中 華 大 學

碩 士 論 文

以 ITIL 管理架構為基礎之企業端點防護管理

Protection Management of Enterprise Endpoint

Based on the ITIL Management Framework

系 所 別資訊管理學系碩士班

學號姓名E09910017 黎維強

指導教授吳美玉 博士

中 華 民 國 101 年 8 月

I

摘要

在現今企業的內部環境存在著筆記型及桌上型電腦等端點便利的網路應

用伴隨而來的也就是各種不同形式的資訊威脅如電腦病毒間諜程式作業系

統漏洞惡意網站惡意軟體蠕蟲攻擊等端點是企業電腦化環境中數量最多

的標的若遭受資訊威脅影響端點運作企業營運和營收也將蒙受損失

本研究針對企業的端點防護(Endpoint Protection EP)進行研究 並以資訊技

術基礎架構庫為方法提出端點防護管理及成效評量作法讓企業資訊單位在進

行端點防護管理時可引用做為規劃參考針對可能遭受危害的端點提供修補及防

護機制以期降低企業端點遭受此種資訊威脅帶來的衝擊與影響

關鍵字資訊技術基礎架構庫資訊威脅端點防護

II

Abstract

In the modern enterprises internal environment there is the endpoint of the notebook

and desktop computers Convenient network applications accompanied by the threat

of various forms of information such as computer viruses spyware operating system

vulnerabilities a malicious Web site malware wormsrsquo attack The endpoint is the

largest number of the subject in the corporate computer environment If information

threats affect the endpoint operation the business operations and revenue will suffer

the loss

This study will focus on the research of the endpoint protection for enterprises Using

ITIL management framework approach provides endpoint protection management and

assessment methodology of effectiveness as planning reference for the business unit

of information during endpoint protection management Providing harm repair and

protective mechanisms for the potential damage to enterprise endpoint will reduce the

impact and influence from such information threat

Keywords Information Technology Infrastructure Library Information Threats

Endpoint Protection

III

誌謝

本研究論文能順利付梓首先要感謝指導教授吳美玉老師從論文題目的訂

定與撰寫到最後完稿的過程即使是學校的寒暑假期間吳老師還是不辭辛勞地

督促我除了指導學術研究的正確寫作方式外撰寫期間都能耐心的幫忙修改論

文中的錯誤引導我從相關文獻的蒐集與了解其中之研究價值給予正確的建議

和鼓勵來找到自己的研究方向

此外還要感謝參與論文的口試委員李之中老師及郭明煌老師在學務繁忙

之際能出席蒞臨指導過程中指出許多論文遺漏及建議要修改的地方進而使我

的論文可以更完整的呈現

最後要感謝家人的支持讓我能無憂地努力學業再來是朋友的關心幫助我

增加自信與減輕壓力最後是學長姐和同學們的加油打氣特別是余明賢同學在

努力論文的同時給予我提點和激勵感謝大家的幫忙讓我完成人生中的重要里程

碑在此與大家分享我畢業的喜悅

IV

目錄

摘要 I

Abstract II

誌謝 III

目錄 IV

圖目錄 V

表目錄 VI

第一章 緒論 1

11 研究動機與背景 1

12 研究目的 2

13 研究範圍與限制 3

14 論文架構 4

第二章 文獻探討 6

21 資訊技術基礎架構庫與端點防護管理概述 7

22 資訊威脅概述 18

23 端點防護相關技術 21

24 相關研究 24

241 李學者提出 IT 服務組合指標建構之研究 24

242 李學者提出 ISO 27001之國網中心風險管理 26

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理 27

第三章 應用 ITIL 管理架構的端點防護管理方法 28

31 端點防護的策略管理 30

32 端點防護的設計管理 40

33 端點防護的轉換管理 44

34 端點防護的營運管理 48

第四章 應用 ITIL 管理架構的端點防護成效評量 55

第五章 結論與未來研究方向 60

51 結論 60

52 未來研究方向 61

參考文獻 62

附錄 A 端點防護供應商需求建議書範本 65

附錄 B 端點防護資產及組態管理表範例 67

附錄 C 端點防護變更及上線部署申請表範例 68

附錄 D 端點防護功能檢查項目範例 69

附錄 E 端點防護週報表範本 70

V

圖目錄

圖 2-1 ITIL演化歷程圖 8

圖 2-2 ITIL V3管理架構 9

圖 2-3 ITIL V3管理架構方法細項 11

圖 2-5 ITIL服務策略在M_o_R原則模組的關係 27

圖 3-1 端點防護管理的整體實施流程 28

圖 3-2 端點防護的管理核心 29

圖 3-3 端點防護的策略管理流程 30

圖 3-4 端點防護管理設計架構示意圖 33

圖 3-5 網頁信譽評等運作示意圖 34

圖 3-6 檔案信譽評等運作示意圖 34

圖 3-7 電子郵件防護示意圖 35

圖 3-8 軟體式防火牆運作示意圖 35

圖 3-9 應用程式控管運作示意圖 36

圖 3-10 儲存裝置控管運作示意圖 36

圖 3-11 雲端防護示意圖 37

圖 3-12 網路存取控制機制示意圖 38

圖 3-13 延遲派送機制示意圖 39

圖 3-14 端點防護的設計管理流程 40

圖 3-15 端點防護管理服務等級協定流程 43

圖 3-16 端點防護的轉換管理流程 44

圖 3-17 端點防護轉換管理流程 47

圖 3-18 與使用者互動的服務台管理流程 48

圖 3-19 端點防護的 IT 營運管理流程 49

圖 3-20 端點防護的需求實現 49

圖 3-21 服務台的運作流程 52

圖 3-22 資訊部門對資訊威脅的主動式處理流程 53

圖 3-23 端點防護技術管理流程 54

圖 3-24 端點防護應用程式管理流程 54

圖 4-1 端點防護的管理成效評量流程 55

VI

表目錄

表 2-1傳統 IT 管理與 IT 服務管理的比較 6

表 2-2系統管理到服務管理說明表 7

表 2-3常見資訊威脅分類表 20

表 2-4 IT服務組合指標 25

表 2-5國網中心風險等級表 26

表 3-1 ITIL服務策略與端點防護策略管理運作 31

表 3-2 ITIL服務設計與端點防護設計管理運作 41

表 3-3 ITIL服務轉換與端點防護轉換管理運作 45

表 3-4 ITIL服務營運與端點防護營運管理運作 50

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作 56

表 4-2 端點防護各項指標 57

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

I

摘要

在現今企業的內部環境存在著筆記型及桌上型電腦等端點便利的網路應

用伴隨而來的也就是各種不同形式的資訊威脅如電腦病毒間諜程式作業系

統漏洞惡意網站惡意軟體蠕蟲攻擊等端點是企業電腦化環境中數量最多

的標的若遭受資訊威脅影響端點運作企業營運和營收也將蒙受損失

本研究針對企業的端點防護(Endpoint Protection EP)進行研究 並以資訊技

術基礎架構庫為方法提出端點防護管理及成效評量作法讓企業資訊單位在進

行端點防護管理時可引用做為規劃參考針對可能遭受危害的端點提供修補及防

護機制以期降低企業端點遭受此種資訊威脅帶來的衝擊與影響

關鍵字資訊技術基礎架構庫資訊威脅端點防護

II

Abstract

In the modern enterprises internal environment there is the endpoint of the notebook

and desktop computers Convenient network applications accompanied by the threat

of various forms of information such as computer viruses spyware operating system

vulnerabilities a malicious Web site malware wormsrsquo attack The endpoint is the

largest number of the subject in the corporate computer environment If information

threats affect the endpoint operation the business operations and revenue will suffer

the loss

This study will focus on the research of the endpoint protection for enterprises Using

ITIL management framework approach provides endpoint protection management and

assessment methodology of effectiveness as planning reference for the business unit

of information during endpoint protection management Providing harm repair and

protective mechanisms for the potential damage to enterprise endpoint will reduce the

impact and influence from such information threat

Keywords Information Technology Infrastructure Library Information Threats

Endpoint Protection

III

誌謝

本研究論文能順利付梓首先要感謝指導教授吳美玉老師從論文題目的訂

定與撰寫到最後完稿的過程即使是學校的寒暑假期間吳老師還是不辭辛勞地

督促我除了指導學術研究的正確寫作方式外撰寫期間都能耐心的幫忙修改論

文中的錯誤引導我從相關文獻的蒐集與了解其中之研究價值給予正確的建議

和鼓勵來找到自己的研究方向

此外還要感謝參與論文的口試委員李之中老師及郭明煌老師在學務繁忙

之際能出席蒞臨指導過程中指出許多論文遺漏及建議要修改的地方進而使我

的論文可以更完整的呈現

最後要感謝家人的支持讓我能無憂地努力學業再來是朋友的關心幫助我

增加自信與減輕壓力最後是學長姐和同學們的加油打氣特別是余明賢同學在

努力論文的同時給予我提點和激勵感謝大家的幫忙讓我完成人生中的重要里程

碑在此與大家分享我畢業的喜悅

IV

目錄

摘要 I

Abstract II

誌謝 III

目錄 IV

圖目錄 V

表目錄 VI

第一章 緒論 1

11 研究動機與背景 1

12 研究目的 2

13 研究範圍與限制 3

14 論文架構 4

第二章 文獻探討 6

21 資訊技術基礎架構庫與端點防護管理概述 7

22 資訊威脅概述 18

23 端點防護相關技術 21

24 相關研究 24

241 李學者提出 IT 服務組合指標建構之研究 24

242 李學者提出 ISO 27001之國網中心風險管理 26

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理 27

第三章 應用 ITIL 管理架構的端點防護管理方法 28

31 端點防護的策略管理 30

32 端點防護的設計管理 40

33 端點防護的轉換管理 44

34 端點防護的營運管理 48

第四章 應用 ITIL 管理架構的端點防護成效評量 55

第五章 結論與未來研究方向 60

51 結論 60

52 未來研究方向 61

參考文獻 62

附錄 A 端點防護供應商需求建議書範本 65

附錄 B 端點防護資產及組態管理表範例 67

附錄 C 端點防護變更及上線部署申請表範例 68

附錄 D 端點防護功能檢查項目範例 69

附錄 E 端點防護週報表範本 70

V

圖目錄

圖 2-1 ITIL演化歷程圖 8

圖 2-2 ITIL V3管理架構 9

圖 2-3 ITIL V3管理架構方法細項 11

圖 2-5 ITIL服務策略在M_o_R原則模組的關係 27

圖 3-1 端點防護管理的整體實施流程 28

圖 3-2 端點防護的管理核心 29

圖 3-3 端點防護的策略管理流程 30

圖 3-4 端點防護管理設計架構示意圖 33

圖 3-5 網頁信譽評等運作示意圖 34

圖 3-6 檔案信譽評等運作示意圖 34

圖 3-7 電子郵件防護示意圖 35

圖 3-8 軟體式防火牆運作示意圖 35

圖 3-9 應用程式控管運作示意圖 36

圖 3-10 儲存裝置控管運作示意圖 36

圖 3-11 雲端防護示意圖 37

圖 3-12 網路存取控制機制示意圖 38

圖 3-13 延遲派送機制示意圖 39

圖 3-14 端點防護的設計管理流程 40

圖 3-15 端點防護管理服務等級協定流程 43

圖 3-16 端點防護的轉換管理流程 44

圖 3-17 端點防護轉換管理流程 47

圖 3-18 與使用者互動的服務台管理流程 48

圖 3-19 端點防護的 IT 營運管理流程 49

圖 3-20 端點防護的需求實現 49

圖 3-21 服務台的運作流程 52

圖 3-22 資訊部門對資訊威脅的主動式處理流程 53

圖 3-23 端點防護技術管理流程 54

圖 3-24 端點防護應用程式管理流程 54

圖 4-1 端點防護的管理成效評量流程 55

VI

表目錄

表 2-1傳統 IT 管理與 IT 服務管理的比較 6

表 2-2系統管理到服務管理說明表 7

表 2-3常見資訊威脅分類表 20

表 2-4 IT服務組合指標 25

表 2-5國網中心風險等級表 26

表 3-1 ITIL服務策略與端點防護策略管理運作 31

表 3-2 ITIL服務設計與端點防護設計管理運作 41

表 3-3 ITIL服務轉換與端點防護轉換管理運作 45

表 3-4 ITIL服務營運與端點防護營運管理運作 50

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作 56

表 4-2 端點防護各項指標 57

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

II

Abstract

In the modern enterprises internal environment there is the endpoint of the notebook

and desktop computers Convenient network applications accompanied by the threat

of various forms of information such as computer viruses spyware operating system

vulnerabilities a malicious Web site malware wormsrsquo attack The endpoint is the

largest number of the subject in the corporate computer environment If information

threats affect the endpoint operation the business operations and revenue will suffer

the loss

This study will focus on the research of the endpoint protection for enterprises Using

ITIL management framework approach provides endpoint protection management and

assessment methodology of effectiveness as planning reference for the business unit

of information during endpoint protection management Providing harm repair and

protective mechanisms for the potential damage to enterprise endpoint will reduce the

impact and influence from such information threat

Keywords Information Technology Infrastructure Library Information Threats

Endpoint Protection

III

誌謝

本研究論文能順利付梓首先要感謝指導教授吳美玉老師從論文題目的訂

定與撰寫到最後完稿的過程即使是學校的寒暑假期間吳老師還是不辭辛勞地

督促我除了指導學術研究的正確寫作方式外撰寫期間都能耐心的幫忙修改論

文中的錯誤引導我從相關文獻的蒐集與了解其中之研究價值給予正確的建議

和鼓勵來找到自己的研究方向

此外還要感謝參與論文的口試委員李之中老師及郭明煌老師在學務繁忙

之際能出席蒞臨指導過程中指出許多論文遺漏及建議要修改的地方進而使我

的論文可以更完整的呈現

最後要感謝家人的支持讓我能無憂地努力學業再來是朋友的關心幫助我

增加自信與減輕壓力最後是學長姐和同學們的加油打氣特別是余明賢同學在

努力論文的同時給予我提點和激勵感謝大家的幫忙讓我完成人生中的重要里程

碑在此與大家分享我畢業的喜悅

IV

目錄

摘要 I

Abstract II

誌謝 III

目錄 IV

圖目錄 V

表目錄 VI

第一章 緒論 1

11 研究動機與背景 1

12 研究目的 2

13 研究範圍與限制 3

14 論文架構 4

第二章 文獻探討 6

21 資訊技術基礎架構庫與端點防護管理概述 7

22 資訊威脅概述 18

23 端點防護相關技術 21

24 相關研究 24

241 李學者提出 IT 服務組合指標建構之研究 24

242 李學者提出 ISO 27001之國網中心風險管理 26

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理 27

第三章 應用 ITIL 管理架構的端點防護管理方法 28

31 端點防護的策略管理 30

32 端點防護的設計管理 40

33 端點防護的轉換管理 44

34 端點防護的營運管理 48

第四章 應用 ITIL 管理架構的端點防護成效評量 55

第五章 結論與未來研究方向 60

51 結論 60

52 未來研究方向 61

參考文獻 62

附錄 A 端點防護供應商需求建議書範本 65

附錄 B 端點防護資產及組態管理表範例 67

附錄 C 端點防護變更及上線部署申請表範例 68

附錄 D 端點防護功能檢查項目範例 69

附錄 E 端點防護週報表範本 70

V

圖目錄

圖 2-1 ITIL演化歷程圖 8

圖 2-2 ITIL V3管理架構 9

圖 2-3 ITIL V3管理架構方法細項 11

圖 2-5 ITIL服務策略在M_o_R原則模組的關係 27

圖 3-1 端點防護管理的整體實施流程 28

圖 3-2 端點防護的管理核心 29

圖 3-3 端點防護的策略管理流程 30

圖 3-4 端點防護管理設計架構示意圖 33

圖 3-5 網頁信譽評等運作示意圖 34

圖 3-6 檔案信譽評等運作示意圖 34

圖 3-7 電子郵件防護示意圖 35

圖 3-8 軟體式防火牆運作示意圖 35

圖 3-9 應用程式控管運作示意圖 36

圖 3-10 儲存裝置控管運作示意圖 36

圖 3-11 雲端防護示意圖 37

圖 3-12 網路存取控制機制示意圖 38

圖 3-13 延遲派送機制示意圖 39

圖 3-14 端點防護的設計管理流程 40

圖 3-15 端點防護管理服務等級協定流程 43

圖 3-16 端點防護的轉換管理流程 44

圖 3-17 端點防護轉換管理流程 47

圖 3-18 與使用者互動的服務台管理流程 48

圖 3-19 端點防護的 IT 營運管理流程 49

圖 3-20 端點防護的需求實現 49

圖 3-21 服務台的運作流程 52

圖 3-22 資訊部門對資訊威脅的主動式處理流程 53

圖 3-23 端點防護技術管理流程 54

圖 3-24 端點防護應用程式管理流程 54

圖 4-1 端點防護的管理成效評量流程 55

VI

表目錄

表 2-1傳統 IT 管理與 IT 服務管理的比較 6

表 2-2系統管理到服務管理說明表 7

表 2-3常見資訊威脅分類表 20

表 2-4 IT服務組合指標 25

表 2-5國網中心風險等級表 26

表 3-1 ITIL服務策略與端點防護策略管理運作 31

表 3-2 ITIL服務設計與端點防護設計管理運作 41

表 3-3 ITIL服務轉換與端點防護轉換管理運作 45

表 3-4 ITIL服務營運與端點防護營運管理運作 50

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作 56

表 4-2 端點防護各項指標 57

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

III

誌謝

本研究論文能順利付梓首先要感謝指導教授吳美玉老師從論文題目的訂

定與撰寫到最後完稿的過程即使是學校的寒暑假期間吳老師還是不辭辛勞地

督促我除了指導學術研究的正確寫作方式外撰寫期間都能耐心的幫忙修改論

文中的錯誤引導我從相關文獻的蒐集與了解其中之研究價值給予正確的建議

和鼓勵來找到自己的研究方向

此外還要感謝參與論文的口試委員李之中老師及郭明煌老師在學務繁忙

之際能出席蒞臨指導過程中指出許多論文遺漏及建議要修改的地方進而使我

的論文可以更完整的呈現

最後要感謝家人的支持讓我能無憂地努力學業再來是朋友的關心幫助我

增加自信與減輕壓力最後是學長姐和同學們的加油打氣特別是余明賢同學在

努力論文的同時給予我提點和激勵感謝大家的幫忙讓我完成人生中的重要里程

碑在此與大家分享我畢業的喜悅

IV

目錄

摘要 I

Abstract II

誌謝 III

目錄 IV

圖目錄 V

表目錄 VI

第一章 緒論 1

11 研究動機與背景 1

12 研究目的 2

13 研究範圍與限制 3

14 論文架構 4

第二章 文獻探討 6

21 資訊技術基礎架構庫與端點防護管理概述 7

22 資訊威脅概述 18

23 端點防護相關技術 21

24 相關研究 24

241 李學者提出 IT 服務組合指標建構之研究 24

242 李學者提出 ISO 27001之國網中心風險管理 26

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理 27

第三章 應用 ITIL 管理架構的端點防護管理方法 28

31 端點防護的策略管理 30

32 端點防護的設計管理 40

33 端點防護的轉換管理 44

34 端點防護的營運管理 48

第四章 應用 ITIL 管理架構的端點防護成效評量 55

第五章 結論與未來研究方向 60

51 結論 60

52 未來研究方向 61

參考文獻 62

附錄 A 端點防護供應商需求建議書範本 65

附錄 B 端點防護資產及組態管理表範例 67

附錄 C 端點防護變更及上線部署申請表範例 68

附錄 D 端點防護功能檢查項目範例 69

附錄 E 端點防護週報表範本 70

V

圖目錄

圖 2-1 ITIL演化歷程圖 8

圖 2-2 ITIL V3管理架構 9

圖 2-3 ITIL V3管理架構方法細項 11

圖 2-5 ITIL服務策略在M_o_R原則模組的關係 27

圖 3-1 端點防護管理的整體實施流程 28

圖 3-2 端點防護的管理核心 29

圖 3-3 端點防護的策略管理流程 30

圖 3-4 端點防護管理設計架構示意圖 33

圖 3-5 網頁信譽評等運作示意圖 34

圖 3-6 檔案信譽評等運作示意圖 34

圖 3-7 電子郵件防護示意圖 35

圖 3-8 軟體式防火牆運作示意圖 35

圖 3-9 應用程式控管運作示意圖 36

圖 3-10 儲存裝置控管運作示意圖 36

圖 3-11 雲端防護示意圖 37

圖 3-12 網路存取控制機制示意圖 38

圖 3-13 延遲派送機制示意圖 39

圖 3-14 端點防護的設計管理流程 40

圖 3-15 端點防護管理服務等級協定流程 43

圖 3-16 端點防護的轉換管理流程 44

圖 3-17 端點防護轉換管理流程 47

圖 3-18 與使用者互動的服務台管理流程 48

圖 3-19 端點防護的 IT 營運管理流程 49

圖 3-20 端點防護的需求實現 49

圖 3-21 服務台的運作流程 52

圖 3-22 資訊部門對資訊威脅的主動式處理流程 53

圖 3-23 端點防護技術管理流程 54

圖 3-24 端點防護應用程式管理流程 54

圖 4-1 端點防護的管理成效評量流程 55

VI

表目錄

表 2-1傳統 IT 管理與 IT 服務管理的比較 6

表 2-2系統管理到服務管理說明表 7

表 2-3常見資訊威脅分類表 20

表 2-4 IT服務組合指標 25

表 2-5國網中心風險等級表 26

表 3-1 ITIL服務策略與端點防護策略管理運作 31

表 3-2 ITIL服務設計與端點防護設計管理運作 41

表 3-3 ITIL服務轉換與端點防護轉換管理運作 45

表 3-4 ITIL服務營運與端點防護營運管理運作 50

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作 56

表 4-2 端點防護各項指標 57

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

IV

目錄

摘要 I

Abstract II

誌謝 III

目錄 IV

圖目錄 V

表目錄 VI

第一章 緒論 1

11 研究動機與背景 1

12 研究目的 2

13 研究範圍與限制 3

14 論文架構 4

第二章 文獻探討 6

21 資訊技術基礎架構庫與端點防護管理概述 7

22 資訊威脅概述 18

23 端點防護相關技術 21

24 相關研究 24

241 李學者提出 IT 服務組合指標建構之研究 24

242 李學者提出 ISO 27001之國網中心風險管理 26

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理 27

第三章 應用 ITIL 管理架構的端點防護管理方法 28

31 端點防護的策略管理 30

32 端點防護的設計管理 40

33 端點防護的轉換管理 44

34 端點防護的營運管理 48

第四章 應用 ITIL 管理架構的端點防護成效評量 55

第五章 結論與未來研究方向 60

51 結論 60

52 未來研究方向 61

參考文獻 62

附錄 A 端點防護供應商需求建議書範本 65

附錄 B 端點防護資產及組態管理表範例 67

附錄 C 端點防護變更及上線部署申請表範例 68

附錄 D 端點防護功能檢查項目範例 69

附錄 E 端點防護週報表範本 70

V

圖目錄

圖 2-1 ITIL演化歷程圖 8

圖 2-2 ITIL V3管理架構 9

圖 2-3 ITIL V3管理架構方法細項 11

圖 2-5 ITIL服務策略在M_o_R原則模組的關係 27

圖 3-1 端點防護管理的整體實施流程 28

圖 3-2 端點防護的管理核心 29

圖 3-3 端點防護的策略管理流程 30

圖 3-4 端點防護管理設計架構示意圖 33

圖 3-5 網頁信譽評等運作示意圖 34

圖 3-6 檔案信譽評等運作示意圖 34

圖 3-7 電子郵件防護示意圖 35

圖 3-8 軟體式防火牆運作示意圖 35

圖 3-9 應用程式控管運作示意圖 36

圖 3-10 儲存裝置控管運作示意圖 36

圖 3-11 雲端防護示意圖 37

圖 3-12 網路存取控制機制示意圖 38

圖 3-13 延遲派送機制示意圖 39

圖 3-14 端點防護的設計管理流程 40

圖 3-15 端點防護管理服務等級協定流程 43

圖 3-16 端點防護的轉換管理流程 44

圖 3-17 端點防護轉換管理流程 47

圖 3-18 與使用者互動的服務台管理流程 48

圖 3-19 端點防護的 IT 營運管理流程 49

圖 3-20 端點防護的需求實現 49

圖 3-21 服務台的運作流程 52

圖 3-22 資訊部門對資訊威脅的主動式處理流程 53

圖 3-23 端點防護技術管理流程 54

圖 3-24 端點防護應用程式管理流程 54

圖 4-1 端點防護的管理成效評量流程 55

VI

表目錄

表 2-1傳統 IT 管理與 IT 服務管理的比較 6

表 2-2系統管理到服務管理說明表 7

表 2-3常見資訊威脅分類表 20

表 2-4 IT服務組合指標 25

表 2-5國網中心風險等級表 26

表 3-1 ITIL服務策略與端點防護策略管理運作 31

表 3-2 ITIL服務設計與端點防護設計管理運作 41

表 3-3 ITIL服務轉換與端點防護轉換管理運作 45

表 3-4 ITIL服務營運與端點防護營運管理運作 50

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作 56

表 4-2 端點防護各項指標 57

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

V

圖目錄

圖 2-1 ITIL演化歷程圖 8

圖 2-2 ITIL V3管理架構 9

圖 2-3 ITIL V3管理架構方法細項 11

圖 2-5 ITIL服務策略在M_o_R原則模組的關係 27

圖 3-1 端點防護管理的整體實施流程 28

圖 3-2 端點防護的管理核心 29

圖 3-3 端點防護的策略管理流程 30

圖 3-4 端點防護管理設計架構示意圖 33

圖 3-5 網頁信譽評等運作示意圖 34

圖 3-6 檔案信譽評等運作示意圖 34

圖 3-7 電子郵件防護示意圖 35

圖 3-8 軟體式防火牆運作示意圖 35

圖 3-9 應用程式控管運作示意圖 36

圖 3-10 儲存裝置控管運作示意圖 36

圖 3-11 雲端防護示意圖 37

圖 3-12 網路存取控制機制示意圖 38

圖 3-13 延遲派送機制示意圖 39

圖 3-14 端點防護的設計管理流程 40

圖 3-15 端點防護管理服務等級協定流程 43

圖 3-16 端點防護的轉換管理流程 44

圖 3-17 端點防護轉換管理流程 47

圖 3-18 與使用者互動的服務台管理流程 48

圖 3-19 端點防護的 IT 營運管理流程 49

圖 3-20 端點防護的需求實現 49

圖 3-21 服務台的運作流程 52

圖 3-22 資訊部門對資訊威脅的主動式處理流程 53

圖 3-23 端點防護技術管理流程 54

圖 3-24 端點防護應用程式管理流程 54

圖 4-1 端點防護的管理成效評量流程 55

VI

表目錄

表 2-1傳統 IT 管理與 IT 服務管理的比較 6

表 2-2系統管理到服務管理說明表 7

表 2-3常見資訊威脅分類表 20

表 2-4 IT服務組合指標 25

表 2-5國網中心風險等級表 26

表 3-1 ITIL服務策略與端點防護策略管理運作 31

表 3-2 ITIL服務設計與端點防護設計管理運作 41

表 3-3 ITIL服務轉換與端點防護轉換管理運作 45

表 3-4 ITIL服務營運與端點防護營運管理運作 50

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作 56

表 4-2 端點防護各項指標 57

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

VI

表目錄

表 2-1傳統 IT 管理與 IT 服務管理的比較 6

表 2-2系統管理到服務管理說明表 7

表 2-3常見資訊威脅分類表 20

表 2-4 IT服務組合指標 25

表 2-5國網中心風險等級表 26

表 3-1 ITIL服務策略與端點防護策略管理運作 31

表 3-2 ITIL服務設計與端點防護設計管理運作 41

表 3-3 ITIL服務轉換與端點防護轉換管理運作 45

表 3-4 ITIL服務營運與端點防護營運管理運作 50

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作 56

表 4-2 端點防護各項指標 57

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

1

第一章 緒論

11 研究動機與背景

隨著資訊技術不斷的發展與進步企業裡各項資訊化設備運用已屬稀鬆平常

之情形如不可或缺的網路連線USB 可攜式裝置的大量使用等都為企業帶

來快速且便利的作業環境但便利的管道下潛藏無數的危機這些管道能夠幫助

企業的生産力促進發展但在資訊安全管理和投資層面等卻給企業帶來了嚴峻

的問題與挑戰端點使用者的資訊素養和安全意識水準不一容易將這些資訊威

脅(Information Threats)傳遞到企業內部形成資訊安全危安因素若管理不周全

則可能會給企業帶來相當程度的損失

根據賽門鐵克全球網路威脅第 17期的研究報告[17]指出在 2011年就偵測

到並攔截了 55 億次惡意攻擊比前一年增加 81以上這些威脅的存在遍及全

球在過去兩年間多種產業的多國組織已因目前的網路攻擊而蒙受巨大損失根

據調查 2011年間因惡意威脅造成的資料洩漏損失成本總額已達 301萬美元目

標式攻擊也造成許多企業的網路遭到破壞及智慧財產權的損失受害者從最小型

的企業到最大型的跨國企業共通點為他們都是特別被鎖定的對象58的攻擊

是鎖定工作性質為銷售人力資源高階主管助理及媒體公關等族群此外 2011

年的目標式攻擊中有一半是指向中小企業這顯示企業更需要對資訊威脅進行防

護措施

報告中也指出台灣電腦被駭客植入惡意程式淪為傀儡電腦的比例為 114

平均每 10台電腦中有 1台是傀儡電腦僅次於美國的 126若與 2010年相較

之下台灣傀儡電腦比例從原本的 78增加了 36也是全世界排名前十名

傀儡電腦比例最高國家中新增傀儡電腦比例最多的國家

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

2

在企業電腦化的今日多樣的網路應用伴隨而來的也就是各種不同形式的資

訊威脅如電腦病毒間諜程式作業系統漏洞惡意網站惡意軟體蠕蟲攻擊

等而端點是企業電腦化環境中數量最多的標的如何做好企業內的端點防護措

施已是相當重要的議題若管理不當可能會成為企業的一大隱憂進而影響營運

發展不可不謹慎

12 研究目的

隨著電腦科技的發展演變至今日各項應用不斷地被發表在這段時間裡有

的技術應用陸續消失或被取代這也代表者人類科技進步的象徵看似美好的科

技世代潛藏著不小的資訊威脅此威脅隨著科技的發展產生不同的變化姑且

不論變化為何或者讓部份以端點防護為業的公司大發利市就目前狀態而言仍

然是弊大於利多數企業也會因端點安全危機蒙受程度不一的損失

現在資訊威脅所造成的影響已從造成災難轉往獲取不當益利面對日益嚴重

且往往容易被大家疏忽的端點防護本研究中將針對企業的端點防護進行研究

並以 ITIL 管理架構為基礎讓資訊部門在進行端點防護規劃時可引用做為規劃

參考針對可能感染資訊威脅的端點提供修補及防護措施將是本研究中所要探

討與解決的問題

現今國內企業電腦化普及率可說是百分之百在資訊威脅方面的風險控管也

不斷地有相關文獻在討論其中在端點防護管理更是令許多企業頭疼地方隨者

企業規模不斷擴張端點數量越來越多整體性的管理便成了重要的課題端點防

護絕不是購買部署後即可達到效果後續的防護管理才是資訊單位需要用心的地

方本研究以資訊技術基礎架構庫管理架構為基礎提出端點防護管理方法欲達

成之目的有以下幾項

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

3

1 研究 ITIL 管理架構

2 研究資訊威脅相關資訊

3 研究端點防護技術及應用

4 提出企業端點防護的管理方法

5 提出企業端點防護的成效評量方法

本研究規劃使用資訊技術基礎架構庫(Information Technology Infrastructure

Library ITIL)是一套完整資訊部門營運的最佳 IT 服務管理實務在企業的營運

過程中有許多資訊服務需要被應用以 ITIL 五大管理領域的角度來看這些應

用對使用者來說是服務的呈現但對服務的提供者是管理的層級利用此管理架

構進行企業的資訊威脅問題處理建立一套類似衛生署在控管疾病感染及擴散的

管理方法使 IT 部門能有效掌握並降低此類威脅所帶來的影響並且能增進管

理效率

13 研究範圍與限制

脆弱性(Vulnerability)的定義是指系統漏洞或弱點[22]本身並不會造成傷

害而是可能允許威脅影響資產的原因若沒有適當處理將促使威脅形成例如

未安裝防火牆權限設定錯誤缺乏安全意識不穩定的系統與安全訓練不足等

資訊威脅一詞的定義很廣對於任何造成資產損害的潛在可能性威脅利用

脆弱性造成對資產組織和系統的傷害和損毀就叫做資訊威脅(Information

Threats) [22]在本研究中的討論範圍定義為電腦病毒間諜程式作業系統漏

洞惡意網站惡意程式蠕蟲攻擊六個種類

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

4

根據市場調查機構Market Share數據顯示微軟(Microsoft)旗下個人電腦(PC)

視窗作業系統Windows至 2012年 3月各版本合計市佔率達 8554[26]仍

穩居 PC作業市場龍頭故本研究將以此系統為研究的對象及範圍並依照微軟

公司所定義的Windows生命週期[16]予以設定其終止更新及服務時間

本研究將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務績效衡量方式因為不同行業及企業文化因素差異過大不列入本

研究的討論範圍內

14 論文架構

本論文共分五個章節分別是第一章的緒論第二章的相關方法技術與文獻

探討第三章的端點防護管理與方法第四章的端點防護管理的成效評量及第五

章的結論與未來研究方向以下為各個章節的內容概述

第一章為本篇論文的緒論說明為什麼要進行本研究之背景與動機以及欲達

成之研究目的並概述整個研究的方法說明最後是對整篇論文的章節規劃之概

述說明

第二章文獻探討共分為 4小節別為 21小節介紹資訊技術基礎架構庫與端點

防護管理概述說明 ITIL 管理架構中的一個核心及四個階段運作說明與端點防

護的管理介紹22小節介紹常見資訊威脅分類及說明23小節介紹端點防護目

前在市場上被運用的技術包括雲端防毒(Cloud Antivirus)網頁信譽評等(Web

Reputation Services WRS)檔案信譽評等服務(File Reputation Services FRS)應

用程式控管(Application Control)裝置控管(Device Control)等24小節整理出與

本研究相關之已發表的研究成果並介紹及說明這些文獻中使用到的方法

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

5

第三章是應用 ITIL 管理架構的端點防護管理方法在本章節中共分 4個

小節分別為 31小節的端點防護管理的服務策略說明端點管理的核心策略的實

務方法32小節的端點防護管理的服務設計確保使用者能夠接收到優質的服

務33小節的端點防護管理的服務轉換必須在執行速度成本考量和安全考

量之間做出適當的平衡34小節的端點防護管理的服務營運主要是提供支援

服務管理基礎設施和營運活動為最終目標

第四章是應用 ITIL 管理架構的端點防護成效評量在本章節中提出實

施了端點管理方法後要如何進行成效的評量指導內容包括如何有效的進行持續

服務改進成效評量和檢視成效結果後依照不符合所標準的項目進行改善

第五章是結論與未來研究方向本研究是以 ITIL 管理架構為基礎提出端點

防護的管理方式端點防護功能並不是購買安裝即可發揮作用使用適當的方法

進行管理更為重要以本研究從策略管理方法的制定到最後的成效評量期望

讓企業經營階級主管看見資訊部門的用心與努力新的資訊威脅手法仍然不斷地

在更新資訊部門應該要時時刻刻注意相關資訊安全訊息以因應資訊威脅帶來

的突發狀況對於未來的研究方向若能將本研究的端點防護管理方法應用研發

出互動式管理及報表系統對企業來說管理成本會大大降低對於端點防護廠商

而言也會是龐大的商機

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

6

第二章 文獻探討

由於企業對「IT 服務水準」相當重視在資訊部門的要求將不只是「IT 技

術」而是繼續延伸到「IT 管理」換句話說資訊部門 IT 人員隨著職位的提昇

若只固守技術層面的應用而沒有去思考在管理上要如何來精進在未來的管理

發展恐將造成相當程度的阻礙

在過去IT 部門只將資源放在系統的技術管理如今由於企業對於資訊

科技的依存度日益升高在過去的 IT 管理是以技術為導向而今日 IT 管理已經

演進變成以服務為導向[5]的流程如表 2-1說明

表 2-1傳統 IT 管理與 IT 服務管理的比較[本研究整理]

比較 傳統的 IT 管理 今日的 IT 管理

定位 技術導向 服務流程導向

管理模式 被動和事後管理(由問題或使用者啟動) 主動的計畫型管理

管理方法 在企業內部完成集中式的 分散式和外包

管理觀點 孤立的部門觀點 整合式的企業觀點

管理手法 以一次性問題解決為目標 職責明確可重覆性的

管理流程 非正式的流程 最佳化的作業

成效衡量 對客戶需求盡力就好 品質可衡量貢獻可被認可(SLA KPI)

思考角度 從 IT 內部考慮 從服務的角度考慮

管理導向 營運導向 服務導向

IT 已成為企業和商業流程上不可或缺的重要環結然而隨著企業應用和

設備環境的組合日趨複雜掌控管理上愈來愈困難加上景氣的關係使 IT 支出

減少對軟硬體採購造成限制於是包含軟體資產網路及硬體設備甚至是 IT

服務流程都讓企業不得不將資源放在 IT 服務的管理上如表 2-2的說明

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

7

表 2-2系統管理到服務管理說明表[本研究整理]

系統管理到服務管理的 IT 成熟度

層級 IT 成熟度 流 程

服務管理 價值 連結 IT 與企業運作創造可被衡量的價值

服務管理 服務 IT 的持續服務改進管理與服務層級管理

服務管理 積極的 IT 可用性管理事件問題事故變更與組態管理

系統管理 反應的 隨機應變的因應方式例如與使用者互動的服務台(SD)

系統管理 混亂的 多重客服中心最低標準的

在本章節中將依序說明資訊技術基礎架構庫與端點防護管理概述資訊威脅

概述端點防護相關技術及文獻探討四個小節透過這四個小節的說明逐步規劃

實現端點防護管理與成效評量的目標

21 資訊技術基礎架構庫與端點防護管理概述

資訊技術基礎架構庫(Information Technology Infrastructure Library ITIL)起

源於 1980年代的英國是當時英國為了提高政府 IT 部門的服務品質以專案方

式邀請國內外知名 IT 廠商與專家共同開發一套規範化可進行財務評量的 IT 資

源運用指導方法便指派政府組織中的電腦和電信局(The Central Computer and

Telecommunications Agency CCTA)負責整理各政府機關所使用的管理和知識再

融入業界的 IT 管理實務使其成為一套通用國際的管理標準[3]現 CCTA已併

入英國政府商務辦公室(The Office of Government Commerce OGC)在 2007推出

新版的 ITIL V30[15]以符合各個環境的實際需求ITIL 演化歷程如圖 2-1所示

ITIL V3 與 V2的主要差異在於加入服務生命週期(Service Life Cycle)模型

讓 ITIL 不再只是提到「做什麼」而是明確的說明要「怎麼做」讓企業可以根

據自己的業務按照需求實施適合的 ITIL 應用這套公開並用於規範資訊技術

服務管理的架構不僅適用於所有廠商更能套用在不同規模不同技術與業務

需求的組織及企業許多著名的企業如 IBMHP和宏碁公司等都是 ITILITSM

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

8

的積極實踐者顯見此方法受歡迎的程度有多數的組織與機構都遵循 ITIL 的

流程來提昇資訊技術服務效率以及改善 IT 服務部門之間的橫向溝通順暢性

從許多導入 ITIL 的企業組織實例顯示可提高 25到 300不等的 IT 部門運作

效率相較於歐洲北美澳洲等國家台灣的 ITIL 市場仍處於起步階段但

台灣企業已逐漸從技術轉換為服務導向著眼於 IT 服務和系統管理讓技術和

服務能配合企業實際的需求進行管理相信對市場需求也會日漸增加

圖 2-1 ITIL演化歷程圖[本研究整理]

ITILV3 管理架構是以同心圓的結構圖來描述框架上的五大領域以服務策

略(Service Strategy)做為核心即一切 IT 服務和管理的基礎第二層則由服務設

計(Service Design)服務移轉(Service Transition)與服務營運(Service Operation)三

個階段圍繞著核心運作象徵欲達成服務和管理的目標需從服務策略的擬定聯

想到設計轉換與營運組合成一個服務的「生命週期」在最外層部份則是服

務的持續改進(Continual Service Improvement)使企業在面臨改變的情況下 IT 服

務亦能快速反應ITIL 五大領域的管理標準提供解決特定問題的指導方法同

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

9

時給予 IT 組織在公司內部所交付服務的明確方法及具體流程ITIL V3 所涵蓋的

領域很廣區分為五大部份如圖 2-2所示

圖 2-2 ITIL V3管理架構[19]

ITIL V3 管理架構的實施分為一個核心及四大階段[18]核心部份為服務策

略四大階段依序為服務設計服務移轉服務營運及服務持續改進ITIL 管

理架構的核心及每個階段裡的方法都是個別獨立彼此並無相依性方法的執行與

否端看企業及該領域是否需要接下來將對 ITIL V3 內容分別介紹

(1) 服務策略(Service Strategy)

訂定策略過去一直都是由高階管理者負責的但在 IT 界情況瞬息萬變從

企業資訊長到一線管理階層每個人都有能力制定和執行服務策略僵硬的「計

畫和部署」模式慢慢被有活力的「參與和協同合作」模式取代最終的服務管理

成功與否是靠客戶與服務提供者之間的關係好壞來呈現

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

10

(2) 服務設計(Service Design)

服務設計的目標是設計 IT 服務同時管控 IT 時間流程和策略以實現服

務戰略並有助於將這些服務引導至現有的環境確保優質的服務交付客戶滿意

度和提供經濟高效率的服務

(3) 服務移轉(Service Transition)

在整個 ITIL 生命週期中處於核心地位轉換不是一個常用的術語相較來

說用來描述服務轉換在生命週期前中後連接的階段用語用「設計」和「營運」

二個詞句會更加熟悉同樣服務轉換必須在執行速度成本考量和安全考量之

間做出適當的平衡同時也為相關服務帶來實際的運作方法

(4) 服務營運(Service Operation)

在管理組織內日常 IT 服務營運的各個方面提供最佳實踐的建議和指導方

法它包括與人員流程基礎設施技術和關係有關的問題以確保優質符合

經濟且高效率的提供 IT 服務滿足業務需要服務營運是提供支援服務管理

基礎設施和營運活動為最終目標

(5) 持續的服務改進(Continual Service Improvement)

以這一套原則實現所引用方法的成效集合可以整體適用於相關行業和持

續實現服務改進方案其指導內容包括如何有效的進行持續服務改進成效評量

和檢視成效結果後依照不符合所標準的項目進行改善

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

11

ITIL V3 管理架構的一個核心及四大階段共計 31個方法細項如圖 2-3所

示接下來將對 ITIL V3 的 31個方法進行說明

圖 2-3 ITIL V3管理架構方法細項[28]

服務策略(核心)分為四個方法說明如下

1 策略的建立(Strategy Generation)

定義服務提供者執行所需的觀點定位及計畫以符合組織的營運成果

2 服務組合(Service Portfolio)

用來管理所有服務的生命週期包括已提案或者在開發中的服務發展清單

正在使用或可部署的服務目錄以及下線的服務

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

12

3 需求管理(Demand Management)

負責了解和預先考量及影響客戶對服務需求的流程與服務設計中的容量管

理進行搭配確保 IT 服務提供者有能力承擔服務內容及滿足使用者需求

4 IT 財務管理(IT Financial Management)

提供 IT 服務所需的成本及帶來的投資效益等管理流程

服務設計(第一個階段)分為七個方法說明如下

1 服務目錄(Service Catalogue)

是指資料庫或結構化文件涵蓋所有正式上線的 IT 服務資訊包含即將發佈

的服務是唯一公開給客戶或使用者了解的部份用來支援 IT 服務的銷售及

交付項目

2 服務水準管理(Service Level Management)

負責協商服務水準協定和確保這些協定能達成的流程服務水準管理負責確

保所有 IT 服務管理流程維持營運的水準協定及外部供應商合約適合於約

定的服務水準目標服務水準管理監視與報告服務水準定期和客戶舉行審

查鑑別需要的改善

3 容量管理(Capacity Management)

這個流程負責 IT 基礎架構在成本效益和時間考量下能提供能負擔的服務等

級目標以確保 IT 服務的能量不會過載與服務策略中需求管理配合實現可

承擔的使用者服務容量管理考慮所有為提供 IT 服務的資源需求和規劃短中

長期企業需求

4 資訊安全管理(Information Security Management)

負責確保組織符合議定的業務需要的資產資訊資料和 IT 服務之機密性

完整性及可用性的流程通常是組織安全管理的一部份包括設備管制人

員門禁管理和通訊保密等處理

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

13

5 可用性管理(Availability Management)

負責確保 IT 服務能夠以成本效益和即時的方式滿足現有和未來的業務可用

性需要的流程可用性管理定義分析規劃測量和改善 IT 服務可用性

的所有層面並且確認所有 IT 基礎架構流程工具角色等適用於與同意

服務水準目標有關的可用性

6 服務持續管理(Service Continuity Management)

服務因災害等原因發生中止時對顧客的影響降至最低的管理流程整體上

是分析風險製作災害等復原計畫及準備替代方案

7 供應商管理(Supplier Management)

供應商管理是指對供應商的瞭解選擇開發使用和控制的相關管理工作

總稱例如依公司要求訂定需求建議書(Request For Proposal RFP)來評選符合

規格的軟硬體供應廠商

服務轉換(第二個階段)共分為七個方法說明如下

1 轉換計畫(Service Transition Planning)

係指一個 IT 服務狀態變更的移動或是其他組態項目由現行生命週期狀態到

下一個狀態

2 資產及組態管理(Service Asset amp Configuration)

指流程中服務提供者的任何能力資源及維護 IT 服務傳遞所需的組態項目與

相關資訊包含與組態項目之間的關係這些組態項目的資訊在這整個生命

週期過程都被進行管理

3 上線與部署(Service Release amp Deployment)

指受控制的環境包括上線組態項目其用來交付 IT 服務給予客戶和負責將

新的或變更的軟硬體文件和流程等移到線上環境的活動

4 確認與測試(Service Validation amp Testing)

指在流程中負責新增或變更的 IT 服務之確認與測試對服務確認及測試確保

已符合 IT 服務的設計規格並且適合企業營運的需要

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

14

5 服務的評估(Evaluation)

負責對新的或變更的 IT 服務進行評價以確保相關風險已進行管理或作為

是否繼續執行該變更之評判通常我們對「評估」二字的解釋是將實際的結

果與預期的結果或另外選擇進行比較

6 變更管理(Change Management)

這個流程負責控制所有變更的生命週期讓有益處的變更能在最短的 IT 服務

中斷時間來進行促使能成為有效率的執行

7 知識管理(Knowledge Management)

負責在組織或企業內蒐集分析儲存分享知識與資訊的流程知識管理

主要目的是想透過降低知識重覆被發現的需要來提升工作效率

服務營運(第三個階段)共分為十個方法說明如下

1 服務台(Service Desk)

是服務提供者與使用者之間的連絡窗口服務台負責管理事件事故和問題

與服務與使用者溝通需求或要求相關服務的支援

2 事件管理(Event Management)

係指負責貫穿事件生命週期管理事項的流程事件管理是 IT 維持營運的主要

活動

3 事故管理(Incident Management)

負責管理全部事故生命週期的流程事故管理的工作內容是盡快恢復正常服

務並維持營運狀態並且將對營運的衝擊降到最低

4 問題管理(Problem Management)

負責管理問題生命週期的流程問題管理是主動預防事故的發生並將無法

避免的事故影響衝擊降到最低

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

15

5 服務報告(Access Management)

允許使用者使用 IT 服務資料或其他資產存取管理只讓特定被允許的使用

者存取或是修改資產以協助維護其機密性完整性和可用性在需要被保護

的資產上存取管理有的時侯被稱為是身份的識別或是權限的管理

6 維運管理(Operations Management)

泛指 IT 服務提供者本身所擁有的功能負責執行管理 IT 服務與所支援的基

礎架構所需之日常活動包括 IT 維運控制和設備(施)管理

7 需求實現(Request Fulfillment)

負責管理所有需求生命週期的流程

8 技術管理(Technical Management)

負責提供技術技能來支援 IT 服務和 IT 基礎架構管理技術管理被定義為支

援群組的角色以及所需的工具流程和程序等

9 應用程式管理(Application Management)

此功能負責管理應用程式的整個生命週期由於應用程式的複雜和可變更等

特性增加管理上的困難度及高成本的支出良好的應用程式管理能掌握運

作情形和降低成本

10 IT 營運管理(IT Operations Management)

是指被 IT 營運管理及控制的活動包括終端機管理端點防護管理工作排

程備份及還原列印和產出管理等

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

16

持續的服務改進(最後一個階段)共分為三個方法說明如下

1 服務評量(Service Measurement)

指管理及服務流程執行後的成效衡量如關鍵性績效指標(Key Performance

Indicator KPI)和 IT 服務提供者與客戶之間的服務水準協定(Service Level

Agreement SLA)服務評量描述 IT 服務和記載服務水準目標明確的說明

IT 服務提供者與客戶的責任一份服務水準協定可包括多個 IT 服務或多個

客戶及使用者

2 服務報告(Service Reporting)

指在流程中負責生產和遞送對服務等級成果和趨勢的報告服務報告的格式

及樣式內容和傳送頻率需與客戶協定達成相互的認可

3 服務改善的步驟(Service Improvement)

用以改善服務的流程項目或 IT 服務正式計畫的版本

在整個 ITIL 管理架構中以服務台(Service Desk)做為與使用者的互動平台

根據服務等級協定以合理的成本來提供服務整個過程的焦點不僅是 IT 部門是

否提供適當的服務更重要的觀點是所提供的服務品質是否獲得使用者的肯定

與認同

ITIL 的重點在於確保每個方法都能實現其應有的功能並與其他方法彼此

協調讓作業能順利進行至於要以何種方式才能具體實現這些功能則端看企業

或組織的實際需求來採取不同計劃及運作方式亦即 ITIL 每一個流程都是相對

獨立並無相依性以期望能實現某些特定的功能至於每個方法與業務之間的關

係則根據 IT 管理的需求來事先規劃妥善如此企業便可依據其實際的狀況選

擇適合的方法應用在商業環境流程之中同時也可以繼續保持其他方法及流程的

運作

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

17

ITIL 適用於資訊服務的管理領域是一套可確保組織及企業在提供資訊服

務時達到所要求之水準的最佳實務準則與相關流程在設計上ITIL 是依據

實務的資訊服務營運規劃和交付的經驗所衍生出來的一套實務基礎架構並非純

理論上的方法學因此 ITIL 可適用於各個產業與規模的企業組織更好的優點

是企業在採用 ITIL 時不需要支付任何的相關證照費用這也是大部分企業想

躍躍欲試的主要因素之一

企業在端點防護的需求上絕對不是只有技術問題更重要的是 IT 人員在

管理上的考量使用者端則是要瞭解如何來使用此項服務以確保所使用的設備

不會因為資訊威脅感染或攻擊而停擺引用 ITIL 管理架構是為了解決管理上的

問題運用良好的管理方法使技術層級的防護功能或工具能發揮應有的防護效

果確保企業的端點可正常運作無虞

本研究規劃使用資訊技術基礎架構庫是一套完整資訊部門營運的最佳 IT

服務管理實務在企業的營運過程中有許多資訊服務需要被應用以 ITIL 五大

管理領域的角度來看這些應用對使用者來說是服務的呈現但對服務的提供者

會是管理的層級利用此管理架構進行企業的端點防護與資訊威脅問題處理建

立一套類似衛生署在控管疾病感染及擴散的管理方法使 IT 部門能有效掌握並

降低此類威脅所帶來的影響並且能增進管理效率本研究以 ITIL V3 為基礎

並以服務策略(Service Strategy)為核心進行研究提出端點防護的管理及成效評

量方法

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

18

22 資訊威脅概述

企業的營運過程中存在著許多風險資訊威脅的入侵與攻擊即是相當重要的

風險之一若不加以管控恐將影響企業的營運以下將針對各種類資訊威脅[2][13]

進行說明詳細分類如表 2-3所示

電腦病毒(Virus)

所謂的電腦病毒是一種人為設計的運算方式這種運算方式通常是隱藏在

容易被使用者接觸到的管道來伺機感染例如瀏覽網頁收發電子郵件或是檔案

之間的傳輸等當有這些行為發生時對系統或網路造成不便或破壞電腦病毒的

感染行為區分為二種第一種是會自我複製型會產生大量的檔案並依照設計者

所賦予的行動方式從不同的電腦之間伺機進行傳播第二種是感染正常的檔案

使其檔案大小有增減的變化情形產生經由這些受感染的檔案被執行來達到傳

播電腦病毒的種類包括惡意程式[21]木馬程式後門程式及蠕蟲程式等

間諜軟體(Spyware)

設計者利用此程式在使用者連上網路未經授權情形下將其個人資料傳

送到指定的網站或網路位址這類型的程式通常利用破解工具(Cracking Tools)

序號產生器(Key Generator)等程式或檔案來進行傳播

灰色軟體(Grayware)

泛指所有不被認為是電腦病毒或木馬程式但有可能會對使用者的系統或網

路上的電腦效能造成負面影響並引發系統或網路安全受損的軟體通常來說

灰色軟體都會被設計出使用者不希望見到或遇到的行為這些行為包括彈出式

廣告(Pop-up ads)經由瀏覽器助手(Browser Helper Object BHO)將使用者資訊記

錄下來等待被運作等

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

19

測試型病毒(Test Virus)

測試型病毒並不是真正的病毒不會對系統或網路造成損壞主要用途為測

試防護功能是否有正常運作例如著名的 EICAR即屬此類程式

惡作劇程式(Joke)

惡作劇程式通常是以執行檔的方式存在將這些類型程式加到偵測清單的原

因是它們會造成使用者的困擾而且可能會含有不良的情色訊息或影像惡作劇

程式如果不是設計者刻意的行動通常沒有自我擴散傳播的能力對於此類程式

最好的處理方法是直接進行刪除

其它(Other)

需進一步分析其動作和行為方能判定其運作的分類為何

脆弱性(Vulnerability)

脆弱性的定義是指系統漏洞或弱點[22]是系統本身具有或裝置存在的缺

陷可以用來對系統安全造成影響或危害這些缺陷可能是系統設計者在撰寫程

式時所產生的錯誤導致系統使用者容易遭受相關資訊威脅的攻擊有脆弱性的

系統沒有和感染來源及媒體接觸之前是不會受影響的例如端點不連接網路和其

它可存取儲存裝置

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

20

表 2-3常見資訊威脅分類表[本研究整理]

資訊威脅分類 名稱 說明

Virus

A2KM (Access2000 Malicious Software) Access2000 惡意程式

ATVX (ActiveX controls) ActiveX 惡意程式碼

BAT (Malicious Batch File) 批次檔惡意程式碼

BKDR (Backdoor Program) 後門程式

CHM(Compiled HTML help file) Compiled HTML help file

CRYPPackerPAK 加殼檔案

DDOS(Distributed Denial of Service) 分散式阻斷服務

ELF(Executable and Link Format) Executable and Link Format

EXPL(Exploit) 系統漏洞利用

HTML(HTML Virus) HTML 病毒

IRC(Internet Relay Chat) 網路交談惡意程式碼

JAVA(Java Applets) Java惡意程式碼

JS(JavaScript Virus) JavaScript 病毒

PENE 或沒有字首 執行檔型病毒

PERL(PerlScript Virus) PERLScript病毒

POSSIBLE_VIRUS 疑似惡意程式

REG(Registry Modify) 機碼篡改程式

SPYW (SPY Software) 間諜程式

SYMBOS (Symbian OS Virus) 行動裝置病毒

TROJ (Trojan Horse) 特洛伊木馬

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

VBS (VBScript Virus) VBScript病毒

Macro Virus 巨集病毒

WORM (Worm) 蠕蟲

沒有字首 (Boot Sector Virus) 開機型病毒

Other Malicious Software) ExRootKit 其他惡意程式

NA 惡意網站

Spyware

ADW(Advertisement Software)Adware 廣告軟體

APP(Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK(Crack Tools) 密碼破解程式

DIAL(Dial-Up Virus) 自動連結程式

HKTLRTKT(Hacking Tools) 駭客工具

RAP(Remote Access Portal) 遠端存取程式

TSPY(TrojanSpyware Malicious Software) 木馬間諜複合程式

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

21

資訊威脅分類 名稱 說明

Spyware Other Malicious Software)ExRootKit 其他惡意程式

NA 惡意網站

Grayware

ADW (Advertisement Software) Adware 廣告軟體

APP (Application) 應用程式

BHO(Browser Helper Object) 瀏覽器劫持

CRCK (Crack Tools) 密碼破解程式

DIAL (Dial-Up Virus) 自動連結程式

HKTLRTKT (Hacking Tools) 駭客工具

RAP (Remote Access Portal) 遠端存取程式

TSPY (TrojanSpyware Malicious Software) 木馬間諜複合程式

NA 惡意網站

Test Virus Eicar_test_file(Test Virus) 測試用病毒

Joke JOKE(Joke Program) 惡作劇程式

Other NA 其他惡意程式

23 端點防護相關技術

隨著科技日新月異的快速發展資訊威脅的多元化也是令資訊部門頭痛的問

題種種因素讓端點安全的控管與防護能力受到更多考驗與挑戰也成為端點安

全廠商思考與發展的方向目前在端點常見的惡意程式偵測功能包括病毒碼掃描

法加總比對法人工智慧陷阱軟體模擬掃描法先知掃描法即時的 IO掃

描文件巨集病毒陷阱等技術預設已內含在惡意程式防護功能中只要安裝端

點防護即會啟用惡意程式偵測與防護可說是各家防護軟體廠商強調的應用重點

之一接下來將對端點防護相關技術進行詳細說明

惡意程式防護功能(Malware Protection Function)

承上所述此功能使用了大量的技術來處理惡意程式氾濫的問題許多機構

及學術單位也陸續發表對於各種類的惡意程式偵測掃描方法包括未知型惡意軟

體偵測的半監督式學習法[25]機器碼序列為基礎的惡意軟件檢測[23]新型的

免疫啟發惡意代碼的萃取和檢測方法[30]以多份日誌分析檢測零天攻擊的後門

木馬程式[20]基於對 PE型病毒偵測的免疫方法[31]機器碼序列為基礎的半監

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

22

督未知的惡意軟件檢測[24]聯結探勘為基礎的智慧型 PE 惡意軟體偵測系統

[29]此方法已獲得大陸金山公司的採用目前國內外的商業廠商如趨勢科技

賽門鐵克卡巴斯基實驗室等也已在防護領域耕耘已久發展多層次全方位端點

防護偵測技術對的已知未知以及變種的病毒蠕蟲木馬程式間諜程式廣

告軟體Rootkit與初始攻擊進行防護偵測率競賽是各家防護功能廠商爭相努

力的重點效果如何也端看各廠商的研發實力

雲端防毒(Cloud Antivirus)

此技術是「雲端運算」的一種應用[11]所謂的「雲端防毒」就是透過網際

網路上的伺服器來幫忙使用者做保護偵測掃毒的工作所有的防護功能都由

「雲端」上的伺服器幫使用者處理完成「雲端防毒」的主要好處包括有零時差

的保護在傳統的防護程式中資訊威脅的變化更新相當快速病毒碼部署及反

應時間可能會無法即時處理造成使用者電腦感染機會大增使用「雲端防毒」

技術可以讓「雲端」上的伺服器集中資源偵測掃描檔案使用者得到的防護永遠

是最新的再也不須要頻繁地更新資訊威脅定義檔來保持運作的效率另一個好

處是減少使用者電腦運算量由於「雲端防毒」將資訊威脅偵測的計算過程移轉

到「雲端」伺服器上不必再佔用處理器與記憶體的資源來執行這些工作使用

者電腦空出來的資源可以做為更有效率的應用

網頁信譽評等(Web Reputation Services WRS)

此技術是「雲端運算」的一種應用[11]現今的網際網路上潛藏著許多威脅

包括含有惡意程式木馬和間諜程式的網站等駭客透過自動執行指令碼的方

式讓使用者瀏覽到網站後伺機植入惡意程式木馬及間諜程式目的為破壞

竊取使用者的資料「網頁信譽評等」的技術就是為了防止使用者連線到這些含

有惡意程式的網頁當使用者在嚐試想連線到含有惡意程式的網站時「網頁信

譽評等」代理程式即會向雲端上的伺服器進行查詢若此網站已被標示為異常時

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

23

代理程式即會阻止使用者連線到此網站以避免端點的資料受到竊取或破壞

檔案信譽評等服務(File Reputation Services FRS)

此技術是「雲端運算」的一種應用[11]當「檔案信譽評等服務」代理程式

被安裝到端點後即會開始掃描整台端點的檔案並記錄掃描後的檔案特徵例如

雜湊數值等日後若有新的檔案產生時會即時透過雲端運算系統進行判斷是否

為原本舊有的檔案若是則會信任此檔案是安全的改列在白名單之內之後只

要還是同一個檔案就不再進行掃描或向雲端運算系統查詢信譽評等但若是一

個新的檔案經由雲端運算系統分析出是內含惡意程式的檔案防護代理程式就

會清除執行程序中某一些不該存在的部份這個不安全的檔案特徵及格式也會同

步儲存在雲端運算系統的資料庫中未來其他端點若查詢到相同的程式或檔案

防護程式就會馬上禁止檔案的開啟或執行

電子郵件防護(Mail Protection)

在用戶端收發電子郵件時防護軟體依據設定進行掃描部份廠商的技術會

根據寄件者的郵件伺服器之網際網路位址的信譽評等資訊在收信前進行檢測可

有效攔截含有資訊威脅的信件

軟體式防火牆(Software Firewall)

軟體式防火牆是一種虛擬的硬體裝置運作方式與硬體式的防火牆[8]相

同在網路發達的現代透過它隔離外部網際網路與組織內部的資訊威脅風險

能夠加強內外部網路的安全性防火牆可作為在不同網路之間的訊息出入口若

有存取異常即會進行阻擋和發出警示可作為端點連線到網路環境的防護措施

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

24

應用程式控管(Application Control)

提供管理應用程式之安全政策允許可以執行的各種程式不允許未知的

非法的及未授權的應用程式如 P2PBT等執行以保護企業端點的安全

裝置控管(Device Control)

偵測並讀取所有設備的序號透過和目錄服務(Active Directory AD)整合的

功能可以針對使用者群組權限和時間等進行細部設定即便是原本不許使用

的裝置設備透過允許特定人員的裝置可以在特定時間內使用而不需要更動

整個組織的權限控管機制

24 相關研究

防治資訊威脅對企業來說是風險管控的重點之一本研究運用 ITIL 管理架

構作為端點防護的方法讓端點免於遭受資訊威脅帶來的損害過程中除了使用

管理層面來實踐作法之外也同步應用目前常見的端點防護技術以下為本研究

所收集的國內外風險管控相關應用狀況

241 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念良好的 IT 服務

組合可促使企業正常運作防止風險發生的可能其研究方法為結合美國預算管

理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目利用層級分析法

(Analytic Hierarchy Process AHP)的技術和問卷調查對台灣電子業某上市公司進

行研究來做為 IT 服務指標建構方法之驗證初步結果顯示本次服務組合指

標建構的方法能正確的施作並經由等級相關檢定確認能為企業找出服務組合

的分類與優先順序經過研究的分析將各項服務領域與服務種類層級化後依據

AHP層級化原則製成問卷總共發出 20份問卷回收 20問卷利用 Expert Choice

層級分析法軟體將問卷之結果個別輸入後進行整合分析找出 IT 服務組合指

標指標內容有客戶管理程序自動化管理業務管理管理數位資產管理業

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

25

務分析管理共同性行政管理及支援服務 8個組合使用 AHP的運算分析後得

到現有 IT 服務組合指標之權重及優先順序優先順序可認知為使用者對此項服

務的重要性認定IT 服務組合指標優先順序如表 2-4所示李學者的研究是使用

個案方式來進行其應用層面無法擴大到各行各業其研究的深度是予以肯定

在研究的廣度方面是比較不足夠的

表 2-4 IT服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統

客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTIIVRAP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢電話留言

傳真)

10

人力資產團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理備份中心 12

表單管理 專案電子文件管理備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約專案文件分類服務 21

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

26

242 李學者提出 ISO 27001之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理在 ISO 27001

ISMS的建立過程中最重要是風險評鑑和風險處理步驟風險評鑑是整理出所有

資產清單並列出資產面臨的弱點和威脅接著計算資產總風險值風險處理是針

對高總風險值的資產作出風險處理計劃書以降低該資產風險等級至可以接受的

程度以國網中心為例說明如何作資產的風險評鑑針對高風險資產擬定風險處

理計劃書再配合風險降低對策建置一個符合組織需求低風險的資訊系統研究

中提到相關計算公式如下所示

總風險值 = 資產價值 times 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 times 脆弱點等級 times 衝擊等級

根據計算的結果對應到風險等級表共分 ABCD 四個等級如表 2-5

所示國網中心專業資訊安全管理委員會的決議可接受的風險等級為 D亦即

風險等級為 C以上者就必須作風險處理以減輕其風險

表 2-5國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001的風險衡量方法內容詳細介紹各個風險的

計算方式但每個行業所定義的風險值均有所不同其個案研究的深度是予以肯

定但在研究的廣度方面是比較不足夠的

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

27

243 Vilarinho等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式對

於風險管理給予相關的實施方向研究者提出 ITIL 管理架構的策略在M_o_R原

則模組的關係架構如圖 2-5所示組織的戰略模組是從 ITIL 管理架構的策略擬

定政策流程指南及風險改善計劃組織的操作是從戰略風險溝通計劃風險

應對計劃風險登錄及風險計劃進度等學者的 M_o_R模組在風險管理中提供

了管理方向與操作可提供廣度的風險管理實施作法但在研究的深度部份由

於各個企業對於風險的定義不盡相同需要再進行細部實施方法的客製化方可適

用在研究的深度方面是比較不足夠的

圖 2-4 ITIL服務策略在M_o_R原則模組的關係[26]

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

28

第三章 應用 ITIL管理架構的端點防護管理方法

依據 ITIL 管理架構定義出端點防護的實施方法執行流程從第三章端點防

護的策略管理設計管理轉換管理與營運管理最後再到第四章端點防護的成

效評量管理依照各項指標進行計算產出週報表針對報表中顯示異常的項目進行

改善本研究以圖 3-1來彙整說明第三和第四章所提出的端點防護管理之整體實

施流程

端點防護的策略管理

(ITIL服務策略)

端點防護的設計管理

(ITIL服務設計)

端點防護的轉換管理

(ITIL服務轉換)

端點防護的

成效評量管理

(ITIL服務持續)

端點防護的營運管理

(ITIL服務營運)

第三章的

實施流程

第四章的

實施流程

圖 3-1 端點防護管理的整體實施流程

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

29

本研究應用 ITIL V3 管理架構的一個核心及四個階段共 31個方法定義端

點防護管理的 31個管理運作在面對各類資訊威脅的來勢凶凶感染管道和途

徑不僅僅是外部更要提防的是入侵後從內部環境的擴散因應對策分析有三項

分別是先確定入侵的「資訊威脅分類」為何感染管道來自何處的「感染來源」

偵測監控動作最後是針對不同的資訊威脅設定「防護的方法」如圖 3-2所示

圖 3-2 端點防護的管理核心

針對資訊威脅的三個處置動作分別說明如下

1 監控分析端點防護系統的各項資訊確認資訊威脅的類別及尋找感染

來源以便進行威脅解除與防護動作

2 封鎖執行資訊安全政策套用以封鎖內部系統漏洞缺口例如系統漏

洞修補程式(Hot-Fix)定期派送密碼規則(Password Rule)套用等

3 分析定時週報表分析防護成效拆除資訊威脅未爆彈例如連續攻擊

或被感染的端點應列為是異常的案件進行分析處理

ITIL 管理架構的一個核心及四大階段每個方法都是個別獨立彼此並無相

依性及實施順序執行與否端看企業及該應用領域是否需要本研究中所提及的

「端點防護管理」方法亦是相同以 ITIL 管理架構對應至端點防護管理的實作

方法[12]將應用層面區分為兩部分分別為對資訊部門的端點防護管理及對使

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

30

用者端的報修服務其廣度為可適用於需要端點防護的各行各業惟對於在 ITIL

所提到的服務與績效衡量方式因為不同行業及企業文化因素差異過大不列入

本研究的討論範圍內對於考量實務上企業在人力物力及預算的配置若一次

套用全部方法有其困難度可依本章節 31端點防護的策略管理到 34營運管理

小節選擇需要實施的方法

31 端點防護的策略管理

服務策略是 ITIL 的核心所代表的意義是先確認影響需求的因素再偱序漸

進地實施其它方法來達成目標在端點防護管理的應用亦是如此顯見策略管理

的重要性[9]首先資訊部門先確認影響需求的因素後編列預算進行採購端點防

護方案根據防護需求去調整啟用相關功能的組合例如啟用網頁信譽評等和電

子郵件防護等最後再訂定策略方向實施管理運作如圖 3-3所示

( )

編列預算採購

端點防護的組合

(財務管理)

訂定防護的

策略管理

(策略建立)

根據需求調整

端點防護組合

圖 3-3 端點防護的策略管理流程

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

31

端點防護的策略管理如表 3-1所示從需求財務管理來確認影響端點防護

的因素和編列採購端點防護方案的預算服務組合及策略建立分別為管理組織內

使用的端點防護生命週期和定義資訊威脅的處置動作

表 3-1 ITIL服務策略與端點防護策略管理運作 ITIL 管理架構

端點防護管理實施方法 階段 方法 定義

服

務

策

略

服

務

策

略

①

需求

管理

了解和預先考

量及影響客戶

對服務的需求

確認影響端點防護的因素區分為資訊部門

的端點防護運作管理及使用者的報修服

務運作管理包括管理人員的專業素養使

用的方法和使用者的報修服務的規劃

②

財務

管理

提供 IT 服務所

需的成本及帶

來的投資效益

管理

1 預算編列公式

端點預算 = 每個端點防護功能費用

端點總台數 購足率

2 是否符合投資效益可視投入的各項資源

配合服務持續改善階段中的服務評量設

定定義出各項成效指標以該成效指

標一定區間的數值衡量是否有達到可

接受的範圍

③

服務

組合

管理服務生命

週期包括正在

使用和除役的

服務

管理組織內使用的端點防護相關軟(硬)體服

務根據防護的需求調整其組合

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

32

④

策略

建立

定義服務提供

者執行所需的

觀點定位及計

畫以符合組織

的營運成果

1 訂定防護功能中對各類資訊威脅的處置

策略

2 實施作業系統安全性策略例如密碼規

則(Password Rule)登入失敗次數限制等

規則

3 實施內部感染來源處置策略若有端點

正在執行大量且不正常的網路封包傳輸

時需進行檢查並針對不符合安全政策

規則的端點進行控管

4 實施端點防護更新及漏洞修補部署策

略例如防護功能中的更新和作業系統

漏洞修補程式(Hot Fix)部署派送

5 訂定端點防護功能中的共用(Common)管

理策略例如排程進行端點全系統掃描

在端點防護策略管理先評估影響使用需求的因素再討論要如何設定其它方

法以達成目標本研究提出二個方向分為資訊部門的端點防護管理與使用者端的

報修服務資訊部門需要管理工作能夠被掌握使用者需要報修的服務能夠順利

被使用這中間的因素包括人力是否足夠人員是否具備專業的素養及是否採用

適合的端點防護解決方案等資源在需求管理的動作確認完成後接下來的規劃是

預算管理正所謂巧婦難為無米之炊資訊人員的管理仍需搭配專業廠商研發的

端點防護解決方案才能發揮效果但在企業裡要編列預算無法空穴來風必須有

所依據的計算合理的數字呈給預算單位審核本研究提出端點防護預算編列公式

來採購所需的解決方案在表 3-1中的財務管理項目提到的計算公式解釋如下

端點預算 = 每個端點防護功能費用 端點總台數 購足率

公式中購足率數值為 1代表每台端點都必須購買版權讓每台端點都能安

裝使用與擁有防護能力例如某企業每個端點防護功能費用為 1000元端點總

台數為 3000台計算公式如下

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

33

端點預算 = 1000 3000 1 = 3000000

經由公式計算出用於購買端點防護的預算金額資訊部門可依照此編列的金

額規劃出適合的防護組合使用編列的預算進行端點防護與漏洞修補伺服器的建

制依照需要將防護功能及漏洞修補程式派送部署到端點設計架構可參考圖

3-4所示

圖 3-4 端點防護管理設計架構示意圖

在端點防護的防護組合管理者經由預算進行採購的端點防護解決方案可

根據資訊威脅的感染來源進行調整例如經由網頁瀏覽增加感染率可使用網頁信

譽評等(WRS)來防護此功能會在端點每次連線網頁時對網域名稱進行檢查若

判定結果是有異常者會禁止連線到該網頁運作方式如圖 3-5所示

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

34

圖 3-5 網頁信譽評等運作示意圖

若是經由檔案存取執行增加感染率可使用檔案信譽評等服務(FRS)來防

護在檔案存取前即時查詢檔案的安全性減輕資訊威脅定義檔案管理負擔降低

效能衝擊運作方式如圖 3-6所示

圖 3-6 檔案信譽評等運作示意圖

若是經由電子郵件傳送增加感染率可使用電子郵件防護(Mail Protection)

來防護在電子郵件收發過程中會進行掃描已確保不會遭受資訊威脅的感染或

攻擊運作方式如圖 3-7所示

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

35

圖 3-7 電子郵件防護示意圖

若是經由網路芳鄰增加感染率可使用軟體式防火牆來防護透過此機制隔

離風險區域來增強網路的安全性若有存取異常即會進行阻擋和發出警示可為

連線到網路環境的端點提供資訊威脅防護運作方式如圖 3-8所示

圖 3-8 軟體式防火牆運作示意圖

若經由點對點檔案分享程式(Peer-to-Peer)增加感染率可使用應用程式控管

來防護提供管理應用程式之安全政策允許可以執行的各種程式不允許未知

的非法的及未授權的應用程式如 P2PBT等執行運作方式如圖 3-9所示

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

36

圖 3-9 應用程式控管運作示意圖

若經由可攜式儲存裝置(USB)增加感染率可使用裝置管控來防護透過和

目錄服務(Active Directory AD)整合的功能可以針對使用者群組權限和時間

等進行細部設定運作方式如圖 3-10所示

圖 3-10 儲存裝置控管運作示意圖

若企業中有筆記型電腦可啟用雲端防護(Cloud Protection)機制原因在於這

些端點易於擕帶移動當脫離企業工作環境時容易遭受到資訊威脅的攻擊透過

雲端防護機制運作如圖 3-11所示可以為隨時暴露在風險中的筆記型電腦提供

保護措施

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

37

圖 3-11 雲端防護示意圖

透過上述介紹的防護措施資訊部門管理人員可依需求設定加入到防護組合

內以便維持端點防護應有的運作效能

表 3-1防護策略建立的第一項通常企業等級的端點防護功能均可進行客製

化的設定本研究提出五種方法第一項是資訊威脅的處置策略設定的基礎來

自於資訊威脅的型態目前大致上分為自我複製和附加型感染二種自我複製型

的特徵為自己本身就是資訊威脅不會去感染正常檔案使其大小增減變化在成

功執行後依照設計去影響使用者的操作例如電腦速度變慢自動傳送資料到未

經使用者授權的網站等此類資訊威脅包括有木馬程式及間諜程式等針對此種

威脅的建議處置方式第一個動作是刪除第二個動作是隔離附加型感染則是會

去感染正常檔案使其大小增減變化當被感染的檔案被執行後此威脅便開始依照

設計去影響使用者的操作例如感染正常檔案使其成為跳板伺機攻擊其它目標

針對此種威脅的建議處置方式第一個動作是清除第二個動作是刪除

表 3-1端點防護策略建立的第二項實施系統安全性策略例如密碼複雜度

規則(Password Rule)設定包括英文字母大小寫數字和符號四種密碼長度限

制及不能重覆使用相同密碼的次數連續登入失敗次數過多須鎖定該帳號及系統

權限問題(System Permissions)部份資訊威脅程式可能會具備猜測系統帳號及密

碼的能力建議密碼設定應符合上述所提的複雜度原則定期掃描不正確的檔案

分享設定檔案分享應該要明確設定被分享對象的帳號並避免設定成每個人皆

可存取(Everyone Full Control)

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

38

表 3-1端點策略建立的第三項實施內部感染來源處置策略當資訊威脅不

小心入侵到企業內部時稍有不慎便容易大量擴散造成可能無法預期的災害這

些資訊威脅在感染動作進行時必須找到感染來源也就是一開始就中毒的端點

使其成為跳板向其它端點攻擊通常這些被優先感染或攻擊成為感染來源的端點

都有一些共同性的弱點例如防護功能沒有安裝及更新系統上的漏洞沒有被修

補密碼過於簡單和權限安全性設定不夠嚴謹等所導致針對這些有弱點的端點

可透過網路存取控制機制(Network Access Control NAC)如圖 3-12所示進行隔

離控管動作在隔離期間開始進行弱點修補待修補完成後再予以釋放到正常作

業環境之中

圖 3-12 網路存取控制機制示意圖

表 3-1端點策略建立的第四項實施更新部署策略作業系統與端點防護功

能設計公司為了因應不斷襲擊而來的資訊威脅而需要更新防護功能的資訊威脅

定義檔和作業系統漏洞修補程式(Hot Fix)這些更新的檔案雖然經過設計公司的

測試可正常運作但端點組態及使用的應用程式種類繁多難保不會發生部署後

產生異常的情形造成端點運作失常或是誤判資訊威脅的情形此時可先將企業

內的端點進行群組分類依時間差方式分別實施延遲派送(Delay Deployment)機

制此時會有預先被設定的群組之端點優先被派送到更新程式在指定的時間內

例如 4小時後無發生異常情形的話即可開始全面部署到整個企業的端點中如

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

39

圖 3-13所示此更新部署可搭配資訊威脅的處置策略一齊使用以避免誤判的

情形發生

圖 3-13 延遲派送機制示意圖

表 3-1端點策略建立的第五項訂定端點防護中的通用(Common)管理策略

本研究提出二個建議第一個建議是排程進行端點全系統掃描藉以找出潛藏在

端點未能被即時防護偵測到的資訊威脅例如將掃描時間定在中午 12點到 1點

的休息時間避免在辦公時間進行影響使用者作業第二建議是針對端點防護功

能設置安全密碼避免防護功能在未經授權情形下遭受卸載或反安裝使端點失

去防護能力

依照本小節的規劃依序從端點需求管理預算管理服務組合生命週期管理

及策略建立四個管理進行規劃或者也可挑選所需的方法來使用配合上企業資

訊人員本身的專業素養可使端點擁有較佳且可靠的防護力

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

40

32 端點防護的設計管理

本小節為端點防護中的服務設計共分七個管理層面分別為確保資訊部門服

務品質與能量的容量管理基於投入人力及預算考量下規劃滿足防護需求的可用

性管理與使用者協商服務水準流程確保動作能確實實行的服務水準管理資訊

部門提供給使用者線上端點防護相關資訊的服務目錄提供端點防護軟硬體保護

的資訊安全管理確保端點防護的災難回復措施降低對使用者影響的服務持續管

理及依照企業需求評選軟硬體廠商的供應商管理如圖 3-14所示

( )

依感染來源的不同

應變防護措施

(可用性管理)

協商端點防護

的服務水準

(服務水準管理)

提供給使用者

端點防護相關資訊

(服務目錄)

確認端點防護相關

軟硬體之安全性

(資訊安全管理)

確認端點防護相關軟

硬體設備能持續運作

(服務持續管理)

統合所有需求內容

選擇合適的供應商

(供應商管理)

圖 3-14 端點防護的設計管理流程

端點防護的服務設計管理定義對照 ITIL 管理架構對應出實際的做法共

有七個實務運作規劃如表 3-2所示

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

41

表 3-2 ITIL服務設計與端點防護設計管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

設

計

①

容量

管理

IT 基礎架構在

成本效益和時

間考量下能同

意的服務等級

目標以確保 IT

服務的能量

訂定端點防護管理服務在 IT 基礎架構成本

效益和時間考量下能提供所同意的服務等

級目標以確保資訊部門服務的品質與能

量

②

可用性

管理

確保 IT 服務能

夠以成本效益

和即時的方式

滿足現有和未

來業務可用性

需要流程

跟隨著感染來源的不同而應變相關防護措

施同時也向合作廠商保持回報機制以便

隨時保持端點防護的高可用性確保其防護

能力是有效用的

③

服務

水準

管理

協商服務水準

和確保這些協

定能達成的流

程

協商使用者同意的端點防護水準和流程並

確保這些相關動作流程能確實被實行

④

服務

目錄

指資料庫或結

構化文件 涵蓋

所有正式上線

IT 服務的資訊

端點防護可公開使用的服務必須將資訊公

告以便使用者選擇使用

⑤

資訊

安全

管理

資訊 (料 )和 IT

服 務 之 機 密

性完整性

防護功能的伺服器硬體必須存放在受保護

的地方組態資訊只能給經過授權的內部人

員知悉以確保端點防護設備不會遭受損害

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

42

服

務

設

計

⑥

服務

持續

管理

服務因災害等

原因發生中止

時對顧客的影

響降至最低的

管理流程

擬定端點防護所使用的資源災害回復措

施包括軟硬體備援服務流程的執行和服

務人力的調派等以降低對端點使用者使用

此服務的影響

⑦

供應商

管理

指對供應商的

瞭解選擇等綜

合性管理工作

總稱

依照企業規格訂定需求建議書(Request For

Proposal RFP)來評選符合資格的軟硬體供

應廠商

ITIL 管理架構的容量管理對應到端點防護的實施方法為評估資訊部門人力

及設備負載量人力可視企業資訊環境的人機比率來計算例如 1100即 1個人

要負責 100台端點的安全防護工作工作負載的時間依照週期性的報表來統計

計算資訊部門在端點防護問題等待時間使用者的結案速度及抱怨數量等若計

算結果產生資訊部門人員工作超載(Work Overload)的情形者會有可能直接影響

到使用者端的服務品質設備負載量是指單台設備可負載多少台端點的管理工

作例如 11000代表單台端點防護設備可負載 1000台端點的管理實際的負載

值可請防護廠商提供若人力或設備有超過負載即建議資訊部門考慮進行調整以

確定服務的能量是符合現行需求

ITIL 管理架構的可用性管理對應到端點防護的實施方法為評估現在與未來

的需求這部份建議以感染來源來計算可從每個固定週期產出的報表來統計

例如網際網路感染比率較高代表資訊威脅從這個管道感染的機會較大此時便

可考慮啟用在 31小節介紹到的網頁信譽評等機制來進行防護亦即跟隨著感染

來源的不同而應變同時也向合作廠商保持回報機制以便隨時保持端點防護的

高可用性確保其防護能力是有效用的

ITIL 管理架構的服務水準管理對應到端點防護的實施方法為服務等級協定

(Service Level Agreement SLA)依照相關可動用的資源與實際使用需求訂定出

可接受的服務等級再以關鍵績效指標(Key Performance Indicator KPI)去衡量執

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

43

行的績效計算出合格與不合格的百分比做為資訊部門評估服務績效的指標

[1]實施流程如圖 3-15所示

圖 3-15 端點防護管理服務等級協定流程

ITIL 管理架構的服務目錄對應到端點防護的實施方法為可公開使用的服

務必須將資訊公告說明正在上線或預計上線的服務會有那些類別例如端點

受資訊威脅感染了要怎麼進行報修線上端點防護標準作業程序(Standard

Operation Procedure SOP)查詢等

ITIL 管理架構的資訊安全管理對應到端點防護的實施方法為軟硬體設備必

須存放在受保護的地方組態資訊只能給經過授權的內部人員知悉及管理人員輪

調時管理者密碼必須更改等例如相關硬體設備存放在受管制的電腦機房建立

代理人機制原管理員將組態資料和存取權限交予主管若發生無法執行公務時可

由代理人向主管取得授權代行其業務

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

44

ITIL 管理架構的服務持續管理對應到端點防護的實施方法為所使用的軟硬

體資源回復措施例如軟硬體伺服器的異地備援災難回復忙碌時服務人力的

調整派遣等確保服務能持續提供降低對端點使用者的影響

ITIL 管理架構的供應商管理對應到端點防護的實施方法為對軟硬體廠商的

評核管理此項目的評估會影響企業選擇端點防護服務廠商[10]需確實依照所

訂定的需求建議書(Request For Proposal RFP)來評選符合資格的廠商在本研究

中規劃了一個廠商需求建議書範例供參考使用詳見附錄 A 的文件說明

33 端點防護的轉換管理

在端點防護的管理實務中資產及組態管理是相當重要的項目這裡所指的資

產內容為硬體的端點及需要被組態設定的端點防護功能資訊部門必須清楚了解

有那些端點已安裝尚未安裝或異常的防護功能及漏洞修補程式細節以便在發

生資訊威脅感染或攻擊情事時能掌握其動態來進行處置動作在掌握硬體資產及

軟體組態設定後接著是端點防護功能上線與部署前需評估的要點包括部署動作

成功與否實施升級需撰寫計劃步驟變更及知識管理共七個方法如圖 3-16所

示對應方法如表 3-3的說明

( )

端點防護相關程式

上線部署管理流程

(服務的評估)

測試防護軟體與

部署方式是否正常

(確認與測試)

訂定端點防護相關

程式上線部署評估

(上線與部署)

端點防護相關程式

的轉換或升級計劃

(轉換計畫)

⑥

端點防護相關程式

的變更管理流程

(變更管理)

⑦

端點防護和資訊威脅

相關的知識管理

(知識管理)

圖 3-16 端點防護的轉換管理流程

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

45

表 3-3 ITIL服務轉換與端點防護轉換管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

轉

換

①

資產及

組態管

理

服務提供者的

任何能力或資

源及維護 IT 服

務遞送所需組

態的相關資訊

列管端點防護的所有資產包括伺服器硬體

資產軟體資產軟體組態設定軟體版權

四大項

②

服務的

評估

負責對新的或

變更的 IT 服務

進行評價藉以

確保風險已管

理或作為繼續

變更之判定

在端點防護管理變更時須先評估對端點使

用者影響的程度再決定後續執行方式是否

需要調整

③

確認與

測試

驗證與測試一

個新的或被變

更的 IT 服務

測試端點防護功能部署與變更方式是否可

正常運作

④

上線與

部署

受控制的環境

來交付服務予

客戶和負責將

新的或變更的

硬軟體等移至

線上的活動

當端點防護功能程式需要被安裝時所要採

行的部署方式這些方式必須可被控制的

⑤

轉換

計畫

一個 IT 服務狀

態變更的移動

或是其他組態

項目由不同生

命週期的轉換

端點防護功能的版本更新升級管理流程即

所謂軟體生命週期異動變更

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

46

服

務

轉

換

⑥

變更

管理

控制所有變更

的生命週期讓

有益處的變更

以最短 IT 服務

中斷的方式進

行使其成為有

效益的執行

管理端點防護管理與服務在變更動作產生

時能將服務中斷時間縮到最短使該變更

動作能夠更有效益的被執行例如防護設定

及漏洞修補程式部署時間的選定時間執行

以降對使用者的影響

⑦

知識

管理

負責在組織內

蒐集分析儲

存和分享知識

和資訊的流程

收集可用的端點防護知識在 IT 管理和使用

者學習上都會有適當的幫助

ITIL 管理架構的資產及組態管理對應到端點防護的實施方法為列管端點

防護的所有資產包括伺服器硬體資產軟體資產軟體組態設定軟體版權四

大項詳細資料請見附錄 B的端點防護資產及組態管理表

ITIL 管理架構的服務評估對應到端點防護管理的實施方法為先評估影響

的程度再決定後續的執行方式為何例如防護程式部署更新的時間和出現在端

點的訊息等情形對使用者的影響視需求調整為將部署更新訊息隱藏及部署動作

調整在使用者午休時間才執行的做法

ITIL 管理架構的確認與測試對應的是端點防護功能測試部署與變更方式

是否可正常運作例如在測試環境中驗證防護功能執行效果是否符合預期範圍和

部署完成後是否儲存及顯示安裝成功或失敗的記錄

ITIL 管理架構的上線與部署管理對應的是端點防護功能更新程式需要被安

裝時所要採行的部署方法為何而這些方式必須可被控制及預期的範圍以便

對不同的情況擬定因應方針例如藉由目錄服務(Active Directory AD)登入或遠

端派送來安裝及更新程式過程中出現成功或失敗的訊息和安裝過程中對伺服器

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

47

和網路的使用量等以便在整個安裝過程中對 IT 作業環境的影響控制在可接受

或預期的範圍內異動申請表如附錄 C

ITIL 管理架構的轉換計劃對應的是端點防護功能轉換管理資訊威脅不斷

地被更新為了維持端點防護功能的偵測處理效果與能力須落實廠商在每個版

本階段定義的產品生命週期予以實施升級防護功能的計劃實施流程如圖 3-17

所示

圖 3-17 端點防護轉換管理流程

ITIL 管理架構的變更管理對應的是端點防護功能的變更管理在變更動作

產生時能將服務中斷時間縮到最短使其變成有效益例如有 10個端點防護設

定及漏洞修補程式需執行部署時全部執行會讓端點速度變慢 10分鐘影響到所

有使用者的作業可運用時間差的方法調整這 10個設定和漏洞修補程式分批

或者是選在使用者午休時間執行以避免影響到上班作業的端點執行效率或者

是藉由目錄服務(Active Directory AD)登入或遠端派送更新等並且核算派送時

伺服器及網路的使用量系統變更動作須經部門主管同意方可執行本研究規劃

之異動申請單範本請見附錄 C

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

48

ITIL 管理架構的上線與部署管理對應到端點防護功能的實施方法為知識管

理收集可用的端點防護知識將之轉化成可供端點防護管理和使用者端的學習使

用這對端點防護的安全性將會有提昇的效果

34 端點防護的營運管理

在 ITIL 管理架構中與使用者互動是服務台(Service Desk)在端點防護中藉

由服務台代表資訊部門與使用者來互動根據與使用者互動中所收到資訊威脅的

案件進行事件記錄協助使用者解決經由事件產生的問題或事故如圖 3-18所

示

圖 3-18 與使用者互動的服務台管理流程

在 ITIL 管理架構的營運管理流程所對應的端點防護營運管理流程端點

防護以營運管理為核心到管理端點相關技術問題從開始部署到結束的端點防護

應用程式生命週期管理及基礎設施維運管理ITIL 服務營運與端點防護的實務

運作如圖 3-19所示

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

49

(IT )

管理端點防護

相關的技術問題

(技術管理)

管理端點防護相關

軟體的生命週期

(應用程式管理)

管理端點防護資訊

基礎設施活動

(維運管理)

允許使用者查詢端點防

護記錄及變更組態設定

(存取管理)

圖 3-19 端點防護的 IT 營運管理流程

在 ITIL 的服務營運中的需求實現在端點防護的意義是從管理策略管理

設計管理轉換及管理營運共四個階段實施完成後再以持續改善管理去印證成

效及需改善的方向和步驟如圖 3-20所示

圖 3-20 端點防護的需求實現

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

50

表 3-4 ITIL服務營運與端點防護營運管理運作

ITIL 管理架構 端點防護管理實施方法

階段 方法 定義

服

務

營

運

①

服務台

整個 ITIL 管理

架構中與使用

者之間的溝通

平台

端點防護中與代表資訊部門與使用者的互

動平台根據服務流程協定以合理的成本提

供服務並評量最終結果所提供的品質是否

獲得使用者的肯定與認同

②

事件

管理

負責事件的生

命週期管理事

項的流程

管理端點防護功能資訊威脅及服務台報修

的事件管理流程

③

問題

管理

管理問題生命

週期的流程

管理端點防護功能資訊威脅及服務台報修

的問題管理流程

④

事故

管理

管理全部事故

生命週期的流

程

管理端點防護功能資訊威脅及服務台報修

的事故管理流程

⑤

IT 營運

管理

被 IT 營運控制

的活動

與端點防護相關之軟硬體和服務運作是否

正常

⑥

技術

管理

提供技術技能

以支援 IT 服務

和 IT 基礎架構

管理

管理端點防護產生之相關軟硬體技術與其

應用

⑦

應用

程式

管理

管理應用程式

涵蓋整個生命

周期

管理端點防護功能的生命週期從開始的安

裝部署營運及到最後的新版本防護功能升

級的流程

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

51

服

務

營

運

⑧

維運

管理

負責執行管理

服務與所支援

的基礎架構所

需之日常活動

管理端點防護所需的 IT 基礎設施日常活

動包括硬體伺服器和防護功能的管理

⑨

存取

管理

允許使用者使

用 IT 服務資

料或其他資產

允許使用者使用資訊部門所發佈的端點防

護相關服務

⑩

需求

實現

管理所有需求

生命週期的流

程

設定與端點防護相關的服務與管理之生命

週期使其跟隨企業的需求汰換更新

ITIL 管理架構的服務台事件問題與事故管理在端點防護的實施方法為

代表資訊部門與使用者的互動平台服務台可以集中控管所有事件問題與事故

的記錄與管理[14]並提供使用者第一時間的服務及問題處理可以有效降低服

務中斷機率以提昇資訊服務效能及效率企業可根據服務流程協定以合理的成

本提供服務依據服務水準管理的規劃並評量最終結果所提供的品質是否獲得

使用者的肯定與認同端點防護服務台的運作流程如圖 3-21所示

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

52

圖 3-21 服務台的運作流程

相較於服務台接受使用者報修互動的運作資訊部門在端點防護應該需要有

主動的行為藉由平日各項營運作業來進行事件問題及事故的管理[14]對應

ITIL 管理架構的事件問題與事故管理之端點防護處理流程如圖 3-22所示資

訊部門主動進行偵測資訊威脅動作從發現資訊威脅事件開始到問題及事故管

理分別將各個結果存入資料庫最後再匯整到資訊部門的統計資料庫

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

53

圖 3-22 資訊部門對資訊威脅的主動式處理流程

ITIL 管理架構的存取管理對應到端點防護的實施方法為允許企業所屬使用

者使用資訊部門所發佈的端點防護相關服務例如使用者報修須提供員工編號或

帳號若報修者非企業員工資訊部門可視情況決定支援與否以維持端點防護業

務的能量

ITIL 管理架構的 IT 營運管理對應端點防護的實施方法為防護功能檢查項

目檢查項目包括檢查各項服務是否運作正常檢查組態資料及資料庫是否有正

常備份及檢查是否有其它發生異常情形檢查項目列表如附錄 D的項目一所示

ITIL 管理架構的技術管理對應端點防護的實施方法為管理端點防護產生之

相關軟硬體技術與其應用可視需求與端點防護供應商進行協助流程如圖

3-23所示

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

54

圖 3-23 端點防護技術管理流程

ITIL 管理架構的應用程式管理對應端點防護運作是管理端點防護功能的生

命週期從開始的安裝部署營運及到最後的新版本防護功能升級的流程如圖

3-24所示

圖 3-24 端點防護應用程式管理流程

ITIL 管理架構的維運管理對應端點防護運作是管理端點防護所需的 IT 基礎

設施日常活動包括檢查硬體的事件檢視器系統資源是否有超載及硬體燈號是

否有異常等檢查項目列表如附錄 D的項目二所示

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

55

第四章 應用 ITIL管理架構的端點防護成效評量

在實施前面四個階段的管理方法後最後一個階段是驗收管理的成效在

ITIL 管理架構中持續的服務改善即是在評量管理或服務的執行成效此階段共

分為服務評量服務報告及服務改善步驟三個方法如圖 4-1所示每個方法的實

施內容如表 4-1所示

訂定各項指標

計算成效

(服務評量)

依重要性排序

訂定改善的流程

(服務改善步驟)

定期產生報表

呈現端點防護成果

(服務報告)

圖 4-1 端點防護的管理成效評量流程

對應到端點防護的實施方法第一步為訂定各項指標[6]收集端點防護各項

記錄檔資料依指標的公式進行計算第二步依照產出的數據製作出報表第三步

是檢視報表評估是否有需要改善的地方再訂定對應的改善步驟進行修正

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

56

表 4-1 ITIL持續的服務改進與端點防護管理成效評量運作

ITIL 管理架構 端點防護管理實施方法

階段 流程 定義

持

續

的

服

務

改

進

①

服務

評量

管理及服務流

程執行後的成

效衡量

本研究提出各項指標以計算出資訊威脅防

護評等

②

服務

報告

服務等級成果

和趨勢的報告

使用定期的週報告資料來呈現及衡量

成(績)效

③

服務改

善步驟

改善服務流程

項目或 IT 服務

的正式計畫版

本

管理端點防護運作遭遇到待改善的缺失

依重要性前後順序訂定改善的步驟

國內李延浚學者[7]以 ITIL 管理架構為基礎使用層級分析法和問卷調查對

台灣某資訊服務業進行研究為企業找出服務組合的分類與優先順序經過研究

的分析後找出 IT 服務組合指標指標內容有客戶管理程序自動化管理業務

管理管理數位資產管理業務分析管理共同性行政管理及支援服務 8個組合

運算分析後得到現有 IT 服務組合指標之權重李學者的研究是使用個案方式來

進行其應用層面無法擴大到各行各業研究的廣度是比較欠缺的部份相較於

本研究服務評量提出 9 項指標來衡量成效[6]分別為防護風險評鑑感染數次

排名受感染次數排名受感染的數量受保護的數量安全的數量感染比率

感染增加率端點數量增加率可以廣泛地適用於有端點防護需求的各行各業

評量指標如表 4-2所示

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

57

表 4-2 端點防護各項指標

指標名稱 說明

防護風險評鑑 企業可依可接受的風險訂定關鍵指標有達到所訂定

的目標代表端點防護是有成效的

感染數次排名 資訊威脅感染或攻擊次數最多的排名

受感染次數排名 端點被感染或攻擊次數最多的排名

受感染的數量 以週或月為單位統計曾遭受資訊威脅感染或攻擊的端

點數量

受保護的數量 有安裝防護功能的端點數量

安全的數量 有安裝防護功能的端點但未被資訊威脅感染或攻擊

的數量

感染比率() (受感染的數量 受保護的數量) 100

感染增加率() (本週受感染的數量 - 上週受感染的數量) 上週受感

染的數量 100

端點數量增加率() (本週受保護的數量 - 上週受保護的數量) 上週受保

護的數量 100

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001之網路架構設計以國

家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理已提出具體且能

衡量的風險承受計算方式其研究的深度是予以肯定但無法適用在各個企業或

組織研究領域的廣度上相較本研究的防護風險評鑑是有不足的地方本研究可

讓企業自行訂定對資訊威脅承受的風險能達到所訂定的目標代表端點防護是有

成效顯現的

國外 Vilarinho等學者[27]提出以 ITIL 為基礎的風險管理對於風險管理給

予相關的實施方向此篇研究在廣度上頗具參考價值但在深度上每家企業所定

義的風險類別均有所差異參考時仍需依照企業需求再訂定更詳細的作法相較

本研究防護風險評鑑可讓企業自行訂定對資訊威脅的承受風險能達到所訂定的

目標代表端點防護是有成效的例如某企業端點數量為 3000台當感染比率感

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

58

染比率在 7內(共 210台端點感染)對資訊單位來說是可控制的風險代表是有

達到防護成效

感染數次排名是指企業內可以週報形式當中加入資訊威脅感染或攻擊次數

最多排名例如感染次數 TOP5或是 TOP10代表這些感染前幾名的資訊威脅危

險度最高需要優先安排時間進行處理針對這些感染排名最多的資訊威脅先行

予以防治處理

受感染次數排名是指企業內可以週報形式當中加入端點被感染或攻擊次數

最多排名例如被感染次數 TOP5或是 TOP10代表這些被感染前幾名的端點危

險度最高針對這些高度感染對象需要優先安排時間處理

受感染的數量是指企業內端點受感染的數量可以週報形式當中加入遭到資

訊威脅感染的端點列表包括其相關端點資產資料以便掌握這些受感染的設備動

態來提出因應方案

受保護的數量是指企業內共有幾台端點被安裝防護功能代表有防護功能的

加持來對抗資訊威脅的入侵就如同施打疫苗讓人們身體擁有抗體建議企業中

應該對每台端點實施資產普查並作記錄也能有效掌握核對被防護的範圍並將

此項目列入週的統計報表中

安全的數量是指企業內共有幾台端點被安裝防護功能這些被安裝防護功能

的端點沒有遭受到資訊威脅的感染或是攻擊即所謂的安全區域可將此項目列

入週的統計報表中

感染比率是指企業端點被感染的比率公式為當週(受感染的數量除以受保

護的數量) 乘上 100以計算出整體感染比率的數值

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

59

感染增加率是指企業端點被感染的增加比率公式為(本週受感染的數量減

去上週受感染的數量) 除以上週受感染的數量乘上 100若比率有比上週增加的

話代表端點防護風險有上昇的趨勢

端點數量增加率是指企業端點被增加保護的數量公式為(本週受保護的數

量減掉上週受保護的數量)除以上週受保護的數量乘上 100這個數值代表的意義

是企業的端點可能會因為新增防護功能異動所造成特別容易發生在端點數量

眾多的企業(例如 1000台以上)資訊人員可能無法每台端點都仔細看護故以

此數值來表示的被保護範圍增加與否

端點防護的服務報告部份本研究依據這 8個指標來製作週報表報表範本如

附錄 D 所示端點防護的持續改善步驟部份則可依週報表上呈現的資訊針對

待改善的項目擬定改善計劃

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

60

第五章 結論與未來研究方向

51 結論

部份資訊人員常形容各家端點防護產品的好與壞或許真有其評論的道理

但產品設計困難度已與日俱增不少廠商也因此相繼退出市場現階段的廠商規

模可以說是大者恆大設計的產品若能夠進入到企業等級的規模來使用必有其

相當的能耐方能實行良好的設計廠商也會設法保障自己在企業端點防護的品

質資訊部門應設法了解端點防護相關特性來選擇適合企業的廠商及產品避

免導入產品後再次變更成其它廠牌須支出成本在轉換不同廠牌的端點防護產品

之上建議在導入之前請先了解需求與規格產品並不是購買安裝即可發揮作

用使用適當的方法進行端點防護管理會是重要的課題建議資訊部門在這方面

多些心力來進行了解相信會有不少的收獲

企業端點防護產品在設計的構想上通常會有許多彈性的空間讓資訊部門來

客製調整設定其原因在於端點環境的多樣化稍有調整不慎便可能造成防護過

當或者是防護不周影響到企業的正常營運功能如同衛生署疾病管制局的疫苗

使用情況過與不及都可能會有不良的效果產生需了解水能載舟亦能覆舟的道

理善用良好的管理方法可讓工作事半功倍也減少端點防護問題的產生

本研究是以 ITIL 管理架構為基礎提出端點防護的管理方式源自於資訊部

門在企業的角色大多都是預算的支出而沒有收入於是常被部分企業經營階級主

管用「資訊部門是只會花錢的單位」來消遣這一點對於辛苦工作的資訊人員來

說觀感並不是太好要如何突顯資訊部門在企業中的價值是相當重要的課題盡

力做好平日的維護工作善盡管理之責以避免資訊威脅入侵造成損失以本研究

提出的方法從策略管理的制定到最後的成效評量依照企業防治資訊威脅的需

求預算及人力來做調整經過上述方法的使用相信在防治資訊威脅工作上能

夠收到成效讓企業經營階級主管看見資訊部門的用心與努力

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

61

52 未來研究方向

端點安全機制必須具備更快的反應速度以因應瞬息萬變的資訊威脅攻擊同

時須擁有更深入且全面的防護技術以及更完整的控管能力才能為企業架構出

安全的端點環境資訊威脅不斷演進且端點防護技術也與時俱進的同時企業及

資訊單位的思維必須跟上腳步瞭解最新的資訊威脅發展情況主動採取防護措

施在威脅環伺的情況下為企業的端點安全建築起一道防火牆將可能會影響端

點運作的資訊威脅予以排除讓企業的使用者能夠免於被影響而擁有安全的工作

環境

未來研究方向分成二個部份第一個部份是端點防護管理系統開發端點防

護產品通常會被定義成專業類的管理軟體隨著端點防護功能越來越強大現在

企業資訊人員往往要身兼數職若不是有經驗的專業人員需要花費更多的時間

學習造成工作上的負擔而這一類軟體並不像常見應用程式例如辦公室文書軟體

容易上手使用本研究中介紹的相關管理實作方法可以應用在不同廠商所開發

的企業端點防護系統上但必須熟知相關操作設定並逐項進行調整方可發揮效

用若有此管理系統作為管理者與端點防護系統之間的溝通橋樑相信管理工作

會有事半功倍的效果建議相關單位可往此方向進行研究若系統能成功開發對

企業來說管理成本會大大降低站在盈利的角度立場而言也會是龐大的商機

未來研究方向第二個部份是端點防護成效評量系統使用本研究提出的各

項指標進行評量透過此系統來顯示特定日期區間的成效評量再依據成效評量

產出報告報告經過系統分析後針對待改善的項目建議適當的作法以現行狀況

而言這類報告多半是經銷的廠商手動提供其評量的水準狀況差異頗大為了能

夠使成效評量更客觀的被呈現建議相關單位可往此方向進行研究若系統能成

功開發對企業來說管理成效會更容易被顯現站在盈利的角度立場而言也會是龐

大的商機

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

62

參考文獻

1 王興聖「企業導入 ITIL 服務管理流程之研究-以宏碁電子化資訊管理中心為

例」長庚大學企業管理研究所在職專班論文民國 100年 6月

2 王旭正楊中皇雷欽隆ICCL 資訊密碼暨建構實驗室「電腦與網路安全

實務」博碩文化民國 98年 8月 31日

3 台灣科技化服務協會「ITIL 是什麼呢」

httpwwwitsmaorgtwnewsshow1aspnews_id=192

Retrieved Date2012615

4 李慧蘭「符合 ISO 27001之網路架構建置-以國網中心為例」

國家實驗研究院國家高速網路與計算中心文章民國 95年

5 李秀蘭「運用 IT 流程成熟度評估模式改善 ITIL 導入成效的控討-以某公司

為例」明新科技大學資訊管理研究所碩士論文民國 99年 7月

6 李宗訓「建構端點防護系統委外流程評估指標」國立高雄應用科技大學資

訊管理系碩士在職專班論文民國 99年

7 李延浚「IT 服務組合指標建構之研究以台灣某資訊服務業為例」華梵大學

資訊管理學系碩士論文民國 99年 6月

8 何明昊「網路防火牆政策規則之探討」靜宜大學資訊碩士在職專班民國

97年 7月

9 徐弘昌「以 ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者

為例」國立交通大學管理學院碩士在職專班管理科學組碩士論文民國 98

年 6月

10 侯正裕陳靜枝「同一公司兩次轉換資訊安全產品之研究-詮釋主義的觀

點」國立台灣大學資訊管理研究所文章民國 100年 9月

11 陳永強「趨勢的雲端發現之旅」智園出版社民國 100年 11月 25日

12 彭勝鍠「台灣中大型企業之 IT 治理與 IT 服務管理的探討」清華大學高階

經營管理碩士在職專班碩士論文民國 96年 12月

13 薛宇盛「防毒公司最怕讓人知道的秘密」上奇資訊股份有限公司民國 100

年 7月 13日

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

63

14 羅明弘「基於 ITIL 之事件管理問題管理及服務台系統導入之研究-以W公

司為例」國立交通大學管理學院資訊管理學程碩士論文民國 100年

15 臧柏皓經濟部工業局「ITIL v3 概論」

httpcontentiiiorgtwcontentecollegeITILv3cdclass03htm

Retrieved Date 20120615

16 Microsoft「Windows生命週期」

httpwwwmicrosoftcomtaiwanwindowslifecycledefaultmspx

Retrieved Date 2012615

17 Symantec ldquoInternet Security Threat Report (ISTR)rdquo Volume 17 2011

18 APM Group Ltd ldquoITIL Managementrdquo httpwwwitil-officialsitecom

Retrieved Date 2012615

19 Computer Aid Inc ldquoITIL V3 Service Life Cyclerdquo

httpwwwitservicemanagement-itilcomcategoryit-service-management-catitil-

v3-life-cycle Retrieved Date 2012615

20 Caravut Sinchai ldquoMultiple Logs Analysis for Detecting Zero-Day Backdoor

Trojansrdquo Cleveland State University 2008

21 Geacuterard Wagener Radu State and Alexandre Dulaunoy ldquoMalware Behaviour

analysisrdquo Journal in Computer Virology Volume 4 pp279-287 2008

22 ISOIEC 27001 ldquoInformation Technology -- Security Techniques -- Information

Security Management Systems ndash Requirementsrdquo 200510

23 Igor Santos Felix Brezo Javier Nieves Yoseba K Penya Borja Sanz Carlos

Laorden Pablo G Bringas ldquoIdea Opcode-Sequence-Based Malware Detectionrdquo

Lecture Notes in Computer Science Volume 5965 pp35-43 2010

24 Igor Santos Borja Sanz Carlos Laorden Felix Brezo Pablo G Bringas

ldquoOpcode-Sequence-Based Semi-supervised Unknown Malware Detectionrdquo

Lecture Notes in Computer Science Volume 6694 pp50-57 2011

25 Igor Santos Javier Nieves and Pablo G Bringas ldquoSemi-supervised Learning for

Unknown Malware Detectionrdquo Advances in Intelligent and Soft Computing

Volume 91 pp415-422 2011

26 Market Share ldquoWindows Market Sharerdquo

httpmarketsharehitslinkcomreportaspxqprid=8ampqptimeframe=Mampqpsp=158

Retrieved Date 2012615

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

64

27 Sarah Vilarinho and Miguel Mira da Silva ldquoRisk Management Model in ITILrdquo

Communications in Computer and Information Science Volume 220 pp306-314

2003

28 WisdomFishORG ldquoITIL V3 Structurerdquo

httpjavawisdomfishorgsoasoa-design-patternsitil-v3

Retrieved Date2012615

29 Yanfang Ye Dingding Wang Tao Li Dongyi Ye and Qingshan Jiang ldquoAn

Intelligent PE-malware Detection System Based on Association Miningrdquo Journal

in Computer Virology Volume 4 pp323-334 2008

30 Yu Zhang Liping Song and Yuliang He ldquoA Novel Immune-Inspired Method for

Malicious Code Extraction and Detectionrdquo Communications in Computer and

Information Science Volume 226 pp501-509 2011

31 Yu Zhang Tao Li Jia Sun and Renchao Qin ldquoA Novel Immune Based Approach

for Detection of Windows PE Virusrdquo Lecture Notes in Computer Science Volume

6694 pp50-57 2011

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

65

附錄 A 端點防護供應商需求建議書範本

日期20120731

一服務提供對象說明

端點防護提供廠商所有參與競標並經原廠認證之經銷商

端點防護使用對象本公司

二端點防護經銷商所需提供的服務內容

1提供一名專屬工程師提供技術支援服務(附註一)

2提供每一季到場執行一次健檢服務（防毒服務健檢報告書）並於會後提列建

議改善項目及相關報告

3提供 58不限次數電話電子郵件諮詢服務

4提供一年六次(5 8)到場處理產品安裝與問題處理服務並於項服務完成後

提出報告

5提供一年二次(7 24)緊急支援到場服務並於該項服務完成後提出報告

6主動提供防毒資安相關之主動式通知服務(電子郵件或手機通訊簡訊)

7 可要求每年二次指派專屬講師到廠舉辦資訊安全宣導及防毒知識教育訓練

並提供相關產品或技術運用之教育訓練課程

三廠商保密規範

1承攬商需簽署本公司的 NDA 文件

2保密範圍為防毒服務相關或衍生之所有資料(例如防毒架構防毒資訊等

等hellip)

3若廠商有違反合約內容則本公司有權終止合約並依情事之輕重交由法務

單位處理

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

66

四罰則

1須於每一季主動連絡本公司端點防護負責人員進行健檢服務若因廠商未能

履行此項義務時罰則為採購成交總金額之

2於合約期間內若因故未能提供到廠服務者平日支援(5 8)部份扣採購成

交金額之 緊急支援(7 24)部份扣採購成交金額之

附註一此工程師為統一連絡窗口經銷商須於合約簽定後立即提供該工程師明

確的連絡資訊且須確保合約期間內此資訊的有效性無誤

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

67

附錄 B 端點防護資產及組態管理表範例

端點防護資產及組態管理表

硬體資產 文件連結位址 負責人 完成日期

伺服器設備清單 伺服器設備保管人資訊 伺服器設備廠商連絡窗口 伺服器設備廠商報修維護流程 伺服器設備購買記錄 伺服器設備使用年限 伺服器設備 SLA 伺服器設備維護合約 端點清單 軟體資產 系統軟體設備清單 系統軟體廠商報修維護流程 系統軟體廠商連絡窗口 系統軟體購買記錄 系統軟體使用年限 軟體組態設定 系統架構圖 系統流程圖 系統參數 系統參數清單 系統參數說明 系統參數設定值 系統參數設定 SOP 軟體版權資產 版權使用數量 版權使用明細 版權使用年限 版權購買記錄

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

68

附錄 C 端點防護變更及上線部署申請表範例

端點防護 系統變更及上線部署申請表

變更作業名稱

變更作業編號 系統變更原因與計劃(Reason amp Plan)

系統變更日期與時間(Date amp Time)

系統變更衝擊(Impact)

系統變更測試報告(Test Report)

系統變更回復計劃(Recovery Plan)

系統變更核準記錄

同意 不同意

部門主管簽名

申請人

申請日期

說明

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

69

附錄 D 端點防護功能檢查項目範例

端點防護設施檢查項目

主機名稱

項目一防護功能檢查

① 檢查各項服務是否運作正常

② 檢查組態資料及資料庫是否有正常備份

③ 檢查是否有其它發生異常情形

項目二硬體檢查

① 檢查事件檢視器

② 檢查是否 CPU負載是否過高或異常

③ 檢查是否 RAM 使用量是否過高

④ 檢查伺服器硬碟空間使用情形

⑤ 檢查監控程式是否有異常錯誤及警示

⑥ 檢查伺服器燈號是否異常

⑦ 檢查所使用的網路設施硬體是否異常

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

70

附錄 E 端點防護週報表範本

第四週端點資訊威脅感染統計(安全的端點數量3749受感染的端點數量165)

第四週端點資訊威脅感染比率

(第三週感染比率248第四週感染比率422較第三週增加 6837)

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

71

第四週資訊威脅感染比率分析

資訊威脅感染月份統計表

第一週 第二週 第三週 第四週第四週第四週第四週

受感染的數量 196 116 98 165

受保護的數量 3989 3992 3948 3914

安全的數量 3793 3876 3850 3749

感染比率() 491 291 248 422

感染增加率() 1395 -4082 -1552 6837

端點數量增加率() 122 008 -110 -086

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

72

第四週資訊威脅各類別感染次數統計表

資訊威脅類別 感染次數

蠕蟲程式 24

木馬程式 63

木馬間諜複合型程式 52

惡意程式 343

後門程式 7

其它 208

感染總數 697

第四週資訊威脅感染次數前 10名統計表

TOP 10 病毒名稱 感染次數

1 Mal_Hifrm 284

2 Possible_Hifrm-5 103

3 Mal_Otorun1 51

4 JS_AGENTAHCU 46

5 HTML_IFRAMEBLZ 14

6 TROJ_BUZUSRZ 13

7 TROJ_DLOADERFFK 12

8 WORM_SMALLHYN 12

9 TROJ_DLOADEROZ 11

10 TSPY_ONLINGAB 10

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

73

第四週資訊威脅感染來源分析

第四週資訊威脅感染來源統計表

感染來源 受感染端點台數

網際網路 113

網路芳鄰 33

USB儲存裝置 19

總數 165

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

74

第四週端點資訊威脅感染前 10名統計表

TOP

10

電腦

名稱

中毒

次數 部門

位

置

資產保

管人 分機

1 XXXXXXXX 85 XX 部門 5F TONY XXXX

2 XXXXXXXX 28 XX 部門 4F RITA XXXX

3 XXXXXXXX 20 XX 部門 3F BEN XXXX

4 XXXXXXXX 16 XX 部門 5F ALLEN XXXX

5 XXXXXXXX 16 XX 部門 4F SIMON XXXX

6 XXXXXXXX 16 XX 部門 3F PETER XXXX

7 XXXXXXXX 15 XX 部門 5F DORIS XXXX

8 XXXXXXXX 14 XX 部門 4F ANN XXXX

9 XXXXXXXX 14 XX 部門 3F KEN XXXX

10 XXXXXXXX 14 XX 部門 5F WT XXXX

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取

75

第四週資訊威脅感染分析說明

本週端點感染比率為 422較上週 248增加 6837主要原因為惡意及其

它疑似惡意程式的感染及攻擊數次上昇感染來源依序為網際網路網路芳鄰

(檔案分享)及 USB儲存裝置

第四週資訊威脅防治作法

1 對本週感染排名第一的網際網路實施網頁信譽評比以阻擋使用者開啟含

有惡意程式的網頁(站)

2 掃描端點電腦中的檔案分享安全性設定是否有錯誤及帳號密碼是否符合複

雜性原則

3 對 USB儲存裝置進行控管允許經過授權的 USB儲存媒體進行存取