企業「資安防護」大全！有哪些常見漏洞，又該怎麼補上？|數位時代 BusinessNext

2021年末的資安漏洞震撼彈「Log4Shell」，為企業資訊安全的議題敲響一記警鐘，身處網路日益便捷的時代，我們可以透過網際網路滿足遠距辦公、線上購物等需求，但企業的資訊安全相當於商業機密，一旦遭到竊取，將對公司造成難以估計的損失。該如何落實資安防護，避免重要資料暴露在風險之下呢？

到底何謂資訊安全？從「資安鐵三角」說起

資訊是由各種資料匯集而成，對企業而言包括：合作廠商、客戶資料、專利技術、公司金流紀錄等都屬於資訊安全保護的範疇，假如上述的有價資訊被外部人掌握愈多，資安風險也會隨之擴大。

資訊的價值可以直接或間接性地來衡量，為了讓資訊的價值最大化，公司就必須制定相關政策與措施，藉此降低資訊遭到竊取、竄改、滅失或遺漏的可能性發生，而資安的意義在於保護資訊不被非法存取或揭露，且在任何階段沒有不適當的修改與損毀。

資訊對於任何一個組織而言都是重要資產，它和一般會計認列的資產同樣重要，因此資安議題是近幾年各大企業相當重視的項目，在過去資安事件影響的範圍不大，如今新冠疫情加速數位轉型的進程，許多公司都早已將公司資訊雲端化，資安防護更是需要有所強化。儘管資安意識崛起，但根據iThome 2021年的企業資安大調查指出，面對資訊安全的威脅，企業主管對於資安防護的信心程度分數只有62.4分，低於前三年的平均分數，主要的原因是管理高層缺乏資安思維，也沒有編列預算聘請相關的人才。

在數位聯網的時代下，企業啟動資安防禦計畫之前，第一步要執行的是對現有的公司資訊進行盤點，並對內部環境通盤性的了解，再透過制定防護策略、建置資安保護系統，來鞏固企業資安，而資訊安全是建構在什麼原則之上呢？該如判斷資訊的安全性？我們可以藉由CIA Triad 來評判。

在資安的世界中「資安鐵三角」(CIA Triad) 是廣泛被採納的安全架構基石，資安團隊可鑑於以下三原則制定相關策略或評估潛在的威脅與漏洞：

一、機密性（Confidentiality）

機密性旨在對數據進行保密，也就是限制未經授權的資料之訪問與修改權，除了確保隱密性，也降低機密資料陷入威脅的機率。

常見的對策包含：將數據分類或標籤化，甚至是對資料存取者進行身份驗證、對傳輸中的數據進行加密，也有公司提供相關課程提高員工資安意識。

二、完整性（Integrity）

資安的完整性，指的是數據沒有遭受未經授權者篡改，以確保資料在整個生命週期內的一致性與精確性。舉幾個簡單的例子，如：對於在電商平台購物的消費者，希望所有產品與定價的資訊是準確的，並且任何訂購資訊在下訂單後不會改變；銀行端需要確保銀行存戶的帳戶金額的準確性與即時性，無論是透過ATM、網銀轉帳，餘額都無法被有心人士修改。

與機密性相同，完整性會因為篡改入侵檢測系統或修改系統日誌而直接受到損害，也可能是人為疏忽或編碼錯誤而造成資安的完整性受到威脅，常見的保護措施包含：電子文件導入數位簽章、獲取具公信力機構發行認證的安全性證書等。

三、可用性（Availability）

資安的可用性意味著已啟動或正在運行的程序，授權者能夠即時地訪問這些資源，假如某系統、應用程式或數據無法即時讓授權用戶進行使用時，那麼資訊就無法為企業產生最大化的價值。

許多情況都會危及可用性，包括軟硬體故障、電源故障、自然災害和人為疏失，電腦病毒也會直接衝擊可用性，常採取的應對策略包括：定期軟體修補與系統升級、備份等保護解決方案。

完善的企業資安該具備哪些條件？

一、硬體安全

硬體設備故障的發生，往往會伴隨著資料遺失及毀損，而硬體故障的原因很多，除了溫度、濕度、老化外，也需要考量電力不穩或天災的因素。透過定期檢視的硬體設備狀態，隨時備份重要資料，以及設置備用電源或不斷電系統等等，可降低硬體故障機率。硬體設備是非常明確的目標，當有心人士直接接觸到硬體設備時，就有機會竊取或破壞資料及資訊造成，如何適當地將硬體設備與外部做隔離，也是資訊安全防護規畫中必須具備的措施。

關於硬體安全的資訊安全防護，除了自行建置完善的機房環境外，尋找專業且可靠的機房代管業者，能有效節省許多支出，並降低維運與人力成本。

二、軟體安全

隨著資訊時代來臨，人們透過軟體技術將硬體的效益發揮的更加淋漓盡致。軟體包括的範圍很廣泛，從電腦作業系統、資料庫系統、應用程式到網站系統等，現今在工作及生活中我們已經非常依賴各種軟體來完成工作，因此當軟體環境被駭客入侵或因感染病毒等異常狀況時，對我們的影響也會非常巨大。

三、資料安全

不論哪個時代，資料保存都是個非常重要的課題，過去可能會透過圖書室，保險箱等措施來保護資料，只要特定地點進行保護就能達到防護的效果。而現今許多的資訊及資料都以數據的方式存放在不同的媒介上，例如個人會將資料存放於電腦的硬碟中或USB隨身碟，而企業則會將資料放在檔案主機中或來儲存設備裡，這些資料一旦被竊取、損壞或者遺失，對於個人及企業來說都是莫大的損失，更是成為資訊安全的一大隱憂，因此我們對於各種的資料處理，應該抱著謹慎態度去面對。

常見的五大資安威脅

一、網路安全

是指針對連接網路裝置、網路中傳輸的資訊、利用網路運作的軟體及透過的服務，這些項目的安全都包含在網路安全範圍內，有心人士會透過對網路的侵害，來達到竊取敏感資訊，癱瘓裝置、軟體或服務等，進而製造出個人的身份被盜用與詐騙，甚至是企業的重要資料被竊取或無法正常營運等問題。

■ 合適的資訊安全措施：主動式DDoS緩解服務、MDR威脅偵測應變服務、網管監控服務、資安顧問諮詢、資安防護架構規劃

二、系統安全

電腦系统或者網站系統的安全，會隨著技術的日新月異，隱藏於其中的缺陷也隨之浮現或被發掘，這些缺陷我們通常稱之為漏洞，而漏洞的存在將使得系统和資料的保密性、完整性、可用性、授權機制都面臨有心人士的威脅。針對系統安全，通常會透過對漏洞進行管理作為應對措施。漏洞管理的第一步就是定期進行資安檢測，如系統弱點掃描，並以風險為依據排定補救措施優先順序。此外最好隨時檢測資訊環境中是否存在異常的網路行為，以提前發現漏洞。

■ 合適的資訊安全措施：定期資安檢測、MDR威脅偵測應變服務、網管監控服務、資安顧問諮詢、資安防護架構規劃

三、應用程式安全

上述說明中有提到軟體安全中包含了應用程式安全，而應用程式玲瑯滿目，更與生活也息息相關，從文書作業、訊息的傳遞到商業的交易都有應用程式的存在。我們需要了解如何避免有心人士從應用程式的運作中，找出潛藏的漏洞，進而用以侵害個人隱私，財產甚至是人身安全。因此使用者必須留意且重視正在使用的應用程式之來源、發佈應用程式的單位或組織是否主動地檢視程式的安全性，並在整個應用程式生命週期內保護程式避免威脅迫害。降低網路犯罪者找出並利用應用程式中的漏洞來竊取資料、智慧財產以及機密資訊等行為。

■ 合適的資訊安全措施：定期資安檢測（網站弱掃、原始碼檢測、App認證）、資安顧問諮詢、資安防護架構規劃

四、資料加密及身份認證授權

在資料安全上除了確保資料的保存外，也要考慮到資料被竊取的可能性，目前有許多的機制及技術能對資料進行加密，讓非經授權的有心人士無法識別及解讀，萬一發生被竊取時，可以藉此增加對資料的保護能力，降低損害。近期頻傳的勒索病毒也是對資料保護的嚴重考驗，過去單純保護資料不被竊取的方式，已經無法滿足這種惡意行為，必須採取新的資安思維及防護技術來保障資料。現在已不再需要到特定地點辦理，使用網路就可以執行，大大地增加便利性，但隨之而來的問題是如何確保身份認證的授權身份、資料的管理及使用。近年來國際間提出許多相應的規範與認證，政府單位、金融機構服務及企業網站，可以參考或遵循國際標準或國家規範，來保護及使用民眾的資料。

■ 合適的資訊安全措施：防勒索雲端儲存服務、資安憑證（SSL憑證）、資安顧問諮詢

五、雲端運算安全

所謂的「雲端運算」與傳統電腦系統及架構不同之處，雲端運算是一定要透過網際網路來使用可共享的軟、硬體資源之運算技術。由於雲端運算是依靠著網路來實現，並且能將架構中的軟、硬體及應用程式，以共享的方式提供給不同用戶使用，因此在討論雲端運算安全時，必須將網路安全、系統安全、應用程式安全及資料加密安全及身份認證授權等條件一起考量，所以一個可靠且值得信賴的雲端運算環境必須同時具備多個面向的安全能力。

■ 合適的資訊安全措施：專業可靠的公有雲服務、自建雲服務、混合雲服務

（以上三點資安要件、五大威脅以及相關資安專業建議｜節錄自數位通國際）

該如何培養資安思維？

欲落實資安防護，培養正確的觀念非常重要，現任職於思科系統（Cisco）亞太區的雲端負責人Stephan Neumeier認為，資訊安全的觀念不應該只侷限在企業的資安團隊或開發團隊身上，而是全民都必須喚起資安意識，特別是年輕世代與長輩們都該理解資安的重要性。

現今的資安防護思維，其實不能只有單純地避免駭客入侵，反而是要以「確保關鍵服務持續運作」的角度來看待，目前有很多基礎建設都已經仰賴數位化管理，當資安出現漏洞，嚴重時可能會讓國家級的系統無法運作，至於我們能為資訊安全付出何種努力呢？其實安裝防毒軟體、為企業擬定資安計畫，都是我們能落實資安的方式。

將資訊安全內化為企業價值

疫情促使新零售時代崛起，信用卡支付逐漸普及化，COMMEET團隊早在2019年就覺察這樣的支付趨勢，所以我們持續在支付服務中進行深化，以確保客戶的企業虛擬信用卡資訊、持卡人資料等數據受到絕對的保障！

SSL憑證

SSL憑證（安全通訊協定）可為瀏覽器或電腦和伺服器或網路之間建立加密連結。在每次的 session時，SSL連結可保護信用卡資訊等交換機密資料不會遭到非授權方攔截。

PCI DSS標準合規認證

網站若具備了支付行為，就必須完成PCI DSS的認證，舉凡大型第三方支付或金流串接商，例如：綠界科技、國際知名的PayPal、Stripe，都有獲取PCI DSS的認證。

我們團隊的相關認證審查作業是交由支付卡產業安全顧問－安律信息技術進行安全查核，從2021年9月開始便啟動專案會議，並安排開發團隊定期教育訓練，除了維護網路安全、保護客戶的持卡人資料之外，我們期許能成為企業最信賴的夥伴。

在享受網路為我們帶來便利生活的同時，也應該做好風險管理，以免面臨個資暴露。企業端安全網一但被攻破，都將會是不可逆的重大危機。在保持公司與時代進步同行時，也要時刻提高警覺，越造高規格的資安防護政策來審視資訊安全是否到位。

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長至少800字，請附上個人100字內簡介，文章若採用將經編輯潤飾，如需改標會與您討論。

（觀點文章呈現多元意見，不代表《數位時代》的立場）

責任編輯：傅珮晴、侯品如

「代理式 AI 」（Agentic AI）的創新服務正在重新塑造企業對AI的想像：成為內部實際運行的數位員工，提升關鍵工作流程的效率。代理式AI的技術應用清楚指向一個核心趨勢：2025 年是 AI 邁向「代理式 AI」的起點，讓 AI 擁有決策自主權的技術轉型關鍵，2026 年這股浪潮將持續擴大並邁向規模化部署。

面對這股 AI Agent 浪潮，企業如何加速落地成為關鍵，博弘雲端以雲端與數據整合實力，結合零售、金融等產業經驗，提出 AI 系統整合商定位，協助企業從規劃、導入到維運，降低試錯風險，成為企業佈局 AI 的關鍵夥伴。

避開 AI 轉型冤枉路，企業該如何走對第一步？

博弘雲端事業中心副總經理陳亭竹指出，AI 已經從過去被動回答問題、生成內容的智慧助手，正式進化為具備自主執行能力、可跨系統協作的數位員工，應用場景也從單一任務延伸至多代理協作（Multi-Agent）模式。

「儘管 AI 前景看好，但這條導入之路並非一帆風順。」博弘雲端技術維運中心副總經理暨技術長宋青雲綜合多份市場調查報告指出，到了 2028 年，高達 70% 的重複性工作將被 AI 取代，但同時也有約 40% 的生成式 AI 專案面臨失敗風險；關鍵原因在於，企業常常低估了導入 GenAI 的整體難度——挑戰不僅來自 AI 相關技術的快速更迭，更涉及流程變革與人員適應。

博弘雲端事業中心副總經理陳亭竹指出，AI 已經從過去被動回答問題的智慧助手，正式進化為具備自主執行能力、可跨系統協作的數位員工。面對這樣的轉變，企業唯有採取「小步快跑、持續驗證」的方式，才能在控制風險的同時加速 AI 落地。

圖／數位時代

正因如此，企業在導入 AI 時，其實需要外部專業夥伴的協助，而博弘雲端不僅擁有導入 AI 應用所需的完整技術能力，涵蓋數據、雲端、應用開發、資安防禦與維運，可以一站式滿足企業需求，更能使企業在 AI 轉型過程中少走冤枉路。

宋青雲表示，許多企業在導入 AI 時，往往因過度期待、認知落差或流程改造不全，導致專案停留在測試階段，難以真正落地。這正是博弘雲端存在的關鍵價值——協助企業釐清方向，避免踏上產業內早已被證實「不可行」的方法或技術路徑，縮短從概念驗證到正式上線的過程，讓 AI 真正成為可被信賴、可持續運作的企業戰力。

轉換率提升 50% 的關鍵：HAPPY GO 的 AI 落地實戰路徑

博弘雲端這套導入方法論，並非紙上談兵，而是已在多個實際場域中驗證成效；鼎鼎聯合行銷的 HAPPY GO 會員平台的 AI 轉型歷程，正是其最具代表性的案例之一。陳亭竹說明，HAPPY GO 過去曾面臨AI 落地應用的考驗：會員資料散落在不同部門與系統中，無法整合成完整的會員輪廓，亦難以對會員進行精準貼標與分眾行銷。

為此，博弘雲端先協助 HAPPY GO 進行會員資料的邏輯化與規格化，完成建置數據中台後，再依業務情境評估適合的 AI 模型，並且減少人工貼標的時間，逐步發展精準行銷、零售 MLOps（Machine Learning Operations，模型開發與維運管理）平台等 AI 應用。在穩固的數據基礎下，AI 應用成效也開始一一浮現：首先是 AI 市場調查應用，讓資料彙整與分析效率提升約 80%；透過 AI 個性化推薦機制，廣告點擊轉換率提升 50%。

左、右為博弘雲端事業中心副總經理陳亭竹及技術維運中心副總經理暨技術長宋青雲。宋青雲分享企業導入案例，許多企業往往因過度期待、認知落差或流程改造不全，導致專案停留在測試階段，難以真正落地。這正是博弘雲端存在的關鍵價值——協助企業釐清方向，避免踏上產業內早已被證實「不可行」的方法或技術路徑，縮短從概念驗證到正式上線的過程，讓 AI 真正成為可被信賴、可持續運作的企業戰力。

圖／數位時代

整合 Databricks 與雲端服務，打造彈性高效的數據平台

在協助鼎鼎聯合行銷與其他客戶的實務經驗中，博弘雲端發現，底層數據架構是真正影響 AI 落地速度的關鍵之一，因與 Databricks 合作協助企業打造更具彈性與擴充性的數據平台，作為 AI 長期發展的基礎。

Databricks 以分散式資料處理框架（Apache Spark）為核心，能同時整合結構化與非結構化資料，並支援分散式資料處理、機器學習與進階分析等多元工作負載，讓企業免於在多個平台間反覆搬移資料，省下大量重複開發與系統整合的時間，從而加速 AI 應用從概念驗證、使用者驗收測試（UAT），一路推進到正式上線（Production）的過程，還能確保資料治理策略的一致性，有助於降低資料外洩與合規風險；此對於金融等高度重視資安與法規遵循的產業而言，更顯關鍵。

陳亭竹認為，Databricks 是企業在擴展 AI 應用時「進可攻、退可守」的重要選項。企業可將數據收納在雲端平台，當需要啟動新型 AI 或 Agent 專案時，再切換至 Databricks 進行開發與部署，待服務趨於穩定後，再轉回雲端平台，不僅兼顧開發效率與成本控管，也讓數據平台真正成為 AI 持續放大價值的關鍵基礎。

企業強化 AI 資安防禦的三個維度

隨著 AI 與 Agent 應用逐步深入企業核心流程，資訊安全與治理的重要性也隨之同步提升。對此，宋青雲提出建立完整 AI 資安防禦體系的 3 個維度。第一是資料治理層，企業在導入 AI 應用初期，就應做好資料分級與建立資料治理政策（Policy），明確定義高風險與隱私資料的使用邊界，並規範 AI Agent「能看什麼、說什麼、做什麼」，防止 AI 因執行錯誤而造成的資安風險。

第二是權限管理層，當 AI Agent 角色升級為數位員工時，企業也須比照人員管理方式為其設定明確的職務角色與權限範圍，包括可存取的資料類型與可執行的操作行為，防止因權限過大，讓 AI 成為新的資安破口。

第三為技術應用層，除了導入多重身份驗證、DLP 防制資料外洩、定期修補應用程式漏洞等既有資安防禦措施外，還需導入專為生成式 AI 設計的防禦機制，對 AI 的輸入指令與輸出內容進行雙向管控，降低指令注入攻擊（Prompt Injection）或惡意內容傳遞的風險。

博弘雲端技術維運中心副總經理暨技術長宋青雲進一步說明「AI 應用下的資安考驗」，透過完善治理政策與角色權限，並設立專為生成式 AI 設計的防禦機制，降低 AI 安全隱私外洩的風險。

圖／數位時代

此外，博弘雲端也透過 MSSP 資安維運託管服務，從底層的 WAF、防火牆與入侵偵測，到針對 AI 模型特有弱點的持續掃描，提供 7×24 不間斷且即時的監控與防護。不僅能在系統出現漏洞時主動識別並修補漏洞，更可以即時監控活動，快速辨識潛在威脅。不僅如此，也能因應法規對 AI 可解釋性與可稽核性的要求，保留完整操作與決策紀錄，協助企業因應法規審查。

「AI Agent 已成為企業未來發展的必然方向，」陳亭竹強調，面對這樣的轉變，企業唯有採取「小步快跑、持續驗證」的方式，才能在控制風險的同時，加速 AI 落地。在這波變革浪潮中，博弘雲端不只是提供雲端服務技術的領航家，更是企業推動 AI 轉型的策略戰友。透過深厚的雲端與數據技術實力、跨產業的AI導入實務經驗，以及完善的資安維運託管服務，博弘雲端將持續協助企業把數據轉化為行動力，在 AI Agent 時代助企業實踐永續穩健的 AI 落地應用。

>>掌握AI 應用的新契機，立即聯繫博弘雲端專業顧問