個案 B 公司

第五章個案討論與分析結果

5.2 個案 B 公司

B 公司目前員工數為 260 人，資本額為 2 億，是國內一家也是華人世界較早成立的網路書店。其網路書店於 2000 年初創立，該公司目前與數千家以上的出版社合作，至今已成為國內前幾名的網路書店。並以「華文世界的知識入口」為目標，強調為廣大中文知識需求人口提供豐富完整的服務。其經營理念強調：「提供誠實、品質、快速、專業、創新的服務平台，打造消費者完美使用經驗。」成為電子商務服務平台的領導品牌，

並以『使用者滿意度』為經營指標，以持續開發符合會員多元選擇的商品屬性及數量，

設計更簡易、更貼心的購物介面及流程，挑戰更快的出貨速度及更好的客戶服務品質，

期待邁向更安全、更便利、無障礙的電子商務服務平台。

B 公司現今擁有超過二十萬類的書籍在網路上販售，可說是國內藏書量極豐富的線上書店，消費者透過網路 SSL 保密連線，可安全地上網購買書本，加上憑藉著豐富的電子商務經驗，搭配完善的物流管理制度，出書便捷，大大提昇經營效率。 B 公司最大的優點就是與全省上千家的便利商店合作，提供免付運費取貨付現服務，以提供網友最安全、多樣、方便的服務，享受更優惠的購物樂趣。另外，B 公司也與其它中文入口網策略聯盟，推出圖書、雜誌與音樂的線上購物服務。

B 公司像是個大型的圖書館，採用先進的全文檢索功能，在茫茫書海當中不僅可以搜尋到最新、最熱門的書籍，亦能找到已從書架上下架的書籍。除了提供書本的銷售外，

該公司也提供多樣的書籍資訊，包括完整的介紹、封面及書摘，甚至開放空間讓使用者互相交流。同時，所發行的 e-page 電子報，提供即時的出版及閱讀資訊。 B 公司亦開發電子書這塊市場，採用國內數位版權管理系統供應商優碩系統「eBook 版權管理系統」，

與優碩資訊做為技術夥伴，推出付費電子書下載服務。

5.2.2

產業現況及發展概述

網路書店，以書籍本身具備某些特質適合在網路上販售。書籍之產品品質差異性不大，書籍之規格性也不會因人而異。配銷方面，書籍易於運送，也不需要繁複的包裝，

運送過程中無須擔心腐敗、摔破等問題。甚至可以以數位化檔案的方式傳遞，由這些特性可以發現書籍成為網路購物熱門商品的原因。所以至今網路購物中，成立許多家的網路書店。台灣近年來至少已經成立了十五家的網路書店，如：HOT、OpenTech、三民、

天下、念慈、金石堂、高點、常春藤、晨星、博客來、舒讀、華文、搜主義、誠品、聯

經…等。由蕃薯藤網路行為大調查發現，網路購物行為的產品中的第一名便是書籍雜誌出版品。

臺灣網路書店發展至今，已走向多元化虛實整合的階段，對於經營虛擬書店這一部份已有成熟的技術與經驗。為了讓網友間能夠透過交流產生情感上的連結，網路書店建制了許多開放式的平台，如：部落格、個人書店、討論區、留言版，當今這樣的方式十分的普遍，也代表網路書店的經營者試圖建立一種社群關係。

以近幾年台灣網路書店的發展，無論是在網站功能、產品內容、服務提供等方面，

都已發展至一定水準，雖未臻完備，尚且為目前消費者所接受。網路書店的基本功能不外乎書籍齊全、檢索引擎、書籍介紹與試閱等功能，並具備付款簡便、取貨容易等特質。

隨著網站技術、機制的成熟，網路書店可以有多元化的發展。而從網站內容建置及發展特色來看，則顯見業者對於網路書店業務的積極作為。「綜合型網路商城」即是發展特色之一。

5.2.3

導入動機(需求)分析

B 公司目前的網路會員數超過 100 萬，其重要的客戶資料是公司主要的行銷來源，

也是其經營的重要命脈，由於網路購物其特有的經營模式是以虛擬商店的方式來交易，

對消費者來說，許多研究指出，在網路交易的安全性及個人資訊的保護機制，是主要影響消費者網路購物意願的關鍵因素。B 公司在有鑑於相同產業及類型的電子商物網站個資外洩案例層出不窮，不但影響消費者購物的疑慮和商譽的受損，長期以來都在找尋相對應的資訊安全解決方案，據訪談在 2010 年時，該公司在單位重新編組下，成立了資訊安全單位，並商請有相關驗的資訊安全顧問加入讓資訊團隊。

B 公司導入 DLP 資料外洩訪護系統專案，主要起因是在台灣 101 年通過個資法後，

其公司開始規畫如何避免客戶和公司的機密資料發生外洩的狀況, 在購買 DLP 以前，B 公司也已經導入了 IBM ISS xForce DRM 的系統來保護公司內部的機密資料，不過後來因為 DRM 在功能上沒有辦法符合需求，該產品主要是採取檔案加密的方式來防止資料被不當存取，並加入權限控管，其主要缺點是需改變使用者原有的操作習慣，另外加密伺服器的備份也是一大問題，再加上加密檔案的類型也受廠商設計的影響，並不是每一種的檔案的格式都能被分析並加密。在擁有權限的作者身上也很難掌握資料的流向，在稽核上也是一個很大的問題，所以 B 公司的資安團隊開始規畫並找尋適合公司的資料外洩解決方案，因此他們將評估的重點轉為採購 DLP,來保護公司重要的機密資料。

依 B 公司描述，之前公司內部已有採用 Websense 的上網過濾產品，經考量在整合

生上以及偵測技術層都屬最適合該公司目前的需求，且該產品在維護運作上及界面熟悉度上有同仁們已有相當一定程度的了解，另外在價格及原廠的支持度上也得到正面的回饋，所以在評估的過程中並無花太多的時間做不同產品的測試及評估，就決定採用 Websense 的 DLP 資料外洩防護解決方案。

5.2.4

導入過程

B 公司其導入方式與 A 公司不同，在佈署系統方面是以網路閘道來監控為主，並採取（旁聽）的方式來布署，在端點(使用者電腦)系統方面，其因 AD 架構導入並不完全，

所以並沒有規畫在個人端電腦上安裝代理程式。現階段前他們一共部署了 1 台 DLP 的閘道器，及 1 台管理伺服器。

階段一：系統穩定性評估

B 公司在初期導入系統並不是以全公司為主要範圍，為了解產品的穩定性以及與現存系統的相容性，在一開始是以資訊單位做為導入的主要範圍，導入評估期間為二個月，

由於公司在網路閘道上布署了 IPS 與防毒閘道與和上網行為管理等產品，在相容性風險評估之前並不會冒然的將系統上線以避免影響正常的業務運作。

階段二：使用機密資料範本來源

在初期評估結束後，開始正式導入公司所有的網路流量到 DLP 系統，並做監控，

但由於在專案成立之初，相關部門主管並無下達命令到各部門，所以資訊部門當中也無法得知，也無法界定各單位機密資料的檔案來源位置，因此他們在界定機密資料，並無執行跨部門協調，所以無法明確指定那些檔案，資料庫，為機密檔案。且由於檔案伺服器的資料量相當龐大，不容易透過網路掃描，並產生所有的機密資料的指紋特徵，所以初期其主要監控以及準備界定學習的機密資料檔案，為微軟的 Office 文件、以及系統上所提供的政策範本，包含身份證信用卡號以及 PCI-DSS 相關與電子商務法規，現階段並無考慮與該會員資料庫做結合與學習。

圖 15 B 公司在系統上線後由內建範本所偵測到的洩密日誌資料來源：B 公司提供

階段三：資料分析與修正

由於 B 公司的機密資料定義方式是採用系統所提供的範本，相對的在偵測的準確度較差，所以在偵測到洩密資料發生時，並無設定通知相關部門主管，只有透過郵件的方式通知系統管理者，因為對於資訊部門來說，系統提供的範本誤判較高，需經過研究才能得知是否為洩密事件，所以該單位採取的方式是由負責該系統的資訊人員來稽核這些記錄，針對有問題的洩密事件人員進行訪談及確認，如發現為有問題的事件才會通知主管進行處理，如果為誤判則進行系統的偵測做設定上的調整，反覆的動作來將 DLP 系統政策調校到符合公司的需求為止。

圖 16 B 公司在系統上線後在閘道上所監控到洩密日誌資料來源：B 公司提供

5.2.5

導入結果

1．導入時間過長：

個案公司高層對此系統導入後對公司影響並沒有特別的重視，所以並無成立專案小組，如此一來所有的建置時程都仰賴資訊人員的時間分配，因為沒有壓力，資訊單位建置人員皆將 DLP 系統工作安排在其它主要工作排程之後，當系安裝失敗或者前導測試不成功，則往後延期重新再按排時間及重建作業係統，如果遇到問題再請廠商及顧問開會協助以及判斷問題所在，其建置期間長達三個月。

2．誤判率高

政策無法下達至各部門，其它部門並無接到上層命令，需主動協助建置 DLP 系統建置及佈署，導致資訊人員無法得知並定義各部門機密資來源及位置，再加上沒得到充份授權，在跨部門溝通協調取得相關系統需求資料時時遇到不少阻礙，如客戶資料庫無法取得權限，檔案伺服器路徑位置等。系統建置人員只能從系統上所提供之政範本以及一般用用法規來做為洩密資料偵測的依據，由於內容屬於通用型，並不是針對公司內部

在文檔中導入資料外洩防護系統關鍵影響因素之多重個案研究 (頁 65-77)

第五章 個案討論與分析結果