今日主題：深入瞭解IT安全管理

一、定義
在現今這個資安威脅不斷進化的時代，不論是勒索病毒、社交工程詐騙，還是內部資料外洩問題，企業都必須更加重視資訊安全。安全管理（Security Management） 就是針對這些風險所做的一系列預防、監控與應變措施。
簡單來說，安全管理就是企業 IT 系統的「防護罩」，要確保資料不被竊取、破壞或未經授權存取，是企業永續經營中不可或缺的一環。

二、安全管理的主要職責
安全管理的工作內容不只是「裝防毒軟體」這麼簡單，它其實是有一整套制度與流程的。以下是幾項主要的工作重點：

1. 建立資安政策與制度
例如規定密碼至少要 12 碼、定期更換、不准重複使用；或者制定公司裝置使用規範，限制員工用 USB、限制接外部 Wi-Fi 等等。
2. 身份驗證與存取控制
使用 AD（Active Directory）統一管理使用者帳號，並搭配 MFA（多因素驗證），讓駭客即使偷到密碼也無法登入系統。
3. 建置資安設備（如防火牆、IDS/IPS）
防火牆可以擋下不合法的連線，IDS（入侵偵測系統）與 IPS（入侵防禦系統）能即時發現異常流量與攻擊行為。
4. 持續監控異常行為
例如發現某位員工凌晨三點還在登入系統、或某台電腦對外發出大量連線，就有可能是帳號被盜或中毒了。
5. 定期進行漏洞掃描與滲透測試
用像 Nessus 或 OpenVAS 這類工具找出系統有沒有未修補的漏洞，滲透測試則是請專業白帽駭客模擬攻擊，看系統能不能擋得住。

三、安全管理的三大措施類型
資安措施大致可以分為三種類型，分別是預防、偵測、應變：

1. 預防性措施（Preventive）
   這類措施主要是「在事情發生前」先做好防護。
   1)加密技術：使用 SSL/TLS 保護網頁資料傳輸，BitLocker 加密硬碟，避免電腦遺失時資料被破解。
   2)權限控管：設定誰可以存取什麼資料、誰有權限修改或刪除系統資源（角色分級制度，RBAC）。
2. 偵測性措施（Detective）
   當預防措施失效時，這類工具能即時發現異常狀況。
   1)日誌監控（Log Monitoring）：透過 SIEM 系統（如 Splunk、Graylog）集中收集並分析系統日誌，快速識別異常行為。
   2)端點偵測與回應（EDR）：像是 CrowdStrike、Microsoft Defender for Endpoint，可以即時偵測惡意程式、行為異常並通知管理者。
3. 應變性措施（Corrective）
   當真的發生資安事件時，要有應變計畫降低損失。
   1)事件通報流程：例如規定若發現資安異常，5 分鐘內向資安主管通報，30 分鐘內啟動應變小組。
   2)災難復原計畫（Disaster Recovery Plan, DRP）：萬一資料中心真的遭到攻擊或天災，能在最短時間內啟用備援系統、回復服務。

四、實際案例分享
案例：電商平台啟用多因素驗證（MFA）
某知名電商平台在過去經常發生使用者帳號被盜事件，尤其是使用相同密碼在不同網站登入的用戶，更容易被駭客利用資料外洩資料進行「撞庫攻擊」。後來他們導入了 MFA（例如簡訊驗證碼、APP 驗證器等），即使密碼被破解，也需要額外驗證才能登入。根據該公司內部報告，實施 MFA 後，帳號遭入侵的比例下降了超過 60%，大幅提升整體資安水準。