固守公司智慧資產 降低資料外洩風險

精品科技股份有限公司資安顧問兼資安部經理陳伯榆。

新型態資安風險已經來臨，要如何固守公司智慧資產，已經成為企業必須重視的議題。有鑑於此，精品科技資安顧問兼資安部經理陳伯榆先生，發表他們的看法。從傳統到創新應用、人員流動的資安保護、常用IT管理策略如何搭配DLP、檔案使用權限、雲端的衝擊與應變等面向來說明。

他認為，當今的企業應該跳脫傳統IT思維，提升到整體企業經營戰略的層次。將企業分成內外部的對策及管理，來進行規劃設計。

以企業營運的四大核心價值：商標、著作權、專利(顯性獲利)、營業秘密(隱性獲利)來看，其中的專利和營業秘密(包含生產、銷售、經營等資訊與方法？技術？製程？配方？程式？設計等Know-how)部分，則要先了解法制的保護規定，才能延伸實務的技術防護，再深入探討營業秘密問題與保護。例如營業秘密法第二條中第3個符合要件「所有人已採取合理之保密措施者」。因此當有衝突時，此將成為訴訟時重要的舉證來源，以確保公司營運不受影響。

做好資料保密分級 杜絕資料外洩疑慮

陳先生指出，當今導致企業資料遺失？外洩的前五大因素，包括：駭客入侵、電腦失竊、詐騙行為、Web應用系統、檔案銷毀問題。因此企業的應變措施，必須：掌握營業秘密所在、分析資料之類型、資料分級設計、設計保護措施、建立稽核追蹤循環作業。

IT人員可以把「管理制度」整合「技術防護」，來保護營業秘密。前者透過管理制度，從人員到職(簽署保密？就職？競業禁止等條款)、人員在職(提醒保密義務？管制？著作權歸屬？技資專利申請)、人員離職(重申保密範圍？簽切結書？重申競業禁止)到他公司就職(高階主管應變與知會新雇主)的員工流動週期，來防止員工資料外洩。

而後者透過技術防護設計，從人員到職(權限政策？定期追蹤？分層負責)、人員在職(檔案流通管理？資料加解密申請？稽核追蹤)、人員離職(管制資料保護？分析軌跡資料)到他公司就職(保存軌跡紀錄，避免問題衍生)等方式來防堵員工將資料帶走。因此，整合兩者來設計公司智慧保護措施，便能做好資料安全保護。

由於行動化、雲端化，創造出新興的資訊服務，各類雲端儲存服務因應而生，資料外洩疑慮也跟著出現，使得各種資安防護架構被開發出來。該公司所提供X-FORT電子資料監控與X-DoRM電子文件控管的技術，能夠確保資料和文件在公司網路流動的過程中，能夠受到主管人員嚴密的監控與管制。

全面的安全的管理設計  保護企業智慧資產

在電腦使用權限部分，設計成外接儲存裝置、光碟寫出檔案時，能具備主管審核管理；亦讓裝置能夠禁用、唯讀、寫出的加密檔案用密碼管控、可否燒錄光碟、留存紀錄以便稽核等多種模式；列印紙本也可具備浮水印、特定檔名列印管控、列印文件備份存查等功能；在硬碟防護部分，可防止硬碟被帶走，或以USB開機、硬碟串接方式來存取資料；至於操作紀錄，能夠追蹤各種檔案的新增、複製、刪除、更名，以及紀錄剪貼簿的文字內容，以確保機密資料的嚴密監控，不會流到別人的口袋裡。

在網路安全部分，能夠透過傳輸管控、防火牆、網路芳鄰、網頁管控、網頁文字紀錄、郵件管控等方式，來保障公司資料不會流到外界，而外部文件的流入，與委外文件的流出，也能獲得掌控與追蹤，以避免企業機密外洩。

至於在軟體安全部分，亦可透過軟體安控、文件防駭、遠端管理等技術，來保障電腦使用過程中不會有非法存取。最後在稽核紀錄警示與分析部分，能夠透過多種紀錄與報表，來追蹤各種企業資安趨勢。

最後，在企業組織常見ISO27001 2013版中，亦有許多控制項與資安制度有關，例如A6資安組織、A7人力資源安全、A10密碼學、A15供應商關係、A18符合性等等，皆有明定資安各環節之控制規範，可更有效益去執行企業智慧資產保護。綜合上述趨勢，該公司提供完善的技術，協助企業架設完整的智慧安全防護網。