🛡️
🔌 系統整合
資安健檢 / 防勒索基礎建設
資安顧問報價動輒五六十萬、防毒軟體又只擋表層 — 中小企業真正需要的是「基本盤都做好」:知道哪裡有洞、員工不會點釣魚信、備份真的能還原。我們提供一個中小企業可負擔的資安基礎建設方案,不賣產品、不簽長期合約、做完就交付。重大資安事故發生需要專業 IR 團隊處理,我們不接 IR 救援、會協助轉介。
這個服務適合誰?
- ✓聽到「同業被勒索病毒打中」開始焦慮的老闆
- ✓客戶 / 上游要求填資安問卷但不知道怎麼填的中小企業
- ✓個資法 / GDPR 合規壓力來了、需要快速補齊基本盤的公司
- ✓已經被打過一次、想徹底補洞不再被打的痛過老闆
- ✓想評估「我家資安到底有多脆弱」但不想被顧問公司收一大筆的決策者
你是不是也遇到這些狀況?
如果中了兩個以上,這個服務就是為你而設計的。
- ⚠看新聞同業中毒,每天提心吊膽不知道自己有沒有風險
- ⚠員工會點 LINE / Email 上的奇怪連結,講過好幾次還是會點
- ⚠備份有做但沒測過還原,真的出事不知道能不能用
- ⚠防毒軟體一年付一付續費,但勒索病毒到底擋不擋得住沒人知道
- ⚠客戶要求填資安問卷,問題看不懂、亂填又怕被抓包
- ⚠想做但顧問公司開價嚇人,又不知道哪些是必要、哪些是過度
核心流程怎麼跑?
我們把每一步攤給你看 — 沒有黑盒子、沒有意外費用。
W1
資產盤點 + 漏洞掃描
W2
員工釣魚演練 + 備份策略
W3
教育訓練 + 改善建議
W4
驗收 + 30 天追蹤
- 1
資產盤點
盤點公司有哪些對外服務(官網、ERP、信箱、雲端硬碟、VPN)、哪些員工有管理權限、敏感資料存在哪,先弄清楚要保護什麼。
- 2
漏洞掃描
對你所有對外服務跑 OWASP Top 10 漏洞掃描(SQL injection、XSS、CSRF、未加密、過期 SSL 等),列出風險等級、給修補建議。
- 3
員工釣魚演練(可選)
寄一波擬真釣魚信給員工(內部演練、不外洩),看誰點、誰填密碼,事後做 30 分鐘教育訓練、看數據說話比講道理有效十倍。
- 4
備份策略 3-2-1
建立 3 份備份(生產 + 本機 + 異地)、2 種媒介(雲端 + 實體)、1 份離線(勒索病毒打不到),並實際做一次「假裝中毒、從備份還原」的演練。
- 5
教育訓練
1.5 小時全公司教育訓練(員工版)+ 1 小時主管版(決策層該怎麼判斷),錄影留下來新人入職也能看。
- 6
改善追蹤
交付後 30 天再跑一次掃描看修補狀況、釣魚再演練一次看員工進步多少,給最終報告。
📦 你會拿到什麼
- 資產盤點清冊 + 風險等級表
- 漏洞掃描報告(OWASP Top 10 + 修補建議)
- 釣魚演練數據 + 員工教育訓練錄影(可選)
- 3-2-1 備份策略實作 + 還原演練紀錄
- 30 天後追蹤報告
- 重大事故發生時的 IR 廠商轉介聯絡窗口
🛠 技術棧
- OWASP ZAP / Burp Suite 漏洞掃描
- GoPhish 釣魚演練平台
- Veeam / Synology / Wasabi 備份方案
- Microsoft 365 / Google Workspace 安全設定
- Cloudflare WAF + DNS 防護
OWASP Top 10 全項檢測
備份還原實測通過才交付
教育訓練錄影留作新人教材
常見問題
客戶最常問的那幾題,我們直接攤給你看
我們公司就 20 個人,真的需要做資安嗎?
20 人公司勒索病毒中招賠的不是 IT 修復費、是「停工 1 週、客戶資料外洩、可能被罰個資法」這幾個的總和。中小企業反而是駭客最愛的目標 — 大公司有專業團隊、駭客打不下;中小企業資安裸奔、勒索很容易得手。我們的方案是「基本盤」級,不是要你變資安公司,是讓你不要中招。
和顧問公司動輒五六十萬的方案差在哪?
顧問公司多半要你做 ISO 27001 / ISMS 等正式認證 — 那是有合規硬性要求的客戶(金融、上市櫃)才需要。中小企業的真實需求是「基本盤都做好、不要中招」,不是拿認證 — 把 80% 真正會發生的風險用合理預算解決,剩下 20% 高階風險(APT、零日漏洞)你公司被打中的機率本來就極低。
我已經有防毒軟體、有 Cloudflare,還需要做嗎?
防毒擋的是「已知病毒」、Cloudflare 擋的是「外部 DDoS」,但中小企業最常中招是:員工點釣魚信 → 帳密外洩 → 駭客用合法帳號進來 → 防毒看不到、Cloudflare 攔不到。這條路只有「員工教育 + 備份策略」能擋。買軟體只能解決一部分,員工才是最大破口。
員工釣魚演練會不會讓員工不爽?感覺像在試探他們
這是最常見的擔心。建議「先告知有演練、但不告知時間」— 員工知道公司在練習、不會覺得被陷害;中招的同事「私下告知 + 教育訓練」、不公布名單也不懲罰,整體氛圍是「一起變強」。實務上做完員工感謝度反而高(「終於知道哪些信不能點」)。我們有制式溝通腳本給你用。
如果真的中毒了你們會幫忙嗎?
我們不接重大資安事故的 IR(Incident Response)救援 — 那需要 24/7 待命的專業團隊,我們的規模做不到、做了會誤事。但會在交付時提供「事故聯絡清單」,含台灣幾家專業 IR 廠商的窗口(Trend Micro、安碁資訊、戴夫寇爾等),出事第一通電話打給他們、不是我們。我們只負責「事前預防」,這是誠實的分工。