2013年2月27日 星期三

步上Nokia後塵 Zendesk用戶個資外洩

步上Nokia後塵 Zendesk用戶個資外洩

委外服務是越來越普遍的趨勢,然而,如果缺少妥善管理,可能會讓公司和其用戶深陷巨大的資安風險中,近期由於委外廠商遭駭而牽連客戶的例子,除了台灣諾基亞(Nokia)之外,還包括客服軟體供應商Zendesk。

Zendesk於2/21對外示,因為駭客入侵該公司的系統,導致三家客戶Twitter、Pinterest和Tumblr的用戶資料被影響。Twitter表示,僅有少部分用戶的帳號被存取,而且沒有密碼外洩;Pinterest部分用戶的姓名、email、訊息等資料遭竊;Tumblr部分用戶的email也被竊取。

Zendesk為一家提供客服軟體以及可提供客服委外服務的廠商,根據其網站,該公司擁有超過25,000個以上的客戶,包括Groupon、Sears、Xerox等大規模企業。雖然在該起資料外洩事件中,多數被存取的資料並非機密性資訊,但仍讓駭客有機會利用這些資訊發送惡意郵件和展開攻擊。

對於企業來說,將行銷、網站管理、客服等作業委外給專業第三方業者管理可能是個好主意,然而,委外服務供應商擁有龐大的資料,也成為駭客攻擊的目標,若委外業者的安全防護機制不夠周延和縝密,無疑為駭客開了方便大門。

從近期Nokia和Zendesk這兩起外洩事件來看,如何將安全防護的觸角延伸至委外廠商或是合作夥伴上,顯然是個企業無法迴避的課題。

轉載自《資安人科技網》

三大改變 新版ISO 27001預計今年10月公佈


三大改變 新版ISO 27001預計今年10月公佈

自公佈至今8年之久的資安管理系統ISO 27001:2005標準,日前新版ISO 27001:2013草稿DIS版本已公開大眾閱覽及徵求意見,預估意見彙整與討論後在今年6~7月會公告Final DIS版。目前ISO組織公告正式版本的頒佈時間為2013年10月19日,在新版公告後18個月至兩年內是轉換緩衝期,也就是原已取得證書的企業最慢需在2015年10月19日前轉換到新版標準。

BSI英國標準協會驗證部協理謝君豪表示,此次算是大改版,與舊版相比主要有三大差異:一、管理體系更容易整合;
二、融入企業面臨的新挑戰;
三、更多指引延伸參考。
說明如下:

(1)易整合:以前各管理系統對管理制度面的要求有不太一致的描述方式,且章節不一。例如管理制度的PDCA、政策與高階支持等管理制度面要求不同。在新版當中採取Annex SL做結構性要求,讓不同管理系統易於接軌、整合(如下圖)。Annex SL的high level structure是ISO組織對未來所有管理制度在制定時的重要依據,目前如ISO 22301(前BS 25999營運持續管理系統)及此次ISO 27001新版都已採此結構進行調整。先前已頒布的標準,如ISO9000/ ISO20000在未來的改版,預料也將以相同的精神進行調整。


圖片來源:BSI提供(2013/01)

(2)新要求:ISO 27001:2005原有11個領域(domain)、133項控制措施,新版DIS目前調整為14個領域(A.5-A.18)、113個控制措施(未來仍可能有異動)。新增的領域為將原分散在各領域中的部分控制目標提升其位階為新領域,如加密與供應鏈管理因其重要性而被獨立出來成為新領域,或是將原有領域拆開,如將通訊與作業管理分開成兩個獨立的領域,以反映目前資安的發展趨勢。而控制措施減少則是像變更管理在不同的領域當中有重複就予以合併。也有新增的控制項目如對智慧型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發專案管理的資安要求等。

(3)更多參考:此次ISO也新增許多指引供企業參考,組織可以在不同的面向及風險進行更深度的強化,通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號 (001-044),例如金融服務、數位鑑識、供應鏈管理(4本)、軟體開發測試等,主管機關可參考這些指引做進階要求。

截至目前,台灣企業組織已經取得461張ISO 27001證書,在個資法的驅動下,也有更多新單位正在準備ISO 27001,謝君豪建議準備中的企業無須等待新版,按照原訂進度先取得27001:2005驗證,在緩衝期結束前轉到新版即可,新版會向下相容接軌。

至於已經取得ISO 20000、ISO 27001或ISO 9000等多張證書的企業,是否要同時參照Annex SL調整畢其功於一役?謝君豪認為目前第4-10條章節雖已統一,但不同管理制度底下的細項控制目標仍有些許不同,不建議一起調整。各管理系統因不同目的而制定,如品質、環境、資訊安全、IT服務、營運持續等,在管理面會有不一樣面向的要求。在ISO組織尚未把所有的標準根據Annex SL的精神/ 架構進行調整前,企業組織要進行整合或調整,需要有一定的額外資源及對各個系統管理面的了解,可行性才會較高。且台灣企業不同管理制度很多是不同部門主導,導入的範圍也都不同,一起調整有其困難度。但若當初不同管理制度導入時就已做好對照與整合,也許比較容易。他強調,整合管理是未來的趨勢,如此才能呈現管理系統的綜效。

轉載自《資安人科技網》

2013年2月26日 星期二

陸駭客週休二日 疑領錢辦事


陸駭客週休二日 疑領錢辦事

中國大陸政府一再否認參與網路攻擊外國目標行動,也堅稱這樣的攻擊與賊沒什麼兩樣。不過至少一項專家引述的證據顯示網路間諜行動已專業化:大陸駭客週末不工作。

美國網路安全公司Mandiant上週公布詳細報告後,指大陸政府批准駭客行動。這份報告也再度點燃流傳已久的揣測:人民解放軍不僅竊取國防機密、騷擾異議人士,更竊取外國企業機密,這些資料的價值可能高達數百萬、甚至數十億美元。

美聯社報導,專家表示,源自大陸的駭客攻擊不僅肆無忌憚,而且持續不斷。美國加州蘭德公司(RandCorporation)網路安全專家利比基(Martin Libicki)說:「中國的駭客攻擊至少比其他國家多出一個量級。」而且駭客週末停止攻擊行動的事實,顯示他們可能領薪,掩飾了「駭客是私下行動的主張」。

利比基和其他網路安全專家老早就發現,據信來自大陸的強大網路攻擊總是發生在北京時間「週一至週五」,不過,鮮少有公開證據直接把駭客攻擊連結到人民解放軍。

駭客組織大部分在北京時間上午8時開始攻擊行動,持續攻擊的時間大約符合一天的標準工時,但攻擊時間偶爾也會持續到午夜。Mandiant說,有時有兩星期時間沒有任何駭客攻擊,但原因不明。

利比基說,他不清楚有沒有全面性的調查,但就這類案例看來,網路系統遭惡意軟體入侵等攻擊發生的時間都在北京時區的上班時間。

馬里蘭州大學巴爾的摩郡分校網路安全研究學程主管佛諾(Richard Forno)和英國皇家國際事務研究所(Chatham House)網路安全專家克勒門特(DavidClemente)說,許多網路專家確實發現,駭客入侵時間符合大陸工時。

克勒門特說:「這反映網路攻擊漸漸成為例行活動,駭客發動攻擊的方式非常井然有序。」

轉載自《中央通訊社》

律師:Nokia百萬個資外洩案已可提告求償,恐成個資團訟首例


律師:Nokia百萬個資外洩案已可提告求償,恐成個資團訟首例

臺灣Nokia遭駭,恐外洩了150萬筆顧客個資,駭客也在2月初上網公開了其中的17萬筆個資。達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這是個資法上路後最大宗的個資外洩事件,個資遭外洩的民眾已可向Nokia提告求償

臺灣Nokia行銷活動網站遭駭,Nokia承認可能遭竊了近150萬筆個資記錄。駭客也在今年2月5日時上網公布了其中的17萬筆記錄,包括姓名、電話和電子郵件等個資。臺灣Nokia於2月23日也在官網公告坦言受駭,並表示已通知可能遭外洩帳號密碼的7,000位民眾。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這次事件是個人資料保護法上路後,最大宗的個資外洩事故,因這類事件難以評估財產損失,只要資料外洩屬實,就達到可以訴訟的條件。這次事件的個資當事人已經可以向臺灣Nokia提告求償,甚至這可能成為首宗個資法團體訴訟的案件。

依據個資法28條規定,單一事件中每人可求償金額從500~20,000元不等,以Nokia這次外洩150萬筆個資來估算,若每筆資料的受害民眾沒有重複,求償金額將達到法定單一事件最高總額2億元的上限。

雖然Nokia將遭駭行銷網站委託給網路行銷公司Agenda負責建置和維運,但依個資法規定,受委託機構視同委託機構,發生個資外洩時,仍是由Nokia負責,民眾仍是向Nokia求償。而Nokia則可另外向Agenda求償。

不能只在網站發表聲明,企業需主動通知受害當事人

臺灣Nokia官網聲明稿表示,此次遭竊的顧客個人資料多為1年以前的舊資料,但是包括了姓名、電話、電子郵件,以及相關活動所需資料,其中約有7千筆外洩個資含有密碼,為避免釀成更大災害,Nokia已用簡訊或電子郵件先通知這些個資的當事人。但葉奇鑫表示,不只這7千人,臺灣Nokia依法也需通知其餘恐遭外洩的當事人,不能只在網站上發表聲明稿。

根據個資法施行細則第22條規定,Nokia必須採取當事人能夠知道的方式來通知民眾,雖然細則也規定,若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因,以網際網路、新聞媒體或其他適當公開方式為之。但是,葉奇鑫認為,除了已接到個別通知的7千人以外,其於受駭民眾無法得知,自己的個資是否屬於這次外洩事件的影響範圍內,也因次就不會主動到Nokia官網瀏覽聲明,所以,他認為,Nokia後續還須主動通知其他受駭民眾,才能符合法律要求的告知義務。

另外,駭客論壇上揭露了這次入侵Nokia是透過SQL Injection(資料隱碼)攻擊手法,曾任職資安軟體公司總經理的葉奇鑫表示,這類攻擊多因工程師所設計的程式碼安全性不足,才會產生漏洞。

這也意味著,臺灣Nokia並沒有善盡個資保管的責任,沒有採取適當的安全維護措施來確保網站安全,另外,臺灣Nokia也並未適當監督委外公司Agenda,才會發生如此嚴重的事件。因此,臺灣Nokia的中央事業目的主管機關或是臺北市政府,也應盡快派員進行行政檢查,查核臺灣Nokia個資保護制度落實的程度。

不過,負責管理這些遭駭行銷網站的Agenda公司,至截稿前仍以負責人不在為由,拒絕說明為其他企業客戶維運的網站是否也有類似遭駭風險。文⊙張景皓

轉載自《iThome》

2013年2月24日 星期日

UPnP存在嚴重漏洞 資安專家建議暫時關閉


UPnP存在嚴重漏洞 資安專家建議暫時關閉

Rapid7日前發布一份研究報告,指出UPnP (Universal Plug and Play)協定存在嚴重的漏洞,包括路由器、印表機、媒體伺服器、網路攝影機、smart TV等高達4000~5000萬台設備,都存在被攻擊的風險,建議設備廠商儘快修補這些漏洞,並呼籲所有的使用者和企業最好先關閉UPnP功能。

Rapid7安全研究人員從2012年的6月到11月間,掃描了所有可路由的IPv4位址,發現有高達8100萬個獨立IP位址均向UPnP進行回應,其中有4000~5000萬台設備存在被攻擊的風險,因為可能分別或同時具有以下三種UPnP漏洞:Portable UPnP SDK、MiniUPnP,以及UPnP簡易物件存取協定(Simple Object Access Protocol,SOAP)。Rapid7進而指出,1500多家廠商的6900多種產品型號包含至少一種已知的漏洞,被點名的廠商包括Belkin、思科(Cisco)、Netgear、D-Link以及華碩(Asus)等。

在上述三大漏洞中,UPnP SOAP上的漏洞危險度最高,讓1700萬台設備存在被攻擊並竊取系統上資料的風險。Portable UPnP SDK中有8個漏洞,雖然最新的1.6.18版本已經在1/29釋出並修補,但廠商恐怕還需要一些時間才能完成更新。

另外,MiniUPnP的漏洞雖然早在2008、2009年就已經修補,卻仍有高達14%的設備使用未修補的MiniUPnP 1.0版本,安全公司Secunia的資安長Thomas Kristensen認為,這顯示有太多廠商沒有將安全納入基本的產品設計考量中。

Rapid7特別強調,所有設備中,路由器尤其可能成為首要攻擊目標,因為攻擊者可以改變DNS設定,將設備導向被攻擊者控制的伺服器,然後透過該路由器散布垃圾郵件、或是進行點擊劫持詐騙(clickjacking scam)以獲取利益,甚至監控該設備的網路流量等。

UPnP網路協定被廣泛應用在各種網路設備,讓不同的設備能更有效率的互相溝通,以及自動建立工作組態以進行資料分享等應用。雖然UPnP主要應用在區域網路環境內,卻仍舊存在許多安全漏洞。

早在2001年,eEye研究人員於2001年便曾警告UPnP上存有漏洞,US-CERT亦在2008年時發出安全警告,指出UPnP存在的漏洞,可以讓駭客透過惡意Flash檔案進行攻擊,進而感染系統和取得控制權,Rapid7資安長HD Moore表示,UPnP安全漏洞雖然不是一個新議題,但這是迄今影響規模最大的。

轉載自《資安人科技網》

伺服器虛擬化趨勢- 伺服器虛擬化成為企業持續性IT投資


伺服器虛擬化趨勢- 伺服器虛擬化成為企業持續性IT投資

超過5成企業投資伺服器虛擬化,榮登軟體投資第一 

過5成企業投資伺服器虛擬化
今年伺服器虛擬化仍位居企業軟體投資第一名,占比53.5%,遠高於作業系統、Office等辦公室軟體投資。金融業對伺服器虛擬化的需求最高,有高達近7成的金融業要投資伺服器虛擬化,其次包括政府與學校、醫療業等,今年也都有過半機構編列了伺服器虛擬化預算。

2013年企業軟體投資Top3


各產業要導入伺服器虛擬化的企業占比


投資伺服器虛擬化的企業增加,但投入預算卻下滑 
各產業今年雖然持續有投資伺服器虛擬化軟體預算,但投資金額明顯較去年少,整體預算平均從去年約4百42萬,下滑到2百66萬 ,金融業去年編列高達1千3百多萬元在伺服器虛擬化應用,今年下降到7百多萬元,高科技製造業也從去年5百多萬元預算,下降到今年1百50萬。有企業表示,今年預算有受預算影響,此外,也有企業在去年就已陸續導入伺服器虛擬化,因此今年應用擴張的幅度比較小,導致編列投資的預算降低。

2013年各產業伺服器虛擬化投資金額


企業應用系統已虛擬化的比例
註:百分比數值代表採用該項的企業比例



2013年伺服器虛擬化趨勢- 建置規模倍增,多廠牌混搭風行

伺服器虛擬化當道,今年過半企業仍計畫導入伺服器虛擬化。

金融業伺服器虛擬化需求最高,某票券金融單位資訊長解釋,金融業相較於其他產業,資訊系統的複雜度更高,企業內有不同的金融交易服務,此外還有網路銀行、行動銀行等新興應用,伺服器虛擬化後,可以讓每臺實體機器模擬成多臺虛擬機器,達到精簡實體伺服器數量的目的。此外,還有災難備援等應用,也是金融業願意投資伺服器虛擬化的原因。

除了金融業以外,有高科技製造業資訊長表示,從2012年以來,企業內部就有陸續評估和測試過不同廠商的虛擬化平臺,經過1年的測試,今年就計畫將虛擬化環境正式上線。預計應用系統虛擬化的比例,高達8成以上。顯見企業對於伺服器虛擬化應用的顧慮已經越來越少,並願意轉換企業內應用程式環境到虛擬化平臺,導致虛擬化投資比例持續增加。

建置規模成長2倍 
在導入規模上,今年企業整體平均要增加約2倍的虛擬機器,企業平均現有22.3臺虛擬機器,今年平均要再增加17.8臺,等同於2013年企業內平均會有約40臺的虛擬機器,數量倍增。

政府與學校建置虛擬機器的規模最高,2013年預計要增加近百臺(97.3臺)虛擬機器。其次則是金融業。

多廠牌混搭當道
今年虛擬化平臺的採用平臺與去年相比差異不大,VMware採用比例仍舊攻佔第一,高達6成(63.1%)企業採用vSphere。微軟Hyper-V位居第二。

雖然VMware採用比例最高,但新光三越資訊部協理鐘克倫表示,目前企業內環境兼具VMware vSphere和微軟Hyper-V。以不同平臺的虛擬機器建置數量和規模來看,鐘克倫表示,企業內Hyper-V的虛擬機器數量較多,但主要關鍵應用,考量到系統穩定度和效能,仍是以VMware平臺為主。他表示,企業內虛擬平臺改採異質環境,就是考量到軟體授權的成本問題。企業內原本就有採購微軟Windows Server作業系統,因此內建的Hyper-V就可以當做測試或非關鍵性系統應用。文⊙曾筱媛

各產業虛擬機器建置規模


伺服器虛擬化平臺採用率
註:百分比數值代表採用該項的企業比例


轉載自《iThome》

行動應用趨勢- 平板帶領企業IT行動化


行動應用趨勢- 平板帶領企業IT行動化

過半企業要投資行動化,但大都集中高階主管需求
平板帶領的企業行動化趨勢看漲,約有52.6%的企業都表示將在2013年投資行動化應用。

行動趨勢看漲,但企業應用項目還不多
到目前為止,企業內部行動應用大都集中在高階主管的使用上,例如拿平板收發電子郵件、瀏覽ERP和BI報表、進行電子簽核等。除高階主管外,應用最多的還有企業內部移動性較高的員工,例如業務人員在外的顧客關係管理應用,以及倉管人員即時更新庫存貨用,或是產線管理經理進行整體產線監控等。

發展得較早的企業,連內部通訊App都已經能自行開發, 但這仍占少數,大部分的企業對平板應用多還處於觀望與評估的階段,因此現階段內部員工平板電腦使用人數不高,IT部門的專責App開發人力也不多。

高階主管與業務部門是企業平板主力用戶 
去年有41.3%的企業要採購平板電腦,平均要導入30臺,今年要導入平板電腦的比例,下滑至37%。而在各企業中,採用平板電腦的員工,最多的是高階主管(38.5%),其次是業務部門(22.7%),兩者加起來超過6成的比例。高階主管使用平板電腦,通常用於收發電子郵件、公文簽核、門市業績查詢等,而業務部門則是用於和客戶做簡報、產品展示、查詢企業內部資料等。此外,目前仍有46.3%的企業尚未導入平板電腦。

企業內部已採用平板電腦的員工


近2成企業今年要採購Win 8平板
因為Windows 8在去年年底才推出,所以去年有採購Windows 8平板的企業比重較低。

而在今年,企業剛完成IT預算的編列,將有18.3%的企業要採購Windows 8平板電腦,這也代表,近2成的企業願意嘗試使用新推出的作業系統。此外,仍有34.3%的企業要採購iPad,有25.2%的企業要採購Android平板。

平板電腦採用趨勢
2012年企業已採用的平板電腦平臺


2013年企業要採購的平板電腦平臺

破1成企業今年將開發Win 8 App

企業行動化的趨勢在這幾年越來越成熟,各產業相繼推出App,根據今年的調查,目前企業App執行的平臺以iOS最多,其次是Android,去年底才推出的Windows 8則是敬陪末座,僅26.3%的金融業與0.8%的高科技製造業有Windows 8的App。 

今年仍有不少企業要開發行動裝置的App,App平臺的選擇仍以iOS與Android居多,但是有更多的企業將開始開發Windows 8的App,其中以醫療業最為積極。從這樣的趨勢可以看見,App平臺的選擇從原本兩雄相爭,又多了另外一個新的選擇,更有不少企業將Win 8列為必須支援的平臺,App平臺三國鼎立的趨勢逐漸成形。然而,企業雖然都有自行開發的意願,但平均行動開發人力僅有1位,開發人力仍顯不足。 

企業內部行動開發人力

2013年企業內部應用的開發趨勢

2013年企業擬優先強化的開發技術

各產業行動App平臺導入趨勢
註:百分比數值為採用該項的企業比例
金融業
一般製造業
醫療業
高科技製造業
服務業
政府與學校

2013年行動應用趨勢- 資源不足先推Web-based行動應用

由平板電腦帶動的企業應用行動化趨勢已愈來愈熱,2013年會投入行動應用的企業比例更高達52.6%,也就是說,超過一半的企業都有發展企業應用行動化的想法。 

而所有產業中,對行動化需求最高的為醫療業,有81.5%的醫療業都表示將在今年導入行動應用,並且大多用在行動查房。因為醫生每天都得巡房,在沒有平板的時候,醫生巡房前得先準備並排序每個巡房病人的病歷,隨旁的醫護人員也得推一大臺病歷車跟著醫生巡房。 

但有了平板以後,把存在醫院內部系統的醫療影像和電子病歷資料放到平板上後,醫生只要帶臺平板就能巡房,也能拿著平板展示電腦斷層影像,直接對病人講解病情。 

但除了醫療業以外,其他產業應用行動裝置的方式,大都是提供給高階主管使用,例如電子簽核、報表瀏覽、電子郵件收發等,對內改變工作流程的明顯應用似乎還沒出現。 

對外服務的App占大多數 
以金融業為例,雖然擁有iOS平臺App的金融業高達50%,同時擁有Android平臺App的也達到43.5%,但其實大部分金融業開發App,都是為了對外服務。 

例如網路銀行、證券網路下單等App,幾乎是每個銀行或證券業者必備的服務之一,因此,雖然金融業擁有App的比例相當高,但還是以對客戶服務的App為主。 

再者,政府與學校擁有App的比例也相當高,但和金融業相同,以服務App為主。例如逢甲大學的行動逢甲App,除對外民眾提供校園交通、圖書館、校園行事曆等資訊外,逢甲大學的學生或教職員也可以登入自己的帳號,進入校務系統、校內郵件、數位學習平臺等系統。 

而企業內部自行開發的App,數量都還不多,電子簽核、ERP、BI、電子郵件等,是一般產業最常放到平板上的內部應用項目,並且大都是提供給高階主管使用。 

至於給一般員工使用的App,大多是業務人員的CRM,或是倉管人員進出貨的即時管理系統,也有一些製造業會讓生產線監控的人員帶臺平板,來掌握產線整體生產情況。 

App開發人力少,企業大多先開發Web-based平板應用 
也因為目前企業內部還沒有太複雜的行動應用,企業內部App數量也還不多,因此雖然有65.3%的企業具備專責行動開發人力,但是平均卻只有1個IT人員具備App開發能力。 

開發人力不多,加上放到平板上的系統也還不多,因此大部分企業目前都偏向開發Web-based應用,如此一來,企業不僅不需要花太多時間培養App開發人力,員工或主管要在平板上使用原有系統,也只要把系統轉換為網頁化就行。 

並且,Web-based應用還能跨行動平臺裝置來使用,不論在iPad、Android平板、Windows 8平板上都能使用,可說是最省力開發平板應用的方式。 

但是某些企業考慮到Web方式比較難認證使用者身分,以及使用介面比較不觸控直覺化等因素,也願意投下資源招攬新的App開發人才,或是培訓原有IT人員增加新的App開發技能。 

此時,IT人員的工作從原有的桌機程式開發轉換到觸控App開發,也是企業IT部門的一個新的挑戰。 

桌機程式的功能大都包山包海,因為使用者可以透過滑鼠精確地點擊功能列內的多項功能,但是觸控App可就不同,行動裝置的螢幕不僅比桌機的螢幕小,手指觸控的精準度也不比滑鼠,此時,企業就必須濃縮程式中最重要的功能,並且用視覺畫面和簡單的操控手勢來設計App。 

此外,對於行動裝置歸企業採買,或是員工自帶裝置,各個企業隨著產業不同也有不同見解。 

一般而言,企業內部高階主管、業務人員、醫院內的醫生、學校裡的教職員等人,如果要使用企業內部App應用,都會在自己的裝置上使用,也就是BYOD,企業只是加密傳輸到使用者裝置上的資料而已,並不會對裝置進行管控。但如果應用在生產線上,例如高科技製造業,因為產品機密問題,就偏向大量採購裝置給產線管理人員使用。文⊙楊晨欣

轉載自《iThome》

雲端應用趨勢- 私有雲建置趨緩,SaaS需求起飛


雲端應用趨勢- 私有雲建置趨緩,SaaS需求起飛

未來1年內計畫採用SaaS的比例首度高於IaaS 
在臺灣,有46.5%的企業都計畫在今年採用雲端服務,其中,又以政府與學校的採用率最高(達80.6%),其次依序是高科技製造業52.6%、醫療業48.1%、服務業44.1%、金融業42.3%、一般製造業33.6%。整體來看,一般製造業對雲端服務的採用率雖然最低,不過仍舊超過3成,其他各個產業都有4成以上採用比例。

目前已經導入雲端應用的企業,主要是以私有雲建置為主,不過,2013年的成長幅度已經趨緩。私有雲的應用類型,則以虛擬伺服器租用的比例最高,其次則是企業儲存與虛擬桌面雲。以虛擬桌面雲的應用而言,除了服務業的應用比例低於1成,其他各個產業的應用都高於1成。

私有雲建置仍是主流,但企業普及腳步開始趨緩
在2千大企業中,目前仍有52.5%的企業尚未導入雲端服務,相較於2012年初調查的59.5%則相對減少了。已經導入雲端服務的企業,則以建置私有雲的比例最高,達39.6%,公有雲與混合雲的導入比例則遙遙落後,僅分別達到4.2%與3.7%。相較於2012年初,私有雲建置達34.6%的情況,雖然是小幅成長,不過,成長幅度已經從20%驟降到5%。整體來看,私有雲建置雖然仍是主流,成長幅度卻呈現趨緩態勢。此外,公有雲的建置比例也從1.8%略微上升到4.2%。混合雲則有些微下滑,從4.1% 降減到3.7%。

企業雲端服務導入現況


虛擬伺服器租用是私有雲主要應用 
綜觀各項私有雲服務的應用,目前仍是以虛擬伺服器租用為主流,相較於去年的14.4%,雖然有將近一倍的成長,不過,整體的應用比例僅達到28.9%,還有很大的成長的空間。從產業的角度來看,則有三分之二的產業高於整體平均,其中又以政府與學校已經採用虛擬伺服器租用服務的比例最高,同時並以57.1%掛帥,其次依序是醫療業(48.1%)、金融業(32%)、高科技製造業(29%)、一般製造業(23.5%)、服務業(21.7%)。

2千大企業的私有雲應用方向,除了虛擬伺服器租用之外,企業儲存雲的採用比例也不容小覷,目前並以20.9%居次。其他接踵而至的私有雲應用,還有虛擬桌面雲(14%)、e-Learning(10.6%)、供應鏈雲(3.7%)。

企業現有私有雲的應用類型



2013年雲端應用趨勢- 虛擬機器租用與雲端儲存需求最大

企業採用雲端服務的過程,往往是從基礎建設服務IaaS開始。目前2千大企業採用IaaS服務的比例,也確實高於PaaS與SaaS。相較於2012年,公有雲的採用比例,雖然是從6.2%成長到10.3%,不過,計畫在2013年建置公有雲的比例,則是呈現持平狀態。

IaaS服務搭配負載平衡使用需求浮現
目前2千大企業已經採用的IaaS雲端服務中,是以虛擬機器租用與雲端儲存的比例最高,且以7.1%並列第一。其次則是在公有雲環境建立私有雲VPC的應用,也以6.2%緊接在後。其它依序是雲端資料3.4%,雲端負載平衡2.3%,分散式運算2.1%。

仔細分析各項IaaS服務的採用比例,則可發現雲端負載平衡的採用比例較低,而且與虛擬機器租用、雲端儲存、VPC等通常具有緊密關聯的採用比例並不一致,反映出2千大企業現階段的公有雲應用,還在初步應用階段。

威達電資訊服務處協理張素碧認為,企業在採用雲端服務的過程中,是否會搭配使用雲端負載平衡,主要會考量終端使用者對虛擬伺服器的使用流量,一般來說,企業的虛擬伺服器數量或是資料儲存量等達到一定應用規模後,才會進一步有雲端負載平衡的需求。

未來1年IaaS導入需求,政府與學校掛帥
除此之外,各產業的IaaS應用特性也有很大的差異。以雲端儲存服務與雲端資料庫的應用來說,金融業與醫療業就呈現兩極發展。其中,金融業對於雲端儲存與雲端資料庫的應用,甚至完全沒有採用者,相較之下,醫療業採用雲端儲存與雲端資料庫的比例,則是以18.5%占據各產業之冠。

未來1年,計畫導入IaaS的產業,以政府與學校掛帥。從使用者的角度來看,亞洲大學資訊發展處組長潘信宏認為,採用公有雲雖然有許多疑慮,包括機密資料外洩以及突發性服務中斷都是無法全然放心使用公有雲的因素。然而,公有雲帶來的效益,包括可以降低相關系統的建置成本、快速完成部署、節省機房空間與電費、減少維護人力等,也有越來越多的應用案例證實。

整體來說,雲端的應用效益已經開始發酵,目前不僅有越來越多的企業開始採用,供應商的競爭也漸趨白熱,過去這一年,包括中華電信、台灣大哥大以及和信超媒體都相繼加碼推出雲端服務,不過,至今仍以IaaS的需求最大,未來這一年,SaaS應用也將急起直追,PaaS服務也稍有起色。

企業雲端服務導入需求



中華電信攻占IaaS服務供應商寶座

雲端服務市場前景看俏,除了電信業爭相競逐,其他領域的廠商也競逐其中,例如:華碩、神通都從不同角度切進市場。

現階段最受2千大企業青睞的IaaS服務供應商,則是投入電信基礎服務最久的中華電信,同時並以9.2%奪得IaaS服務供應商寶座。微軟雖然是以5.0%居次,不過,相較於中華電信仍有一段距離。其他依序是Google(3.7%)、臺灣大電訊(2.3%)、遠傳電信(1.6%)、Amazon(1.1%)。

從產業的角度來看,則有不同的態勢發展。其中,政府與學校特別偏愛Google之外,醫療業則是中華電信與微軟並列第一,其他產業的IaaS服務供應商,則是一面倒向中華電信。此外,值得一提的是,中華電信雖然是各個產業的共同最愛,然而,第二順位的IaaS服務供應商排序競爭,在許多產業都有激烈的戰況。首先,在高科技製造業就有Amazon與Google並列第二,金融業是微軟與臺灣大電訊,服務業則為Google與臺灣大電訊。相較之下,醫療業、政府與學校的IaaS服務供應商第二名寶座比較穩固,其中,政府與學校比較鍾愛的是華碩雲端,醫療業則普遍選擇Google。

整體來看,中華電信雖然是名列第一的IaaS服務供應商,不過,由於臺灣的雲端服務市場仍處於成長階段,長遠的發展態勢會如何演變尚難斷定。以現階段而言,國外的IaaS服務供應商,是以微軟拔得頭籌,最受2千大企業歡迎。國內的IaaS服務供應商,則以中華電信為首,同時並由電信服務囊括前三大。新進廠商則以華碩雲端的採用比例最高。

企業已採用的IaaS供應商
註:百分比數值為採用該項的企業比例


企業已採用哪些IaaS服務
註:百分比數值為採用該項的企業比例


2013年企業IaaS服務採用趨勢

未來1年,SaaS服務起飛關鍵元年

相較於IaaS與PaaS公有雲服務,SaaS其實是更早之前就在臺灣市場出現的公有雲服務,明基電通資訊部協理蕭守真表示,SaaS服務在臺灣市場萌芽,其實是伴隨客戶關係管理雲端服務廠商Salesforce.com的雲端服務而來,經過多年的市場教育後,2013年的發展至為關鍵。 

在2千大企業中,目前已經採用SaaS服務的企業,不僅以9.1%屈居IaaS(10.3%)之後,未來1年計畫採用SaaS服務的比例,更首度超越IaaS。 

根據2013年的調查結果,企業已採用的SaaS服務類型,前5名分別是企業郵件(9.9%)、個人儲存空間(7.3%)、Office/線上文書(6.2%)、協作平臺(6.0%),以及視訊會議(4.4%),也就是企業先將非核心系統的部份,逐漸轉換至雲端上。2013年,企業預計將採用的SaaS服務,雖然仍以這5個類型為主,不過,採用需求的排序卻有所不同,最多的是個人儲存(10.3%),次之是Office/線上文書(9.6%),第三則是企業郵件(8.5%)。其中,有超過4成的政府與學校今年將優先導入雲端個人儲存與雲端Office/線上文書,顯見政府與學校對於SaaS服務的接受程度相較其他產業高出不少。 

3大關鍵突破,帶動雲端服務需求持續往上衝 
蕭守真認為,企業雖然早就聽聞SaaS服務,但是,一直沒有大規模的應用,就是因為資料安全等疑慮。近來,由於虛擬化技術發展,直接催化雲端服務發酵,繼IaaS的應用效益浮現之後,SaaS的採用比例也將快速跟進,主要來自幾個重要關鍵因素,除了技術面的突破之外,企業採用公有雲的心態轉變以及不景氣的影響都至為重要。 

以技術面的突破來說,企業不僅可以自行制定防火牆等資訊安全政策,資料處理過程中的加密機制也有所強化,企業對公有雲服務相對比較放心,讓企業對公有雲的接受度有所轉變。不過,蕭守真認為,臨門一腳的關鍵,並非只是企業對公有雲的心態扭轉,而是不景氣所助長的推力,因為不景氣的情況下,企業仍有許多業務活動,相關系統建置的需求沒有減少,但是,資訊預算又不斷緊縮的情況下,採用雲端服務的機會就增加。一般而言,非核心的應用將會引燃第一波SaaS服務需求,依據明基電通的計畫,2013年將會把表單簽核流程,轉移到SaaS平臺上使用,不僅可以因應越來越普遍的行動裝置應用需求,也可以加速完成簽核流程。 

此外,值得一提的是,雲端服務的應用面向,從IaaS延伸到SaaS之後,服務面向將會更加多元,雲端服務面臨的資訊安全挑戰也會變得更加複雜,蕭守真認為,資訊安全疑慮永遠都不可能會銷聲匿跡,這是雲端服務的宿命。 

企業已採用的SaaS供應商
註:百分比數值為採用該項的企業比例

企業已採用SaaS服務Top5
註:百分比數值為採用該項的企業比例

2013年企業SaaS服務採用趨勢
註:百分比數值為採用該項的企業比例

轉載自《iThome》


2013年2月23日 星期六

2013十大優先發展技術:Big data、行動、雲端

2013十大優先發展技術:Big data、行動、雲端

在二、三年前虛擬化仍然在IT十大優先技術中名列前茅,如今企業已漸漸佈署完善。根據日前研究調查機構Gartner公佈的2013年資訊長優先發展技術,前三名是分析與商業智慧、行動技術、雲端運算。企業必須善用上述數位科技以提升業績。

十大優先業務
排行
十大優先技術
排名
提高企業成長
1
分析與商業智慧
1
創造營運績效
2
行動技術
2
削減企業成本
3
雲端運算(SaaS, IaaS, PaaS
3
吸引並留住新顧客
4
協同技術(工作流程)
4
完善IT應用與架構
5
舊系統更新
5
研發新產品與服務(創新)
6
IT管理
6
改善效率
7
客戶關係管理
7
吸引並留住人力
8
虛擬化
8
分析與應用巨量資料
9
資安
9
拓展新市場與地域版圖
10
ERP(企業資源規劃)應用
10

資料來源:Gartner 「執行長計畫」(2013年1月)

報告中指出,策略、預算與技能(人才)是CIO決定IT未來發展的三個關鍵。其中高達七成認為最具破壞力的數位科技是行動技術,其次是巨量資料/分析(55%)、社群媒體(54%),與公有雲(51%),尤其資訊長會同時採取雙項策略,即行動與巨量資料分析或行動與社群媒體,甚至三項一起採用。

這份調查也指出近年來資訊長的IT預算持續持平或負成長,在2013年亞太區IT預算估計下滑1.1%(全球為-0.5%),然而最大的問題還是在於技能,企業必須靠招募、外包或自行培養訓練以獲得企業發展所需的IT技能。其中企業營運架構、商業智慧分析與資安風險管理為前三大企業欠缺的技能,將對企業營運帶來最多衝擊。相對而言,客服/Help Desk人力則為最充裕的選項。

轉載自《資安人科技網》

Google專利揭露Google News的排序規則


Google專利揭露Google News的排序規則

Google主要是以新聞來源的品質作為主要的排序標準,例如BBC或CNN即被視為高品質的新聞來源,而地區性的新聞來源品質可能就差了一點。 



科技媒體Computerworld最近發現Google於去年取得了新聞排序系統的專利申請,因而透露了Google News的排序規則。

該專利名稱為「改善新聞排序的系統及方法」(Systems and Methods for Improving the Ranking of News Articles),為Google在2012年2月所提出,並於同年12月取得專利。

根據該專利的描述,Google主要是以新聞來源的品質作為主要的排序標準,例如BBC或CNN即被視為高品質的新聞來源,而地區性的新聞來源品質可能就差了一點。

當使用者輸入搜尋字串時,Google會分析具有該關鍵字的新聞列表,確定每個連結的新聞來源,然後基於新聞來源品質的各種指標進行排序。

至於Google判斷新聞來源品質的指標則包括該新聞來源的文章平均長度、該新聞來源所產製新聞的覆蓋率、出版突發新聞的比例、新聞來源的流量、外界對該新聞來源的觀點、發行量、員工人數、規模、新聞來源的報導寬度、來自國外的流量,以及寫作方式等。

專家認為,該專利突顯了Google重視新聞品質多過於數量,讀者亦可借用Google的標準來判斷新聞來源的可靠性。(編譯/陳曉莉)

轉載自《iThome》

台灣Nokia行銷網站被駭,150萬個資可能外洩


台灣Nokia行銷網站被駭,150萬個資可能外洩

Nokia委外經營的5個台灣行銷網站遭駭客入侵,目前駭客已公佈17萬筆資料,由於缺乏證據證實駭客取得的資料數量,Nokia估計約150萬筆資料可能被竊。



Nokia發生重大資安事件,台灣委外經營的5個行銷活動網站被駭客入侵,約150萬筆消費者個資可能被竊,Nokia已關閉這些網站,同時通知用戶防範。

台灣Nokia今天(2/22)對外發出聲明,表示該公司委託網路行銷公司Agenda經營的5個台灣行銷活動網站遭駭客入侵,駭客已公佈17萬筆資料,經過調查後,Nokia可能有150萬筆先前在台灣舉辦行銷活動的消費者個人資料外洩,Nokia已採取因應措施,關閉網站、修復伺服器漏洞,移除資料庫,同時以電子郵件、簡訊通知客戶。

對於駭客已公佈17萬筆資料,Nokia表示,因缺乏完整資訊,無法確認駭客是否只取得17萬筆資料,5個行銷網站過去累積的客戶資料約150萬筆可能被竊,可能被竊的客戶資料包括姓名、電話、電子郵件及相關活動所需資料,其中少於7000筆資料可能含有密碼,Nokia基於慎重以電子郵件、簡訊通知客戶因應。

Nokia指出,可能外洩的資料不包括客戶醫療、銀行帳戶、信用卡卡號或身份證號碼,且大部份資料為1年以上的歷史資料,也有不少為7年前的舊資料,客戶可能面臨的資安風險是收到垃圾郵件或簡訊。

事實上二月初國外Hackread.com網站就已揭露這項訊息,並公布了駭入網站的畫面,以及資料的下載位置。而國內則在批踢踢開始有人討論該資安事件。

根據Hackread.com指出,外洩的資料包含了Nokia在台灣的產品銷售細節,使用者名稱、IP位址、性別、e-mail、電話號碼。另外還有發票與Nokia Lumia、Nokia 610、Nokia 510等手機的IMEI號碼,臉書帳號資料。而臉書資料甚至還包含使用者基本資料與照片連節,還有圖表搜尋、按讚、貼文……等各種的詳細資料。

針對該起事件,Nokia已與Agenda及其母公司WPP追踨調查,估計需花費4星期或更久時間。Nokia表示,未來若發現被竊資料可能造成客戶更大損害,將再以電子郵件或簡訊通知客戶。

目前被駭網站已關閉、資料庫也已從伺服器中移除,這些網站包括:http://www.nokia-greetings.nokia.com.tw/
http://www.member.nokia.com.tw/
http://www.fun.nokia.com.tw/index.htm
http://swipe.nokia.com.tw/index.html
http://www.event.nokia.com.tw/index.htm

Nokia表示,不再使用這些資料於未來的行銷活動上,調查告一段落後這些資料將歸檔,在適當保存期限後予以刪除。Nokia對此事件向客戶道歉,並檢討內部系統及流程是否存在其他漏洞,避免事件再次發生。
若Nokia用戶有疑慮,可前往Nokia網站瞭解網路安全建議,或是與Nokia客服聯絡。

Nokia委託的Agenda為知名的網路行銷公司,旗下客戶包括百事可樂、DHL、CityBank、HSBC、HONDA、微軟,台灣在人力資源網站104的公司介紹也說明旗下客戶包括台積電、鴻海、聯電、中國信託、Nissan等客戶。

轉載自《iThome》

漢堡王Twitter帳號被駭,宣布被麥當勞收購


漢堡王Twitter帳號被駭,宣布被麥當勞收購

駭客拿下漢堡王Twitter帳號約一小時時間,並在該帳號上宣布漢堡王已被麥當勞收購。麥當勞隨後在官方Twitter發文表示對同行的遭遇深表同情,還說他們與該入侵事件無關。 

知名速食連鎖店漢堡王(Burger King)周一(2/18)早上透過Twitter官方帳號宣布已經被競爭對手麥當勞(McDonalds)所收購。不過這只是駭客拿下漢堡王Twitter帳號的傑作,漢堡王已經要求Twitter停止該帳號運作,並刪除駭客發佈的訊息。

駭客周一入侵該帳號,整個控制的時間約一個小時。駭客將該帳號的名稱、圖示等佈景全部換為麥當勞,除了表示漢堡王已經併入麥當勞之外,其中部分發言使用#DFNCTSC標記,讓媒體猜測與駭客組織Defonic Team Screen Name Club有關,該駭客組織曾入侵女星Paris Hilton的手機。

漢堡王向媒體表示,他們要等到確保該帳號不受他人干擾之後才會重新啟用,並為此事件向大眾道歉。其Twitter帳號並於美國時間周一晚上6:59重新啟用

而麥當勞在官方Twitter發文對同行的遭遇深表同情,還說他們與該入侵事件無關。

整個事件對漢堡王來說是一件網路公關的大失誤,但也不盡然全是壞事,因為追蹤該Twitter帳號的人數在這一個小時中,從原本的8.3萬人爆增到11萬人。(編譯/沈經)

轉載自《iThome》

紙本個資防護做好了嗎?

紙本個資防護做好了嗎?


撰文⊙羅正漢 攝影⊙陳世榮、洪政偉

強化紙本個資防護,管控內部列印行為
過去企業個資防護偏重於電腦方面,對於紙本個資文件管控較不重視,而輸出設備的管控也容易被忽略,然而這些動作都可能讓個資文件到處流竄。

紙本資料輸出後,形成管理大漏洞
過去許多列印、傳真、掃描的不良使用習慣,其實都是紙本個資文件管控的風險缺口,管理者應立即檢視這些問題對企業帶來的個資風險

列印前的控管做法- 個資文件印出前,應先做好列印行為權限管控
不論是從列印設備開始管控,或是針對檔案限制使用者的列印權限,均可減少紙本機密、個資文件的管控

列印後的控管作法- 建立SOP,掌握紙本個資動向
紙本文件不像數位資料那樣容易控管,在紙本個資文件的處理上,便成為企業疏於管控的一環,企業最好能制定完善的作業流程,與加強與教育訓練,以證明企業已經善盡管理之責

3招作好紙本個資外洩追蹤與舉證
因應個資法,企業有3種更進階的作法,強化紙本追蹤的管控,像是用影像備存、特殊浮水印和RFID做好紙本文件管控,以做到更深入的個資防護

轉載自《iThome》

3招作好紙本個資外洩追蹤與舉證


3招作好紙本個資外洩追蹤與舉證

因應個資法,企業有3種更進階的作法,強化紙本追蹤的管控,像是用影像備存、特殊浮水印和RFID做好紙本文件管控,以做到更深入的個資防護 

除了紙本個資外洩的事前預防,事後的追蹤、舉證,將是企業可以進一步去做到設備使用的安全稽核。在紙本個資防護上,如果企業需要更進一步的追蹤、舉證、管控之用,以證明企業有善盡管理之責,降低企業的過失責任,同時為了追蹤紙本外洩來源,釐清責任歸屬,做好列印文件的數位影像記錄,透過特殊浮水印的內嵌資訊追蹤文件來源,甚至是用RFID來管控紙本,防止文件被攜出的可能性。

進階作法1- 保留列印事件資訊,並留下數位影像記錄 
要追蹤紙本文件,簡單的作法,企業可以在列印時設定強制浮水印的輸出,配合機密等級畫分,提醒文件使用者做好相對應的措施,或是在文件上添加使用者名稱、時間等資訊,讓拿到文件的人可以迅速知道文件來源,不慎遺落時,撿到的人也能夠立即歸還。

在數位記錄方面,保留列印事件記錄也是較基本的作法,透過設備、系統、列印管理,都可以記錄使用者名稱、列印時間、列印張數、檔案名稱與相關使用狀況,但從檔案名稱上並無法了解確切的文件內容,證據效力明顯不足。

針對列印行為的副本留存,影像側錄、備分,其實都是指同一件事,將列印資料完整數位保存,並且能夠再次預覽該文件,其影像Log的證據效力,比起一般Log資訊有用的多。

軟體或複合機廠商已提供列印留存工具
從列印側錄方式來看,由於列印封包是從個人電腦傳送到印表機輸出,經由區域網路時便能夠藉由外掛軟體側錄列印封包內容。側錄每筆列印資料時,除了可以記錄每筆列印資訊記錄,只要軟體系統能夠支援不同廠商的列印語言格式,也能夠將使用者所傳送的列印資料自動留存副本。像是星耀提供的Print Security、華美PrintUsage,而複合機廠商也有這樣的方案,像是Kyocera複合機內建列印副本留存功能,但多數設備廠商都會將這類功能列入選配的加值項目。

因為,要做到列印文件影像備存並不難,透過列印伺服器、列印管理軟體都可以做到,但是複合機上還有許多經由複合機直接執行的行為,沒有經由網路傳遞,就很難透過軟體系統記錄下來,尤其是影印。目前Canon的ImageWare Secure Audit Manager (IWSAM)、富士全錄的ApeosWare Images Log Service、Ricoh Document Solution都能側錄所有影印、列印、傳真與掃描工作。而HP也有配合Kofax、Lexmark配合Uniprint,做到這些行為的側錄。

讓影印、傳真與掃描等與紙本文件直接相關的使用行為,都可以記錄下完整的影像備分。一旦文件外洩時,便可以調閱影像留存副本與相關資訊,以追查外洩來源,甚至在第一時間發現狀況。

此外,針對影像備存的稽核與監控,也應設定權限控管機制,像是讓每個部門主管近來只能看到這個部門的相關文件,而IT人員只能做系統網路的控管。只是影像備存功能都是選購而非內建,且效益與目的都是目前企業會再三考量的問題。

影像備存時,同時將記錄結果OCR,並設定關鍵字偵測,便可以做到主動的列印防護
除了影像備存以外,還有一些較為積極防護資訊外洩可能性的方法。臺灣富士全錄公司產品行銷經理郭家瑋表示,他們的ApeosWare Images Log Service還提供關鍵字搜尋的功能,可以將備存的影像搭配OCR(光學字元辨識)功能,使影像轉換成可搜尋文字的PDF檔,而管理者可以從系統設定100組關鍵字,在發現使用者列印機密、敏感個資時,便能夠主動透過寄送電子郵件等方式,通知給管理者,以第一時間發出警示訊息給管理人員,提醒可能有問題的狀況。或是企業管理者可以搭配DLP(Data Loss Prevention)工具,針對影像備存檔案進行個資盤點,讓整體管控更加完善。

比較特別的是,也有錄影監控廠商表示,透過高畫質HP的攝影鏡頭,也可以達到同樣的目的,監控使用者在設備前的一舉一動,作為企業追蹤、舉證之用。

進階作法2- 讓紙本文件內容無法被影印,同時也能追蹤文件來源

不讓人輕易使用複合機就可以將重要文件影印拷貝,並確保文件的真實性,也是文件防護上的一環,就像是在高個資風險的單位中,有些企業也會管控員工手機的攜入重要區域,或者是要求員工將手機置放於座位前方的高處,接手機時需要站著接聽,避免手機照相功能的使用,搭配監視器設備,以盡到個資防護的責任。 

同樣的,管制區域中的列印設備,除了設定功能使用權限,也可以透過部分列印設備廠商提供的進階浮水印功能,防止複印的問題,目前Canon、富士全錄、Ricoh都有這樣的浮水印機制,可以在列印文件的印出淡淡的網底,但不影響文件閱讀。特別的是,此網底已嵌入隱藏識別碼,具有防止複印與偵測來源的作用,如此一來,當使用者拿著該份文件至同系列的複合機前影印文件時,就會出現無法影印的情況,並警告使用者這是沒有授權的使用方式,因此,使用者便無法針對該份文件執行影印、掃描、傳真功能。 

透過影像備存機制,檢視、追蹤文件來源
透過完善的影像備存機制,追查洩漏的機密與個資文件時相當便利,可以快速調閱文件副本與相關資訊,以追查外洩來源。在富士全錄的方案中,每份文件還可添加每份文件專屬的識別碼,方面管理人員迅速追蹤該份文件的來源。(圖為富士全錄影像備份系統ApeosWare Image Log Service解決方案) 

由於文件已嵌入隱藏識別碼,若是撿到這類文件,管理者也可以將完整或撕碎的文件拿至複合機上掃描,利用解析軟體來檢視這份文件當初是誰印的,以追蹤文件的來源。 

另一種作法是採用內嵌特殊的浮水印紙張,也可以達到相同的防止影印效果,讓可辨識網底識別碼的設備無法進行影印,在不同影印設備上也會讓背景浮水印加深顯示出。舉例來說,該浮水印紙張的隱藏識別碼可供Ricoh複合機辨識,在Ricoh MP4002SP上,將以此紙張列印的文件放置設備上影印時,影印結果會是全黑的頁面,在其他廠牌複合機影印時,背景的浮水印則會在副本上顯現,可清楚辨識正本與副本的差別。 

透過內嵌浮水印資訊的紙張,強化影印防護
我們試著以內崁特殊浮水印為列印紙,在列印文件後(1),再拿去複合機上影印,在Ricoh複合機上影印時,影印的副本則會是全黑的頁面(2),拿至其他複合機上影印時,背景的浮水印則會在副本上顯現(3),可清楚辨識正本與副本的差別。 

還有其他種做法也有人建議,HP影像列印暨個人系統事業群資深經理魏麒峯表示,利用防篡改的墨水與碳粉、磁性碳粉,利用光折射的原理,也可防止文件被拷貝利用;同時,複合機上的安全紙匣設計是一般人容易忽略的,目前HP有提供可以上鎖的進紙匣,讓未使用的紙張也能管控到,這是在多數複合機上較少看到的設計。

進階作法3- 搭配RFID使用,強化紙本的追蹤與識別

隨著RFID的應用成熟,針對高機密防護的環境,也有更主動式的管控方法,也就是在列印設備上透過客製化設計,將RFID轉印黏在列印文件上,讓管理者可以利用RFID感應文件的位置,並且文件也無法備攜出管控區域,只要在門禁搭配感應設備,便能夠立即警示有人攜走重要文件。 

達友科技副總經理林皇興表示,這種應用同樣需要搭配各種防護的措施,像是門禁管制、視訊監控設備管制、以及列印設備管制,使紙本文件的管控,能夠完全在企業掌握之中,重要的機密文件無法被員工任意攜出,目前這種需求在高科技產業中比較容易見到。 

RFID晶片也可印於紙本文件,協助追蹤
RFID的應用相當廣泛,由於特性適合用來作為人或物品的管控追蹤及識別,除了門禁控制、流程管控以及電子票券等方面,因此,機密紙本文件也可用RFID來追蹤與識別,只要在印出文件時,將RFID同時轉印於紙上,之後,只要在門禁旁配置RFID感應器,便能夠追蹤文件是否被攜出。

轉載自《iThome》

列印後的控管作法- 建立SOP,掌握紙本個資動向


列印後的控管作法- 建立SOP,掌握紙本個資動向

紙本文件不像數位資料那樣容易控管,在紙本個資文件的處理上,便成為企業疏於管控的一環,企業最好能制定完善的作業流程,與加強與教育訓練,以證明企業已經善盡管理之責

在企業環境中的紙本個資文件,包含內部列印的個資文件,像是人事單位、業務單位產生的個資報表、個資文件,以及業務流程中用紙本蒐集來個資文件。

這些印出或蒐集來的個資文件,對於企業來說,管控相當不易,因此,企業內控機制與教育訓練是否足夠,是個資防護上的一大考驗。在文件印出後的控管,企業需在管理面上多下工夫,建立標準流程規範與員工個資防護意識。

落實教育訓練,並針對經手不同業務流程的人,提供、規畫對應課程
在紙本個資文件的防護上,企業除了針對業務流程,制定標準作業程序,同時也要加強企業員工的個資防護觀念。透過教育訓練課程,讓員工對個資法的嚴重性達成共識,並培養基本的個資防護意識。

更進一步,在個資法教育訓練上,企業如果可以依照員工的工作性質,制定並分布作業流程上的做法,讓員工除了具有基本個資風險概念,同時在工作內容上,也能充分了解到自己將面對的問題,或者是針對職務別來教育員工。需要注意的是,每個員工的了解程度難以掌控,企業也許能利用個資測驗,來協助員工了解正確的概念。

此外,透過列印文件上的浮水印與使用者資訊,也能讓員工在紙本文件處理上,有更明確的處理態度。


依個資法的規範,在任何紙本文件上的個人資料,不論形式或載體。因此,員工離開座位,個資文件,個資便條未能及時收好,這樣的的習慣需要改善,否則經過的同事、打掃的阿姨都能夠輕易接觸到個資文件。 

在紙本個資管控上,還有一個環節是企業較為憂心的部分,就是企業的第一線業務人員。這些員工長時間在外接觸客戶,手上握有相當多的第一手客戶資料,企業要做好紙本個資文件的管控,有相當的難度,尤其像是保險業務員、信用卡業務員、房屋仲介業者等業務人員等等,都可能帶有業務員本身印製的文件,或是客戶回填的申請文件。

企業對於這些人員除了要落實個資教育訓練,提升員工的個資保護意識,甚至讓相關同仁必須簽署保密協定,讓個資權責也要有相對應的保護。

勤業眾信企業風險管理協理舒世明協理表示,第一線業務人員是企業較難管控的部分,但過去也有企業透過管理的方式,派遣秘密客與業務員接觸,檢視業務人員對於機密、個資文件的防護觀念,加強並稽核業務人員的個資教育防護意識。

利用浮水印,提醒使用者謹慎處理紙本文件

一般而言,列印設備上最基本的管控功能就是浮水印套用,雖然浮水印在防護效力上較低,但還是有其應用之處。舉例來說,浮水印可以配合機密分級制度,提醒使用文件的人,這份個資文件不可任意擺放,不用時應該做好銷毀或是保存的動作,同時嚇阻其他人不要隨意使用這份文件。 

另一種普遍的方式是在文件上添加列印時間、文件名稱、使用者帳號等資訊。有些設備廠商稱之為頁首頁尾資訊,有些廠商則稱為動態浮水印。這種方式,主要是為了方便看出這份文件的印製者,以及印製時間。 

有些企業在管控上,會強制使用者印出這些資訊,讓使用者在文件使用上能更加謹慎,但這麼做的缺點是,多多少少會影響文件內容的呈現。

為了讓浮水印對文件內容的干擾至最低,有些複合機廠商提出了一些解法,例如在HP的解決方案Barcode Print中,可以將登入使用者名稱、文件名稱、頁碼、時期與時間等資訊,隱藏在二維條碼中。如此一來,印出的文件上只會附帶1個正方形的二位條碼,維持了文件的美觀性。此外,在富士全錄的解決方案UUID中,它會在列印文件上印出一串32位的英數排列的編號,而每份文件的UUID都不相同,就像是文件的識別碼。 

或者是,在列印時自動輸出列印工作封面並裝訂,封面上會註明使用者、檔案名稱與機密等級,讓文件內容不會一下就被看到,使用者也可以清楚辨識、領取到自己輸出的文件,同時可以警示文件的重要程度,讓使用者能夠按照作業流程處理紙本。 

透過標準作業流程與管理,盡力做到紙本個資的管控 
在紙本個資文件的處理與傳遞上,企業應該都有既定的標準作業流程,讓個資文件在使用上,不會讓沒有授權的人接觸到,同時,企業還需教育員工,做好基本的個資防護流程。舉例來說,攜帶文件時,須將個資文件放於公文夾內,以防止不應知悉人員窺視或翻閱,離開座位時,個資文件最好背面朝上或放於公文夾內,或是將文件立刻收於上鎖的抽屜中。 

客戶回填的申請文件,在掃描歸檔處理上,也應該有標準程序,像是掃描至指定目的地,或是加密處理,企業也可以針對掃描流程做系統規畫,讓掃描結果直接進入系統,確保紙本個資的處理流程上,企業盡到防護的責任。 

其實,除了印出與蒐集的個資文件,使用者平時抄寫的筆記、便條,上面如有個人資訊,都是屬於個資防護的範圍內,因為照個資法的規範,在任何紙本文件上的個人資料,是不論形式或載體的,因此改善員工的作業習慣,便是重要的事。像是保持桌面整潔,讓紙本不要堆積在座位上,對於任何個資文件載體,都應該在使用完畢後,立即銷毀或存放於上鎖的抽屜。 

甚至,也可教育員工在書寫時自行遮罩,使遮罩的關鍵部分只有自己記得,減少紙本個資文件的產生,並減少後續的管控問題,當然,要員工能這樣的難度也相當大。 

此外,會議上如需使用紙本文件時,其中若附有機密、個資內容,也可以仿效軍方的管理辦法,每份文件需要標註號碼,並發給對應的與會成員,會議完畢後統一由專人收回並清點頁面。

紙本文件存放與銷毀,應建立標準處理程序

在紙本個資文件使用完畢後,企業應讓員工依照標準作業程序,立即執行保存或銷毀的動作。 

資料存放上,一般企業多數做法是將文件放於文件櫃之中,但鐵櫃是否有落實上鎖,是企業過去也會疏忽的地方。有些企業會設立專門的保管室,以保存文件正本至有效期限為止,而保管室也只有權限人員擁有鑰匙才能進入,讓紙本保存也都有標準流程可以讓員工依循,或是搭配門禁系統與監視器系統,使企業也能做到追蹤、舉證與釐清責任歸屬的責任。 

另一方面,過期檔案銷毀也是企業該注意的問題,這類文件通常是大批量處理,企業過去銷毀文件時,可能都是找資源回收站處理、紙廠水銷,或是送至焚化爐焚燒,不過個資文件具有較高的風險,銷毀上也應該確實防護。現在,也有紙廠水銷也開始提供較機密的銷毀流程,甚至,也有許多開始提供專業銷毀服務,讓機密、個資文件在運送、銷毀過程中,受到嚴密的防護,而銷毀過程也能有全程錄影監視記錄,作為未來文件銷毀舉證之用。 

此外,平時使用完的個資紙本文件、印壞的文件,由於銷毀量較少,使用碎紙機處理,可以及時破壞文件的完整性,其中細碎型的碎紙機,在破壞力上較強,碎紙的寬度在2公釐以內,拼湊較不易。 

紙本個資文件防護小提醒 
●透過教育訓練與個資檢測,提升員工個資防護意識。 
●嚴格教育外勤業務人員,需保管好手中的紙本個人資訊,最好不要讓業務人員保留客戶申請文件的副本。 
●不讓文件散落在工作區周遭,避免他人經過就可以看到內容。 
●將個資寫在便利貼、筆記本時,記得收好或碎掉。 
●個資文件在使用完畢後應隨手銷毀,或是歸檔保存。 
●使用檔案櫃、抽屜保存個資文件時,記得上鎖。 
●對於紙本個資文件,應嚴格規範文件的使用、運送、銷毀的方式。 
●建立機密資料分級的制度,或是以浮水印警示。 
●避免回收紙的不當使用,以免具有個資內容的紙張被當成回收紙用,而發生外洩事件。

轉載自《iThome》

列印前的控管做法- 個資文件印出前,應先做好列印行為權限管控


列印前的控管做法- 個資文件印出前,應先做好列印行為權限管控

不論是從列印設備開始管控,或是針對檔案限制使用者的列印權限,均可減少紙本機密、個資文件的管控

以企業自行印出的個資文件而言,企業應該針對業務流程,檢視個資文件是否有印出的需要,或是業務流程相關人員才可以印出這些文件,從源頭開始訂定員工、文件的列印權限,就像企業防護網路相關的資訊安全時,會針對電子郵件、即時通訊軟體、USB裝置等工具加以限制,降低人為疏忽或蓄意行為,同樣的,列印行為也應該納入管控之中。

從列印權限開始管制,可降低輸出至紙本後所衍生之後續管理問題。只是過去多數企業並未嚴格管制列印這一塊。

一般而言,企業有兩種的不同控管角度來做好印出前的管控,像是從列印設備為出發點,管控不同使用者的列印權限,另一種則是以檔案為出發點,透過機密文件管理系統(DRM)與資料外洩防護設備(DLP),來管控不同使用者的文件列印權限。

透過DLP主動限制,防止員工擅自列印個資文件

在DLP系統中,企業可以依據觸發的個資組合與筆數,而進行不同的管控。像是如果列印內容只有1到4筆個資,系統僅留下紀錄,但不發出任何通知;出現5到19筆個資,在使用者端會出現提醒、確認畫面;若出現20筆以上的個資,則阻擋列印並記錄事件。(圖為Websense DLP)

方法1- 列印設備功能權限控管

從列印設備的基本管控上來看,使用者身分的登入驗證工作是首道關卡,與帳號管理系統Windows AD、 LDAP等整合,是最基本可以驗證使用者身分的方式,也是企業常見的管控做法。 

管理者可以針對使用者管控其列印權限,像是使用群組原則設定來控制在AD中的印表機,或是透過印表機設備上的IP 位址過濾功能,依個人電腦等設備的IP位址或MAC位址,設定存取權限,像是只允許IP位置範圍的電腦可以連線,以防止未經授權的使用者,任意使用列印設備印出具有機敏資料的文件。 

此外,管理者也可以在列印伺服器上安裝列印管理系統,像是PaperCut、Print usage、MFP Charging、PrintSecurity或PrintQuota,並與帳號管理系統整合,即可針對使用者設定列印權限,同時也可以做到更多列印相關的控管。 

只是,過去企業並不會限制列印的權限,通常是為了管控成本,防止濫印及印量限制才導入相關機制。但不論是印表機或複合機,針對不同員工設定各自的列印設備使用權限,都是管控的一種手段,管理者可從業務流程檢討列印行為的必要性,像是A使用者只能使用某臺印表機,B使用者不可使用任何列印設備。列印功能不能像過去處於開放、未管控的狀態。 

而且,無論是一般單功能印表機,或是多功能複合機,都應該要有做到同樣的管控,才能做好紙本個資外洩預防的第一道關卡。 

在個資文件的列印管控上,讓業務流程中需要列印的使用者,才可以具有列印功能,其他人員則視其他業務需求而彈性調整其權限。這樣的作法雖然感覺較嚴苛,使部分員工不能使用列印設備,但可以減少列印所產生的可能問題。 

同時也應仔細評估各單位的工作流程,避免管控過嚴,造成工作流程上的麻煩,降低生產效益。

方法2- 透過DRM與DLP機制,讓含有個資的文件無法印出

針對個資文件或機密資料的列印管控,除了從列印設備上加以限制,也可以從檔案本身開始著手,禁止使用者擅自執行列印功能。像是有些企業將所有文件列印都由文管中心控制,而如果自行搭配文件管理系統(DRM)、資料外洩防護設備(DLP),也具有控管列印輸出的功能,可以限制文件的使用者與使用範圍,針對各文件檔案,設定不同職務使用者的閱讀、列印權限。 

這樣的方式,可依據不同權職的員工設定存取權限,像是限制使用者只可以在電腦上檢視個資文件,但無法列印,而授權主管有開啟、列印這份文件的資格。讓個資文件在開啟前就已經被控管,或是透過遮罩的方式,減少個人資料檔案被印出的可能性。甚至,也要阻擋匯出、複製功能,避免資料內容被再製、印出。這樣的方式,也可以更精確地鎖定業務流程中,使用者對於個資文件的列印權限。 

此外,由於這類產品已經提供個資盤點的功能,現在,針對列印行為,也有廠商提供可以即時過濾個資文件列印的機制。像是Websense DLP工具,便可以針對列印方面提供主動的管控方式。 

只要在企業Windows系統的列印伺服器上,加裝DLP的Print Agent,便可記錄列印軌跡,而再搭配OCR技術,更是可以設定個資過濾條件。例如,當使用者印出超過設定個資數量的文件時,系統可以禁止文件被列印出,像是設定列印內容只有4筆以下的個資時,可以列印,但系統僅留下紀錄;若列印內容有20筆以上的個資,文件將無法列印出。 

此外,系統也能夠自動針對列管的機密內容去演算偵測,使機密文件也能夠同樣受到保護。

落實登入驗證,才能徹底管控文件輸出

個人登入驗證機制是列印設備上相當必要的動作,使用者後續在設備上的動作才能被管控與追蹤。 

如同企業管控網路,利用身分驗證系統(如Active Directory、LDAP 和RADIUS)是最基本的管控方式,而在印表機的管控上,直接整合公司AD帳號進行輸出管理是相當基本的驗證方式,使用者後續在設備上的動作才能被管控與追蹤。 

比較值得注意的是,在桌上型的多功能事務機、落地式的複合機等設備方面,多數中小企業單位在登入驗證的措施上,卻不像網路管控那樣嚴謹,而且,設備提供的管控能力是否足夠,這也是管理者要留意的。 

為了要做好設備的管控,個人身分登入驗證機制是相當重要的第一步。過去,也有些企業採取部門式的管理驗證方式,但多是從成本管控的角度出發,或是為了簡化管理設定。臺灣富士全錄公司產品行銷經理郭家瑋強調,若只是採用部門識別碼來管控,管理人員無法辨識是誰掃描文件、傳真文件,在後續稽核上無法釐清責任歸屬,難以做到完善的管控。 

利用卡片感應簡化使用者身分驗證
登入驗證機制是管控上很重要的一步,員工在使用設備時,可以輸入帳號密碼的方式,或是搭配讀卡機、整合員工識別卡來驗證使用者身分,以簡化設備操作流程。 (圖中設備為Canon iR-ADV C5035)

從提供登入驗證機制的複合機上來看,常見到的使用方式有輸入帳號、密碼登入,或是藉由卡片辨識機制來驗證使用者身分。其中,由於用卡片辨識身分的方式可以簡化登入驗證的手續,對於設備操作流程的影響最小,因此,這樣的解決方案能被大多數企業所接受。 

簡單來說,列印設備的卡座系統就像是企業的門禁安全系統,通過驗證才允許員工使用這臺設備。目前臺灣市場上,感應卡片主要以EM、HID、Mifare這3種規格最普遍。 

臺灣佳能資訊BIS事業處企畫部洪彥群也表示,為了簡化員工攜帶卡片的數量,因此,整合企業現行的員工識別卡進行登入驗證是常見的做法。而小規模的企業也可以藉由輸入帳號密碼的方式來管制,雖然與以往的作法相比,流程上會有些麻煩,但登入驗證本來就是做好管控的第一步。 

除了卡片辨識的方式,HP影像列印暨個人系統事業群業務專案經理魏麒峯表示,HP複合機在登入驗證方面有更進階的做法,就是利用指紋輸入的方式,讓登入驗證的程序可以方便,也降低企業員工在識別證的保管問題。

轉載自《iThome》

紙本資料輸出後,形成管理大漏洞


紙本資料輸出後,形成管理大漏洞

過去許多列印、傳真、掃描的不良使用習慣,其實都是紙本個資文件管控的風險缺口,管理者應立即檢視這些問題對企業帶來的個資風險 

在使用者執行列印、傳真、掃描行為時,有些小地方是企業容易忽略的問題,使個資文件可能處於不設防的狀態。常見列印設備使用問題在於,使用者沒有馬上拿取剛被列印出來的文件,或是客戶傳真過來的資料沒有立即被領取或分派,因而可能遭誤取或窺視,這些都是過去許多企業未能多加重視的一環,尤其在人事、行銷、業務、客服單位中,企業應該盡力強化個資的防護,以滿足法規要求,同時也是對客戶負責的表現。

我們從管理面與設備面來看,像是置放於公共區域的印表機與多功能複合機,應該要做到較嚴格的防護,若設備上的控管措施較少,應設置於管制區域內,減少他人取得的可能性。

漏洞1- 列印文件擱置在設備上,遭誤取或窺視 

一般列印使用方式都是在電腦前按下列印,印表機就開始輸出,由於列印設備不一定就在使用者旁,這樣往往容易因為人為疏忽,像是印後沒有馬上領取文件,或是文件遭其他使用者誤取,產生防護上的漏洞。

而現今複合機所普遍內建的機密列印、刷卡放行的機制,就是為了改變這種不安全的列印流程,讓使用者走到設備前,驗證登入或是輸入預先設定的密碼後,才可以將指定的文件印出,確保重要的機密、敏感個資文件在列印時,使用者都在旁邊關照,才不會忘記領取遭誤取,或是遭窺視、偷竊。

從提供機密列印功能的列印設備來看,各設備廠商的產品在儲存與顯示方面有不同的作法。像是有些設備,是將所要執行的列印工作暫存在記憶體或硬碟內;此外,在這些設備使用機密列印功能時,有些是可以看到設備上所有的機密列印文件名稱,有些則是只會讓使用者看到自己的機密列印文件名稱。最終,使用者都需要在設備前,經驗證身分後,才能將文件印出。

為了提升設備使用的方便性,使用者可以藉由卡片感應的驗證身分方式,簡化機密列印的操作過程。雖然,這種刷卡放行的方式在文件印量較大時仍不太便利,使用者必須在設備前耐著性子,等印表機把文件印完,但列印流程才有保障。

在列印設備前驗證身分後,始可領取列印文件

當使用者走到複合機認證身分成功後,設備才會開始將文件印出,這種機制可以有多種驗證方式。在圖中的Canon uniFLOW解決方案裡,可以看到4種認證放行選項,像是:1.由使用者自行設定密碼,2.輸入帳號與密碼,3.由系統在列印時產生驗證碼,4.刷卡驗證。

有些低階列印設備可能沒有機密列印功能,此時企業也可以藉由其他管理方式來解決這樣的問題,像是將列印輸出設備置於管制區域內,僅有該單位的授權員工可以接觸,減少個資文件外洩的可能性。或是,企業指派專人去蒐集經過列印輸出的所有紙本資料,再由他們分發給發出文件列印工作的人,再從中過濾是否具有個資文件,藉此防止個資遭到濫印的可能性。


漏洞2- 個資文件傳真進來後,在傳真設備上無人領取

傳真是列印之外另一個相當重要的紙本個資進出管道,在一些企業的業務流程中,接收的傳真文件會包含個資,像是接收客戶申請文件、傳真刷卡資料,確認使用者身分等業務,都是過去企業可能疏忽的個資紙本問題。

由於企業無法完全掌握他人傳真的時間,以及傳送的對象,在管理面上來看,傳真設備最好設置於授權負責人的座位旁,也可統一由權責人員專門負責分派所接收到的傳真,或是針對業務流程設置不同傳真專線、分機。

為了減少傳真文件印出的問題,其實,透過傳真設備上的傳真轉傳功能,將傳真資料轉存成電子檔,並依照不同使用者權限進行存取管控,也可以減少直接印出的問題。

在傳真轉傳功能的使用上,經過管理者設定,複合機可以將收到的傳真轉至個人電子郵件信箱、權限管控的網路資料夾,或另一個指定的傳真號碼。特別是自動轉傳功能,也就是可以辨識設定好的傳真對象,並傳送至對應單位或個人的接收端。當然,企業也可以提供傳真分機,讓傳真者可以傳送至指定的接收者。當然,無法辨識的傳真端,可能仍需要透過專責人員來分發。

較特別的是,有些廠商的產品還提供條碼辨識的傳真方案,例如富士全錄ApeosPort IV系列產品上,只要在傳真文件中附上預先設定好的人員二維條碼,設備就可以辨識條碼並自動轉傳至指定人員的電子信箱。

可利用條碼指定傳真轉傳的對象

在富士全錄提供的條碼辨識機制中,企業只要在發送的傳真文件上附上含電子郵件的二維條碼,當對方傳真回傳時,複合機可再根據條碼並自動轉傳至指定人員的電子信箱。



漏洞3- 傳真個資文件時,不小心傳送到錯誤對象

不論是機密資料或是敏感的個人資料,如果發生傳送錯誤的情況,也是相當嚴重的管控疏失。

在一般傳真設備上,像是目前多數桌上型的傳真機與複合機,雖然管理者可以設定傳真通訊錄,但無法提供更多的管控能力,或是限制設備的使用權限,這也使企業在管控上相當不易。

如果是業務流程需求,企業為了加強管控,可以透過現在的數位複合機,讓管理者在建立傳真、掃描通訊錄後,強制員工只能傳真給公司預設好的對象,如此一來減少傳送錯誤可能引發的個資外洩問題。

除此之外,為了兼顧彈性,有些廠商額外提供了不同的輔助功能,像是在Canon複合機上,雖然限制了傳送目的地,對於有特殊工作需求的使用者,可以在複合機上輸入對應的授權Pin碼,以獲得更多的傳送權限。而富士全錄複合機上,除了在複合機上限制使用者只能傳送通訊錄中的名單,也提供防止傳真誤送功能,在傳真文件時,會要求使用者重複輸入兩次傳真號碼,以確認電話沒有不小心按錯,降低傳真給錯誤對象的可能性。

讓使用者無法輕易變更傳真通訊錄

在複合機上,管理者可以設定使用者無法隨意增加傳真通訊錄,如此一來,掃描後傳送的位置就在管控之中,只有具權限的使用者,才能在複合機上輸入對應Pin碼,以增加更多的傳送權限。(圖中設備為Canon iR-ADV C2030)



漏洞4- 掃描歸檔結果輕易被他人存取

同樣的,掃描作業流程上,許多企業都會讓員工掃描至指定的資料夾,在掃描個資相關文件歸檔時,也應該有對應的管控措施。

從管理角度來看,管理者可以限制使用者的掃描權限,也可以限定每個網路資料夾的存取權限,或者是,開放掃描權限後,進一步限制掃描目的地的方式,並管控存取權限,來做到掃描結果的防護。

在掃描傳送目的地方面,管理者可以限制各種傳送方式於傳送通訊錄中,不論是電子郵件、網路資料夾、PC、至網路FTP/SMB,管理者可以設定路徑,讓使用者只能將文件存放至公司所設定的傳送目的地。

另一種作法則是在掃描時設定加密,也就是預先設定將掃描結果進行加密,如此一來,從資料夾開啟文件時,只有知道密碼的自己才能知道,如果掃描後的檔案被別人誤取,也無法打開。

掃描文件時,要設定內容加密

在富士全錄複合機前掃描文件時,可以直接針對掃描結果進行加密,使掃描後的機密與個資文件無法隨意被他人瀏覽,只有知道密碼的人可以開啟掃描結果,在紙本電子化過程裡,也能提供防護。(圖中設備為富士全錄ApeosPort IV 5575)

企業若有大量個資文件需要掃描上傳資料,可以由專人負責直接掃描進系統,若只是單純歸檔,最好也能夠規畫由專人在管制區域進行,使文件數位化的過程不會被他人干擾。

更要注意的是,原始文件的備存與銷毀,也應該有明確的流程規畫,使個資文件在掃描前後,紙本與數位資料都能受到防護。


轉載自《iThome》

iOS開發者網站iPhoneDevSDK讓蘋果與臉書等業者間接被駭!


iOS開發者網站iPhoneDevSDK讓蘋果與臉書等業者間接被駭!

目前尚未確定此波攻擊的影響範圍,包括Facebook、蘋果與iPhoneDevSDK都聲稱有其他企業或組織受到影響,但未公布名單或數量,彭博社則報導至少有40家業者受到波及。 

Facebook與蘋果近日相繼證實工程師電腦被植入惡意程式,駭客進而嘗試存取企業網路,而這些工程師都是造訪同一網站,並因Java漏洞而被感染,周三(2/20)行動開發人員論壇iPhoneDevSDK為此出面致歉。

iPhoneDevSDK為一鎖定iOS平台的開發人員論壇,iPhoneDevSDK表示,他們是看到AllThingsD的報導才知道該論壇間接使得許多大型的網路公司受到攻擊,在該篇報導之前,他們並不知道自己網站有漏洞,也未收到Facebook、其他網站或執法機構的通知。

在得知此事後,iPhoneDevSDK立即與Facebook及該站的代管服務業者Vanilla聯繫,並發現他們有一個管理帳號被竊,駭客利用該帳號來改變主題並注射惡意的JavaScript,此一惡意JavaScript能夠用來駭進特定使用者的電腦。

iPhoneDevSDK論壇強調,並無證據表示該站使用者的資料被竊取,但為防萬一,他們重設了所有用戶的密碼,用戶可透過「忘記密碼」(Forgot Password)機制來重設密碼。

駭客的手法是先在iPhoneDevSDK上植入惡意的JavaScript,再鎖定特定使用者及利用瀏覽器的Java漏洞進行病毒感染,這代表造訪iPhoneDevSDK的使用者所屬企業都有可能被危害。

目前尚未確定此波攻擊的影響範圍,包括Facebook、蘋果與iPhoneDevSDK都聲稱有其他企業或組織受到影響,但未公布名單或數量,彭博社則報導至少有40家業者受到波及。(編譯/陳曉莉)

轉載自《iThome》

Adobe修補Reader與Acrobat的零時差漏洞


Adobe修補Reader與Acrobat的零時差漏洞

Adobe先是在2月13日發出安全通知,指出已確定Adobe Reader與Acrobat XI的兩個重大安全漏洞,此外,駭客也已開發出這些漏洞的攻擊程式,並引誘Windows用戶開啟電子郵件中夾帶的惡意PDF檔。 

病毒實驗室FireEye於本月中揭露PDF的零時差漏洞,駭客可透過惡意文件開啟系統後門,Adobe則於周三(2/20)釋出安全修補程式。

Adobe先是在2月13日發出安全通知,指出已確定Adobe Reader與Acrobat XI的兩個重大安全漏洞,相關漏洞可能導致應用程式當掉,或是允許駭客掌控使用者電腦,此外,駭客已開發出這些漏洞的攻擊程式,並引誘Windows用戶開啟電子郵件中夾帶的惡意PDF檔。

本周Adobe則釋出支援Windows、Mac與Linux的Adobe Reader及Acrobat的修補程式供使用者更新。(編譯/陳曉莉)

轉載自《iThome》

2013年2月22日 星期五

強化紙本個資防護,管控內部列印行為


強化紙本個資防護,管控內部列印行為

過去企業個資防護偏重於電腦方面,對於紙本個資文件管控較不重視,而輸出設備的管控也容易被忽略,然而這些動作都可能讓個資文件到處流竄。 

過去的電腦處理個人資料保護法(簡稱個資法),僅規範電腦處理的個人資料,且僅適用於公務機關與特定行業。如今,新版個資法在去年底已經正式上路,最大的改變是,不僅去除「電腦處理」和「行業別限制」,同時擴大對於個人資料的保護,任何經由電腦處理的個人資料,以及紙本處理的個人資料,都將受到規範。

由於企業面對電腦處理個資防護的法規要求,已經有很多經驗,但紙本形式的個資管控問題,比起數位形式的個資管控要難,而且,輸出設備的管控常是企業容易忽略的問題,不論是列印、影印、傳真、掃描的業務流程,都需要再次重新檢視,畢竟,違反個資法就有可能遭到重罰。

利用電子化流程,改善紙本文件管控壓力 
為了減少列印文件的管控,電子化作業是很好的選擇。不過,無紙化的議題已經提倡多年,但並未讓大家因此不用印表機和影印機。隨著近年多媒體平板裝置的潮流與觸控技術的普及,已經有一些企業單位,都用iPad開會,而會議資料都在網路上可控制的環境中,以減少紙本資料印出不易管控的問題,同時減少紙張的用量。

另一方面,業務流程電子化,也是現在企業所關心的一環。舉例來說,過去民眾去電信業辦理業務時,需要填寫一些紙本文件,這些文件正本最後會從門市匯集到總公司,然後經拆箱、點件、確認內容、稽核後,存倉保管。

現在,有些企業已經開始把這些業務流程改成電子化作業,你可以在門市櫃臺從螢幕上看到原來印出來的申請文件,簽名時只要簽在螢幕上,這份簽署的電子文件將視為正本,以取代傳統紙本文件的業務流程,同時也降低紙本文件的管控壓力並減少紙張的浪費。

在保險業方面,現在也有業者提供電子化的業務流程,只要讓業務人員帶著iPad到客戶家中,透過線上即時核保的動作,不僅加快業務流程,同時以往業務攜帶保險建議書、要保書等一堆紙本文件的方式,也被取代。

但個資法的要求會促使無紙化應用加速嗎?那也未必,由於新版個資法特別強調要蒐集、處理和利用個人資料前,一定要取得當事人書面同意,相對的,在非電子商務流程中,有些企業可能會印出更多文件,以徵求個資蒐集、處理和利用的同意權。除非企業將所有流程電子商務化,個資搜集、處理才可依電子簽章法之規定,以電子文件方式給當事人書面同意。

從近年的企業流程與工作習慣來看,多採紙本與電子並行的做法,要做到無紙化仍有一定的難度,但可以降低紙本個資管控的問題。

更特別的是,其實也有企業為了留下證據並防止被竄改,因此,將所有資料以連續紙張全部印出,再透過專人負責嚴加保管,這是相當異於電子化應用的方式。

違反個資法,企業相關人員最高處5年以下有期徒刑
隨著新版個資法將範圍擴及至紙本,如果企業還是用舊思維而未強化個資防護,一但企業發生外洩個資,導致當事人遭受損害時,在無法估算損害金額時,每人每件可求償500~20,000元,相同原因造成的事件總求償金額最高2億元。企業若意圖營利,相關人員可處5年以下有期徒刑、拘役或併科1百萬元罰金。

要做好紙本個資文件的管控,可以從文件印出前就開始規畫,同時針對印中、印後加強防護與追蹤管控,而文件流程也需要從管理面著手,同時加強企業員工個資風險意識,建立個資文件處理上的標準作業流程。在管理面與技術面搭配的情況下,降低紙本個資外洩的風險,並證明企業盡到應有的責任。


紙本文件輸出缺乏有效管控

由於過去的法規並沒有針對紙本個資文件來管控,因此,企業在業務流程上,普遍未重視紙本的防護。在新版個資法擴及紙本文件管控後,這些個資不設防的業務流程,都應立即做調整。

現在,企業在業務流程上必須花更多心力,改變以往可能帶來個資風險的做法。舉例來說,過去我們列印時,公司這類設備都是開放使用的,且設備置放於公共環境,一旦有個資內容的文件印出後被他人誤取,或是無人領取,就是紙本個資在列印時造成的風險缺口。

另外,傳真也是紙本個資防護不能忽略的管道,像是傳真文件印出被人拿取,下班時間後輸出的傳真文件沒人控管,也會造成同樣的問題。

在各領域的業務流程中,像是旅遊業的傳真刷卡業務,保險業業務人員接收客戶資料或是旅行平安保險時,或是遊戲業的客戶人員為了證明玩家身分,往往都以傳真接收用戶傳來的身分證件,這些都是與個資文件相關的工作。如果企業仍像過去一樣不設防,一旦發生個資文件外洩的問題,面對違反個資法後的重罰,甚至將會嚴重影響到公司未來的營運。

對於這些問題,雖然過去企業會要求員工,列印後該馬上至印表機前領取,或是傳真時,應先聯繫對方是否在傳真機前,但從過去使用經驗來看,人為疏忽仍是常見的現象,由於當時法規並未涵蓋紙本文件,加上一些企業以往是由非IT部門管控影印機、事務機的使用,而且,多數企業對於列印設備的要求重點都是放在成本管控上,造成長久以來,只有重視機密文件防護的產業與單位,會加強這方面的管控。

傳真、列印控管不設防,個資文件處理過程可能產生大漏洞

由於過去企業疏於紙本文件的防護,雖然使用者都應該知道列印後應立即領取,或是接收傳真時應守在傳真機前,但往往因為人為疏忽的緣故,造成列印、傳真文件擱置在設備上的狀況時常發生,若是沒有強制的手段去管控,這樣的問題很難獲得改善。

從紙本個資盤點著手,拆解紙本個資的流向與風險
勤業眾信企業風險管理協理舒世明協理表示,以目前來看,在個資法正式實行後,已經有些企業已經因應法規而做出不少變動,但多數僅注重個資蒐集的合法性,像是請客戶簽署大量的資料蒐集、處理及利用的同意書,然而,對於內部處理流程如何符合法規要求還來不及面對。

要做好個資防護,個資盤點是相當重要的一步,同樣的紙本個資防護上的個資盤點也相當重要。企業在制定規範時,可以從業務面拆解個資流程,追蹤紙本個資的流向,並了解紙本個資文件的風險缺口。進而針對個資文件流程進行探討,像是了解紙本個資文件的來源、使用時機?誰可以接觸這份文件?以什麼方式傳遞?文件記載的個資數量與類別有多少?評估可能造成的風險有多大?

許多企業雖然已經執行盤點個資的動作,但個資盤點落實相當重要,才能建立完整的紙本文件的個資清冊。當然,企業在個資盤點工作上的流程拆解越細緻,所有紙本個資文件的流向就清楚,控管規畫上也可以變得更容易一些。

實作上,在紙本個資流程盤點與規畫時,可以先以流程圖畫出紙本文件業務流程,再來界定詳細的規範。舒世明表示,個資盤點完成後,針對個資文件管控,要記得一個最重要的原則,也就是最少揭露原則,讓有業務需求的員工才可以接觸個資文件,減少管控項目,另外,要盡到認知教育,如果企業沒有教育、宣告,這將是失責。

此外,企業在做防護個資時,管理面的規範制定很重要。透過事先規畫,釐清要面對那些問題,這些問題可能對企業帶來什麼風險,再從風險管理角度來看,那些高風險要優先處理。



從紙本生命週期角度來看,檢視個資文件的產生、處理到保存與銷毀

針對紙本個資文件的管控,從紙本文件生命周期的角度來理解會比較容易。了解那些業務流程會產生紙本的個資文件,從文件的產生、利用到銷毀,都要制定好標準的作業流程規範,才能讓員工能夠循規做好個資文件的防護工作。

從個資文件的產生、傳遞、利用,一直到最後的銷毀與保存,都應制定好各人員的授權與責任,同時建置好機密文件的分類、分級制度,並檢視現有作業流程,讓企業員工能夠依照標準作業程序執行。而員工的個資防護教育訓練上,也是持續不斷要做的事,讓企業員工不論是在業務流程中,或是工作習慣上,都應該有良好的個資防護觀念。

勤業眾信企業風險管理協理陳志明表示,企業在個資防護上,通常會建議企業先評估業務流程,接著從管理面下手,再來導入防護設備或系統。

而且,建議企業一開始就要釐清列印的目的、使用的場所?在政策面也要先釐清一件事,就是誰有什麼權限做什麼事,適當的授權與分權相當重要。

更要提醒企業的是,個資法採用的是「舉證責任倒置」原理,因此,根據個資法第29條的規定,當企業被當事人提起個資訴訟時,企業必須要能夠證明本身沒有故意或過失責任,否則,就要負起賠償的責任。

針對紙本個資文件的防護上,在管理面是否能夠建立標準作業程序,設備面的安全防護功能是否妥善被利用,都是企業需要留意的。

列印、影印、掃描、傳真行為都應該要被管控

過去企業多以控制列印成本作為首要考量,而管控功能並不夠重視,因應個資法,列印、影印、掃描、傳真行為的管控功能就顯得格外重要,一些低階的輸出設備上,管控功能並不足夠,能否滿足企業內部的個資防護需求,是管理人員需要再三檢視的部分。其中,設備上最基本的使用者登入驗證機制,是後續管控進行的關鍵。

列印、影印、掃描、傳真使用行為的防護機制
●列印前
1.建立身分驗證機制
2.設定功能權限管控
3.設備安全性(如硬碟加密、複寫)

●列印中
1.浮水印警示效果
2.走至設備前驗證後始可列印
3.限制只能傳送至非通訊錄號碼
4.掃描文件設定開啟密碼
5.未授權文件無法被影印

●列印後
1.影像、列印、傳真、掃描影像備份,作為稽核、證據保存之用
2.影像備存搭配OCR與關鍵字通知,可主動警示機敏資料印出,或是搭配個資盤點清查工具



從列印行為開始,做好內部個資文件產出的管控

除了檢視個資文件生命週期,從管理面來規畫,如何妥善利用設備上的功能來輔助列印管控也很重要。現在的複合機上,其實早已提供諸多功能協助管控,包括身分驗證、權限控管、機密列印與紀錄備存等功能,只要能妥善利用,便能強化列印設備與紙本文件的個資防護能力,減少紙本文件可能帶來的個資風險。

就像存取企業網路時,都會強制使用者電腦登入網域才能存取,列印設備也應該有同樣的機制,才能做好紙本文件的管控。針對不同業務流程的員工,設定對應的設備功能權限,以加強設備使用上的管控;為了避免人為疏忽,至設備前輸入密碼始可列印的機密列印功能也很實用;傳真進來的文件,以及傳送、掃描出去的檔案,也應該有配套方式加以管控,減少個資文件不受保護的情況。

此外,由於複合機設備通常都是由多人所共用,與個資文件、機密文件相關的高風險業務流程,也可獨立使用專屬設備,或申請不同的傳真專線,讓輸出文件與設備處於可管控的區域內。

企業更關心的是,因為個資法可能與企業既有流程運作之間有衝突的,如果管控太嚴,可能會妨害到企業的營運效率與競爭力。因此,如何在做好個資防護的前提下,並維持業務流程上的順暢性,是企業持續該思考的問題。

綜合來看,企業過去在文件輸出方面,為了改善列印成本,可能疏忽於列印管控方面,現在,企業需要重新回頭檢視列印管控的問題。

其實目前已有不少企業已經加強列印與紙本的安全管控,大型企業與跨國企業在這方面的腳步,普遍比較快。在這樣的時機點下,不論你的企業規模有多小,都勢必要加強檢視業務流程與紙本個資防護的問題,做出更符合要求的應對措施。

像是有些企業全面導入管控功能較齊全的複合機,就是一種作法,將列印功能與AD整合,所有列印、影印行為都要經過帳號登入、密碼驗證才能使用,掃描文件時也可加入密碼保護,甚至進一步限定開啟者能否擁有列印、複製內文之權限。而且,所有列印設備的使用都會有影像副本留存在複合機的硬碟中,再傳送至後端的檔案伺服器,留下使用紀錄與證據。當然,若每份資料都要備存,資料量將會相當龐大,配合及時的搜尋、警示機制,也可以做到主動的個資列印防禦。同時,也降低管理人員設備管控的複雜度。

而在低階的印表機、複合機上,由於管控功能較為不足,可能要搭配其他管控方式,讓文件輸出不會有個資外洩疑慮。像是透過列印管理軟體,搭配DLP與DRM機制,或是設立列印管制區,由專人負責管理,來做到列印等行為的管控,因此也是付出其他管控成本。



紙本個資防護與列印等行為管控上的施行要點

在個資法施行細則第12條第2項中,其實也明定了11項安全維護措施,針對紙本個資文件防護與列印設備管控方面,有4點特別需要注意: 

● 資料安全管理以及人員管理 
● 認知宣導與教育訓練 
● 設備安全管理 
● 使用紀錄、軌跡資料及證據保存 

其中,在資料安全管理以及人員管理上,企業應建立標準作業程序,並將資料分級,依據不同職位的員工設定存取權限,像是從系統與設備端來管控列印、傳送等行為,在個資文件處理的業務流程,也能有標準做法讓員工依循。

在認知宣導與教育訓練方面,企業要加強員工的個資防護意識,對於紙本個資文件要能夠謹慎處理,並要企業上下都了解個資外洩的後果,相關員工與企業老闆將會受到重罰。

在設備安全管理方面,不僅針對各式各樣設備的使用行為,設備中的硬碟也需要透過磁碟加密與複寫機制來防護。因為所有的輸出資料、使用者設定都會被永久或暫時地儲存在設備中,透過加密、複寫始可確保即使硬碟有一天被竊取,其中的資料也不容易被讀取出。

另外像是資料安全稽核機制,以及使用紀錄、軌跡資料及證據保存方面,經由各項程序所產生的任何形式記錄,企業皆需妥善保存,以利日後舉證之用,因此,各式Log紀錄都是數位證據的範圍內,而由影印、列印、傳真、掃描行為所衍生出的個資外洩問題,就要靠影像Log來舉證

由於個資法第30條中也有提到,當事人須在事件發生5年內提出求償,因此影印、列印、傳真、掃描的影像備存機制,最多也需要保存5年之久

但對於多數企業來說,這種備存機制是否有其必要性,可能有很大的疑惑,實際上從法規角度來看,在日後舉證上,其證據效力,比起只有檔案名稱,使用者名稱與時間的Log資訊有用的多。為了證明企業已經善盡管理之責,降低企業的過失責任,企業就必須有效保存數位證據,以證明本身沒有故意或過失責任。



列印工作若委外,交付企業仍有個資責任

除了企業自己內部列印的管控,有些企業也會將文件列印工作委外處理。但委外並不代表企業不用負責,依據個資法第4條規定,「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。」因此,企業在交付個資文件委外作業時,需要謹慎評估,並針對有關個人資料處理的業務,建立評估的標準,以便篩選出適合的配合廠商。

委外廠商是否獲得資安認證是一個可以參考的因素。對於握有大量個人資料的公務機關與私人企業而言,已經有不少企業會導入個資管理制度,建立相關的管理流程規範,以因應法規的要求。以目前來看,常見的個資管理制度上有3種標準,像是ISO 27001認證、BS10012英國個資保護認證,以及TPIPAS個資標章驗證。

同樣的,委外廠商也藉由取得資安認證,加強管理流程的的防護,像是精誠資訊的資料管理整合服務事業部,便負責列印許多金融業和電信業的帳單,他們為了帳單列印這項服務導入BS10012,加強個資防護管理機制。

當然,企業最好能深入了解委外廠商的實際運作情況,並將所有接觸人員納入個資保護教育訓練範圍,同時簽署保密協定,確保人員能夠持續對個資保護有正確觀念。

除了帳單列印委外,還有文件銷毀委外也是目前企業會採用的服務。同樣的,企業在導入專門的文件銷毀服務時,可以參考針對文件銷毀認證的標準,像是國際上的NAID(National Association for Information Destruction)認證,以了解銷毀流程上的注意事項。

像是現在也有保險業,為了改善過去不用的建議書、要保書銷毀不確實的問題,在通訊處中導入專業銷毀公司的服務,讓員工將不用的紙本文件丟入上鎖的銷毀箱,之後再由銷毀公司收取、運輸、銷毀,全程都不會讓他人有接觸文件的機會。為了做好個資銷毀,企業可以實際跟著銷毀公司的流程走一遍,以了解委外公司的個資防護能力。


轉載自《iThome》

美國資安業者揭露中國軍方的網路間諜部隊


美國資安業者揭露中國軍方的網路間諜部隊

美國資安業者Mandiant直指中國人民解放軍的61398部隊從2006年便開始從事網路間諜活動。61398部隊可能有數百名甚至數千名人力,中國電信以國防為名為該部隊提供了專用的光纖通訊基礎設備。 


↑ Mandiant報告中指出這棟位於上海的建築為61398部隊指揮中心。

美國資安業者Mandiant本周針對名為APT1的網路間諜組織發表了一份報告,除了認為此一從2006年來便開始從事網路間諜活動的組織背後有政府的支持外,更直指它應該就是中國人民解放軍的61398部隊。

雖然不少資安業者皆曾懷疑中國政府主導某些網路攻擊行動,但這是第一次有業者毫不掩飾地指控中國政府,中國政府則說該份報告毫無根據。

Mandiant自2004年即開始調查全球數百起的電腦安全事故,其中多數屬於進階持續性滲透攻擊(Advanced Persistent Threat,APT),在2010年的報告即懷疑中國政府牽涉其中,只是不確定涉入程度,但最新的報告指出,這些攻擊主要來自於中國,同時中國政府也知情。

根據Mandiant的調查,全球有超過20個API組織源自中國,API1是其中最多產的,自2006年便展開間諜活動,7年來總計有橫跨20個產業、超過140個組織被攻擊。

Mandiant分析API1的流量、攻擊架構、工具、技巧,還掌握了操作API1的3名人士,認為API1之所以能進行如此龐大且持久的間諜活動一定有政府的直接支持,而中國人民解放軍的61398部隊便擁有與API1類似的任務、能力與資源,而且所在地與API1一致。

61398部隊(總參三部二局)為中國的秘密部隊,可能有數百名甚至數千名人力,中國電信以國防為名為該部隊提供了專用的光纖通訊基礎設備,要求每個人都必須接受電腦安全及電腦網路運作的訓練,而且必須熟悉英文。Mandiant指出,他們追蹤API1連回了上海的四大網路,其中的兩大網路就位在61398部隊的所在之處。

API1一旦建立某組織的存取途徑,就會經年累月地持續竊取各式智慧財產權資訊,像是技術藍圖、專有的製程、測試結果、商業計畫、價格文件、合作協議或是各組織負責人的電子郵件與通訊錄等,曾滲透某個組織達4年10個月之久。此外,API1所滲透的組織恰巧都符合中國所推動的策略產業,被駭的141個組織中,有87%以英文為母語。

不過,紐約時報引述中國外交部發言人洪磊表示,這是不負責任且毫無根據的指責,中國反對駭客行動且已建立相關法令,亦透過嚴格的規定來對抗網路駭客行動。(編譯/陳曉莉)

轉載自《iThome》

蘋果也遭遇和Facebook一樣的駭客攻擊


蘋果也遭遇和Facebook一樣的駭客攻擊

蘋果的遭遇與Facebook如出一轍,有部份員工的Mac電腦因瀏覽器的Java外掛程式而感染了惡意程式,蘋果已隔離這些電腦,並表示無證據顯示駭客竊取了蘋果的資料。

蘋果於本周坦承,該公司有少數員工的Mac電腦受到駭客攻擊,而這些駭客與攻擊Facebook的是同一批,皆是利用Java漏洞植入惡意程式。

Facebook日前證實該站系統成為駭客攻擊的目標,Facebook員工造訪了已被駭客入侵的行動開發人員論壇,結果因瀏覽器上的Java漏洞感染了惡意程式,駭客並嘗試存取Facebook的內部系統。Facebook的調查顯示,有其他公司也成為攻擊目標。

而蘋果的遭遇如出一轍,有部份員工的Mac電腦因瀏覽器的Java外掛程式而感染了惡意程式,蘋果已隔離這些電腦,並表示無證據顯示駭客竊取了蘋果的資料。此外,蘋果也說攻擊該公司的與攻擊Facebook的駭客是同一批人。

Facebook是在今年1月發現駭客藉由植入員工電腦的惡意程式嘗試入侵該站系統,並立即通報甲骨文,甲骨文則在今年2月1日提前釋出Java SE重大更新來修補漏洞。

蘋果在今年1月釋出兩次的OS X Xprotect防毒機制的更新,以阻止Safari執行Java程式,一直到甲骨文修補Java才放行。不過,無法確定這是否因為內部員工遭受Java漏洞攻擊影響的緣故。

Facebook與蘋果並未指明有哪些或多少公司受到攻擊,但根據彭博社的報導,至少有40家業者受到波及,包含Facebook、蘋果與Twitter,首腦是來自東歐的駭客集團,目的為竊取公司機密。(編譯/陳曉莉)

轉載自《iThome》

Google:挾持帳號成為寄送垃圾郵件的新手法

Google:挾持帳號成為寄送垃圾郵件的新手法

對抗Google垃圾郵件過濾機制的方法之一,是以使用者通訊錄中的友人帳號來發送郵件,這也讓駭客開始藉由挾持使用者帳號來寄送垃圾郵件。 

Google表示,雖然該站努力在減少垃圾郵件數量以降低用戶被詐騙的機率,但有愈來愈多的駭客藉由挾持而來的用戶帳號,來寄送垃圾郵件。

Google安全工程師Mike Hearn表示,對抗Google垃圾郵件過濾機制的方法之一,是以使用者通訊錄中的友人帳號來發送郵件,這也讓駭客開始藉由挾持使用者帳號來寄送垃圾郵件。每天都有網路罪犯入侵各種網站來竊取資料庫中的使用者名稱與密碼,然後到黑市兜售,由於許多人在不同的網站使用同樣的帳密,代表只要竊取一組就能應用於其他網站服務。

Hearn曾發現有一名駭客每天都嘗試入侵約100萬個Google帳號,而且持續了數周,另一個駭客集團則以每秒100個帳號的速度嘗試進行登入。

不過,Hearn解釋Google不僅僅是確認使用者輸入的密碼,當使用者登入Google時,系統即會進行風險分析,以確定登入的是使用者本人,假設該登入很可疑,系統就可能會詢問使用者的電話號碼或安全問題,在2011年挾持帳號的高峰期時,Google減少了99.7%的帳號挾持比例。

即使有安全機制的保障,Google仍然建議用戶使用更複雜的密碼,同時升級到必須額外自手機接受認證碼才能登入的雙步驟驗證,並且更新帳號回復資訊,以改善使用者的安全與隱私。(編譯/陳曉莉)

轉載自《iThome》

2013年2月18日 星期一

整併個資/資安/服務3項管理制度 從盤點營運流程開始


整併個資/資安/服務3項管理制度 從盤點營運流程開始

個資法上路後,許多企業為了做好法規遵循,選擇導入個資保護相關管理制度,然而每多引進一項制度就會多一份維運工作,如何將個資管理制度與現有制度整併,降低維運成本,成為企業最關心的課題。

日前資策會資安所整合ISO 20000、ISO 27001與BS 10012三種制度,並取得驗證,將這3種制度的管理流程、程序文件、組織、內部稽核制度、風險評鑑方式作整合,降低內部維運管理制度的時間與人力。

簡單來說,資安所3種制度的整併可以分為以下兩個大面向:

1、管理制度整合
(1)  檢視管理制度與個資法的符合性;
(2)  合併管理審查會議(審查項目與內容);
(3)  合併重疊的管理制度文件(如:文件記錄與發行管理等)。
(4)  檢視內部稽核與查檢表。

2、資產盤點方法與風險管理方法論的整合。

資策會資安所副所長劉培文指出,在整合3種管理制度過程中,首先從盤點業務流程(ISO 20000)開始,並思考每一個業務流程該怎麼做,才能遵循資安(ISO 27001)與個資保護(BS 10012)的規範。

舉例來說,資安所負責維運技服中心,而在技服中心通報應變網站中含有個人資料,站在ISO 27001的角度,要考量的就是提供網站運作的IT資產是否符合規範,而ISO 20000看的則是服務水準(即SLA)BS 10012則是從個資保護的角度出發,這3個管理制度雖然考量的不同面向,但彼此必須做整合,否則可能3個不同的人分別處理這3件事,造成人力與時間的資源浪費。

轉載自《資安人科技網》

美國知名銀行又陷DDoS危機 幕後操盤手竟是伊朗?!


美國知名銀行又陷DDoS危機 幕後操盤手竟是伊朗?!

美國金融機構自2012年9月開始陸續遭受DDoS攻擊,導致網路銀行服務受到影響,近日安全公司又偵測到新一波的DDoS攻擊正在展開,為數家銀行調查攻擊事件的Radware公司Radware副總裁Carl Herberger表示,這波攻擊的規模、範圍、效率、影響的金融機構都是前所未有的。

新一波DDoS攻擊的受害者包括美國銀行(Bank of America)、花旗集團(Citigroup)、富國銀行(Wells Fargo)、美國合眾銀行(US Bancorp)、PNC金融服務集團和滙豐銀行(HSBC)等機構。儘管這些受害機構已經投入許多資金處理攻擊事件,但依舊無法控制並使之停止,部份用戶已經開始在網路上抱怨無法登入網銀服務。

前美國國務院和商務部官員暨美國國際戰略研究中心(Center for Strategic and International Studies)的電腦安全專家James Lewis認為,伊朗是這幾波DDoS攻擊的幕後主使者。

James Lewis日前接受紐約時報(New York Times)專訪時則指出,這些DDoS攻擊僅造成網路銀行使用受到影響,但沒有任何資料、金錢被竊取,顯示其目的是為了影響營運,而非財務目的,此外,DDoS攻擊所運用的大量網路流量以及複雜手法,都讓美國政府更加肯定這是來自伊朗政府所為,不過,James Lewis並沒有提出確切證據證明他所說的,事實上,很多資安專家也都認為沒有直接證據證明這些攻擊是伊朗政府所為。

另外,網路上有個自稱Izz ad-din Al qassam的組織,宣稱他們才是這些攻擊的策劃者,因為對之前Youtube上模仿穆罕默德的影片感到不滿才發動攻擊,該組織甚至在最新發文中警告「所有美國的銀行,從現在開始都將面臨攻擊!」不過,James Lewis表示,美國官方認為Izz ad-din Al qassam只是伊朗政府用來轉移焦點的工具罷了。

其實,美國和伊朗政府之間的恩怨向來不斷,包括Flame、Stuxnet以及Duqu等超級病毒,都曾被認為是美國主導、用來攻擊伊朗重要基礎建設的工具。而今的DDoS攻擊,則讓美國官方相信這是伊朗政府所展開的報復手段。

在這一波攻擊中,除了幕後主使者惹人爭議外,還透露出一些令人不安的訊息。相較於前幾波是針對某些特定電腦發起的攻擊,新一波攻擊中,攻擊者還控制了多個資料中心的電腦網路。

Radware公司研究員發現,用於攻擊的大量資料來自世界各地的資料中心,許多雲端服務和網路託管服務系統已經感染了一種稱之為Itsoknoproblembro的複雜病毒,雖然該惡意程式已經存在多年,但這是它首次利用資料中心來攻擊目標。

轉載自《資安人科技網》