技術通報

企業資安,不只是DLP

「報告老闆,公司的重要資料已經全部加密,絕對不會再發生洩密事件!」

「反正重要資料都己加密,所以不必再費心控管其他端點行為。」

 
 
 
以上觀念正確嗎?
 
 
有鑒於資料外洩事件層出不窮,許多企業基於強化競爭力及維護企業形象,開始重視內部資安防護,研究如何防止重要資料外洩。因此,各資安系統研發商、銷售商,無不強調自家資安系統具備資料外洩防護(Data Loss Prevention;DLP)功能,可協助企業杜絕重要資料外洩事件,而帶動DLP熱潮。
此外,近1、2年來,資安防護系統也吹起文件加密風,號稱「只要加密就安全」的宣傳,或許可成為企業加碼採購資安系統的理由,然而事實上,從過去各家資安廠商推出的DLP產品,到當前的文件加密系統,是否真能為企業帶來完善的防止資料外洩效果,卻是個值得深思的議題。
 

對內控管、對外防護 最後還是破功?

企業建置資安系統的項目,從防火牆、IDs、IPs、防毒牆、資料備援等機架式的設備防護,到個人電腦裡的防毒軟體、AD權限等軟體式防護,所訴求的重點,不外乎防止駭客入侵或破壞、防木馬、防毒、防資料外洩……等,除了要扺抗外來攻擊,也要偵測內部是否有機密資料遭外傳。
 
只是,無論企業如何強化網路偵測設備效能,卻難以抵擋當前的3G/3.5G行動應用風潮。現今無線網路隨手可得,員工只要透過私有網路設備,即可避開企業網路的重重關卡,這樣的運用,在企業內外都可能發生,尤其容易出現在企業外部,例如經常在外奔波的業務人員、出差或外派的員工等,都是企業資安外洩的一大漏洞。
 
此外,員工所使用的端點電腦,也是資料外洩防護的著眼點之一,只要善加控管使用權限,即能防堵企業重要資料外洩,同時也能降低上述員工透過私有網路設備傳輸資料的風險。然而,無論企業內部端點防護有多麼建全,一旦資料必須與合作廠商交流時,例如:報價單、上下游設計藍圖……等,資料仍需外傳,如此一來,端點防護即無法有效發揮功效。

文件加密不是防護終點

所幸在資安系統市場上,只要企業提出需求,就能找到相對應的解決方案。例如「文件加密功能」即訴求「只要加密就安全」的夢幻理論,強調無論在企業內部,或與合作廠商間的文件交流,都能透過加密技術,獲得有效的安全保護,以致不少企業紛紛以「文件加密」為主軸,乎略了「端點控管」的重要性,甚至在市場訊息炒作下,忘了資料呈現的方式不一定是「檔案」。
 
資料除了以多數人所熟悉的「檔案」方式呈現外,資料庫、應用軟體介面表單、暫存檔、記憶體等,也都可能存放機密資料,有心人士仍有機會藉此竊取資料。此外,在資料傳輸管道甚多的情況下,資料交換的媒介,也是企業必須考量的重點之一,尤其是無法透過加密系統有效控管的資料及傳輸媒介,如ERP/CRM系統裡的資料、Email/WebMail內文、即時通訊/Web即時通訊、部落格等。
 
另值得思考的是,當使用者受到某種程度限制時,人性中傾向規避受控的心理因素容易被激發,會不斷找出防禦系統中的漏洞,進而演變成企業內資訊安全系統攻防戰;或者,使用者在無意間發現防禦系統中的灰色地帶時,企業要如何即時得知,並採取適當的防護與稽核措施?
 

個人電腦到底需要安裝多少防護軟體

近幾年來,資訊安全議題不斷被強調,也獲得企業高度重視,紛紛導入各式各樣的資安防護系統。在DLP的魅力下,多數企業不再以機架式的防護為首要考量,而著重於控管端點電腦操作行為,甚至衍生文件加密的潮流。
 
事實上,資訊安全系統的防護項目繁多,企業在進行系統規劃時,往往會為了解決當前面臨的問題,而在員工電腦上安裝多種控管系統,除了防毒軟體外,還有控管設備的軟體、網頁控管、文件加密軟體、控管即時通訊軟體、個人防火牆、網路偵測軟體等DLP產品,零零總總的軟體,在發揮資安防護效益之前,反而可能先造成員工電腦效能大幅降低。
 
儘管現今電腦設備的規格已大幅提升,或許不必這麼擔心效能問題,不過,在多種資安軟體常駐運作下,不同業者推出的資安防護軟體,常會出現相互衝突的情況,更有甚者,部分資安廠商基於惡性競爭,為抵制他家系統而刻意採取不相容的設計,以致企業資安管理人員除了要維護多種資安系統,還必須處理因系統不相容而影響員工電腦作業的「鳥問題」。
 
如此一來,即便企業投入人力、物力、財力,大費周張地建置資安系統,也確實達到某種程度的防護效果,但所造成的管理與維護成本,亦不容忽視;再者,大多數的企業其實並非定時更新電腦設備,多年前的舊電腦只要堪用,就會繼續執勤,在這樣的環境下,多種資安軟體同時安裝到電腦上,所造成的後果如何,值得進一步探討。

建全資安系統 才是真正防護

企業的機密資料如同銀行裡的現金,除了需要一道非常堅固的保險庫,所有現金在銀行內流動時,均需要適當的管控與記錄機制,若現金要移轉到其他地方,需有保全人員全程監控送達,一旦現金短缺,則要透過稽核管理機制,找出原因並追究責任。
 
諸如設計圖、客戶資料、財務資料、報價單……等機密資料,堪稱企業經營的根基與命脈,其防護措施應與銀行現金相同,都需要層層把關,達到安全防護,然而在成本考量下,許多企業建置資安防護系統時,往往採取「頭痛醫頭,腳痛醫腳」的方式,只針對當下需求,而忽略未來擴充性及功能整合性,進而造成管理與維護上的挑戰,甚至在日後導入新系統時,因需求項目增加或相容性問題,而被迫汰換既有的資安系統,如此一來,反而提高總建置成本,浪費企業資源。
 
所以,企業在規劃資訊安全系統時,除了要滿足當下的功能需求,也應同時考量系統的穩定性、擴充性、整合性、多元性。對管理者而言,完善的資安防護系統,維護更方便;對企業來說,則可藉此提高資安防護機制,同時降低總體建置成本。
銷售諮詢:
886-2-7720-7888 #501
這個 E-mail 地址已經被防止灌水惡意程式保護,您需要啟用 Java Script 才能觀看
技術支援:
886-2-7720-7855
這個 E-mail 地址已經被防止灌水惡意程式保護,您需要啟用 Java Script 才能觀看