系統與平台安全 回到資安Q&A
Q
防止會員成為滲透資料庫的缺口 強化密碼存取與監控稽核
我們公司網站有一個筆數不少的會員資料庫,含有個人資料,所有外部防禦我都已做,但我擔心是否有可能某個會員帳號密碼被盜用之後,進來非法存取我其他的會員資料庫?這麼龐大的會員(客戶),我可以強化哪些措施?
提問時間: 04/18/2011
A
值班醫師回應
許多企業通常只站在自己的角度做資安,而忽略外部的合作夥伴或者客戶(會員)也是脆弱的一環。此問題可以從強化密碼存取、稽核監控等方式著手:
1.建議改用更嚴謹的密碼協定,並提醒所有會員強化密碼的強度。也可考慮採用雙因素認證,例如搭配使用硬體式的Token。有些企業的作法是,當用戶(會員)要存取系統中敏感資訊時,就限制存取的IP位址,只能從特定IP位址登入存取,如果要從其他位址登入,就必須使用硬體式Token做身份認證。
2.學習銀行的防詐監控機制。建置一個會員行為異常偵測系統,針對每種用戶存取系統的行為評分,如果分數到達了「行為可疑」的程度,系統就自動限制用戶的資料存取權限。甚至暫時鎖住帳戶,並且通知使用者。
3.持續加強安全認知與教育訓練。對所有員工乃至於客戶,必須強化安全認知訓練。對員工說明公司所存放的客戶資料,以及員工的職責。也可以提供客戶如何防止網路釣魚等帳號密碼竊取的認知宣導訊息。

現在看到越來越多入侵案例,攻擊者不是從大門進來,而是從端點滲透。因此,不只是對員工做好教育訓練,企業也應該將關注焦點放在所有外部合作夥伴、會員身上。畢竟,這些都是企業需要面對的風險。
資安急診室醫師介紹
編輯部整理
《資安人雜誌》於2003年創刊,是國內一本專業提供資訊安全管理面與趨勢議題的專業雜誌。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字