歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
有了內容安全 內賊難逃~人員與機密文件控管角色吃重
2003 / 03 / 05
梁玉容
何謂內容安全
所謂內容安全(Content Security)主要是指針對可以保護企業重要資訊資料的安全產品,就其防護功能可區分為像是文件控管、Web/Email內容過濾,以及防毒軟體等等產品。針對各項內容安全產品之不同功能做以下的介紹:
文件控管
文件控管軟體可防止企業中之機密文件被未經授權認可之人員使用,主要功能是針對這些機密文件可能遭致以複製、儲存、轉寄、列印等等方式竊取或盜用,而提供因應的防護措施。目前市面上有網核代理的Mirage及寬華 “四大天王” 系列中的PageRecall及MaillRecall都有類似的功能,不過兩者保護的範圍有所不同,Mirage主要是針對藉由Internet及企業窗口,用戶端在瀏覽器閱覽的檔案資料;而PageRecall及MaillRecall則是針對郵件、檔案及Web存取,做各項合法使用權限的設定,像是Copy、Print的次數,甚至閱讀的有效期限等都可做設定。
內容過濾
為了防止員工於上班時間利用公司網路及頻寬做私用或不法之行為,這一類軟體的基本原理大抵是以防堵員工連上不該上的URL。像是精誠的Websense即屬這一類產品,它可以依據公司的管理政策,針對不同業務組別、個人或職權等管理員工的上網權限。寬華的NetRecall和威播的XKeeper網路濾淨器也都有類似的功能。 另外,內容過濾也可屬於員工的資訊管理的一環,目的在防範員工把時間及資源用在私人事務,以及防止員工利用電子郵件把公司機密資料洩露出去,桓基科技的MailSherlock郵件俠客,即是電子郵件應用追蹤的管理系統,以過濾及監測相關郵件,執行郵件詳細內容之檢視。中華數位的MailSQR電子郵件保全專家則是Email的管理解決方案,除了提供完整的Email內容控管功能,還可進行Web Mail的郵件內容控管。寬華的MailDVR電子郵件通聯紀錄器,被比做是虛擬的CCD,特別強調可以做全程監錄。而其他像是趨勢科技、賽門鐵克等安全產品供應商,都有類似以內容過濾來防堵機密資訊外流的產品。
防毒系統
以保護電子郵件防制病毒疫情發生為主,同時並可清除大量郵件病毒、垃圾郵件和不當內容的程序,並且可以遏止「阻斷服務」(Denial of Service, DoS)。這一類的產品在趨勢科技、賽門鐵克、McAfee及Sophos等防毒廠商都有相關產品。
權限控管
有關機密資料之閱讀權限控管及閱讀者之身分確認程序之相關產品。如Novell的Nsure安全身份管理解決方案,可以幫助企業做好人員之管控,在使用者身份變更時,能立即取消所有互連系統的存取權限,保障企業資源的安全。
其他
其實內容安全產品線相當廣,要清楚的做好分類有其困難度,就連各家廠商也沒有很好的定義,主要還是看資安產品要做哪類防護或要保障哪些內容而定。例如:有的廠商是以加密技術切入,將機密資料以加密方式保護,即使被竊走也無法使用,網安科技即是一例。另外,像是優碩資訊的「數位內容生命週期安全管理」,則是針對文件作權限管理所提出的解決方案。
人員控管對企業的重要性
人員的控管和機密文件的管理這兩者對企業而言都很重要,尤其是人員部份,在資訊安全的議題上,更是扮演了舉足輕重的角色。根據統計,資訊安全的風險,超過80%以上的比例出於內賊,可見人員管理的重要性。因此在人員的控管上,必須先做好管理,像是身份權限管理,企業必需建立一套清楚明瞭的權限、安全政策,以及工作流程。此外,擬定相關的法規及範例來約定並釐清員工的責任與義務也是很重要,除了可以讓員工了解公司內部哪些人可以看哪些東西,哪些機密文件不能與他人分享或洩漏的義務外,企業也可以因此避免將機密資料外洩的機會。
如何做好機密文件之 安全控管
企業e化後,企業許多重要機密資料的保護工作就得更加審慎考量,往往一次不經意的疏忽,就可能造成企業營運的危機,所以如何做好企業機密文件資料的安全防護就顯得相當重要。以下是各廠商對企業用戶的建議。 桓基總經理江衍源以學者轉戰商界的成功經驗談企業安全管理,他建議企業主先做企業風險評估,如果文件及檔案控管是攸關企業營運命脈,在資料的防護和文件安全的控管上就必需花錢去採購必要設備,逐年逐步將資訊安全防線架起來,而不是等企業內部出現問題才去補漏洞。 此外,MIS管理人員在企業中扮演著很重要的角色,寬華陳旭東如是說到,如果文件及檔案控管是攸關企業營運命脈,而且又是企業的重要資產,那麼MIS的管理人員就必須善盡告知企業主管之責。同時做好分析,讓企業主了解如果沒有做,企業會因此損失多少,並且用量化的風險與危機數字,來強化並告知企業主管安全的重要性。 而網核行銷業務處經理陳振興也表示,企業對資訊安全的重視,需由外部進而到內部,且先從可能對企業造成的損失來考量,文件控管及人員的管理兩者皆同等重要。陳振興也同時指出台積電在文件控管上投入相當大的經費,並且還自行從原廠導入文管系統,然而人員控管機制上出了紕漏,機密資料還是被不肖員工所帶走,可見人員控管的重要性。
結語
家賊能不能防?看企業是否能擬定一完善的管理政策,將員工之責任及權限釐定清楚;同時依企業內部之需求,是否購買完備的資訊安全產品。如果兩者都能做到,相信可以達到確保企業之永續經營之目的,並進而提昇企業之競爭力。
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
資安人科技網
文章推薦
Sophos:「數位殘餘」讓企業暴露於網路邊緣設備攻擊風險中
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅