2011年11月29日 星期二

全方位資安防護 為企業個資把關

知名企業網站遭駭客入侵、政府官方網站遭駭客攻擊等消息時有所聞,甚至已到了見怪不怪的地步,面對持續不斷的資安威脅,究竟該如何因應?對此,關貿網路專案經理鄭嘉豐表示,企業應從最基本的資安檢測做起,以了解當前資訊環境的弱點,並加以補強,做好基本功之後,才能更有效的執行其他安全防護機制。

落實弱點管理 建立縱深防禦概念

「弱點」是資安問題最基本的癥結,只要弱點存在,攻擊就會不請自來,因此,企業務必重視弱點生命週期管理,從評估、檢測、報告、修補到追蹤,各個環節都要落實,有了健康的資安體質,自然不易遭受惡意入侵。

其中,資安檢測項目包括:源碼測試(Code Review)、弱點掃描(Vulnerability Assessment;VA)、網站弱點掃描(Web VA)、滲透測試(Penetration Test;Pen Test)等,透過這些檢測,可協助企業了解當前存在的資訊安全弱點,以便即時修補,不讓駭客有可乘之機。

此外,企業也應該建立縱深防禦的概念。所謂縱深防禦(Defense in Depth)原是軍事術語,應用於資安領域,則是指部署一層層不同的保護措施,如此一來,就不必擔心一旦某防禦機制被突破,便讓入侵者長驅直入、直搗企業核心。

所以,無論管理、資料、網站、系統、網路,各個面向都應全部納入安全考量,而且入侵防護系統(Intrusion Prevention System;IPS)、入侵偵測系統(Intrusion Detection System;IDS)、防火牆、身分認證、網路存取控制(Network Access Control;NAC)……等安全防護機制,亦不可或缺。

從資料安全防護到個人資料保護

有了安全的資訊環境,才有能力談及資料保護,甚至進一步符合即將上路的新版個資法要求。

在企業當中,會涉及個資的檔案,不外乎交易資料以及客戶或員工個人資料,有鑒於台灣已經有不少企業導入資訊安全管理制度(ISMS),因此鄭嘉豐建議,可採用ISMS搭配個人隱私衝擊分析(PIA)的方式,從業務流程開始,就將個人資料納入評鑑,以確保這些資料的安全。

欲保護個人資料,首先要了解個資保護體系的層級劃分,若以金字塔結構來看,頂端是個資法,接著依序為個資法施行細則、事業主管機關規範/業界標準,最下面一層則是公司管理辦法/規範,也就是說,建立企業個資保護的標準化作業流程(SOP),是達成最終目標的重要基石。

鄭嘉豐指出,企業個資保護機制的建置流程有6大步驟,分別是:1.定義個資範圍、2.定義個資安全政策、3.進行風險評估、4.風險管理、5.選擇控制目標及方法、6.實行;而提升建置成功率的關鍵因素,在於人員、流程與產品(People、Process、Product;PPP),畢竟任何資料由「人」利用、處理,因此,企業必須訂定相關的使用及處理流程,輔以成本合理的自動化資訊控管產品,才能更有效率的落實企業規範,達成資訊安全與個資保護的雙重目標。

引用自《科技商情

沒有留言:

張貼留言