觀點

有了內容安全 內賊難逃~人員與機密文件控管角色吃重

2003 / 03 / 05
梁玉容
有了內容安全 內賊難逃~人員與機密文件控管角色吃重

何謂內容安全
所謂內容安全(Content Security)主要是指針對可以保護企業重要資訊資料的安全產品,就其防護功能可區分為像是文件控管、Web/Email內容過濾,以及防毒軟體等等產品。針對各項內容安全產品之不同功能做以下的介紹:

文件控管
文件控管軟體可防止企業中之機密文件被未經授權認可之人員使用,主要功能是針對這些機密文件可能遭致以複製、儲存、轉寄、列印等等方式竊取或盜用,而提供因應的防護措施。目前市面上有網核代理的Mirage及寬華 “四大天王” 系列中的PageRecall及MaillRecall都有類似的功能,不過兩者保護的範圍有所不同,Mirage主要是針對藉由Internet及企業窗口,用戶端在瀏覽器閱覽的檔案資料;而PageRecall及MaillRecall則是針對郵件、檔案及Web存取,做各項合法使用權限的設定,像是Copy、Print的次數,甚至閱讀的有效期限等都可做設定。

內容過濾
為了防止員工於上班時間利用公司網路及頻寬做私用或不法之行為,這一類軟體的基本原理大抵是以防堵員工連上不該上的URL。像是精誠的Websense即屬這一類產品,它可以依據公司的管理政策,針對不同業務組別、個人或職權等管理員工的上網權限。寬華的NetRecall和威播的XKeeper網路濾淨器也都有類似的功能。 另外,內容過濾也可屬於員工的資訊管理的一環,目的在防範員工把時間及資源用在私人事務,以及防止員工利用電子郵件把公司機密資料洩露出去,桓基科技的MailSherlock郵件俠客,即是電子郵件應用追蹤的管理系統,以過濾及監測相關郵件,執行郵件詳細內容之檢視。中華數位的MailSQR電子郵件保全專家則是Email的管理解決方案,除了提供完整的Email內容控管功能,還可進行Web Mail的郵件內容控管。寬華的MailDVR電子郵件通聯紀錄器,被比做是虛擬的CCD,特別強調可以做全程監錄。而其他像是趨勢科技、賽門鐵克等安全產品供應商,都有類似以內容過濾來防堵機密資訊外流的產品。

防毒系統
以保護電子郵件防制病毒疫情發生為主,同時並可清除大量郵件病毒、垃圾郵件和不當內容的程序,並且可以遏止「阻斷服務」(Denial of Service, DoS)。這一類的產品在趨勢科技、賽門鐵克、McAfee及Sophos等防毒廠商都有相關產品。

權限控管
有關機密資料之閱讀權限控管及閱讀者之身分確認程序之相關產品。如Novell的Nsure安全身份管理解決方案,可以幫助企業做好人員之管控,在使用者身份變更時,能立即取消所有互連系統的存取權限,保障企業資源的安全。

其他
其實內容安全產品線相當廣,要清楚的做好分類有其困難度,就連各家廠商也沒有很好的定義,主要還是看資安產品要做哪類防護或要保障哪些內容而定。例如:有的廠商是以加密技術切入,將機密資料以加密方式保護,即使被竊走也無法使用,網安科技即是一例。另外,像是優碩資訊的「數位內容生命週期安全管理」,則是針對文件作權限管理所提出的解決方案。

人員控管對企業的重要性
人員的控管和機密文件的管理這兩者對企業而言都很重要,尤其是人員部份,在資訊安全的議題上,更是扮演了舉足輕重的角色。根據統計,資訊安全的風險,超過80%以上的比例出於內賊,可見人員管理的重要性。因此在人員的控管上,必須先做好管理,像是身份權限管理,企業必需建立一套清楚明瞭的權限、安全政策,以及工作流程。此外,擬定相關的法規及範例來約定並釐清員工的責任與義務也是很重要,除了可以讓員工了解公司內部哪些人可以看哪些東西,哪些機密文件不能與他人分享或洩漏的義務外,企業也可以因此避免將機密資料外洩的機會。

如何做好機密文件之 安全控管
企業e化後,企業許多重要機密資料的保護工作就得更加審慎考量,往往一次不經意的疏忽,就可能造成企業營運的危機,所以如何做好企業機密文件資料的安全防護就顯得相當重要。以下是各廠商對企業用戶的建議。 桓基總經理江衍源以學者轉戰商界的成功經驗談企業安全管理,他建議企業主先做企業風險評估,如果文件及檔案控管是攸關企業營運命脈,在資料的防護和文件安全的控管上就必需花錢去採購必要設備,逐年逐步將資訊安全防線架起來,而不是等企業內部出現問題才去補漏洞。 此外,MIS管理人員在企業中扮演著很重要的角色,寬華陳旭東如是說到,如果文件及檔案控管是攸關企業營運命脈,而且又是企業的重要資產,那麼MIS的管理人員就必須善盡告知企業主管之責。同時做好分析,讓企業主了解如果沒有做,企業會因此損失多少,並且用量化的風險與危機數字,來強化並告知企業主管安全的重要性。 而網核行銷業務處經理陳振興也表示,企業對資訊安全的重視,需由外部進而到內部,且先從可能對企業造成的損失來考量,文件控管及人員的管理兩者皆同等重要。陳振興也同時指出台積電在文件控管上投入相當大的經費,並且還自行從原廠導入文管系統,然而人員控管機制上出了紕漏,機密資料還是被不肖員工所帶走,可見人員控管的重要性。

結語
家賊能不能防?看企業是否能擬定一完善的管理政策,將員工之責任及權限釐定清楚;同時依企業內部之需求,是否購買完備的資訊安全產品。如果兩者都能做到,相信可以達到確保企業之永續經營之目的,並進而提昇企業之競爭力。