【觀點】82%資安事件都跟人為有關，企業怎麼做「身分安全」？四大步驟一次看|數位時代 BusinessNext

【觀點】82%資安事件都跟人為有關，企業怎麼做「身分安全」？四大步驟一次看

經歷各種大型資安事件，企業逐漸發現人為疏失是資安最大的挑戰，跟登入系統有關的「身分安全」也成為熱門話題。企業該從何開始建構身分安全？

（觀點文章呈現多元意見，不代表《數位時代》的立場）

身分安全是網路安全領域的一個熱門話題。雖然越來越多企業已精意識到身分安全的不確實將帶來危險，但許多組織仍未採取正確的身分安全措施落實資安防護。

身分安全不該只是資訊長（CIO）、技術長（CTO）和資安長（CISO）所關心的問題，每個層級的每位員工都應該充分了解所有潛在威脅，以及遭遇身分相關攻擊可能面臨的嚴重後果，並為其做好準備。

組織必須在他們的數位生態系統中管理成千上萬的身分。我們也看見攻擊者誘騙企業員工洩漏個人密碼等憑證的社交工程（social engineering）攻擊手法層出不窮。根據Verizon在2022年提出的數據洩漏調查報告（DBIR）中便指出，高達82%的資訊安全事件實際上都牽涉到人為因素，例如密碼等憑證遭竊、網路釣魚或系統安全配置不當等等。隨著需要管理的身分和應用程式不斷增加，加上人為錯誤隨時可能發生，企業更應該要提高警覺，意識到落實身分安全策略至關重要。

然而許多組織卻低估了公司遭受網路攻擊的可能性，認為網路攻擊事件不可能輕易發生在自己身上。這是一個令人擔憂的現象，尤其是台灣近年發生多起大規模資料外洩和攻擊事件，例如在2021年百餘位台灣高層政要的LINE帳號遭到駭客入侵，以及最近發生的醫院病患個資外洩事件，更有超過2,000萬名台灣民眾的戶政個資遭到竊取後，被登上暗網市場拋售等重大資安事故。

部分企業也可能會認為網路攻擊很容易管理，不會對公司造成太大影響，但事實並非如此。網路安全漏洞可能導致公司面臨嚴重的長短期成本和後果，例如財務損失、聲譽受損、保險費增加，以及生產力下滑。因此需要嚴肅看待網路風險，同時將網路風險納入公司策略和規劃之中，身分安全也需要列為優先要務，開始以萬無一失的方式實施用戶存取權限限制等身分安全控管，以減少預料之外的身分攻擊帶來潛在損害。

身分安全資安防護應該如何開始？

一、了解公司需要什麼

首先，第一步是找出公司試圖透過身分安全來解決哪些問題。

每個組織都有不同的挑戰和需求，可能是服務台人員因存取請求和密碼重設等問題而人力負擔過重，也可能是IT團隊發現到使用者所擁有的存取權限過多，或是採用雲端應用程式導致安全可視度降低，同時還增加了IT生態系統的複雜性等，更糟的情況是公司可能「已經」發生了資料外洩事故。

如果公司所處的產業受到高度監管，對組織內部高層來說，合規性和風險規避則將是主要重點，了解誰有權存取公司的哪些應用程式和系統應成為最優先的工作，以展現組織遵守法規，且能有效地管理風險。

因此，第一步先了解公司的身分安全需求是非常重要的，因為它有助於確定公司的最終目標，確保身分安全策略與組織的整體策略目標一致。

二、將重點放在「流程」

一旦確定公司的需求後，應寫出所發生之事件的整個過程，以及需要改正的地方。製作一張工作流程地圖，載明哪些安全流程採取手動作業、哪些採取自動程序、流程分別耗時等等。

識別所有關鍵的參與者也是非常重要的一環；從IT團隊、服務台人員、安全團隊到使用者，以及參與者彼此間如何受到目前流程影響。能夠清楚地瞭解目前的情況、能力、流程、參與者和成本，才能為未來的身分管理專案設定明確目標。

三、設定清晰且具體的目標

目標和度量標準對任何計畫來說都很重要。前兩個步驟決定後面計畫的實施依據，但對於計畫的成功與否，應依據計畫為公司所帶來的價值來作判斷。

然而能夠實現目標的關鍵在於所設立的目標必須是清楚、可衡量並且有形的。單是以「提高公司的效率」作為目標並不夠具體；必須透過統計資料和數值檢視才足夠清晰。

因此目標設定應始終切合實際，這可能代表要從小處著手，並顯示隨著時間的遞增價值，比如一個專案可以分成多個階段推進，而不是一次完成所有事情，這也可讓專案團隊在不誇大預期的效益下建立可信度。

四、建立一個財務模型

組織需要先思考實際執行情況，盤點啟動和持續運作身分管理解決方案需要的硬體、軟體、人員或其他各類資源。盤點階段完成後，亦需將預期發生的維護成本或是其他任何成本納入財務模型。最重要的一點是記錄具體的改善，以及組織如何透過新的身分管理解決方案節省實際開支，比如因合規成本降低或服務台事件減少而減省的支出。

下一步則是測量價值。每個組織都有自己的首選財務度量標準，可能是專案投資數月或數年後可以回本，也可能是ROI（投資回報率），重點是財務模型必須與管理團隊期望看到的表現指標呈現一致。投資回本期和投資回報率是許多組織使用的典型度量標準，建議將它們納入成為財務模型的一部分。

有了可靠的身分安全解決方案，IT團隊將能全面了解內部系統，以確保政策受到遵守、違規行為得到預防，並能在需要時向有關當事人發送通知，確保組織受到保護。身分安全並沒有使事情複雜化，而是提高公司的能力，使公司能夠更全面得保護敏感資料，且具有足夠的彈性讓使用者有效率地工作。

重大的網路攻擊或資料外洩對於企業聲譽、生產力和盈虧所帶來的風險不容忽視。隨著企業持續落實數位轉型，組織也必須對每位使用者落實正確的存取控制，以有效率地管理複雜的IT生態系統並保護所有使用者的數位身分、應用程式和資料安全，讓組織運作始終維持在安全且合規的環境。

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長至少800字，請附上個人100字內簡介，文章若採用將經編輯潤飾，如需改標會與您討論。

（觀點文章呈現多元意見，不代表《數位時代》的立場）

責任編輯：林美欣

為何「影音體驗」是網路品質的關鍵指標？

愈來愈多消費者入手旗艦機，追求的不只是硬體規格，還有流暢的 AI 應用與多工協作。然而，無論是視訊即時翻譯或雲端會議，這些高階功能都有一個共同前提：網路必須穩定。一旦網路品質不佳導致畫質下降或音畫不同步，旗艦級的 AI 功能將形同虛設。

這也意味著，檢驗網路價值的標準已經改變。如今，不能只看單點測速的瞬間峰值，更重要的是高負載情境下的耐力表現。因此，比起單點測速，影音體驗會是更完整的測試標準，直接挑戰了網路在室內深處、移動途中或人潮聚集時的網路實力；而唯有在長時間串流下依然不卡頓、不降畫質，才稱得上是高品質的連線。

換言之，隱身在硬體背後的電信商，才是發揮旗艦機性能的關鍵；唯有透過最佳網路品質，才能讓手中的旗艦機既是規格領先、也是體驗領先。

唯一影音體驗雙料冠軍，Opensignal 權威認證的有感體驗

雖然相較於測速數據，影音體驗更貼近日常使用，但也更難量化。對此，國際權威認證 Opensignal 的「影音體驗分數」，依循 ITU 國際標準，透過真實用戶裝置在行動網路上進行影音串流的實測數據，觀察不同電信網路在實際使用情境下的表現。

簡單來說，評測聚焦三項核心指標：影片載入時間、播放期間的卡頓率，以及畫質（解析度）是否能穩定維持。使用者從開始播放到持續觀看的整體品質，分數以 0–100 呈現，分數愈高，代表在三項指標的表現愈佳。相較於單點測速，這類評測更能呈現長時間、高使用量下的網路品質。

而在今年最新公布的 Opensignal 評測中，台灣大哥大獲得「影音體驗」獎項唯一雙料冠軍。其中，「整體影音體驗」為全台獨得第一名，「5G 影音體驗」則與遠傳並列第一。

之所以能在影音體驗拔得頭籌，關鍵在於台灣大哥大目前是全台唯一整合 3.5GHz 頻段 60MHz 與 40MHz、形成 100MHz 總頻寬的電信業者，亦是現階段全台最大 5G 黃金頻寬配置。頻寬愈寬，代表單位時間內可傳輸的資料量愈大；在大量使用者同時進行影音串流、視訊互動的狀態下，更能維持穩定傳輸、減少壅塞發生機率。

台灣大獲權威認證，NRCA技術撐起穩定基礎

除了頻寬帶來的流量優勢，台灣大哥大也採用「NRCA 高低頻整合技術」，也就是透過高低頻協作，讓 3.5GHz 負責高速傳輸、700MHz 補強覆蓋與室內連線，改善室內深處與移動情境的訊號落差，提升連線連續性。

同時，為了讓住家、通勤動線、商圈與觀光熱點等高使用場域維持穩定表現，台灣大哥大已在全台超過213個住宅、觀光及商圈熱點完成 100MHz 布建，提升人流密集區的網路覆蓋率。

值得注意的是，在今年的 Opensignal 評比中，台灣大哥大還拿下了「5G 語音體驗」與「網路可用率」兩項第 1 名，累計獲得 4 項獎項。這意味著不僅具備影音體驗優勢，在語音互動與連線率等關乎用戶日常應用的基礎指標，皆有亮眼成績。

尤其，隨著影音與即時互動成為新世代的工作常態，網路品質的重要性只會持續上升。無論是遠距協作所仰賴的視訊與畫面共享即時同步，內容創作對直播與即時上傳連續性的要求，或是 AI 視訊互動、即時翻譯與會議摘要等新應用，都高度依賴低延遲與穩定的資料傳輸。網路品質因此不再只是連線條件，更是支撐內容生產、協作效率與新應用落地的基礎能力，甚至直接牽動競爭力。

而台灣大哥大經 Opensignal 認證、於多項關鍵指標領先業界，不僅將成為 AI 時代的重要後盾，也讓使用者能更充分發揮高階手機的效能，把「快、穩、滑順」落實在每天的工作與生活中。