馬堤的剪報筆記

Gartner報告指出，包括Web電子郵件、即時傳訊軟體、部落格或是MP3播放器等各種消費型的網路服務已成企業的資安威脅，Gartner建議企業可以從四個部份著手循序解決這些問題。

市場研究機構Gartner在周一（6/14）發表一份報告指出，由於愈來愈多企業員工將消費技術視為日常生活所需，以及企業持續在業務流程中採用消費者技術，再加上目前安全工具還未成熟而且售價太高，消費技術已成企業安全的主要威脅。

Gartner所謂的消費技術指的是消費者在日常生活中常用的IT技術，包括Web電子郵件、即時傳訊軟體、部落格或是MP3播放器等。Gartner並建議企業可以先訂定安全政策，循序漸進地解決消費技術所帶來的安全威脅。

Gartner研究副總裁Rich Mogull表示，雖然消費技術替企業帶來新的威脅，但阻止這些技術的使用會愈來愈困難而且不切實際。現階段企業可以透過事先的安全預防以及在基礎安全技術的投資，以替企業內漸增的消費性服務及裝置預作準備，並進一步管理這些風險。

此外，Gartner也表示，有些企業就會採用現存的網路存取控制（network access control，NAC）或是CMF/DLP等工具來進行消費者技術的管理，而目前針對管制消費者技術的工具可能缺乏成熟度或要價太高，企業也可以開始訂定相關的安全政策，這些安全政策亦有利於未來部署安全技術。

Gartner建議企業可以從四個部份著手，一是消費者電子郵件及通訊服務，包括Gmail、Yahoo、AOL、Hotmail或Skype 等，企業員工有可能透過這些私有服務傳遞企業訊息。同時，大多數的企業將發現他們無法完全防堵這些服務。Rich Mogull建議企業可以檢視企業通訊政策，目前的安全政策多半沒有涵蓋上述領域，而且傳統的電子郵件安全保護、防火牆及URL過濾機制並無法有效率地處理上述問題。

其次是為新增的部落格、社交網路及其他Web 2.0服務作準備。這些服務可能導致企業資訊洩露的風險，也可能成為惡意程式的新管道，Gartner建議，企業要限制員工不得在部落格中洩露企業智慧財產資訊及企業營運資訊、部署Web安全閘道並防堵惡意程式進入企業、在安全閘道中防堵員工在上班時連至任何未被授權的網站等。

另外則是愈來愈普及的智慧型手機內的應用程式也可能成為惡意程式的攻擊目標，Gartner建議企業應該要限制這些未被授權的裝置對企業工作站或筆記型電腦的連結，也應該部署一個安全的SSL虛擬私有網路（VPN）以讓精簡端裝置可以存取企業系統及資訊。

最後則是對於網路及遠端連結的管理準備。在寬頻及無線網路的普及下，有愈來愈多的員工可以透過一般網路及遠端裝置存取企業資源，Gartner建議企業部署SSL VPN來檢視終端裝置的安全性，並透過對NAC的支援以降低未被授權的系統連到VPN客戶端軟體的可能性。

ITHome 文/陳曉莉 (編譯) 2007-06-15