▇ 2007 企業資安防護對策：
外網「即時偵測， 全面防禦」； 內網「有效開放， 積極管理」無疑地， 企業需要與外界電子郵件往返， 以維持企業的運作順暢。也有不少企業需要即時聊天軟體(如MSN)所提供的便利性， 讓內部員工即時與客戶溝通， 掌握商機。因此企業在規劃整體網路安全時， 除了對外部威脅要能做到「即時偵測、全面防禦」外， 對於內部可能造成資安內控危機軟體也要做到「有效開放、積極管理」。

(A) 即時偵測，全面防護對於來自外網的網路威脅， 企業除採用傳統防火牆作為第一層防護外，更應對駭客的入侵、DoS/DoS 攻擊、蠕蟲攻擊與木馬/後門/間諜程式的植入， 有更積極的作為。針對上述的威脅， 以建構在網路第四層技術為主的防火牆已不足以完全應付。企業必須進一步採用， 以網路第七層技術為主的深層封包檢測攔阻設備， 如IPS 系統， 方能達到即時偵測，全面防禦的效果。然而市面上IPS 林林總總， 企業在選擇IPS 上亦面臨有效與否的考驗。在此建議， 企業可考慮參考ICSA 及NSS 兩項國際性的IPS 認證。畢竟IPS 設備若能同時通過ICSA 及NSS 兩項國際認證， 其在設備效能， 穩定度與防護能力上均有相當程度的保障。

(B) 有效開放所謂有效開放， 乃是企業根據其營運上的需求並評估其本身所要求的資安等級與考量軟體的特性， 擬定企業資安政策， 適度開放可營運必要且可被管理與側錄的軟體。再利用如IPS 具備封包深層檢查等資安設備施行對應措施，以有效控管內部資安威脅軟體的使用。對於企業能夠掌握、有效側錄的軟體， 可以選擇少數代表軟體開放； 然而對於企業無法有效控管與側錄， 或可能帶來資安威脅的軟體， 則全面禁止。

企業在有效開放的政策上， 可參考以下範例實施：
􀁺 全面禁止P2P 軟體之使用。P2P 軟體的使用除了會大量耗用企業網路頻寬、涉及侵犯著作權議題、提供病毒/木馬等傳輸管道外， P2P 軟體本身的漏洞也可能成為駭客或蠕蟲攻擊的管道。以不久前在日本盛行的加密P2P Winny 軟體為例， 其傳輸過程加密， 再加上軟體本身存在漏洞， 導致蠕蟲入侵， 最後造成日本部份政府單位機密文件嚴重外洩， 便是一慘痛案例。對於部份企業或單位若對P2P 採行開放政策， 也應當防範P2P 將對外頻寬消耗殆盡的情況， 因此至少也應該對P2P 軟體進行必要的限頻與限流。