2011年11月29日 星期二

做好電子文件控管 防止資料外洩


資訊安全問題由來已久。過去的資安議題,包括異地備援、防火牆、防毒掃描等抵禦外患的作為,至今仍相當重要。但精品科技技術總監賴頌傑指出:環境在改變,觀念也必須隨之不斷演進,資安觀念不能只是停留在防止外患入侵為主,現在還必須要注意避免發生內部資料外洩的問題。

內部外洩的威脅最大

賴頌傑(精品科技研發技術總監)引述資訊安全學會理事長謝續平教授的觀察:很多企業只將外部攻擊事件引為殷鑑,投資並架構對外的防禦措施,卻往往不了解,由於內部員工使用權限大,破壞程度與風險相對提高,所以企業更應該加強內部控管。

賴頌傑根據資策會的調查指出,資訊安全的威脅來自外部人員(如駭客、病毒)只佔5%,環境因素(如水災、火災、地震)也只佔15%,來自內部人員(如人為疏失、不誠信員工)的比例高達80%。

協力廠商可能是外部威脅的最主要來源,但最主要的威脅還是內部人員。賴頌傑舉例指出,如果有人來找工作,只要在面試時要求其提供前一份工作資料,往往很容易取得,可見許多企業對於內部洩密的控管不佳。

根據美國CSI/FBI的調查,內部洩密對大企業造成的損失,每年平均為270萬美元,而外部攻擊平均為5萬7千美元,差距近50倍,也顯示出內部洩密造成的損害,遠大於外部攻擊。

利用DRM降低資料外洩風險

賴頌傑指出,為了避免資料外洩造成損失,常見的解決方案有二:第一種是資料遺失保護(DLP),原理是做好系統的防護工作,就像用大門的鎖保護家中的財物。但因為沒有絕對不會被破壞的門鎖,因此賴頌傑認為,第二個解決方案:數位版權管理(DRM)便變得相當重要,就像將家中的財物換成簽名的旅行支票,就算財物真的失竊,取得財物的人也無法使用。

一般而言,企業對於文件控管的期待,包括不影響使用者的正常操作習慣、文件的閱讀及列印與編修均由公司統一控管、可事後追蹤文件各種操作、必要時可將文件進行回收、給協力廠商的文件可被保護...等。

前述文件管理要求,賴頌傑認為透過DRM都可以滿足,如有了DRM,就算離職員工用USB隨身碟或燒錄光碟,在離職前將資料帶走,只要文件一離開公司就無法讀取。賴頌傑指出,採用DRM,無論是內部員工、出差、外派人員,或是委外及合作協力廠商,機密文件皆能受到最好的保護。

做好5A 落實稽核

採用DRM保護文件,賴頌傑建議要做好5A防護監督機制加密(Autocrypt)認證(Authentication)授權(Authorization)管理(Administration)稽核(Auditing)其中最重要的是稽核,因為紀錄應該是只有稽核能看,而且只能看,不能修改,才能做好監督。

此外,重要機密文件一定要詳細記錄使用過程,包括建立、更名、列印、修改、複製、回收及銷毀,也就是做好文件生命週期追蹤,才能作為日後稽核追蹤的依據。

法規修正讓企業必須更重視

賴頌傑強調,個資法一旦修正通過,公司及負責人被處罰的可能性將會大增,但只要企業能夠提供足夠的防護系統,以及提供滿足法規及制度的諮詢,即使個資外洩,也不會受罰,因此IT人員若能利用個資法修正的時機,透過DRM降低企業資料外洩的風險,將可爭取更好的表現機會。

引用自《科技商情

沒有留言:

張貼留言