觀點

企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要

2012 / 05 / 25
張維君
企業資安需求(三)  高科技製造業-身分權限是基礎 制度與管理政策更重要

高科技製造業產業高度競爭,CIO們致力思考IT如何為企業加分,一方面必須善用最新的虛擬化技術來降低營運成本,也包括建置一套完善的管理制度來保護機密資產的安全,還得面臨客戶的稽核要求。其中最大威脅當屬機密資料保護。

 

威脅與控制措施

最大威脅:專案結束,資料被未經授權存取

不同於其他產業,高科技製造業有大大小小的專案性組織,資料也會以專案的形式來設計存取權限,專案成員橫跨內部多個部門以及外部協力廠商。因此,身分生命週期管理相當重要。往往在專案結束,IT未能取消掉某些成員的系統存取權限而導致資料外洩。此外,提供外部系統開發廠商的帳號也是問題來源,這些臨時性的測試帳號在專案結束後未能刪除關閉,IT人員深怕錯誤刪除導致系統無法順利運作,但放任不管卻恐怕資料被未經授權存取。在此協同運作的部份,不僅要做帳號管理,也要注意系統存取路徑的權限限制或隔離。除了內部員工或外部廠商,對於已離職員工,若未能立即刪除帳號及存取權限,也會導致嚴重的資料外洩後果。

建議控制措施:身分生命週期管理、端點DLP+SIEM、主機安全稽核與組態調校

從資料所在位置來看,儲存中的資料、傳輸中的資料比較容易透過技術來管控,許多企業也已做到,目前比較難管控的是分散於端點,正在使用中的資料。儘管很難做到百分百防止資料外洩,但企業至少要能追蹤資料外洩的路徑,「誰存取哪些東西藉由什麼管道」。因此,透過端點DLP搭配資安事件管理系統(SIEM),做使用者存取行為的比對分析與追蹤,不失為可行的方案。

此外,高科技製造業許多機密圖檔資料是集中放置在檔案伺服器上或產品生命週期管理(PLM)系統上。可透過在Unix主機作業系統或儲存設備上的安全稽核、組態設定服務來確保資料安全。由於多半企業都是集中後端控管,僅少數特殊狀況需要把檔案下載至端點NB攜出至遠端客戶處,這時做檔案check out/in管理及端點安控即可。

需求重點不同:代工廠──滿足客戶稽核;有研發──偏重資料安控

對高科技製造業來說,資安優先順序與營業性質大有關係。整體而言,最基礎的是先防禦源頭(source),做好各主機、網路閘道端的系統安全強化,接著有研發機密資料的會針對資料導入資料安控方案,更進階的各領域一線大廠則來到必須滿足法規遵循需求。例如IC設計或有高度研發的大廠十分重視對智財權資料的保護,較偏重在檔案伺服器、儲存系統上的存取權限控制。

以代工為主的廠商重視保護好客戶的資料,這些資料僅有特定人員有權限存取,強調資料在企業內部跨部門作業流程(資訊流)中的存取安全。資安工作的重點在於滿足客戶稽核要求,多半採單點式導入資安設備。一般會參照ISO 27001規範,常見稽核需求重點是,防火牆、資料存取傳輸記錄、人員安全、機房實體安全等。

 

解決人為問題 制度及流程更重要

然而高科技製造業員工在離職前夕,透過電子郵件或隨身碟等方式,將研發機密資料帶走,並跳槽至競爭對手公司,導致原公司喪失產品研發競爭優勢的事件仍然時有所聞,雖然許多企業在員工任職時要求簽訂保密協定或競業禁止工作契約書,然而智財資料價值更高,少數人不惜鋌而走險。因此企業必須從流程面、技術面、人員訓練同時著手。

高科技製造業IT部門習慣以技術角度解決資安問題,但資安不像其他IT領域,若缺乏根本的資安政策或治理制度搭配,即使導入防制資料外洩方案,恐怕也成效有限,例如周邊控管系統與閘道內容過濾系統的政策設定出現更動、不一致時,就可能造成外洩漏洞。此外,存取權限的設計非常重要,但若沒有好的治理辦法與程序並不容易做。高科技製造業以業務為導向,儘管e化程度高,但許多資訊部門的IT服務卻還是紙上作業,包括AD帳號的申請,如此一來在異動頻繁的時候就容易發生問題。

要解決人員造成資料外洩的問題,對員工除了道德勸說、簽訂契約之外,在流程面,舉凡離職流程,包括系統帳號的取消,到實體門禁進出的權限,都必須有一套標準作業程序並確實執行,而根本則是回歸資安管理政策的制定。

最後關於個資法,高科技製造業僅有員工資料與個資法有關,而HR資料多半在內網僅有少數人員有權限存取,問題不大。

高科技製造業安全小提醒

1.在專案結束時,應清查帳號身分及管理存取權限,包含內部員工及外部廠商。
2.欲追蹤資料由端點外洩的路徑,建議透過端點DLP搭配SIEM。
3.存在檔案伺服器或PLM系統的機密圖檔,建議透過定期的主機安全稽核、組態設定調校服務以確保資料安全。
4.先制定資安管理政策以及存取權限,透過確實的流程控管,降低人為問題。

 

◎資安需求總表請至 資安二手市集 下載

◎相關系列文章:

企業資安需求─2011資安地圖 使用說明

企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多

企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效

企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險

企業資安需求(五) 中小企業-落實權限管控與分工 避免員工掌握過多資料

企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站

企業資安需求(七) 學術機構-校園好多洞 最少應好好遵循ISMS和加密