便利之下的隐忧
人
司外部的黑客：近几年来小至个人用户大至政府机关都无不使用网络，也由于它的便利，入侵事件也逐年成倍数成长，去年十一月至今年七月长达八个月间，我国政府网站爆发有史以来首宗规模最大、系统遭大陆黑客入侵窃取大批数据事件；遭大陆黑客入侵网站高达四十二个、计算机多达二百一十六台；行政院长游锡指示相关单位建立整体性的国家信息通信安全防护机制，定期对政府网站侦测扫描、补强漏洞。

公司内部怀有恶意的员工：防了外来的入侵，却忽略了公司内部员工所可能带来的伤害，之前美国某高科技公司离职员工入侵该公司计算机系统重要档案。根据国际计算机安全协会（ICSA Security Report）指出，六十％的泄密事件来自企业内部，十五％来自外部入侵。

操作上的疏失：公司内部人员对网络不了解与管理不当造成威胁与损失，像是账号密码管理疏失及一些不当设定造成的安全漏洞，让黑客有机可趁。微软曾经传出总部遭黑客入侵，窃走了包括Windows XP、Office XP的软件原始码。据传闻，黑客藉由连上微软公司员工的家用计算机，透过迂回方式，成功地躲过层层防护措施，进入微软内部网络，搜集部份密码后，再将这些资料转寄到俄罗斯的一个邮件账号。

病毒
不断改良的病毒，由2001 年 Code Red 与 Nimda 计算机病毒利用微软IIS服务器的漏洞，不但能避开网络的管制大门 - 防火墙，还会在系统上建立后门，2003年初SQL Slammer Worm 病毒，则是利用SQL 的漏洞入侵系统，在系统中取得网址，并开始找寻网络互联有弱点的主机系统再进行感染。Slammer病毒在2003年1月25日发作，借着SQL Server数据库当中的漏洞，在发作的前五天，就造成10亿美元的损失，同时也以极快的速度散布到全球各地。现今复合式的病毒，单靠防毒软件与防火墙防御是不够的，因为防毒软件，只能防的了病毒，却无法防的了弱点，防火墙，只能对特定的port 进行限制，却无法过滤掉，存在 e-mail 传送所含带的复合式病毒中的弱点。

弱点
软件弱点：软件的弱点存在于操作系统和应用程序软件中的错误，黑客就经由这些弱点对计算机进行入侵，取得、更改、破坏计算机中的数据或造成当机，而它所造成的损失，常常是无法估算的

管理弱点：由于管理上的疏失，因而导致被入侵，如系统设罝不当或是账号密码过度于简单而容易猜测。

安全问题永远层出不穷，病毒、入侵型态也不断翻新，黑客越来越精明，入侵软件只需找一下，就可下载一堆黑客工具，这些当然是不合法的，但不管怎样，入侵的类型只会越来越多。

§ 黑客入侵流程：了解黑客的入侵流程，管理者可以更加清楚知道，黑客从何而来？

(如图一)

网络应用快速普及，网络的应用程序也大幅成长，大部份的公司因为人力编制有限，而且未善用适当的工具加以管理，难免会产生疏忽而导致黑客入侵。美国联邦调查局 ( FBI ) 和旧金山计算机安全机构在去年公布一项调查，受访的500家企业和政府机构中，约有90%在过去一年中有遭受攻击的经验，损失总额逾4.5亿美元。

倍数成长的弱点

美国计算机紧急事件反应小组协调中心(CERT/CC)

公开的已知安全漏洞

CERT/CC是报告漏洞的一个主要Internet安全问题报告中心，偶尔发布一些报告，提供某个严重安全问题的描述及其影响，并提供修补的建议或变通办法的细节。除了CERT以外，CIAC (Computer Incident Advisory Capability) 也报告漏洞，许多不同的组织可能会用不同的名称来报告同样的漏洞，为了解决这个问题，MITRE支持常见漏洞揭露（CVE, Common Vulnerabilityies and Exposures）列表来对所有公开的已知安全漏洞建立单一的独有名称以相互区别，例如造成SQL Slammer Worm 病毒的安全漏洞，CVE 编号为 CAN-2002-064，可由 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649 )获得安全漏洞的描述。NIST的ICAT( http://icat.nist.gov/ ) 则是CVE弱点搜寻引擎，把每个CVE弱点分类并提供查询与比较。

风险评估->风险管理

什么时候才能阻止网络黑客入侵？人类文明已有四千年历史，何时才能让犯罪成为绝响？答案是：永远不会。网络世界也是一样的道理，我们最多能做的就是尽可能管理风险，将风险降到最低，一如在实体世界的做法。

风险评估
信息资产、威胁、弱点是风险评估的三大要素，经由企业内部信息资产所面临的潜在威胁与弱点，在由资产价值与潜在威胁与弱点发生的机率或强度，决定该资产的风险值(Risk Value)(如图二)

风险管理
企业走进e化，数字化数据比例日亦加重，重要数字资产除了网络快速发展之脚步促使、并应促使组织重新思考其安全策略的完善与否。今日的企业首重在于藉由风险评估与符合其本身实际的需求去订立安全政策来保障数字资产。

利用安全漏洞扫描仪 ( Vulnerability Scanner ) 工具对网络上设备及主机做风险评估与管理

网络安全在过去一直倾向采取被动式管理的防护策略，被动式防护所使用的设备及工具也是最省事且直接有效的，例如防火墙、入侵侦测等。然而在复合式病毒出现后，被动式的防护策略已显得防御力不足。利用软件漏洞进行攻击的病毒总是造成企业与机关大量损失，使得企业只能忍受亡羊补牢的损失。漏洞扫描仪 (vulnerability Scanner ) 为网络安全中评估弱点及风险的重要工具，它主要的功能是找出网络主机及设备的漏洞以及隐藏性风险以及鉴定网络架构安全程度，如同雇请善意的职业黑客进行安全漏洞评估分析。大致上能对SMTP、POP、HTTP、FTP、SNMP、Telnet、SSH、NFS等协议，以及账号密码管理疏失及不当的设定做安全检测，完整的功能更可以对防火墙、路由器等硬设备以及数据库服务器(MS SQL、MySQL、Oracle等)做检测。漏洞扫描后所产生的风险评估安全报告也可以分别提供给管理者及技术人员，管理者报告仅提供了解整个网络的安全状态及风险程度分析，而技术人员报告提供每一个弱点说明及修补建议，提供技术人员进行修补的方法，将隐藏性风险及威胁降至最低，使原本必需大费周章的弱点评估管理工作变得轻松容易。

网络的安全管理是必需的，企业必须先评估现有网络的安全状况，才能充分了解自身网络的安全防御能力，并拟定妥善的网络安全政策，配合适当的防护设备、定期的稽核以及持之以恒的系统管理制度配合，才能在利用网络的高效率的同时，也能保护网络及资源不致于被破坏或窃取。