著眼個資法規需求，貴公司(或機構)最擔心哪些資安問題？

tk02561

全球市場佔有率報告：趨勢科技獲得雲端安全第一名
第三方市場研究報告將趨勢科技列為雲端安全軟體領導廠商

8 x: V7 {1 D9 D& l8 ?& M) w; A【2012 年 5 月 2 日 台北訊】趨勢科技的努力屢獲專業研究機構肯定！根據市場研究機構 TechNavio 「全球雲端安全軟體[1]市場」(Global Cloud Security Software Market) 報告，全球雲端安全市場正快速成長，趨勢科技(東京證券交易所股票代碼：4704) 為雲端安全市場中的主要供應商。TechNavio跟IDC亦於日前提出的報告[2]中表示趨勢科技是「全球虛擬化安全管理市場領導者」以及「全球企業端點伺服器安全領導者」。

根據 TechNavio 估計，2010年全球雲端安全軟體市場總值為 2 億 4 千 1 百萬美元，預計2014 年將成長到 9 億 6 千 3 百 4 十萬美元，年複合成長率 (CAGR) 達到41.4%。在全球安全軟體市場中，趨勢科技擁有最大的市場占有率，領先其他主要廠商。TechNavio 的報告指出，趨勢科技之所以能夠主導該市場，是因為其涵蓋甚廣的全球經營策略；並且趨勢科技與雲端及虛擬化服務供應商 VMware 的合作關係，以及與 HP、Cisco、Dell、Microsoft Corp.、Oracle 及 Wipro 的合作，也是其能主導市場的主因之一，而廣大的客戶群與品牌聲譽更讓趨勢科技在全球雲端資安市場中如虎添翼。

TechNavio 的報告指出：「全球雲端安全軟體市場的主要成長動力來自於關鍵資料儲存雲端服務使用率成長，受到彈性及成本等多重因素[3]的影響，越來越多企業開始轉而將資料儲存到雲端。駭客看準雲端商機，針對雲端的相關攻擊爆增，也是雲端安全軟體市場成長的動力之一。」

tk02561

趨勢科技產品長 Steve Quane 表示：「趨勢科技在雲端安全市場的領導地位，是我們不斷努力專注於雲端安全創新的成果。一方面能夠不斷延伸全球雲端基礎架構的涵蓋範圍，一方面又能提升安全性並降低產品的複雜度，進而提供使用者更好的使用經驗。」  
" D& w9 F' N5 l+ d! H
4 B3 U8 P6 I* E+ p趨勢科技提供企業虛擬化與雲端領域旗艦級產品Deep Security。Deep Security是專為系統與應用程式安全而設計，橫跨實體、虛擬及雲端環境，可滿足今日動態資料中心嚴格的作業安全需求與遵規要求。其整合入侵偵測及預防、網頁應用程式防護、防火牆、一致性監控、記錄檔檢查以及惡意程式防護等功能，為集中管理的軟體解決方案。此外，Deep Security 更為業界第一且唯一無代理程式的 VMware 環境安全解決方案，提升企業伺服器整合率、效能、管理性及安全性。 相關產品介紹請參考http://tw.trendmicro.com/tw/products/enterprise/deep-security/
. B3 `8 m) V& v+ z
  [, S% T- J  Y4 `5 ^[1] TechNavio 對「雲端安全軟體」的定義為專為雲端式服務或雲端運算架構提供安全的軟體。雲端安全軟體可以是一套獨立的解決方案，或是一整個套裝軟體。此軟體主要專注於遵規、監督、資料保護、架構、身分識別及存取控管等關鍵安全要素。一套典型的雲端安全解決方案通常會提供加密、身分與存取管理 (IAM)、端點監控、漏洞掃瞄、入侵偵測、應用程式安全及訊息安全等功能。

: p& J( I# x0 i8 L& C& p9 P" H2 IDC 的「2011-2015 年全球端點安全預測與 2010 年廠商市佔率」(Worldwide Endpoint Security 2011-2015 Forecast and 2010 Vendor Shares) 以及 TechNavio 的「全球虛擬化安全管理解決方案 2010-2012」(Global Virtualization Security Management Solutions 2010-2012) 報告當中分別被列為「企業端點伺服器安全領導者」以及「全球虛擬化安全管理市場領導者」。
) s& P4 q2 F3 D# C
3如彈性、成本與可用性等。

tk02561

趨勢科技發表2013資安關鍵十大預測 多元平台挑戰數位生活安全  APT攻擊和雲端隱私成為企業雙重隱憂
, X- Z& \7 A- x1 L
6 V2 Z8 C5 p. N6 q* Z6 a* i【2013 年 1月 8 日，台北訊】全球雲端資訊安全領導廠商趨勢科技(東京證券交易所股票代碼：4704) 今日發表2013年「資安關鍵十大預測」(10 Threat Predictions for 2013)。報告中指出在2013年各種裝置、中小型企業與大型企業網路的安全管理將比以往更加複雜。除了消費端的多元平台挑戰，企業端的 IT 消費化、虛擬化及雲端平台的發展，也將面臨如何抵禦APT的強化攻擊和保護業務資訊兩大難題。聚焦台灣資安市場，面對雲端應用的逐漸普及，以及駭客針對性攻擊的雙重挑戰，如何更精確的保障消費端和企業端用戶的資訊安全，是趨勢科技2013年的重要任務。  
* f) y, b4 q7 K. P4 C" b4 G
惡意與高風險的 Android App 程式數量預計在 2013 年當中將達140萬，相較於2012年攀升達四倍之多。Android 就像過去十年Windows的角色般，正逐漸主宰行動運算領域。趨勢科技台灣及香港區總經理洪偉淦表示：「隨著數位科技在生活中扮演越來越重的角色以及行動裝置快速普及，消費者已經正式走出個人電腦獨占的局面，擁抱多元平台。每一種平台都有自己的介面、作業系統和安全機制。這也意味著資安威脅將出現在更多令人意想不到的地方。我們同時發現，除了個人電腦以及行動裝置，連網電視等其他具備網際網路連線功能的裝置，也可能成為未來新式的攻擊管道。因此，如何在多元平台下，確保消費者的資訊安全，將是趨勢科技2013年消費性資安防護的重要目標。」
( e& _5 G' s, K4 T1 r1 I
趨勢科技2013資安預測也顯示，不論是否使用雲端儲存，資料儲存基礎架構都將成為資料竊盜攻擊的目標。隨著企業開始導入公有雲服務或建置企業私有雲來存放機密資訊，企業需要檢視原先的資安解決方案是否適用於雲端環境並已提供完整的防護。

tk02561

另一項由CNET與趨勢科技所進行的2012亞太地區企業資安調查報告指出，台灣對於BYOD的支持態度較整體亞太區的表現更為正面，而資料外洩防護是台灣企業最重視的資訊安全問題第二名，但要如何有效防範惡意程式透過各種管道如行動裝置入侵企業內部亦是相當重視。

針對上述未來預測和趨勢觀察，洪偉淦進一步分析：「BYOD趨勢的逐步發展，代表著使用多種運算平台和裝置也將成為企業端用戶的新趨勢，在此同時，因為雲端儲存的穩健發展，許多企業也將因採用公共雲端服務而得以降低成本、提升服務易用度以及穩定度。但對於資安防護而言，保護這些裝置將變得複雜又困難。此外，於2012年造成企業資安嚴重威脅的APT攻擊，未來也將更深更廣地持續擴大與強化，攻擊能力不容小覷。因此，除了網路犯罪者將繼續利用雲端犯罪，APT攻擊持續擴張和雲端資料外洩是2013年預測中的兩大企業資安威脅，也是趨勢科技持續精進企業端解決方案的關鍵！ 」
% u) {; `( m* p& U# z6 a
" ]$ ^  A8 Z$ `, x! q* L: s8 H7 h8 {「2013資安關鍵十大預測」

# X! [" G% ]$ i9 t& }2 p" [, t. u趨勢科技所發布的「2013資安關鍵十大預測」報告，內容包含企業、個人數位生活與雲端發展上將會面臨的威脅與分析，如下摘要：

% P( ^( E: `- n1 ]+ C, d9 T, E一、惡意與高風險的 Android App 程式數量在 2013 年將突破百萬。

惡意與高風險的 Android App 程式數量預計在 2012 年底達到 350,000 個，這項數字在 2013 年當中將攀升四倍，大致上與該作業系統本身的成長率成正比。惡意與高風險的 Android App 程式將越來越複雜。

二、APT攻擊廣度以及深度持續擴大成為企業資安防禦重點。

5 E, t! h4 p  x( y% c$ O& tGartner 於2011年8月正式發表進階式目標攻擊(APT)因應策略報告後，如何防禦APT威脅已成企業資安規畫的重點。然而，駭客的攻擊廣度及深度將更為擴大，並且可能有更多的駭客及不法組織會持續投入。

tk02561

三、網路犯罪者將大量濫用正當的雲端服務。
+ K( J1 W* w# `, X% h# e
許多企業和個人都因為改用雲端來滿足其運算需求而受惠。企業因為採用公共雲端服務而得以降低成本、提升易用度、提高穩定度。2013 年必定將出現更多正當服務遭人用於非法用途的情況。
! o6 N2 q3 _. ^2 t* ?
四、隨著數位科技在生活中越來越重要，資安威脅將出現在令人意想不到的地方。
9 |( c+ C2 j9 W  m7 O
3 o( w3 v% I5 c* H2 ]1 k' `8 F「數位生活方式」使得消費者的生活與網際網路的連結越來越緊密，而新技術則提供了新的攻擊管道。除了個人電腦、平板電腦或智慧型手機等，其他具備網際網路連線能力的裝置(如連網電視)，若並非以安全性為最高設計考量，很容易就被有心的駭客入侵。

五、消費者將使用多種運算平台和裝置，而保護這些裝置將變得複雜又困難。
2 o* B* K& L. [/ M) V
在以往同質性高的運算環境當中，使用者教育相對上單純，因為裝置只有幾種。但 2013 年將不再如此，每一種行動裝置平台都需要一種不同的安全防護。同樣地，隨著 App 程式的功能開始逐漸取代瀏覽器，資訊安全與隱私權問題就更難有通用的建議。
7 l/ f1 G+ ~$ f3 [
六、以政治為動機的電子化攻擊將變得更具破壞性。
4 w- U0 V) ~6 x1 I
2013 年，我們將看到更多專門修改或破壞資料的網路攻擊，甚至對某些國家的硬體基礎建設造成破壞。這樣的發展，是網路犯罪者在蒐集資訊之後自然而然的下一步行動，不論是獨立的駭客團體或是由政府資助的團體。

tk02561

七、不論是否使用雲端儲存，資料外洩依然是 2013 年的威脅之一。
  _. e6 B. Q' D! R% Z  f
. t0 T1 m/ m7 X* l1 i2 K% U% e隨著企業開始將機密資訊移到雲端存放，企業將會發現，那些用來預防企業伺服器遭到大規模資料竊盜的解決方案，到了雲端環境將無法發揮應有效果。IT 系統管理員必須確保雲端安全解決方案設定正確，並且在這方面擁有充分的防護能力。
) R* r% J. t3 R, G* w
9 D" @7 l3 D% ?& h  G2 O6 T! r: f八、解決全球網路犯罪問題的力量至少需要二年以上的時間來完成全面部署。

; S1 z  c7 o3 ~儘管某些國家已經成立了網路犯罪防治組織，但大部分的工業化國家至少必須等到 2015 年之後才能有效地強制執行網路犯罪防治法律。企業仍必須在自己的IT 基礎架構上採取更主動的預防措施，對於高風險的企業來說，威脅情報將成為標準防禦的重要一環。
0 F. V8 K5 C( G& ~7 Z8 e9 m
/ U1 m! c0 U1 W九、傳統的惡意程式威脅將緩慢演進，全新的威脅只是少數，而攻擊的部署方式將日趨精密。
% D: o# ]- a7 B; _: I# D
惡意程式2013 年的發展將著重於改進現有工具或回應資訊安全廠商的防堵。網路犯罪者將發現，能夠成功潛入受害者的電腦而不引起懷疑，比運用特定技術來發動攻擊更加重要。2013年，不同網路犯罪地下團體之間的彼此合作也將更加普遍。他們將專精於自己的特殊專長、攻擊手法與目標。

十、非洲將成為網路犯罪者新的避風港。

非洲是傳奇的「419」網際網路詐騙的發源地，同時也逐漸成為精密網路犯罪的溫床。執法不嚴格的地區，向來就是網路犯罪的溫床，尤其當歹徒能夠對當地經濟有所貢獻，卻又不會攻擊當地的居民或機關團體就更受歡迎。
0 W" r. D; l' {: X  N
3 \, R! x- j) |8 J" m9 s透過「2013資安關鍵十大預測」報告，讓消費者和企業端更能掌握未來資安發展趨勢，提早做好萬足準備。趨勢科技資深產品經理吳韶卿分享到：「為了有效應對2013的資安挑戰，一般使用者須遵守的五大須知包括：一、定時自動更新電腦；二、網路交易、下載和郵件的處理更為謹慎；三、行動裝置防護不可少；四、密碼管理不可輕忽。而企業端則要秉持三大原則積極以對：一、使用有效的解決方案來保護企業；二、標準化的政策保護客戶利益；三、建立、實行有效的 IT 使用準則。」

( ]; V& M, {6 w: r0 L如欲下載完整版的趨勢科技「2013資安關鍵十大預測」報告，請至
http://tw.trendmicro.com/imperia ... 2013_preditions.pdf

tk02561

(20130620 10:27:55)勞委會於101年11月28日修訂《就業服務法》第5條第2項第2款修正案，明定雇主不得違反求職者或員工之意思，要求提供非屬就業所需之隱私資料。勞委會進一步於102年6月7日修正《就業服務法施行細則》增訂第1條之1，明定所稱隱私資料之類別及內容為：1、生理資訊：基因檢測、藥物測試、醫療測試、HIV檢測、智力測驗或指紋等。2、心理資訊：心理測驗、誠實測試或測謊等。3、個人生活資訊：信用紀錄、犯罪紀錄、懷孕計畫或背景調查等。條文中還明定雇主於要求求職人或員工提供隱私資料時，應尊重當事人的權益，不得逾越基於經濟上需求或維護公共利益等特定目的之必要範圍，並應與目的間具有正當合理的關聯。
: }$ Q$ R4 E  |
中華人事主管協會講師 沈以軒律師指出，《就業服務法》相關規範施行後，雇主要求求職者或員工提供隱私資料，均要能夠舉證該隱私資料與職務內容相關，且未違反求職者或員工之意願，若有違規者除了主管機關可依就業服務法第67條規定，處以6萬元至30萬元行政罰鍰之外，更重要者，該行為屬於蒐集求職者或員工之個人資料，亦同時適用101年10月1日新修正之《個人資料保護法》(簡稱「個資法」)第41條規定，即法律責任尚包括個資法第41條違法蒐集行為之二年以下有期徒刑刑事責任。而依照目前實務現狀觀察，對於企業違法蒐集個資之行為，勞工均以向法院檢察署提起個資法刑事告訴為首要選擇；兩者不同的是：《就業服務法》裁罰主體是針對公司，《個資法》刑事責任犯罪嫌疑人對象是自然人，即以企業負責人與人資主管為常見被告，值得企業人資引以為戒。

tk02561

再者，依照個人資料保護法第27條規定，企業在蒐集求職者或員工之個人資料後，必須採行適當之安全措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏，若企業欠缺上述適當安全機制，除依《個資法》第48條規定，再處以2萬元至20萬元行政罰鍰外，當企業離職人員或在職員工下班時間所為一切洩漏個資行為，企業當難辭其咎恐與肇事者共同負擔高達新台幣二億元之連帶民事賠償責任。

; d/ H" _3 S# I沈以軒律師提醒，在《就業服務法》與《個人資料保護法》陸續修正通過後，勞動權益保障益趨完整，企業人資應自即日起嚴格檢視蒐集求職者個資之履歷表與勞工名卡欄位，是否均符合現行法定規範要求，同時必須確保企業對已蒐集之個資檔案是否已建置適當比例安全防護措施，否則將會使企業以及人資主管個人面對難以預測的法律風險。

中華人事主管協會執行長林由敏表示，企業人資接觸員工個資在所難免，在兩法修訂實施的強力規範下，若不小心觸法，有別過去「花錢了事」的觀念，除了得面對刑事責任，還可能面臨2億元的天價賠償，企業人資相對身處「高風險」職場環境，對於新法實施必須有充分了解。中華人事主管協會為因應新法施行後相關職場議題，特邀請有近百場個資法講座與輔導企業建置個資因應方案的資深講師 沈以軒，以實務經驗與專業法學解析，協助企業與人資了解個資法施行後，該如何落實該法第27條暨施行細則第12條「適當安全必要措施」中11個因應方案要求？並逐步教導企業建置防止個人資料被竊取、竄改、毀損、滅失或洩漏之法定必要維護措施，同時將針對《就業服務法》修正歷程一併說明解釋，並提供企業人資者具體因應之道。「台北場6/20、7/16、8/27」、「台中場7/17、8/21」、「高雄場7/18、8/20」、「桃園場7/19」、「新竹場8/22」，全台九個班次熱烈報名中，相關課程諮詢請洽02-2748-5188或上協會官網www.hr.org.tw。

訊息來源：中華人事主管協會