級服務器基本上都採用這一服務器結構類型，一些部門級應用也會採用，不過由於只有一台主機，即使進行升級擴張也有個限度，所以在一些應用需求較高的企業中，單機服務器就無法滿足要求了，需要多機協同工作，而塔式服務器個頭太大，獨立性太強，協同工作在空間佔用和系統管理上都不方便，這也是塔式服務器的侷限性。不過，總的來說，這類服務器的功能、性能基本上能滿足大部分企業用戶的要求，其成本通常也比較低，因此這類服務器還是擁有非常廣泛的應用支持。

什麼是機架式伺服器:

作為為互聯網設計的服務器模式，機架服務器是一種外觀按照統一標準設計的服務器，配合機櫃統一使用。可以說機架式是一種優化結構的塔式服務器，它的設計宗旨主要是為了儘可能減少服務器空間的佔用，而減少空間的直接好處就是在機房託管的時候價格會便宜很多。

為什麼說機架式服務器是作為為互聯網設計的服務器模式?
正如大家所知，很多專業網絡設備都是採用機架式的結構(多為扁平式，活像個抽屜)，如交換機、路由器、硬件防火牆這些。這些設備之所以有這樣一種結構類型，是因為他們都按國際機櫃標準進行設計，這樣大家的平面尺寸就基本統一，可把一起安裝在一個大型的立式標準機櫃中。這樣做的好處非常明顯:一方面可以使設備佔用最小的空間，另一方面則便於與其它網絡設備的連接和管理，同時機房內也會顯得整潔、美觀。

機架服務器的寬度為19英吋，高度以U為單位(1U=1.75英吋=44.45毫米)，通常有1U，2U，3U，4U，5U，7U幾種標準的服務器。機櫃的尺寸也是採用通用的工業標準，通常從22U到42U不等;機櫃內按U的高度有可拆卸的滑動拖架，用戶可以根據自己服務器的標高靈活調節高度，以存放服務器、集線器、磁盤陣列櫃等網絡設備。服務器擺放好後，它的所有I/O線全部從機櫃的後方引出(機架服務器的所有接口也在後方)，統一安置在機櫃的線槽中，一般貼有標號，便於管理。

現在很多互聯網的網站服務器其實都是由專業機構統一託管的，網站的經營者其實只是維護網站頁面，硬件和網絡連接則交給託管機構負責，因此，託管機構會根據受管服務器的高度來收取費用，1U的服務器在託管時收取的費用比2U的要便宜很多，這就是為什麼這種結構的服務器現在會廣泛應用於互聯網事業。

還有一點要說的是機架式服務器因為空間比塔式服務器大大縮小，所以這類服務器在擴展性和散熱問題上受到一定的限制，配件也要經過一定的篩選，一般都無法實現太完整的設備擴張，所以單機性能就比較有限，應用範圍也比較有限，只能專注於某一方面的應用，如遠程存儲和Web服務的提供等，但由於很多配件不能採用塔式服務器的那種普通型號，而自身又有空間小的優勢，所以機架式服務器一般會比同等配置的塔式服務器貴上20-30%。

至於空間小而帶來的擴展性問題，也不是完全沒有辦法解決，由於採用機櫃安裝的方式，因此多添加一個主機在機櫃上是件很容易的事，然後再通過服務器群集技術就可以實現處理能力的增強，如果是採用外接擴展櫃的方式也能實現大規模擴展，不過由於機架式服務器單機的性能有限，所以擴展之後也是單方面的能力得到增倍，所以這類服務器只是在某一種應用種比較出色，大家就把它劃為功能服務器，這種服務器針對性較強，一般無法移做它用。

什麼是刀鋒伺服器?

對於企業和網絡信息提供商來說，無限增長的數據必須集中存儲和處理，於是未來的網絡發展呈現出集中計算的趨勢。集中管理模式與現有的分散管理模式，對服務器提出了新的要求:節約空間、便於集中管理、易於擴展和提供不間斷的服務，成為對下一代服務器的新要求。

作為網絡重要組成部分的服務器來說，性能已不僅僅是評價服務器的唯一指標了，用戶更關心的是符合自己實際需要的產品。目前服務器集群已經在市場上得以廣泛應用，而新一代機架式服務器也開始進入市場，為用戶提供了更多的選擇。但是隨著網絡向更深層面發展，下一代服務器將會是Blade Server(刀片服務器)。

刀片服務器是一種HAHD(High Availability High Density，高可用高密度)的低成本服務器平台，是專門為特殊應用行業和高密度計算機環境設計的。其中每一塊"刀片"實際上就是一塊系統主板。它們可以通過本地硬盤啟動自己的操作系統，如Windows NT/2000、Linux、Solaris等等，類似於一個個獨立的服務器。在這種模式下，每一個主板運行自己的系統，服務於指定的不同用戶群，相互之間沒有關聯。不過可以用系統軟件將這些主板集合成一個服務器集群。

在集群模式下，所有的主板可以連接起來提供高速的網絡環境，可以共享資源，為相同的用戶群服務。在集群中插入新的"刀片"，就可以提高整體性能。而由於每塊"刀片"都是熱插拔的，所以，系統可以輕鬆地進行替換，並且將維護時間減少到最小。值得一提的是，系統配置可以通過一套智能KVM和9個或10個帶硬盤的CPU板來實現。CPU可以配置成為不同的子系統。一個機架中的服務器可以通過新型的智能KVM轉換板共享一套光驅、軟驅、鍵盤、顯示器和鼠標，以訪問多台服務器，從而便於進行升級、維護和訪問服務器上的文件。

克服服務器集群的缺點

作為一種實現負載均衡的技術，服務器集群可以有效地提高服務的穩定性和/或核心網絡服務的性能，還可以提供冗餘和容錯功能。理論上，服務器集群可以擴展到無限數量的服務器。無疑，服務器集群和RAID鏡像技術的誕生為計算機和數據池的Internet應用提供了一個新的解決方案，其成本遠遠低於傳統的高端專用服務器。

但是，服務器集群的集成能力低，管理這樣的集群使很多IDC都非常頭疼。尤其是集群擴展的需求越來越大，維護這些服務器的工作量簡直不可想像，包括服務器之間的內部連接和擺放空間的要求。這些物理因素都限制了集群的擴展。「高密度服務器」--Blade Server的出現適時地解決了這樣的問題。高密度服務器內置了監視器和管理工具軟件，可以幾十個甚至上百個地堆放在一起。配置一台高密度服務器就可以解決一台到一百台服務器的管理問題。如果需要增加或者刪除集群中的服務器，只要插入或拔出一個CPU板即可。就這個意義上來說，Blade Server從根本上克服了服務器集群的缺點。

小結:
說到這裡，大家應該知道幾種服務器都是如何運用以及應用在什麼領域了吧，那麼大家接下來構建自己的服務器時，記得多從技術和應用兩個方向去考慮，以便選擇自己需要的服務器。

資料來源：http://s90304a123.pixnet.net/blog/post/37324304-%E4%BB%80%E9%BA%BC%E6%98%AF%E5%A1%94%E5%BC%8F%E3%80%81%E6%A9%9F%E6%9E%B6%E5%92%8C%E5%88%80%E9%8B%92%E6%9C%8D%E5%8B%99%E5%99%A8%E7%B5%90%E6%A7%8B%E8%A9%B3%E8%A7%A3

[新聞]不付贖金就公開個資！GDPR反成勒索攻擊Ransomhack的威脅武器

保加利亞資安廠商Tad Group揭露新型態的勒索攻擊，駭客入侵企業竊取用戶個人資料後，威脅企業支付贖金否則公開個資使該企業受GDPR罰則處罰。駭客目標瞄準中大型企業，並要求不可追蹤的加密貨幣作為贖金。

保加利亞資安廠商Tad Group揭露了新型態的勒索攻擊Ransomhack，駭客這次並非以加密檔案當作威脅，而是竊取企業伺服器中的個人資料，並且威脅企業繳交贖金，否則公開這些資料，使企業受到歐盟最嚴格個資法GDPR的巨額罰款處罰。Tad Group提到，這個攻擊瞄準中大型企業，並要求支付價值1,000美元到20,000美元不等的加密貨幣作為贖金。

5月25日上線GDPR，目的用於保護歐盟居民個人隱私權，但沒想到卻被駭客用來作為威脅企業的武器。Tad Group創辦人Ivan Todorov警告，受害者是中型以及大型的保加利亞公司，被要求以無法追蹤來源的加密貨幣支付贖金，贖金從1,000美元到20,000美元不等。由於GDPR規定，觸法將被處以企業全球年度營業額的4％或是高達2,000萬歐元的罰鍰，對企業來說是個沉重的壓力。

前些時日肆虐一時的勒索軟體Ransomware，已讓企業與政府單位頭大，像是WannaCry蠕蟲為會主動感染電腦，以RSA 2048加密方法加密180種電腦檔案格式，並更改副檔名為WNCRY加密檔，受害者被威脅，需要在時間內支付贖金才能取得解密金鑰，超過時限金鑰就會被駭客撕票。而Ransomhack則是駭客竊取企業的使用者個人資料，並威脅暴露這些資料以獲取贖金。

不過尷尬的是，在企業被竊取使用者個人資料後，有義務於72小時內向主管機關通報資料洩漏，對這些被駭的保加利亞企業來說，主管機關就是個人資料保護委員會，該委員會將評估違規程度施以適當的裁罰，也就是說，即使企業繳交罰金企圖息事寧人，但最後還可能會因為沒有通報主管機關而被加重處罰。

Tad Group提到，這些被駭的保加利亞企業都採取了相對應的措施以因應GDPR，包括制定個人資料儲存規範或是安全政策等，但是卻忽略了可能來自網路攻擊所造成的資料外洩，該資安廠商提到，企業可以藉由滲透測試，來對企業進行針對性的網路攻擊模擬，以駭客使用的入侵技術測試企業的資安強度，並即時修補發現的漏洞。

[新聞]手機APP 資安零合格

〔記者陳宜加／台北報導〕手機APP成資安黑洞！行政院消保處抽查市面上十五個熱門APP，結果基本資安項目全部未通過，合格率為驚人的「○」！其中更有部分程式發現惡意程式碼，個資恐會全都露。消保處提醒，現行法規尚未強制要求業者須通過資安檢測或納入罰則，消費者更應認明APP安全標章。

熱門APP抽查都沒過 部分個資恐全露

消保處根據經濟部工業局去年公告「行動應用APP基本資安檢測基準V2.1」國家標準，抽測十五件APP應用程式，包含Andriod十件、iOS五件，類型涵蓋線上購物、保險、線上支付、線上訂票等，初測結果全未通過。

檢測項目共計二十九項，包括行動應用程式發布安全、敏感性資料保護、付費資源控管安全、身分認證、授權與連線管理安全、行動應用程式碼安全等。消保官王德明強調，「全都是最基本的資安防護項目」，認為台灣安全意識仍太薄弱。

由於檢測結果太驚人，消保處遂與全數業者「喝咖啡」，經改善後，複測結果僅有七件通過，包括國泰人壽、南山人壽行動智慧網、三商美邦人壽行動夥伴、歐付寶行動支付、Hami Wallet中華電信行動通信分公司、遠傳行動客服、台灣大哥大行動客服等；不過，仍有八家業者複測未通過。王德明表示，考量資安尚有漏洞，反而不宜公布，以免駭客乘機而入。

他直言，歐美國家資安規定嚴格，台灣尚未跟上，眼前最須加強教育消費者「個資有價」觀念。國家標準在台灣僅為行政指導，尚無強制業者受測、改善或下架的公權力，未來可能修法授權並納入罰則。
個資有價 下載先看APP安全標章

工業局指出，通過資安檢測的APP，將於「行動應用資安聯盟網站」公布名稱與版本，下載時也可見「行動應用資安聯盟標章」，有效時間為一年。

消保處提醒消費者，儘量下載經檢測通過的APP，也應避免過度提供個資、定時更換密碼、避免連結不明網址，確保個資不會遭有心人士利用。台灣針對駭客行為已有刑責，消費者也可以透過民法規定求償自保。

http://m.ltn.com.tw/news/focus/paper/1212136

[轉貼]【機器人流程自動化導入關鍵】深入了解RPA，從考量流程效益與風險著手

在應用機器人流程自動化（RPA）時，首先要做好的是每個流程的梳理與審視，並期望透過自動化帶來更好的風險管控

文/羅正漢 | 2018-07-07發表





面對機器人流程自動化的議題，企業不只是關心它所帶來的效益，實際導入可能面對的問題與狀況，也是IT單位關注的焦點。


用軟體機器人來替代人，去做重複性高的工作，看似相當合理，但實際上，關鍵在於，企業要如何有效運用RPA這樣的自動化工具。首先，可能要釐清一些事情，才能繼續思考RPA在企業的定位，畢竟不同環境有很大的差異。


今年，我們看到臺灣已有企業導入，在這次的專題製作過程中，我們也從協助導入RPA的廠商，像是安侯建業（KPMG）、資誠（PWC）與IBM，得到一些具體的建議，也讓我們更深入瞭解到箇中要點，企業在評估RPA時，其實，還有不少值得注意的面向。

企業該如何運用RPA？先從既有系統環境來思考


該如何將不值得花人力的作業流程，改為自動化？過去企業可能自行透過程式來執行系統整合、API串接，工程可能相當浩大，且複雜。但相較之下，導入RPA算是比較簡易的系統開發，可補強現有環境的弱點。


安侯企業管理顧問服務部執行副總經理李育英表示，像是ERP系統本身是很好的基礎架構，在流程上，可以串接企業內的物流、金流及資訊流，但有些企業ERP的導入都還不夠完善，應該要到無法再修改，而且IT部門也不能提供更多協助，這時，RPA就很適合採用。


另外，多數企業的情況是，在不同時間點導入了不同的系統，彼此之間可以介接，過去可能選擇系統開發，但現在也可以應用RPA來串起流程。


像是企業已經導入ERP系統，但後續又開發或導入了簽核系統、文件流程系統、進出口系統、R&D的系統等，如此多的系統需要介接，也導致使用者要面對如此複雜的介面與操作，但該怎麼整合，才能提升作業效率是重點。


RPA所能扮演的角色，也可以提供更多的功能。資誠智能風險管理諮詢有限公司董事長許林舜也舉例說明，假設公司已經導入了頂級的ERP系統，原本的管理控制功能就很強，在這樣的情況下，RPA就可以是輔助，但如果一家公司沒有BPM、沒有具自動控制的ERP，也可以用RPA來解決一部份問題。


而且，一般涉及到流程，就會與商業流程管理系統（BPM）整合。而RPA的特性是可以跨不同的系統，在上層的部分執行整合，不像BPM屬於基礎設施層級的流程管理，權限控管嚴謹度高，相對地，RPA並不是打造基礎，但可以協助讓整個工作流程更順暢。


而且，RPA導入週期短，一個作業可能只要四到六週，簡單的案例甚至兩周即可，視作業流程的複雜程度而定。


對於一些企業環境而言，可能還有不同的考量面向。IBM應用系統創新服務事業部顧問協理陳昌裕表示，通常企業一定有些系統不想用API去執行或提供服務，或是核心系統本身不想對外開放太多介面，亦或是系統太舊無法串接。這時，企業就很適合採用RPA。
作業流程如何梳理，內控風險如何要求，企業都須重新看待


是否所有業務流程都要自動化？這是多數企業也想知道的問題，若從效益與風險角度來看，會比較容易得出答案。


儘管數位轉型已經談了許多年，但在實際場景當中，仍然存在大量人工作業。從RPA的技術角度來看，許多流程要做到自動化並不難，但如何做才合乎效益，就是需要審慎評估的面向。


從企業營運角度來看，計算投資報酬率（ROI）就是很重要的一件事。李育英表示，有些作業流程可能是每月一次、每次8小時，需評估改用機器人是否划算？在第一波要納入RPA的流程，通常從最佔用人力的工作做起。


因此，在企業導入的過程中，內部的流程梳理，就是首要動作，而這也是導入RPA所帶來的隱藏效益。畢竟，這樣的過程不純然是為了RPA，對於流程改造也有很大的幫助，而對於每個流程的檢視，也應先從是否需要強化、改進來檢討，如果沒有辦法，再看看是否能用RPA來克服，也是一種作法。


另外，過去可能過度簡化的流程，現在因為RPA的評估，也能考慮改得複雜一些，因為RPA的執行速度夠快，如果可以讓流程更完善，增加動作其實也無妨。進一步而言，透過完善的機制，也將帶來作業流程的品質可靠性，進而消除人為錯誤的問題。


如何讓RPA能處理雷同的情境，是最難的部分。許林舜表示，企業在重新審視公司流程時，可能發現問題出在既有流程不夠標準化，還是各項規則之間確實都不同，或是使用者創造而變多。


不過，也因為RPA跟傳統開發概念不同，像是整個流程可先處理60％的部分，再去思考剩下40%為何做不到。


特別的是，他還提到了一個概念，就是人機要適當分工。這是從企業內控等風險角度來看，例如，有哪些流程中的步驟會產生風險，因此不能交給機器人做，而這就是需要考量的關鍵。


例如，在流程梳理時，可以加入關鍵風險的控制點。像是有些流程實作後，原本可能10個動作，現在將它拆解成13個動作，而自動化程度為80%到90％，往往就是因為關鍵風險由人工控制，不交給RPA去處理。也就是說，我們可以從帳號的風險等級，以及處理作業的敏感度，去評估RPA應該可以做的事情。


至於管理方式的差異，我們也看到一些特別的現象。例如，李育英提到，有金融業的作法，是將RPA納入人員管理機制，讓機器人也有員工編號，如同真的當成一個人在用。許林舜也提到，像是在存取ERP系統時，也可以給「它」單獨的帳號，雖然這可能要多一個授權，但好處是操作記錄可以被紀錄，在既有的安全控管之下。這也與過往管理機器的方式，有很大的差別。
軟體機器人可分兩種類型：部分自動化與無人自動化




透過RPA來做到辦公自動化，當中的應用方式可分成兩種，即部分自動化（Attended Automation）與無人自動化（Unattended Automation），也可說是人機共存或是全面自動化，各有適用的業務場景。（圖片來源／Pegasystems）


模擬人在電腦上辦公的機器人流程自動化（RPA），採用軟體機器人的概念，可視為數位勞動力。


但單就機器人的角色而言，其實也有不同定位。具體來說，依模式可簡單分為兩類，包括部分自動化（Attended Automation）與無人自動化（Unattended Automation），除此之外，若以對應執行方式而言，我們則是看到KPMG用前臺機器人與後端機器人來比喻，前者是使用者手動觸發執行，後者則是中央排程自動執行。


基本上，前臺機器人就如同業務助理型機器人，讓使用者自行將它們應用在某些特定工作上，成為個人專屬的使用方式。


舉例來說，當保險業的客服中心，在接到客戶要求時，做完身分確認後，可以讓機器人快速整理出需要的保單資料，只要將對方需要的項目勾選，就能自動完成資料剪貼作業，並發送電子郵件寄給客戶。或是某銀行於特別的節日、活動舉辦數位行銷活動，期間的線上開戶數突然爆增，這時承辦人員只需要手動執行開戶機器人，即可自動處理開戶檢核程序。具使用彈性，可用於不定時作業或業務支援上。


至於後端機器人，則是以集中排程的方式，可在伺服器上自動執行，主要適合定時、需大量處理的工作。安侯企業管理智能自動化顧問服務協理蔡君浩指出，運用後端機器人時，可使用儀表板進行排程，而這套儀表板的主要功能，便是中央管理並且監控機器人的執行狀況。


舉例來說，某科技公司的財會部門，每天下午3點需要進行應收帳款的沖銷作業，若能透過後臺沖帳機器人的協助，每天時間一到，即可自動執行，並將沖帳結果製成報表寄給負責的主管，因此不像過去的沖帳程序面臨複雜的步驟，並需要多人分工才能完成。同時，後端機器人也能被分配去處理不同的流程，像是白天執行進出口業務，晚上做銀行調解表。


從軟體角度來看，資誠智能風險管理諮詢有限公司董事長許林舜提到，RPA軟體可分伺服器版、個人版，目前國外這兩種方式都有企業使用。不過他也表示，各地區的應用方式會稍有不同，像是國內企業可能因為授權費為考量，所以部署、建置邏輯會跟歐美國家不一樣。

資料來源：https://www.ithome.com.tw/tech/124299

[轉貼-][專訪]GDPR正式上路 SGS推多元服務

隨著全球進入數位化時代，而多年來全球各地不斷發生個人資料被濫用的狀況，且有日益擴大的趨勢，也讓歐盟早在 2016 年 4 月立法通過一般資料保護規定 (General Data Protection Regulation，簡稱 GDPR) ，新增時下科技常用的數位個資，取代自 1995 年開始推行的現有歐盟資料保護指令 (Directive 95/46/EC)。鑑於部分組織必須進行大幅變更才能符合規定，歐盟納入給予多達2年的過渡期，即在 2018 年 5 月 25 日全面生效，適用範圍涵蓋為歐盟 (EU) 人民提供商品和服務或是蒐集並分析歐盟居民相關資料的公司、政府機構、非營利機構和其他組織。

SGS全球數位部總經理Eric Krzyzosiak說，GDPR上路之後，帶來三大不容忽視的意義，首先是由於該法規條文相當嚴峻，影響遍及所有在歐洲營運的企業與政府組織，因此將會驅動企業投資大筆資訊費用在該領域上，且投資成本將會是Y2K以來最高的。其次，在全球各國對數位資料保護意識抬頭下，GDPR因資料保護範圍周全、處罰嚴厲，可望成為其他國家的遵循標準，目前已有美國、日本表態將遵守。最終，GDPR賦予民眾主張資料所有權的權利，能向公司查詢個人資料使用的狀況，這代表企業在運用資料時必須更遵循法規。

在全球數位化浪潮中，SGS也透過成立數位部門的方式，推出市場所需的應用服務，目前專注在GDPR、資安、物聯網、區塊鏈、人工智慧、電子商務等領域，以便維持在市場上的領導地位。

SGS GDPR Online上線 協助中小企業因應法規要求
在2018年5月25日上路的GDRP，其條文明白規定企業需依照6大原則使用個人資料，假若發生資料外洩的事件，資料控制者需在 72 小時內通知適當的主管機關。若外洩情形可能會導致個人的權利和自由，組織也必須通知受影響的個人，一旦違反法令規範，最高可罰2000萬歐元(約7.2億新台幣)或年度全球總營業額4%。

Eric Krzyzosiak指出，GDPR上路之後，至少影響到230萬家歐洲企業，但根據非官方統計結果顯示，約僅有8%公司完成準備。鑑於超過99%公司都屬於人力不足、資源有限的中小企業，於是我們透過推出SGS GDPR Online服務的方式，以Awareness、Map your activity、Identify your risk、Life cycle of your Data、Apple over the time等步驟，協助用戶判斷公司是否符合GDPR的法規要求，以及取得達成法規遵循的方法。

SGS GDPR Online服務提供中小企業以支付月租費的方式，取得因應GDPR法規的各種資源，收費機制則依照公司規模，分成19、29、49等三種等級。若用戶有問題，也可以透過線上詢問方式取得SGS技術顧問的回應。目前該服務主要針對歐洲企業為主，共有6國語言版本可選擇，考量到亞洲企業對該服務的強烈需求，所以預計在年底也會推出包含繁體中文在內的多種亞洲語言。 
SGS GDPR多元服務 有效保護個資安全 誠如前述，GDPR主要精神是要求企業以現有技術、執行成本，對消費者資料實施適當之技術及措施，如擬匿名化等措施，以實現資料保護原則，並將必要保護措施納入處理程序，以符合本規則之要求並保護個資當事人之權利。然而對於公司規模不大，卻有將部分數位產品銷售到歐洲市場的製造業而言，SGS又推出GDPR by Design服務，可針對特定產品或服務，透過ISO 27550標準架構進行資料流向實地查核，並輔以實驗室工具進行產品面安全測試及檢測，確保符合GDPR Privacy by Design/ Default之精神。

SGS 驗證及企業優化事業群資訊治理部門經理何星翰說，ISO 27550隱私工程六大特性，分別為機密性、 正確性、不可連結性、可用性、可介入性與透明性等等，能確保產品或服務符合GDPR要求的擬匿名化、去識別化等安全控制措施。SGS可協助輔導企業確認所提供產品或服務是否符合ISO 27550規範，確保數位產品或服務收集到的個人資料，在後續應用、保存過程中，都符合GDPR第25條之合規要求，進而維持公司在歐洲市場的業務。

另外，對沒有在歐洲經營業務，卻又想要知道公司因應GDPR法規的用戶，台灣SGS特別為台灣企業推出SGS GDPR PCA 法規遵循性查核服務。該服務是由資策會科法所依照GDPR、台灣個資法，以及產業其他組織個資管理措施，客製化GDPR法規遵循查核表，再由SGS稽核人員與資策會科法所法說專家共同執行實地查核，由法律專業人士審查查核報告，提供給企業組織參考並作為後續改善依據，有助於降低資料外洩風險，保護辛苦建立的公司商譽。
結論 為降低GDPR上路之後，各國政府都在跟歐盟洽談法規適用性的相互認證機制，以降低對該國企業的衝擊，如美國已與歐盟簽訂隱私盾協議（Privacy Shield Framework）而包含台灣、日本在內的其他國家，也正在尋求與歐盟簽訂相互認證的可能性。何星翰表示，其實台灣個資法法規具有相當程度嚴謹度，但是由於隱私權主管責任分散於各目的事業主管機關，容易給予其他國家執法一致性疑慮的刻板印象。SGS建議台灣政府應儘速比照歐盟主管機關架構而成立單一主管機關，加速與歐盟簽訂相關協議(如適足性決定)，同時各產業亦需自我努力，法規已正式生效無空窗期，應積極針對個資管理流程或將隱私設計置入重要產品生命週期，讓GDPR衝擊降至最低。

來源：https://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=8643