有關資安的事件層出不窮,相關新聞報導不斷,目前常見的資安威脅種類繁多,包括網頁安全、資料外泄、P2P軟件、釣魚式垃圾郵件、實時通訊等,甚至影音檔案都可能含有惡意程序連結或程序碼,可以說是防不勝防。
對企業而言,信息安全威脅不但可能造成資料外泄,導致商業機密流出,影響企業競爭力,還可能造成商譽受損,或衍生交易糾紛,影響企業運行。
但從許多實際發生的資安案例中,卻可看出,企業管理階層對資安威脅帶來的危害及損失,往往不夠了解,或是不認為會影響自身權利或利益,為了達成企業/組織的營運目的,為股東、員工及客戶創造最大利益,領導階層應將資安投資與企業獲利視為經營目標。
對抗外部攻擊 企業資安要做好基本功
企業面對的資安威脅日益嚴重,以來自外部的攻擊為例,企業現在面對的黑客,已經不再是新聞或好萊塢電影描述的,一群因為好奇、孤僻、展現功力或一時好玩的學生黑客,而是一群來自四面八方、具專業性、長期具耐心、為數眾多的組織型黑客,而且因為互聯網的黑色產業鏈已經形成,黑客可以利用木馬程序盜取QQ、網絡游戲、銀行帳號、信用卡帳號等個人資料,并從中牟取金錢利益,更增加組織型黑客攻擊企業的動機。
面對持續不斷的資安威脅,企業應從最基本的資安檢測做起,以了解當前信息環境的弱點,并加以補強,從評估、檢測、報告、修補到追蹤,各個環節都要落實,做好基本功之后,才能更有效的執行其它安全防護機制。
如許多主管喜歡透過監視器,查看員工是否專心上班,但在網絡上卻可以很輕易的找到某些監視系統的安裝使用手冊,里面甚至包含缺省口令,如果企業疏忽口令管理,黑客就可以很容易的坐在計算機前,透過畫面竊取資料。
甚至有企業入口網站在遭入侵后,才發現沒有任何備份及備援機制,導致在重建過程中,花了好幾天才讓入口網站恢復運行,不但影響企業運行,更造成客戶的不便,對企業商譽更帶來難以估計的損失。
因此,企業應該要建立縱深防御的概念,部署一層層不同的保護措施,如此一來,就不必擔心一旦某防御機制被突破,便讓入侵者長驅直入、直搗企業核心。無論管理、資料、網站、系統、網絡,各個面向都應全部納入安全考量,而且入侵防護系統(Intrusion Prevention System;IPS)、入侵偵測系統(Intrusion Detection System;IDS)、防火墻、身分認證、網絡存取控制(Network Access Control;NAC)……等安全防護機制,亦不可或缺。
防止資料外泄 管控措施要落實
但由于不管設下多么嚴密的防御,都只能降低資安風險發生的可能,資料外泄的可能性無法降到零,加上個資法修正后,企業必須承擔更大的資料外泄責任。事實上,來自內部人員的資安威脅,其實要遠大于外部人員。根據美國CSI/FBI的調查,內部泄密對大企業造成的損失,每年平均為270萬美元,而外部攻擊平均為5萬7千美元,差距近50倍,也顯示出內部泄密造成的損害,遠大于外部攻擊。
為了讓資料即使外泄,都不會造成企業損失,或承擔法律責任,未來有關資料加密的技術,勢必將成為資安管理非常重要的環節。如利用目前已廣泛用于影片、音樂、游戲、電子書等產品的DRM技術,也可以用于文件控管,讓企業信息可以在對的時間,讓對的人分享,即使外泄,取得資料的人也無法使用,使用者無論是內部員工、出差、外派人員,或是委外及合作協力廠商,機密文件皆能受到最好的保護。
此外,如何確認存取資料的人是誰?如何確保資料在保存或傳輸中,不被第三者偷窺或竊取?如何確保資料完整、正確、未被竄改?如何確認資料來源,并避免使用者在事后否認曾交換資料?也都是資安管理非常重要的課題。
為確保資料安全,企業的基本資安需求包括:身分識別(Authentication)、資料保密性(Confidentiality)、資料完整性(Integrity)與不可否認性(Non-Repudiation),而這些需求,只要透過可提供數碼信息傳遞安全服務,如簽章、加密等相關應用的PKI,就能獲得滿足。
此外,帳號與權限管理,以及稽核與日志管理,也都是防止內部泄密的重要管理策略。如帳號與權限管理要按規則做到自動化,人員只要更換部門,帳號權限就會自動改變,以避免特權帳號泛濫。即使是受信任的管理者,也不能長時間使用特權帳號,以免帶來資料外泄的風險。
而由于風險難以杜絕,企業更要做好稽核與日志管理,才能找出需要修改的地方,讓風險發生的可能性降至最低。企業不能只是注意外患,也要做好內部控管的工作,才能滿足法規上的要求,并同時防護實時的新型攻擊,
提升資安意識 有效落實資安管理
但資安問題的核心關鍵,還是在于許多相關單位沒有資安意識,如企業高層對于資安的認知不足,法規也落后新進國家太多,以至于企業可以規避責任問題。使用者也必須提高危機意識,建立正確的資安觀念,企業必須積極針對員工,進行資安認知教育訓練。
事實上,雖然大部分的人都了解資料保護的重要性,但還是有很高比率的員工,會將被規范的客戶資料及機密性的公司資料帶出辦公室,而且就在外工作的員工而言,使用方便性的考量遠大于資料隱密性。
因此,公司的資安政策一定要明確,管控措施一定要周全,針對云端技術、行動工作者等日新月異的工作環境變化,企業一定要好好思考,如何在不影響企業與員工的運行習慣下,透過適當的資安投資,兼顧降低風險及企業營運目標,以追求企業運行的最高效益。
京公網安備 11010502049343號