讓資料外洩的危害降至最低 智慧應用 影音
D Book
繁體版 简体版
評估申請
快捷顧問
登入
236
Event
EVmember

讓資料外洩的危害降至最低

目前絕大多數的資訊安全威脅,其實是來自於內部人員,原因包括人為疏失或不誠信員工等,企業必須拿出適當的因應對策,以減少不必要的損失。法新社
目前絕大多數的資訊安全威脅,其實是來自於內部人員,原因包括人為疏失或不誠信員工等,企業必須拿出適當的因應對策,以減少不必要的損失。法新社

企業對於資訊安全的觀念已開始漸漸加強中,即使是中小企業,也知道安裝防毒軟體或防火牆的重要性。但真正完整的資訊安全,不能只是考慮外部攻擊,也需要考慮內部洩密的問題。

事實上,資料外洩已是每天都可能會發生的議題,尤其在面對日益嚴峻的資料保護問題,包括資料增長永無止境、企業需要保護的重要資料類型愈來愈多,加上電腦對外的連接介面也愈來愈多的情況下,透過Web Mail將內部敏感資料寄到外部,或是透過USB隨身碟、外接硬碟將內部資料大量複製,將客戶個人資料大量透過印表機印出,甚至在寄發E-mail時不小心填錯收件人,誤送內部敏感文件,或是將敏感資料誤放到開放的分享目錄,以及討論區或部落格等,所有的通訊管道,都可能成為洩密的管道。

真正完整的資訊安全不能只是考慮外部攻擊,也需要考慮內部洩密的問題,除了安裝防毒軟體外,更要善用資訊加密技術。法新社

真正完整的資訊安全不能只是考慮外部攻擊,也需要考慮內部洩密的問題,除了安裝防毒軟體外,更要善用資訊加密技術。法新社

做好內部人員控管 避免資料外洩

Websense台灣區技術經理林秉忠指出,目前台灣最欠缺的,就是網路洩密管道的控管,許多重要資訊,都可能在傳遞過程中洩密。尤其目前新修正的個資法,要求資料從蒐集、處理、利用、傳輸到銷毀,在銷毀前的每個階段都要做好資料外洩防護(Data Leakage Prevention;DLP)。

目前絕大多數的資訊安全威脅,其實是來自於內部人員,原因包括人為疏失或不誠信員工等。因此,DLP所涉及的問題不只是技術問題,還牽涉到各種管理問題,包括政府法規、公司政策、實施規範等,企業必須拿出適當的因應對策,包括拒絕風險(如封住USB端)、降低風險(如裝防毒軟體)或接受風險(如買保險)。

尤其在企業已經開始導入雲端服務的服務架構後,企業不僅要找到具備雲端防護的資訊安全解決方案,更要做好一旦資訊外洩時,如何避免傷害進一步擴大的問題。

因為雲端服務供應商提供的軟體介面或應用程式介面,主要是便於使用者使用雲端服務,未必會考慮企業本身的資訊安全性及可用性,尤其是愈來愈多的雲端平台提供第3方供應商的加值服務,這些服務的使用介面,也可能會增加原本應用程式介面的複雜性及風險。

此外,一旦企業資料送上雲端服務,就不只是企業及相關人士可以接觸敏感資料,雲端服務供應商的內部員工,也有機會接觸企業資料,但是企業卻不知道他們如何被規範,也許連招聘的條件與方式都不清楚,這些未知都是1種潛在威脅。

雲端運算共用主機 帶來潛在風險

雲端運算的另一個風險,就是使用者看似擁有獨立運算環境和資料儲存空間,實際上卻是與他人共用1台主機,只不過利用虛擬化技術,在實體環境上產生多個虛擬空間,加上雲端服務供應商的內部人員責任已經分攤掉,不會專注於特定資料的保護,雲端服務供應商甚至將責任轉移至資料擁有者,讓雲端服務其實有著基本信任與責任的問題。

對企業來說,資料遺失或外洩所造成的影響,絕對不是只有金錢損失而已,還包括商譽受損、客戶不信任等無形衝擊,而雲端環境受到平台架構與運作特性影響,不僅風險愈來愈高,資料外洩的威脅也隨之攀升,使用者除了要做好雲端供應商的驗證、授權和稽核控制措施是否完善,加密技術合法性、資料刪除方式是否安全、災難復原能力等評估外,也一定要做好資料一旦外洩時,如何將損失降至最低的規劃。

企業可以考慮行為記錄,即時記錄違規電腦、傳送資料、備份敏感資料存證供事後稽核,或是記錄授權者接觸機密資料的行為與時間。一旦出現員工將機密資料以USB、E-mail、IM 或 FTP 等管道傳輸機密資料時,系統即可立即在其電腦視窗示警。

此外,定期資安健診與稽核,發現問題並著手加強網站軟體資安漏洞掃描,強化入侵偵測與防駭機制,並強化資安觀念訓練,才能維護企業名譽,確保競爭優勢與無形資產。

善用資訊加密 獲得完整保護

另一個必須考量的資訊安全技術,就是資訊加密技術。在1份由資訊系統與通訊安全服務廠商Thales贊助、Ponemon研究機構執行,針對505位負責資訊安全系統稽核相關人員所做的調查中,有81%的受訪者認為敏感性與機密性資料,如醫療資訊、財務與帳戶資料都必須要被加密,更有71%的受訪者認為,如果沒有使用加密技術,企業的資訊將無法獲得完整的保護,即使這些資料還留在公司的範圍內。

調查中指出,最需要部署加密技術的部分,包括內部的應用基礎建設,外部的服務提供者(尤其是以雲端為基礎的SaaS),終端使用者的設備(筆記型電腦與個人電腦),還有外部業務夥伴。

值得注意的是,只有32%的受訪者表示,他們所稽核的企業有主動管理敏感性資料與資料保護風險,其中只有45%的企業擁有足夠的資源,來達成資料法規遵循的要求。

事實上,儘管加密本身未必能防止資料外洩,但由於法規規定,外洩的加密資料,可以視同未外洩,等於讓資料受到保護。而且透過必須連接公司硬體才能解密的資訊加密技術,即使資料外洩,一樣不能使用。

而為了在確保雲端應用安全的同時,不會衝擊效能,勢必要做好多客戶共享環境的雲端應用程式資料保護,如確保雲端數位簽章和PKI的安全,確保資料真的是從雲端服務所產生,落實雲端身分識別與異動處理的安全管理。

此外,利用安全執行個體加密與認證,以維護虛擬機器的信任與管控,或是藉由加密的資料隔離,以維護共享儲存環境的資料隱私,達到虛擬儲存安全的目標,更是雲端服務能否取得用戶信任的關鍵。

另外一個需要注意的雲端安全問題,就是大量敏感資料傳輸的通訊安全問題。唯有讓資料在其生命週期內的各個關鍵點,都能受到適當的保護,才能確保企業資訊安全的完整性。


關鍵字
加入已選取到「關鍵字追蹤」 什麼是「關鍵字追蹤」
議題精選-2011年網路資訊安全新趨勢