Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場
2 likes1,220 views
本文件探讨了云计算在信息安全领域面临的挑战,包括用户数据泄露事件和云服务的安全隐患。文中提及Sony、Google和Apple等公司遭遇的安全事件,强调用户隐私的脆弱性和大型数据收集带来的风险。最终指出,在享受云计算带来的便利时,用户仍需关注信息安全和信任问题。
Chinese Uses of Big Data Cloud Security 漫步在雲端資安新戰場
- 2. 2 大綱 雲端的代價--近期資訊安全重大案例 SONY、Apple、Google、 Amazon 雲端運算的迷思 簡介與應用 擁抱雲端的迷思 新的資訊安全挑戰 駭客比你更喜愛雲端 便利與安全的兩難 雲端運算之7大安全威脅 雲端運算的風險 組織與政策 技術 法律 雲端運算服務資訊安全評估 雲端運算的安全性分析 雲端運算服務資訊安全評估步驟 結論 以安全為前提,享受新便利 信任仍是雲端運算落實關鍵
- 3. 3 雲端的代價--近期資訊安全重大案例 SONY用戶資料頻失竊 雲端運算如何確保 安全? 因SONY公司7,700萬網路用戶個人資 訊遭竊,剛被提拔為SONY副社長的平 井一夫,於5月1日在東京向全球消費者 鞠躬道歉,承諾將加強用戶資訊保護。 但一天過去,SONY伺服器再遭駭客攻 擊,根據Sony公告,入侵的駭客「可 能」已取得用戶的姓名、地址、電子郵 件地址、出生日期、登入名稱、PSN Online ID。甚至包含用戶帳戶資料, 購買紀錄、帳單郵寄地址及密碼提示答 案也可能遭竊,受影響者達7700萬人 。
- 4. 4 近期資訊安全重大案例(續) Google旗下移動廣告子公司涉嫌非法收集 用戶資訊。 Apple公司搜集用戶定位資訊。 Amazon的AWS(Amazon Web Service)服 務,因為停電造成一部分的雲端服務主機 停擺(承諾3個9的可靠性,99.9%)。
- 6. 6 新裸奔年代—商周128期封面故事 “它”是現在最熱門的商品—美國彭博商業週刊。 “它”,使Facebook市值超過新台幣4兆8 千億,使5/19日剛上市的LinkedIn本益比超 過600倍,使法國總統薩克奇召開G8會議 前,召集包含Google、Amazon等企業領導 人召開2天的會議,就是討論 “它”。 “它”,就是你我的”隱私”。
- 7. 7 免費的個資、隱私? ”個資,已成為網路新黃金” —華爾街日報 免錢的最貴!!!天下沒有白吃的午餐,你以為 享受免費的服務,其實背後也有人免費拿 走你的個資、隱私。
- 9. 9 4c812db2922729⋯⋯ 貝蒂的故事 在貝蒂(Ashley Hayes-Beaty)的電腦裡, 有一個小小的文件。這個檔案蒐集她很多 個人資訊,裡頭只有一個簡單的代碼: 4c812db2922729⋯⋯。」這是《華爾街日 報》針對網路隱私調查報導的起始。
- 14. 14 貝蒂的故事 而這,還不是結束,美國波士頓東北大學 分析了一千六百萬筆通話紀錄和位置資訊, 得出的結論是,如果分析足夠多的資訊, 預測一個人在未來某時刻的地點位置,準 確率可以達到 九三.六%。 企業不僅要賺貝蒂現在的錢,還透過行為 預測,要賺她未來的錢。
- 17. 17 網路隱私「被賣」爭議,越演越烈 '07/5/25 Google發表街景應用程式,為全球各地提供街景視圖,歐 盟正調查是否違法。 '09/3 臉書擅自更改使用條款,用戶即使刪除資料,公司仍有使用權, 5月頒行。 '10/8/18 臉書推出可標記所在位置的最新功能「地標」(Place), 引發隱私權論戰。 '11/2/11 美國會議員史皮爾提《謝絕網路追蹤法案》,網路使用者 有拒絕個人被追蹤權利。 '11/4/17 索尼的線上遊戲與音樂服務遭駭客入侵,至今上億名用戶 的個資外洩。 '11/4/20 資安專家爆料iPhone等產品會記錄地理位置和行蹤,執行 長賈伯斯上火線澄清。 資料來源:各新聞網站
- 19. 19 雲端運算定義 組織 定義 NIST 雲端運算是一個模式,能便利地隨需透過網路存取設定好的共享運算資源池(如網 路、伺服器、儲存裝置、應用程式與各類服務)。可以最少的管理工作或服務供應 商互動,進行快速配置和發佈。 Gartner 雲端運算是一種具備大量且可擴充之IT相關能力的運算,透過網際網路技術並服務的 方式(as a service)提供給外部的使用者。 Forrester 雲端運算是一種具有高度彈性、抽象的運算中心,可以提供使用者所需要的應用程 式,並可依據資源使用多寡來收費。 IDC 雲端運算是一種即時的IT能力運算網路平台,可被請求、被供應、被傳遞以及被消費。 Google 應用程式和資料在雲端,可以透過任何裝置存取,使用瀏覽器在網雲間相互連通。 Mircosoft 一種由微軟資料中心供應的網路雲端服務平台,可提供一套作業系統和一組程式開 發者服務,可供個人或群體操作。 IBM 雲端運算是種分享的網路資訊服務的模式,使用者看到的只有服務本身,不用關心 相關基礎的建置。 Wikipedia 雲端運算是種能夠將動態伸縮的虛擬化資源,透過網路以服務的方式提供給使用者 的運算模式,使用者不需要知道如何管理那些支援雲端運算的基礎設施
- 21. 21 NIST對雲端運算的定義 Public Private Hybrid Community Deployment Models Service Models Software as a Service (SaaS) Platform as a Service (PaaS) Infrastucture as a Service (IaaS) Essential Characteristics On-Demand Self Service Broad Network Access Resource Pooling Rapid ElasticityMeasured Service Visual Model of NIST’s Working Definition of Cloud Computing http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
- 22. 22 雲端運算的特性 多重租賃/共享資源 (multi tenancy) Multiple users use the same resource in network level、host level and application level (資料來源:Cloud security and privacy :Tim Mather et al.)
- 23. 23 雲端運算的特性 極佳的擴充性(Massive scalability) Provides the ability to massively scale system、bandwith and space. (資料來源:Cloud security and privacy :Tim Mather et al.)
- 24. 24 雲端運算的特性 彈性(elasticity) Users can rapidly increase and decrease their computing resources as they needed, as well as release resources to other users when they are no longer required. (資料來源:Cloud security and privacy :Tim Mather et al.)
- 25. 25 雲端運算的特性 用多少付多少(pay as you go) Users pay for only the resource they actually use. (資料來源:Cloud security and privacy :Tim Mather et al.)
- 26. 26 雲端運算的特性 自我調配(self-provisioning) Users self-provisioning resources, such as systems( processing capability, software, storage) and network resources. (資料來源:Cloud security and privacy :Tim Mather et al.)
- 27. 27 雲端服務的SPI架構
- 28. 28© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 雲端運算的本質之一 Infrastructure as a Services 彈性的運用實體資料中心的資源 系統及網路管理人員可以隨使用單 位的需求, 機動的提供 ICT 架構 每個部門都可以擁有自己的虛擬資 料中心, 可自行或委託管理. 資源可重覆使用, 機動調派, 提昇整 體利用率, 達成綠色節能的目地. 案例如 : Rackspace 及 Amazon AWS EC2.
- 29. 29© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 範例: 虛擬桌面架構應用 View Connection Broker Virtualized Desktops遠端學校 WAN View Client RDP with SSL Media Server 區網/高速電腦中心 Media VServer View Client 中小學電腦教室 區網/高速電腦 資料中心
- 30. 30© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 雲端運算的本質之二 Platform as a Services 以應用程式設計為導向的平台服務. 程式設計人員可以依據所提供的 API, 自行開發所需要的程式系統, 而不需要知道這個平台在那裡. 資源可重覆使用, 負載均衡, 網路安 全, 資料備援等皆可自動達成. 案例如 : Google Application Engine, Amazon AWS Simple Storage 及 Cisco WebEx Connect 等.
- 31. 31© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 雲端運算的本質之三 Software as a Services 以應用為導向的服務. 一般使用者可依據需求直接使用各 項服務系統, 而不需要知道該系統 存放在那裡. 使用者可以直接利用瀏覽器來使用 應用程式服務. 以 dotcom 的形式存在. 案例如 : Gmail, Cisco WebEx.com, Salesforce.com and qq.com 等.
- 32. 32© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public 雲端運算的需求 機動的增減資源的使用與自動化 資料庫叢集的增生 SaaS 應用平台的增生 主機託管業務的減少 SaaS 應用平台的縮減 虛擬化主機業務的增加 根據需求, 彈性, 自動及虛擬 的有效提供現有資源 整體資源的數量不變
- 36. 36 微軟 MCloud 台灣微軟 MCloud 首部曲 (2009 年 12 月 1 日,台北) 雲端運算不再只是口 號!繼微軟執行長史蒂夫‧鮑默爾 (Steve Ballmer) 11 月初訪台時揭示微軟雲端運算願景 ─「3 螢 1 雲」(Three Screens and a Cloud), 並分別與經濟部共同推動「軟體暨服務卓越中 心」、與中華電信簽訂雲端運算策略聯盟合作備 忘錄之後,今天更進一步把雲端願景落實到企業 應用中,推出微軟 MCloud 解決方案,其中包含 軟體即服務 (SaaS, Software as a Service)、平 台即服務 (PaaS, Platform as a Service) 和基 礎架構即服務 (IaaS, Infrastructure as a Service) 三大領域。
- 37. 37 蘋果 Apple iCloud Apple 發表 iCloud 免費雲端服務今日登場 【 2011 年 6 月 6 日,舊金山訊】Apple® 今天發表 iCloud®, 提供重大創新免費全新雲端服務組合,可與 iPhone®、iPad®、iPod touch® 與 Mac® 或 PC 應用 程式緊密無縫配合整合,將資料無線地儲存到 iCloud, 自動推送到所有裝置。一旦某個裝置上內容改變,立即 無線更新所有裝置。 「以現今狀況,想在所有裝置保持個人資訊與內容一致, 是非常令人困擾與失望。」Apple 執行長 Steve Jobs 表示:「iCloud 將重要資料與內容,在所有裝置上保 持所有個人資訊與內容一致。全都自動與無線地進行, 這項服務在完美整合我們的應用程式裡,根本不需再費 心,因為全都做到了。」
- 39. 39 兩億用戶的工作、吃喝玩樂 蘋果都要賺 用一套資料同步服務 把所有軟硬體綁在一起 策略一:免費轉換 用戶升級,直接使用雲端 策略二:提供平台 開發雲端App,成本接近零 策略三:建立通路 記錄使用喜好,賺資訊財 資料來源:商業週刊1230期
- 41. 41 雲端運算的各式應用
- 43. 43 雲端 VS.資安 從資安看雲端 OR 從雲端看資安
- 44. 44
- 45. 45 從資安看雲端 CISSP認證資訊系統安全專家的觀點 1.資訊安全與風險管理(Information Security and Risk Management ) 2.存取控制(Access Control) 3.安全架構與設計(Security Architecture and Design) 4.作業安全(Operations Security) 5.通訊與網路安全 (Telecommunications & Network Security ) 6.密碼學(Cryptography ) 7.業務持續運作與災害復原計畫(Business Continuity Planning & Disaster Recovery Planning ) 8.實體(環境)安全(Physical (Environmental) Security ) 9.應用程式安全(Application Security) 10.法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
- 46. 46
- 50. 50 雲端運算安全的迷思-1 迷思1) 基礎架構服務 (Infrastructure-as-a- Service,簡稱 IaaS) 供應商所提供的虛擬私人雲 端就像企業內部資料中心一樣安全 您仍舊與其他企業共用硬體資源與交換網路,彼 此間僅藉由虛擬區域網路 (VLAN) 隔離。然而組 態設定錯誤的情況時有所聞。根據最近一份研究 顯示,澳洲有 31% 的資料外洩事件是「第三方廠 商如雲端運算或 SaaS 供應商的錯誤所造成」。
- 51. 51 雲端運算安全的迷思-2 迷思2) 您不需要一家以上的 IaaS 供應商 將所有雞蛋都放在同一個籃子,萬一籃子打翻了 就很危險,雲端運算也一樣。採用單一 IaaS 供應 商較容易管理,但卻也形成單一故障點。建立備 援據點,是達成災難復原的主要方法之一,雲端 運算的時代也一樣。企業或許不需要一個熱待命 的失敗接管據點,但卻應該規劃並測試如何在需 要的時候迅速將營運切換至第二家供應商。
- 52. 52 雲端運算安全的迷思-3 迷思3) 私人雲端同樣也適用實體資料中心的安全方案 虛擬化與雲端運算加大了歹徒的攻擊面,共用式儲存就是 一個例子。另外如系統管理員不小心用 vMotion 將某個伺 服器從安全區域移到 DMZ。VLAN 組態設定錯誤也可能 導致資料未妥善隔離。還有,同一個 vShield 區域內的 VM 之間不受監控的資料流量呢?在一個混合式雲端環境 中,當一個應用程式移到雲端,其虛擬機器周圍卻沒有安 全防護將會如何?仰賴 IaaS 廠商所提供的基本防火牆規 則,甚至連 IDS/IPS 也沒有,可能會讓某些企業感到不安。
- 53. 53 雲端運算安全的迷思-4 迷思4) 雲端服務供應商會負起安全的責任 IaaS 環境的安全性終究是企業與 IaaS 廠商 應該共同負擔的責任,而且,最終的責任 通常還是落在企業本身。雖然供應商會負 起安全的責任,但萬一發生資料外洩事件, 企業本身仍舊須承擔最終的責任。畢竟, 那是您的資料。
- 54. 54 雲端運算安全的迷思-5 迷思5) 我的雲端服務廠商有 SAS 70 Type II 稽核程序,因此我的資料安全無虞。 稽核無法檢查稽核範圍以外的項目。在稽 核檢查表上的項目您或許嚴格控管,但漏 洞卻可能在檢查範圍之外。
- 55. 55 雲端資安-從個資法探討 個資法已於99年5月公告,預於11月(6)公 佈施行細則 個資法施行細則公佈後,隱私權何價?? 每人、每筆10000元,20000筆資料/隨身碟 2億元的代價 一支隨身碟價值可能超過帝寶豪宅!!
- 56. 56 個人資料 個人資料是一種可以讓大家更加了解我 的資訊 WHEN WHAT HOW WHO 王小花,女生 今年7歲 1. 家中有爸爸、媽媽和我 2. 就讀oo國小一年級 3. 身高120公分,體重40公斤 電話:2577-4249 地址:台北市八德路3段2號3F
- 57. 57 個人資料生命週期管理
- 60. 60
- 61. 61
- 62. 62 個資法之新舊比較 84.08.11 舊法 99.05.26 新法 姓名: 王小明 生日: 06月06日 姓名: 王小明 生日: 06月06日 姓名: 王小花 就診: 99.06.15 科別: 小兒科 施行日期:待行 政院公佈 (估計約1年) http://www.hudong.com/versionview/uAwgHUUNYUlFfWVsED wJWRg**,檢索日期:2010.06.15 姓名: 王小花 就診: 99.06.15 科別: 小兒科 電腦處理個人資料保護法 → 個人資料保護法 (以下簡稱舊法) (以下簡稱新法) 個資法保護對象:包括數位化資料+人工資料
- 63. 63 新法擴大適用對象 新法擴大保護對象 新法擴大規範行為 新法加重罰責 如違反要受到哪些處罰? 哪些是個人資料? 哪些個資項目要被保護? 行為主體 保護客體 規範行為 處罰 哪些行為是個資法所禁止? 哪些人被規範在內? 【2010.04.27日三讀通過】 【2010.05.26總統公佈】 醫院、醫師、藥師、護理 人員、醫院行政人員、志 工、委外單位
- 64. 64 擴大行為主體範圍—不再侷限於特定行業別 行為主體 公務機關 (新法第2條第1項第7款) (本法第4條) 非公務機關 (本法第2條第1項第8款) 依法行使公權力之中央 或地方機關或行政法人 受委託行使公權力 非公務機關 (新法第2條第1項第8款) 前款以外之自然人、 法人或其他團體 醫院 學校 電信業 金融 業 證券業 保險業及大 眾傳播業 (舊法第3條第1項第7款)
- 65. 65 自然人姓名、出生年月日 國民身分證、 護照號碼、 特徵、指紋、婚姻、 家庭、教育、職業 病歷、醫療、基因、 性生活、健康檢查 其他 犯罪前科、聯絡方式、 財務情況、社會活動 企業 團體 個人 機關 過去電子病歷已為個資法的保護客體 即目前保護客體為數位資料+人工資料 擴大保護客體範圍—不再侷限於數位資料 一般性資料 敏感性資料 (病歷、醫療、基因、性生活、健康檢 查) 原則:不得搜集與利用 例外:法律規定或醫療、衛生、犯罪預防目的
- 66. 66 1 2 3 4 法律明文規定 公務機關執行法 定職務或非公務 機關履行法定義 務所必要,且有 適當 安全維護措 施。 當事人自行公 開或其他已合 法公開之個人 資料。 公務機關或學 術研究機構基 於醫療、衛生 或犯罪預防目 的,為統計或 學術研究而有 必要,且經一 定程序所為蒐 集、處理或利 擴大保護客體範圍—不再侷限於數位資料 (cont.) 敏感資料(醫療、基因、性生活、健康檢查及犯罪前 科) 目的:易會造成社會不安或對當事人造成難以彌補傷害。 原則:不得蒐集、 處理或利用。 例外:
- 67. 67 擴大規範行為—新增國際傳輸 規範行為 蒐集 利用處理 任何方法取得個人資料 1.直接自當事人蒐集者 2.間接從當事人取得者 (新法第2條) 為建立或利用個人資料所為之 紀錄、輸出、儲存 編輯 更正 複製、檢索、刪除、輸出、連 結或內部傳送將個人 資料作為跨國境之處理 機關內部之資料傳送 (新法第2條) 將蒐集之個人資料為處理以外 使用 將個人資料作為跨國境之利用 將資料提供給當事人以外之第 三人 (新法第2條) 建立個人資料檔案而 取得個人資料 (舊法第3條第1項第4 款) 電腦處理 (舊法第3條第1項第3款) 公務機關或非公務 機關將個人資料檔 案為內部使用或提 供第三人 (舊法第3條第1項第5款)
- 68. 68 1. 我方查明後應 以適當方式通 知當事人(新 法第12條) 2. 建議為降低個 資外洩所造成 之損害,仍應 於事故發生當 下先行通知當 事人 個資外洩 我方因應 訴訟程序 罰則—加重任民事、刑事、行政責任 企業、團體或個人若違反個資法,最重受刑法處罰 為5年以下有期徒刑;民事賠償最高達新台幣2億元 1. 公務機關:無過失損害賠償責任(第28條) 2. 非公務機關:舉證責任倒置之過失責任(第29條) 同一原因事實應對於當事人負損害賠償責任者, 原則上依實際能證明損賠額賠償 如無法證明時,每人每一事件500-20000元, 最高賠償額新台弊2億元為限 行為人是否有故意過失之判斷應由公正第三人判斷之 刑事處罰:最重刑責5年(第41、42條) 1.犯罪行為 無營利行為 :處2年以下有期徒刑 拘役或併科NT20萬元以下罰金 意圖營利行為:處5年以下有期徒刑 拘役或併科NT100萬元以下罰金 2.告訴乃論之罪 3.處罰對象 中華民國境內或外之中華民國人民 公務人員假借職務上之權力機會或方法犯本章之罪者,加重其刑至1/2
- 69. 69 為何雲端安全重要? 2億? 刑責? 2億+刑責+公司信譽 有符合個資法的工具嗎?(ISMS、ISO 27001、PIMS)?
- 70. 70
- 71. 71
- 72. 72 新的資訊安全挑戰
- 76. 76
- 77. 77 誰是駭客?內部 內部 惡意的雲端使用者 想了解系統認證機制 想控制(虛擬)機器 惡意的雲端服務商員工 紀錄客戶使用資料 雲端服務商 讀取未加密資料 偷窺/複製虛擬機器 可以監視網絡及應用程式使用模式
- 78. 78 誰是駭客?外部 外部 入侵者 網路攻擊者 可能行為 側聽網絡通信內容 插入惡意內容 窺探雲端架構 進行DoS(阻斷服務攻擊)
- 79. 79 誰是駭客?目的 入侵 網路分析 中間人 雲端架構拓墣
- 81. 81 新的資訊安全挑戰 便利與安全的兩難 我們的隱私原則,通常是搖擺的,人們會出現隱 私兩難的局面。(紐約時報) 網路的匿名特性,是最大的缺點,但也是最大的 優點。 如果匿名的特性不在,即使有助於遏止一 些惡意活動,勢必仍將遭到隱私權提倡者的極力 反對。 除非有人可以解決隱私權與安全性的兩難 問題,否則原本的網際網路仍將繼續存在。
- 82. 82 新的資訊安全挑戰 他說:「只有惡棍才會擔心網路隱私權」 還說:「若對隱私權設限,將限制網路成長」 ----施密特(former Google CEO Eric Schmidt )
- 83. 83 雲端運算之7大安全威脅 雲端安全聯盟(CSA)發表雲端運算之7大威 脅(TOP threats to cloud computing)
- 84. 84 雲端運算之7大安全威脅 濫用或利用雲端運算進行非法的行為(Abuse and Nefarious Use of Cloud Computing) 不安全的使用者介面與APIs (Insecure Interface and APIs) 惡意的內部人員(Malicious Insiders) 共享環境所造成的議題(Shared Technology Issues) 資料遺失或外洩(Data Loss or Leakage) 帳號或服務被竊取(Account or Service Hijacking) 未知的風險模型(Unknown Risk Profile)
- 85. 85 濫用或利用雲端運算進行非法行為 此一威脅主要是針對雲端運算服務的供應者而言。 雲端運算服務供應商(尤其是IaaS 與PaaS 供應商) 為了降低使用的門檻,通常並不會要求使用者必 須經過嚴格的資料審查過程就可以直接使用其所 其提供的資源,有些服務供應商甚至提供免費使 用的功能或試用期。這些做法雖然可以有效推廣 雲端運算的業務,卻也容易成為有心分子利用的 管道。事實上,已經有包含殭屍網路、木馬程式 下載在內的惡意程式運行於雲端運算的系統內。
- 86. 86 不安全的使用者介面與APIs 使用者透過使用者介面或是APIs與雲端運 算服務進行互動,因此這些介面與APIs是 否安全直接影響到雲端運算服務本身的安 全性。像是使用者介面的驗證與授權功能 是否安全,APIs 的相依性與安全性,都是 必須特別注意的地方。此外,如果有使用 第三方的加值服務,這些服務的介面與 APIs 的安全性也必須一併加以考量。
- 90. 90 帳號或服務被竊取 儘管帳號或服務被竊取的問題由來已久,但是這類問題對 於雲端運算來說更具威脅性。首先因為雲端運算不像傳統 的IT 架構般擁有實體的東西,因此一旦帳號或服務被竊取 後,除非有其他的方式加以證明,否則惡意分子可以完全 取代原先使用者的身分。在傳統的IT 環境中,因為使用者 至少還擁有硬體的控制權,所以即使發生帳號或服務的竊 取行為,使用者還是可以進行一些事後的補救措施,但是 這些補救措施在雲端運算的架構下可能無法執行。此外, 對於那些公開的雲端運算服務而言,直接暴露於網際網路 上也讓這些竊取行為更加容易發生。
- 92. 92 雲端運算的風險 組織與政策 技術 法律 歐洲網絡與資訊安全部 The European Network and Information Security Agency (ENISA)
- 93. 93 資安風險 不做風險評估的資安,就是威脅及恐嚇 資安風險:潛在威脅利用弱點對資產造成 影響的可能性 風險 (Risk) = 潛在威脅 (Threats) x 弱點 (Vulnerabilities) x 影響 (Impact)
- 94. 94 風險評估矩陣
- 103. 103 雲端運算資安架構
- 104. 104 雲端運算服務資訊安全評估
- 105. 105 雲端運算服務資訊安全評估 選定採用雲端服務的種類 確認相關資料與應用程式的重要性 進行整體風險分析 尋找合適業者 定期追蹤考核
- 108. 108
- 109. 109 結語—鑒古知今,由電力產業推論資訊產業? 19世紀的電力產業: 工廠自備電力 大電廠出現,並提供電力網後,工廠也擔心輸電線的 可靠性,是否有必要冒風險,放棄自己發電? 現在的資訊產業: 企業自備電腦資源(運算能力、儲存空間) 雲端服務公司出現,企業擔心顧客資料、機密資料放 在雲端有風險,是否有必要冒風險,放棄IT部門? What do you think ?