https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

有了內容安全 內賊難逃 

2011 / 06 / 02
梁玉容
有了內容安全  內賊難逃 

 

 

企業資訊化程度提高,員工上班時間利用網際網路的機會自然增加。相對的,企業對網路以及員工的管理要求也愈來愈高。如何有效的防止員工上班時間因為使用網路,而導致生產力降低或浪費網路頻寛;或者利用網路的便捷,企業之機密文件或重要資產資料,被「合法」員工竊取,而這些問題都是企業主所關心的事。因此可以保護企業機密文件及重要資產的內容安全,正可提供企業一個不錯的解決方案。

 

何謂內容安全

 

所謂內容安全(Content Security)主要是指針對可以保護企業重要資訊資料的安全產品,就其防護功能可區分為像是文件控管、Web/Email內容過濾,以及防毒軟體等等產品。針對各項內容安全產品之不同功能做以下的介紹:

 

內容安全產品之一:文件控管

文件控管軟體可防止企業中之機密文件被未經認可而使用,主要功能是針對這些機密文件可能遭致以複製、儲存、轉寄、列印等等方式竊取或盜用,而提供因應的防護措施。目前市面上有網核代理的Mirage及寬華 四大天王系列中的PageRecallMaillRecall都有類似的功能,不過兩者保護的範圍有所不同,Mirage主要是針對藉由Internet及企業窗口,用戶端在瀏覽器閱覽的檔案資料;而PageRecallMaillRecall則是針對郵件、檔案及Web存取,做各項合法使用權限的設定,像是CopyPrint的次數,甚至閱讀的有效期限等都可做設定。

 

內容安全產品之二:內容過濾

為了防止員工於上班時間利用公司網路及頻寛做私用或不法之行為,這一類軟體的基本原理大柢是以防堵員工連上不該上的URL。像是精誠的Websense即屬這一類產品,它可以依據公司的管理政策,針對不同業務組別、個人或職權等管理員工的的上網權限。寛華的NetRecall和威播的XKeeper網路濾淨器也都有類似的功能。

 

另外,內容過濾也可屬於員工的資訊管理的一環,目的在確保員工把時間及資源用在私人事務,以及防止員工利用電子郵件把公司機密資料洩露出去,桓基科技的MailSherlock郵件俠客,即是電子郵件應用追蹤的管理系統,以過濾及監測相關郵件,執行郵件詳細內容之檢視。中華數位的MailSQR電子郵件保全專家則是Email的管理解決方案,除了提供完整的Email內容控管功能,還可進行Web Mail的郵件內容控管。寛華的MailVR電子郵件通聯紀錄器,被比做是虛擬的CCD,特別強調可以做全程監錄。而其他像是趨勢科技、賽門鐵克等安全產品供應商,都有類似以內容過濾來防堵機密資訊外流的產品。

 

 

 

內容安全產品之三:防毒系統

以保護電子郵件防制病毒疫情發生為主,同時並可清除大量郵件病毒、垃圾郵件和不當內容的程序,並且可以遏止「阻斷服務」(Denial of Service, DoS)。這一類的產品在趨勢科技、賽門鐵克、McAfeeSophos等防毒廠商都有相關產品。

 

內容安全產品之四:權限控管

有關機密資料之閱讀權限控管及閱讀者之身分確認程序之相關產品。如NovellNsure安全身份管理解決方案,可以幫助企業做好人員之管控,在使用者身份變更時,能立即取消所有互連系統的存取權限,保障企業資源的安全。

 

內容安全產品之五:其他

其實內容安全產品線相當廣,要清楚的做好分類有其困難度,就連各家廠商也沒有很好的定義,主要還是看資安產品要做何防護或要保障何內容而定。例如:有的廠商是以加密技術切入,將機密資料以加密方式保護,即使被竊走也無法使用,網安科技即是一例。另外,像是優碩資訊的「數位內容生命週期安全管理」,則是針對文件作權限管理所提出的解決方案。

 

 

人員控管對企業的重要性

 

人員的控管和機密文件的管理這兩者對企業而言都很重要,尤其是人員部份,在資訊安全的議題上,更是扮演了舉足輕重的角色。根據統計,資訊安全的風險,超過80%以上的比例出於內賊,可見人員管理的重要性。因此在人員的控管上,必須先做好管理,像是身份權限管理,企業必需建立一套清楚明瞭的權限、安全政策,以及工作流程。此外,擬定相關的法規及範例來約定並釐清員工的責任與義務也是很重要,除了可以讓員工了解公司內部哪些人可以看哪些東西,哪些機密文件不能與他人分享或洩漏的義務外,企業也可以因此避免將機密資料外洩的機會。

 

如何做好機密文件之安全控管

 

企業e化後,企業許多重要機密資料的保護工作就得更加審慎考量,往往一次不經意的疏忽,就可能造成企業營運的危機,所以如何做好企業機密文件資料的安全防護就顯得相當重要。以下是各廠商對企業用戶的建議。

 

桓基總經理江衍源以學者轉戰商界的成功經驗談企業安全管理,他建議企業主先做企業風險評估,如果文件及檔案控管是攸關企業營運命脈,在資料的防護和文件安全的控管上就必需花錢去採購必要設備,逐年逐步將資訊安全防線架起來,而不是等企業內部出現問題才去補漏洞。

 

 

此外,MIS管理人員在企業中扮演著很重要的角色,寛華陳旭東如是說到,如果文件及檔案控管是攸關企業營運命脈,而且又是企業的重要資產,那麼MIS的管理人員就必須善盡告知企業主管之責。同時做好分析,讓企業主了解如果沒有做,企業會因此損失多少,並且用量化的風險與危機數字,來強化並告知企業主管安全的重要性。

 

而網核行銷業務處經理陳振興也表示,企業對資訊安全的重視,需由外部進而到內部,且先從可能對企業造成的損失來考量,文件控管及人員的管理兩者皆同等重要。陳振興也同時指出台基電在文件控管上投入相當大的經費,並且還自行從原廠導入文管系統,然而人員控管機制上出了紕漏,機密資料還是被不肖員工所帶走,可見人員控管的重要性。

 

結語

 

家賊能不能防?看企業是否能擬定一完善的管理政策,將員工之責任釐定清楚;同時依企業內部之需求,是否購買完備的資訊安全產品。如果兩者都能做到,相信必定能確保企業之永續經營,並進而提昇企業之競爭力。

 

內容安全產品一覽表

公司名稱

產品名稱

功能簡介

網核

Mirage

1.保護Adobe PDF文件及瀏覽器上展示之資料。

2.可防止複製、儲存、轉寄、列印、螢幕擷取5大功能。

3.保護wordexcel*.pdf*.jpg及動靜態網頁等多種檔案格式。

中華數位

Web SQR上網安控管理專家

落實認證(Authentication)、授權(Authorization)、統計(Accounting)、審核(Auditing)4A政策,達到上網安控管理。

MailSQR電子郵件保全專家

 

 

 

 

1.      安全控管機制

2.      集中式政策管理

3.      多元備份機制

4.      圖形化報表統計

5.      稽核記錄資料庫

Virus SQR

防毒主機(企業病毒免疫血清)

 

 

1.      多重過濾,主動攔截可疑電子郵件。

2.      不當郵件的來源網域阻絕。

3.      多種統計報表,防毒過濾分析一覽無遺。

4.      中央控管防毒歐。

桓基

M@ilSherlock電子郵件追蹤管理系統

1.      郵件政策過澽,降低不當使用郵件機率

2.      病毒掃瞄,有效阻絕特定郵件病毒攻擊

3.      郵件記錄,有效管理郵件流向,方便追蹤

4.      即時過濾訊息通知,隨時管理異常狀況

5.      郵件報表資料,清楚掌握郵件流量及使用狀況

敦陽

Maillog

電子郵件追蹤管理系統

1.      防止企業重要資訊外流

2.      設定電子郵件管制政策

3.      掌握電郵件流通情況

4.      有效管理各項資訊

5.      設定系統閒置時間,閒置時間之外,系統自動登出,避免員工資用

6.      使用者可隨時變更密碼,同時間內不允許兩台機器使用相同帳號登入系統

7.      系統將User的使用行為紀錄於text file中,追蹤使用者的使用情形

Novell

Nsure

安全身份管理解決方案

1.      當使用者的身份變更時,能立即取消所有互連系統的存取權限,保障企業資源的安全

2.      簡化存取管理,只要一組證明資料即可做查詢,減少企業支援成本

3.      是一完整、模組化的解決方案,可以整合所有系統及應用程式,同時支援所有作業系統平台

寛華網路

PageRecallMailRecall

 

 

 

 

1.      針對郵件、檔案及Web存取,可做設定合法用戶的行為權限(copy, print,時效、次數

2.      以加密保護資料

3.      用戶必需透過身分認證機制,取得合法存取權限

4.      可隨時終止所有存取權限

NetRecall

 

 

 

 

1.      可設定網頁合法流瀏覽者的使用權限(Copy, Print, 時效、次數

2.      可針對不同網頁設定不同的安全存取

3.      可隨時終止所有存取權限

MailVR

電子郵件通聯紀錄器

 

 

 

 

1.      強調全程監錄,將內容錄製下來

2.      可妥善管理電子郵件的使用狀況,監控郵件內容

3.      採用「封包監聽」技術,不影響網路系統效能,可快速精確錄製網路上所有流動訊息。

4.      提供查詢管理以及報表功能,企業主管可以掌握企業員工郵件動態。