https://newera17031.activehosted.com/index.php?action=social&chash=0245952ecff55018e2a459517fdb40e3.2287&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=1baff70e2669e8376347efd3a874a341.2327&nosocial=1

觀點

企業如何掌控核心數位意識~沒有「內容安全」何來「競爭優勢」

2005 / 02 / 03
郭晉豪、陳旭東
企業如何掌控核心數位意識~沒有「內容安全」何來「競爭優勢」

禍起蕭牆,防不勝防
僅僅就在一年前,台積電所爆發的機密資料被內部員工竊取而轉至潛在對手的案件就是另一個沸沸揚揚的例子。儘管台積電事後宣稱外流的資料並不是外傳的12吋晶圓相關文件,而是已成為技術「壯年期」的8吋晶圓相關檔案。但掌握世界晶圓代工技術的台積電,爆出這樣機密資料外洩到大陸的案例其實事屬非常敏感,不僅引發業者與政府的議論紛紛;甚至連美國相關單位也極度關切。畢竟這牽涉到其所謂高科技輸出管制的範圍。而更讓企業主憂慮不已的是:將資料外洩的人,就是前台積電的資深經理人;而外洩的管道,也就是由內而外一封封的電子郵件!

類似的案例不單只是國內才有;歐美各國的殷鑒也是不遠:例如美國司法部和FBI聯邦調查局,在2001年五月份就指控電信科技大廠朗訊內部的兩名大陸工程師,涉嫌透過內部網路竊取朗訊商業機密,在美國成立另一家電信公司,甚至明目張膽和大陸國營大唐電信公司成立合資企業,嚴重打擊朗訊在業界的市場競爭力。另一個知名例子,則是在2000年8月,美國蘋果電腦遭人竊取新產品的上市機密,竊密者還直接昭告天下,將資料在網路上到處散佈。 通常實體安全與網路安全的主要目的:「防範外賊」,而內容安全的主要目的卻是:「防範內賊」;而根據網路犯罪的統計調查發現:內賊的發生與導致企業損失的比例佔有 70%,外賊僅有 30%。更重要的是大家不要忘記,內賊大多擁有較高權限,而且不需要也不必懂任何入侵手段便可取得公司重要的敏感性資訊,因為資訊就在他的存取權限內隨手可得,最令人可怕的還是當這些具備權限的內賊洩漏資訊時,我們卻完全不知不覺。

他山之石,可以攻錯
根據國外 IDC 2002 年的調查報告與未來「資訊安全」產業的市場預測,「內容安全」將是後起之秀,當然資訊安全涵蓋的範疇儘管各家見解不同,舉凡「網路安全」或「實體安全」等等,而且的確也都算是建構完整資訊安全系統的必要基石。但其中的「內容安全(Content Security)」,其實才是最具人性化介面,且完全是針對人的需求所提供服務的主要環節。 君不見許多經營團隊中高階主管也許始終未曾到機房內親眼與感受到屬於網路安全範疇的「防火牆(FireWall)」?何謂「入侵偵測系統(Intrusion Detection System)」;或者是攸關有限頻寬分配的「負載平衡系統(Load Balancer)」?但這些主管們一定會經手已經導入的內容安全相關產品。甚至可以這麼說:很多內容安全系統,例如:「文件安控系統」、「郵件過濾與稽核系統」、「網際網路內容存取過濾與稽核系統」、「防毒系統」、「資料加解密系統」 等等安控機制,其原始構想本來就是針對他們而設計的;畢竟主管們總是握有較多機密與敏感的內容文件。不是嗎?在現今智識快速變遷的資訊時代裡,智慧財產與獨門創意已然是企業最關鍵的價值所在。而這些有價資訊也陸續以數位化的方式來呈現與儲存。探討「內容安全」之前,我們必須先清楚了解需要保護的「內容」,也就是所謂的「資訊資產」的意義? 「資訊資產」包含下列四種不同類型:其中“軟硬體資產”屬於「有形資產」,“文件資產” 與 “公司形象”則屬於「無形資產」。有形資產需要透過實體安全與網路安全等兩種機制來保護,而無形資產則需要透過網路安全、內容安全與應用程式安全等三種機制來保障其安全性。

資訊資產四種類型
?軟體資產
?硬體資產
?文件資產
?公司形象

「文件資產」是內容安全的主要訴求對象,一家已經e化的企業組織,文件資產包含下列種類:其中除了書面文件外,其餘皆是可以 e化的「數位資產」,本文僅針對數位資產進行說明。

?書面文件(各類列印出來的敏感報表)
?數位畫面(特殊AP:SAP、 Client/Server 應用系統)
?資料庫(人事系統、財務系 統、PDM 系統) ?數位文件(Office 檔案、PDF 檔案、CAD/CAM、ProE 等等研發設計圖檔)
?電子郵件(郵件本文與附件)
?網站網頁資訊:
a. EIP、ERP、MRP、其他已經 或者即將 Web-Based 的企業應用系統
b. 企業員工網際網路的存取資 訊(下載/上傳) 了解「資訊資產」的定義後,我們進一步來說明如何保護「資訊資產」的「內容安全」機制應該包含哪些安控功能?市面上又有哪些相對的解決方案?詳如〔表一〕。

本文先針對「內容安全」中新崛起的「數位資產發行管控系統」作進一步說明。

發行管控,勢在必行
企業組織中合法使用者並不需要任何入侵技術,因為資訊就在他們電腦面前或者硬碟上面,「隨手可得」,而且還是企業部屬自動雙手俸上!同時外部有太多誘惑與動機引誘著他們!
?案例(a):
一筆客戶信用卡資 料叫價 2,000 台幣,一萬筆資料便價值 2,000 萬新台幣,僅需一個 Copy 指令便成為千萬富翁,何樂而不為?
?案例(b):
一份高科技“研發 成果”或者 “製程技術”動輒數千萬,僅需一個 Save/Forward 指令便可以成為千萬富翁,何樂而不為?(難道你相信「忠誠度」的價值會超過數千萬新台幣的誘惑?)
?案例(c):
一份財報剛剛出爐 ,趕快給投顧老師,提早進場內線交易。 最重要也最可怕的是,沒有人知道他們正在做這些事情,而且還沒有人可以阻止! 所以隨著企業e化、M化的腳步以及資訊和知識分享的需求:
?『好消息』是︰公司的高階主 管、員工或者外部上下游策略夥伴透過合法正確的認證與授權可以簡便存取企業關鍵敏感資訊。
?『壞消息』是︰當他們開始存 取與瀏覽這些關鍵敏感資訊後, 對於他們是否「不該轉寄、不該印表、不該拷貝給有心人士」,公司卻完全束手無策!
因此「數位資產的發行管控」變成企業組織目前最迫切的資訊安全議題,其中尤其是數位文件、電子郵件以及未來應用系統的趨勢 –Web-Service 的網頁畫面,裨助於讀者了解,茲分別以〔表二〕來說明「數位資產的發行管控」的安控機制應該具備哪些功能以及相對的應用。

由上而下,主動防護
那麼,如何盡可能保有企業e化帶來的好處而袪其弊端?就成了任何企業都該深思的課題。這也是數位時代之下得以常保「競爭優勢」的秘訣之一。而答案就在於:建構一套由上而下,主動防護的「內容安全」系統。這裡所謂的 “由上而下(TOP/DOWN)”,指的是內容安全系統的執行者,必須透過核心內容的經手者(也就是高階主管)來直接參與。也就是應該經由其專業而宏觀的判斷,來決定各式各樣不同的加密與授權方式。
另外,就是隨時主動地將核心智識或機密文件加以防護,而非等到洩密或被濫用之後才來亡羊補牢。畢竟,商業間諜一直都是企業的殺手,而網際網路發達,潛在的商業間諜行為更是隨時可能形成,儘管許多新進員工在進入公司之初,即被要求簽署任職保密協議書等文件,但這都只是被動而消極的防範措施罷了。您必須能夠隨時隨地貫徹由上而下;主動去防護任何有價且敏感的「數位資產內容」才行。最好還能夠提供隨時機動調整使用權限的功能。 既然如此,內容安全的必要性自然就不言可喻。然而,許多網管背景出身的MIS部門主管提起資訊安全,迄今仍總是直覺地反應到防火牆或入侵偵測等「網路安全」產品,而總是忽略了「內容安全」的必要性與普遍性。這往往正是企業即使投資大量資訊安全配備,資安事件仍層出不窮的原因所在。因為你辛苦構築的防堵圍牆與嚴格門禁,在茫茫網海之中其實是乏人問津的(由於知名度與誘因不夠);但毫無控管的重要文件與機密資訊,即使明明是合法使用者也常發生一些不經意的侵權與濫用,更不用說還有那些蓄意的行為與用戶了。 載舟覆舟,彈指之間 當然,我們必須承認:現今對於資訊安全的規劃與部署,絕大多數仍只仰賴MIS部門的技術考量,結果形成的是所謂由下而上(Bottom /Up)的建置方式,常常沒有經過完整資訊資產的評估與鑑價;也無從導入高階經營層的商業判斷與行政經驗,使得企業內部真正重要的競爭優勢的防護反而付之闕如。而這些多年累積下來的競爭優勢:舉凡優異的生產流程;傑出的管理績效;獨家的專利技術;詳實的客戶資料等等,在在都需要運用各式各樣的內容形式來傳遞與保留:也許是制式的財務報表;也許是與客戶的郵件往來;更常見的是:愈來愈多的企業e化都採用的網頁化應用系統(Web Based Application)。

這種種涵蓋企業核心智識的數位化檔案,的確提供了更有效率與分享便利等正面的助益;但別忘了:在現今USB隨身碟與筆記型電腦配備燒錄器愈形普及的情況下,您的多年心血被任意複製都只需要彈指片刻即可完成! 由此可見:沒有導入內容安全機制以管理數位資產的企業e化,換來的將不是「如虎添翼」;而很可能是「養虎貽患」!




(本文作者現職為寬華網路科技產品專案經理與資安顧問)