企業資訊化程度提高,員工上班時間利用網際網路的機會自然增加。相對的,企業對網路以及員工的管理要求也愈來愈高。如何有效的防止員工上班時間因為使用網路,而導致生產力降低或浪費網路頻寛;或者利用網路的便捷,企業之機密文件或重要資產資料,被「合法」員工竊取…,而這些問題都是企業主所關心的事。因此可以保護企業機密文件及重要資產的內容安全,正可提供企業一個不錯的解決方案。
何謂內容安全
所謂內容安全(Content Security)主要是指針對可以保護企業重要資訊資料的安全產品,就其防護功能可區分為像是文件控管、Web/Email內容過濾,以及防毒軟體等等產品。針對各項內容安全產品之不同功能做以下的介紹:
內容安全產品之一:文件控管
文件控管軟體可防止企業中之機密文件被未經認可而使用,主要功能是針對這些機密文件可能遭致以複製、儲存、轉寄、列印等等方式竊取或盜用,而提供因應的防護措施。目前市面上有網核代理的Mirage及寬華 “四大天王” 系列中的PageRecall及MaillRecall都有類似的功能,不過兩者保護的範圍有所不同,Mirage主要是針對藉由Internet及企業窗口,用戶端在瀏覽器閱覽的檔案資料;而PageRecall及MaillRecall則是針對郵件、檔案及Web存取,做各項合法使用權限的設定,像是Copy、Print的次數,甚至閱讀的有效期限等都可做設定。
內容安全產品之二:內容過濾
為了防止員工於上班時間利用公司網路及頻寛做私用或不法之行為,這一類軟體的基本原理大柢是以防堵員工連上不該上的URL。像是精誠的Websense即屬這一類產品,它可以依據公司的管理政策,針對不同業務組別、個人或職權等管理員工的的上網權限。寛華的NetRecall和威播的XKeeper網路濾淨器也都有類似的功能。
另外,內容過濾也可屬於員工的資訊管理的一環,目的在確保員工把時間及資源用在私人事務,以及防止員工利用電子郵件把公司機密資料洩露出去,桓基科技的MailSherlock郵件俠客,即是電子郵件應用追蹤的管理系統,以過濾及監測相關郵件,執行郵件詳細內容之檢視。中華數位的MailSQR電子郵件保全專家則是Email的管理解決方案,除了提供完整的Email內容控管功能,還可進行Web Mail的郵件內容控管。寛華的MailDVR電子郵件通聯紀錄器,被比做是虛擬的CCD,特別強調可以做全程監錄。而其他像是趨勢科技、賽門鐵克等安全產品供應商,都有類似以內容過濾來防堵機密資訊外流的產品。
內容安全產品之三:防毒系統
以保護電子郵件防制病毒疫情發生為主,同時並可清除大量郵件病毒、垃圾郵件和不當內容的程序,並且可以遏止「阻斷服務」(Denial of Service, DoS)。這一類的產品在趨勢科技、賽門鐵克、McAfee及Sophos等防毒廠商都有相關產品。
內容安全產品之四:權限控管
有關機密資料之閱讀權限控管及閱讀者之身分確認程序之相關產品。如Novell的Nsure安全身份管理解決方案,可以幫助企業做好人員之管控,在使用者身份變更時,能立即取消所有互連系統的存取權限,保障企業資源的安全。
內容安全產品之五:其他
其實內容安全產品線相當廣,要清楚的做好分類有其困難度,就連各家廠商也沒有很好的定義,主要還是看資安產品要做何防護或要保障何內容而定。例如:有的廠商是以加密技術切入,將機密資料以加密方式保護,即使被竊走也無法使用,網安科技即是一例。另外,像是優碩資訊的「數位內容生命週期安全管理」,則是針對文件作權限管理所提出的解決方案。
人員控管對企業的重要性
人員的控管和機密文件的管理這兩者對企業而言都很重要,尤其是人員部份,在資訊安全的議題上,更是扮演了舉足輕重的角色。根據統計,資訊安全的風險,超過80%以上的比例出於內賊,可見人員管理的重要性。因此在人員的控管上,必須先做好管理,像是身份權限管理,企業必需建立一套清楚明瞭的權限、安全政策,以及工作流程。此外,擬定相關的法規及範例來約定並釐清員工的責任與義務也是很重要,除了可以讓員工了解公司內部哪些人可以看哪些東西,哪些機密文件不能與他人分享或洩漏的義務外,企業也可以因此避免將機密資料外洩的機會。
如何做好機密文件之安全控管
企業e化後,企業許多重要機密資料的保護工作就得更加審慎考量,往往一次不經意的疏忽,就可能造成企業營運的危機,所以如何做好企業機密文件資料的安全防護就顯得相當重要。以下是各廠商對企業用戶的建議。
桓基總經理江衍源以學者轉戰商界的成功經驗談企業安全管理,他建議企業主先做企業風險評估,如果文件及檔案控管是攸關企業營運命脈,在資料的防護和文件安全的控管上就必需花錢去採購必要設備,逐年逐步將資訊安全防線架起來,而不是等企業內部出現問題才去補漏洞。
此外,MIS管理人員在企業中扮演著很重要的角色,寛華陳旭東如是說到,如果文件及檔案控管是攸關企業營運命脈,而且又是企業的重要資產,那麼MIS的管理人員就必須善盡告知企業主管之責。同時做好分析,讓企業主了解如果沒有做,企業會因此損失多少,並且用量化的風險與危機數字,來強化並告知企業主管安全的重要性。
而網核行銷業務處經理陳振興也表示,企業對資訊安全的重視,需由外部進而到內部,且先從可能對企業造成的損失來考量,文件控管及人員的管理兩者皆同等重要。陳振興也同時指出台基電在文件控管上投入相當大的經費,並且還自行從原廠導入文管系統,然而人員控管機制上出了紕漏,機密資料還是被不肖員工所帶走,可見人員控管的重要性。
結語
家賊能不能防?看企業是否能擬定一完善的管理政策,將員工之責任釐定清楚;同時依企業內部之需求,是否購買完備的資訊安全產品。如果兩者都能做到,相信必定能確保企業之永續經營,並進而提昇企業之競爭力。
內容安全產品一覽表
|
公司名稱
|
產品名稱
|
功能簡介
|
|
網核
|
Mirage
|
1.保護Adobe PDF文件及瀏覽器上展示之資料。
2.可防止複製、儲存、轉寄、列印、螢幕擷取5大功能。
3.保護word、excel、*.pdf、*.jpg及動靜態網頁…等多種檔案格式。
|
|
中華數位
|
Web SQR上網安控管理專家
|
落實認證(Authentication)、授權(Authorization)、統計(Accounting)、審核(Auditing)4A政策,達到上網安控管理。
|
|
MailSQR電子郵件保全專家
|
1. 安全控管機制
2. 集中式政策管理
3. 多元備份機制
4. 圖形化報表統計
5. 稽核記錄資料庫
|
|
Virus SQR
防毒主機(企業病毒免疫血清)
|
1. 多重過濾,主動攔截可疑電子郵件。
2. 不當郵件的來源網域阻絕。
3. 多種統計報表,防毒過濾分析一覽無遺。
4. 中央控管防毒歐。
|
|
桓基
|
M@ilSherlock電子郵件追蹤管理系統
|
1. 郵件政策過澽,降低不當使用郵件機率
2. 病毒掃瞄,有效阻絕特定郵件病毒攻擊
3. 郵件記錄,有效管理郵件流向,方便追蹤
4. 即時過濾訊息通知,隨時管理異常狀況
5. 郵件報表資料,清楚掌握郵件流量及使用狀況
|
|
敦陽
|
Maillog
電子郵件追蹤管理系統
|
1. 防止企業重要資訊外流
2. 設定電子郵件管制政策
3. 掌握電郵件流通情況
4. 有效管理各項資訊
5. 設定系統閒置時間,閒置時間之外,系統自動登出,避免員工資用
6. 使用者可隨時變更密碼,同時間內不允許兩台機器使用相同帳號登入系統
7. 系統將User的使用行為紀錄於text file中,追蹤使用者的使用情形
|
|
Novell
|
Nsure
安全身份管理解決方案
|
1. 當使用者的身份變更時,能立即取消所有互連系統的存取權限,保障企業資源的安全
2. 簡化存取管理,只要一組證明資料即可做查詢,減少企業支援成本
3. 是一完整、模組化的解決方案,可以整合所有系統及應用程式,同時支援所有作業系統平台
|
|
寛華網路
|
PageRecall、MailRecall
|
1. 針對郵件、檔案及Web存取,可做設定合法用戶的行為權限(copy, print,時效、次數…)
2. 以加密保護資料
3. 用戶必需透過身分認證機制,取得合法存取權限
4. 可隨時終止所有存取權限
|
|
NetRecall
|
1. 可設定網頁合法流瀏覽者的使用權限(Copy, Print, 時效、次數…)
2. 可針對不同網頁設定不同的安全存取
3. 可隨時終止所有存取權限
|
|
MailDVR
電子郵件通聯紀錄器
|
1. 強調全程監錄,將內容錄製下來
2. 可妥善管理電子郵件的使用狀況,監控郵件內容
3. 採用「封包監聽」技術,不影響網路系統效能,可快速精確錄製網路上所有流動訊息。
4. 提供查詢管理以及報表功能,企業主管可以掌握企業員工郵件動態。
|