Transcript 決策支援系統-精誠資訊.ppt

精誠資訊的企業電子化支援系統
指導老師:
王淑卿 教授
第六組組員名單:
9814008許瑋麟
9814083張勝彥
9814158蔡孟翰
9714150黃彥中
Company Profile 公司簡介
精誠資訊SYSTEX Corporation (台股代號6214) 成立於
1997年，是台灣資訊服務產業龍頭企業，擁有近3,000名員
工，位居台灣前一百大服務業，在跨足兩岸三地及東南亞的
亞洲區域資訊服務集團共設有48個營運據點，2012年合併營
收為新台幣145億元。
根據台灣權威財經媒體，2012年5月出刊的天下雜誌
「台灣五百大服務業調查」，精誠連續6年蟬聯台灣五百大
服務業軟體業第一的寶座；同時也是天下雜誌「兩岸三地一
千大企業排行」專題報導中唯一入榜的台灣資訊服務企業。
2009 Business Risk 商業風險
The Top 10 risks for global business
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
The credit crunch 信用緊縮
Regulation and compliance 法令遵循(2008 Top 1)
Deepening recession 全球性經濟嚴重衰退
Radical greening 綠色議題 (環保&永續性)
Non-Traditional entrants 非傳統競爭者進入(鄰近產業/跨國企業)
Cost cutting 成本控制
Managing talent 人才管理
Executing alliances and transactions 策略聯盟與交易
Business model redundancy 商業模式過時
Reputation risks 商譽風險
Source: The 2009 Ernst & Young business risk report
Regulation and compliance 法令遵循
電腦處理個人資料保護法
個人資料保護法(草案)
著作權法
法律法規
說明
「金融控股公司法」第42
條
金融控股公司及其子公司對於客戶個人資料、往來交易資料及其他相關資 料，除其
他法律或主管機關另有規定者外，應保守秘密。
「金融機構作業委託他人
處理內部作業制度及程
序辦法」第19條
金融機構作業委外不得違反法令強制或禁止規定、公共秩序及善良風俗， 對經營、
管理及客戶權益，不得有不利之影響，並應確保遵循銀行法、洗 錢防制法、電腦處
理個人資料保護法、消費者保護法及其他法令之規定。
「金融業個人資料檔案安
全維護計畫標準」第1~12
條
「保險業個人資料檔案安
全維護計畫標準」第1~9
條
「證券業暨期貨業個人資
料檔案安全維護計畫標
準」第1~12條
本標準依據電腦處理個人資料保護法第二十條第五項規定訂定之。
本標準依據電腦處理個人資料保護法 (以下簡稱本法) 第二十條第五項規 定訂定之。
本標準依電腦處理個人資料保護法 (以下簡稱本法) 第二十條第五項規定 訂定之。
Reputation risks 商譽風險
網路銀行入侵
客戶資料外洩
網站服務中斷
銀行業務中斷
為何要對付攻擊？
因為會有損失
損失在哪裡？
損失在哪裡？
直接損失：大廈的毀壞與人員的傷亡
間接的損失：
國內班機因為增加的安檢，生意減少8%
國內航空業損失11億美元（330億台幣）
由於民眾改用陸地交通工具，造成超過100條道路
的癱瘓
所有活動、交通、場所之成本提升
賓拉登可以去放假三年，但是美國要24*7防守
衝擊：網站資安事件-判賠案例
資料來源: 資安之眼-資安新聞
最新個資外洩案例
8
網站應用程式架構
http ://www.none.to/script ?submenu=update&uid =1'+or+like'%25admin%25';--%00
App Servers
Web Servers
Presentation Layer
Business Logic
J2EE/.NET
Legacy Apps
Database
Servers
Customer Info
Business Data
Transaction Info
Network
Firewall
Microsoft
SQL Server
Microsof
t
IIS
Apache
Operating Systems
Operating Systems
Linux Solaris AIX
Windows
Operating Systems
Web應用程式的風險
資安人員與程式人員的安全觀念差異
資訊安全人員
無法瞭解應用
程式的內容及
安全的問題何
在?!
程式開發者與
測試人員不知
道潛在的安全
風險與威脅!!
資安人員每天要面對這麼多的「網站攻擊威脅」
SQL Injection
SSI Injection
LDAP Injection
XPath Injection
OS Commanding
Format String Attack
HTTP Response Splitting
Cross-site Scripting
Buffer Overflow
Content Spoofing
Abuse of Functionality
Weak Password Recovery
Validation
Brute Force
Predictable Resource
Location
Denial of Service
Directory Indexing
Path Traversal
Information Leakage
Fingerprinting
Credential/Session
Prediction
Insufficient Session
Expiration
Session Fixation
Insufficient Antiautomation
Insufficient Authentication
Insufficient Authorization
Insufficient Process
Validation
資料來源：Web Application Security Consortium, WASC
網站可被打穿的漏洞「越來越多」
國際專業機構利用「源碼檢測」等技術分析 3 萬 個網站之統計
結果
每個網站平均有 13.11 個漏洞：包括 8.91 個嚴重漏洞
資料來源: 2008/09/ 美國網站安全聯盟 - Web Application Security Consortium (WASC)
資安威脅可能動搖企業經營
以部分的資安對策為
主，屬於個別產品、
個別部門層級的對策
升級為涵蓋整體基礎環境的
資安對策，除了俯視整體環
境之外，更重要的是必須基
於經營策略觀點提出對策
資安威脅對企業造成的
損害，不僅是財務層面，
已大幅擴大至品牌形象，
甚至動搖企業經營
資料外洩對
策需求擴大
資安重要性大幅提升
過往，企業資安建置與投資重點是保護本身的「系統」及「網路」
現在，轉變為以「實現法規遵循」與「落實企業社會責任」為目的
2005
2006
2007
2008
資料來源：資策會MIC，2008年6月
2009
2010
眾多IT投資計畫中 強化資訊安全能力最重要
2008~2009年台灣金融業IT投資計畫之重要性
非常重要
1
強化資訊安全能力
2
法規遵循需求
3
強化災難備援能力
4
5
提升風險控管能力
6
客戶文件影像集中管理
7
發展多通路創新金融服務
8
汰換舊有或封閉式系統
9
發展IP-based環境
6.0%
15.0%
10
財務系統投資
6.0%
14.0%
整併IT基礎建設
12
導入SOA & BPM
13
移植系統到Linux平台上
普通
33.0%
49.0%
24.0%
11.0%
8.1%
17.0%
57.0%
19.0%
4.0%
14.0%
51.0%
22.0%
36.0%
41.4%
28.0%
52.0%
21.2%
3.0%
17.0%
3.0%
3.0%
9.0%
11.1%
24.0%
18.0%
37.0%
38.0%
42.4%
29.3%
附註：有效樣本數100家
資料來源：資策會MIC，2008年9月
13.0%
23.2%
35.4%
4.0%
19.0%
21.0%
36.4%
3.0%
17.0%
27.0%
54.0%
8.1%
非常不重要
47.0%
28.0%
13.0%
不重要
49.0%
31.0%
6.0%
11
重要
了解每一種解決方式擅長之處
人工：可以找出工具沒辦法找的漏洞，如邏輯錯誤等
工具：可以自動每天免費使用，降低成本與提早發現
與修補問題
白箱：掃漏洞深度夠，漏洞在哪一行都很清楚，也可
提供修補建議
黑箱：可以掃出設定問題等白箱沒法掃到的，但是深
度不夠，也無法顯示程式traceback
WAF：可以提供即時的保護，對於黑白箱吃力的一些
弱點，如CSRF，WAF處理起來非常直覺簡單
http://www.owasp.org/index.php/Category:OWASP_Best_Practi
ces:_Use_of_Web_Application_Firewalls
需要專注於重大弱點的改善
進行快速有效的弱點檢測
弱點
數 80%的應用程式弱點，是發生在20的項目上，
的累計
花20%的資源可以解決80%的問題
20%
z35%
弱點的數目
個案說明
精誠資訊「Tapeless無磁帶化備份解決方案」
「資料」是資訊理論中最基本的實體，倘若資料遺失或損壞，
資訊也隨之遺失或者被扭曲，嚴重時將導致企業在營運時無法
獲得正確的資訊而做出錯誤的決策。
因此，為防止資料意外遺失或者損毀，業界許多先進們想出了
一系列方法來保護當前的資料。資料保護和資料備份看似簡單，
事實上卻很複雜。資料保護和備份已經成為儲存領域的一門技
術，本文以現今流行的無磁帶化備份做簡要介紹，並舉出案例
供各位先進參考。
傳統磁帶面臨的挑戰
磁帶因讀寫磨損,環境溫濕度保存等因素，往往有壽命上
的限制需定期做更換。此外，磁帶並不支援類似磁碟系統RAID容
錯機制，當磁帶無法正常讀取資料時，意味著資料有遺失的可能
及風險。另外，磁帶的應用必須使用磁帶機來進行資料讀寫作業，
其限制就在於磁帶只能「循序」存取資料，若要還原特定檔案而
不是要還原整卷磁帶，就必須從頭定位到特定位置，相當耗費時
間。
使用備份軟體時必須搭配自動化磁帶館進行寫入、檢視
或回復備份資料，而磁帶機、磁帶館機械手臂也可能因機械故障
而無法完成資料備份及回復作業，無法像磁碟一般可即時的還原
或檢視備份資料。因此，在許多的磁碟備份技術推陳出新的情況
下，傳統的磁帶在備份應用中所占的比重逐漸降低，甚至有某些
儲存廠商喊出以磁碟儲存系統產品用來取代磁帶作為最終儲存媒
體角色為目標。
傳統磁帶面臨的挑戰
圖說：備份到磁碟的資料可加密且遠端複製自動加密確保資料遭竊。
備份無磁帶化的應用
磁帶過去的最大優點是較低的單位容量成本，以及易於
搬移媒體達到遠端備援的效用，但在低價SATA硬碟的衝擊下，
許多原先一直由磁帶所統治的應用領域，正在被磁碟儲存系統
逐步蠶食鯨吞，加上儲存系統資料遠端複製技術普及後，遭受
到了嚴峻的挑戰。
值得一提的是重複資料刪除技術可讓有限的磁碟空間，
發揮出數倍甚至數十倍的儲存效率；特別是資料遠端複製功能
更可直接透過網路將備份資料傳送到備援機房或其他資料中心，
免除搬運實體磁帶的作業。
在這樣的趨勢發展下，已經許多的企業選擇磁碟備份解
決方案，而磁帶則逐漸轉向到長期歸檔的功能，用於存放那些
必需長期保存，但讀取機會並不多的歷史資料。
備份無磁帶化的應用
很多企業的IT部門都會面臨到一個問題，那就是磁帶備份相關設
備會不斷地增加。此外，當企業需要做到異地備援及備份資料異地存放
時，隨著業務及資料量的成長，每天需要備份的磁帶數量也越來越多，
加上個人資料保護法即將實施，以往實體磁帶的運送和保護管理機制要
求也隨之提升。
基於上述這些原因，促使企業IT部門採用磁碟備份加上重複資料
刪除技術。如此每日全備份的資料減少30倍，備份完成時間也減少20%，
大大降低以往實體磁帶備份效率及費用，並簡化管理。另外，磁碟備份
系統透過網路傳輸的資料遠端複製機制完全取代以往人工磁帶外送作業，
每日備份的資料量經重複資料刪除技術處理後，約40GB的資料，透過兩
地機房中間30Mb/s的網路頻寬作加密傳送備份資料，僅需2小時就能夠
傳輸完成。不僅RPO的時間縮短10小時，同時省下了每日運送磁帶的人
工，也有效阻絕資料外洩的風險。
備份無磁帶化的應用
圖說：備份去磁帶化架構。
備份無磁帶化的應用
備份無磁帶化作業是在備份資料不斷快速成長下的
一種釜底抽薪的方法，透過磁碟系統的重複刪除技術直接
減少需要備份的資料量，並解決傳統備份環境中許多無法
解決的難題。
此外，個資法條文中特別指明備份檔案也在規範範
圍內，企業對於備份檔案的保護勢必提升，未來管理磁帶
的方式與機制也必須有一番調整。精誠資訊在此領域已累
積多年的實戰經驗，擁有經驗豐富的顧問團隊及技術，協
助企業部署更完善的資料保護解決方案，並賦予企業全新
的信心，展現遵循法規的能力，保護客戶及其品牌與智慧
財產。
23