2005年2月日本NTT DoCoMo公司,企業內部員工從一有精密監控設備房間偷出客戶資料,約24,600個客戶資料遭洩露。同年3月台灣以生產沙灘車及重型機車聞名世界的鼎力公司,爆發價值10億元的機密研發資料遭總工程師竊取案,雖即時追回,但已造成企業形象受損。最近吵的熱呼呼的禿鷹案,證交所張錫寬洩漏機密文件,董事長吳乃仁更指示加裝防護軟體。
以上的資安事件都是因為對內部機密資訊控管不當所造成的損失。企業有了完善的外部安全防禦,然而這樣的安全真得安全嗎?其實來自內部的威脅才是造成企業重大損失的主因。資安意識的抬頭,企業對於內部機密資訊的控管逐漸重視,尤以高科技產業為最。
以前企業的重要資料只要放置在保險箱保管好就行了,現在e化的盛行,所有的公司機密資訊都已數位化,要進行保護是難上加難!許多企業為了防微杜漸,已針對容易造成洩密的管道,如email、IM、USB行動儲存裝置等,進行管控,企業種種的保密措施無非是為了防止員工故意或非故意的將公司機密資料外洩。
要適當的管控企業內機密資訊,首先一定要找出哪些是機密資訊,再根據其影響公司營運的程度來劃分等級,有了等級的劃分,便可以著手進行適當的保護及管控。但該如何保護才是最適當的呢?我們將以工研院及日月光為例,告訴讀者他們是怎麼做?
工研院從制度面到技術面做好機密資訊控管
工研院將機密資訊列為今年施行的重點規劃,分有3大研判原則、六大管理重點、十項行為指標。機密資訊依六大管理原則訂定十項行為指標,讓使用者遵循。
六大管理重點有標示,登入,保管,流通,銷毀,通報(機密資訊洩露通報)。上述即為機密資訊的管理流程,在流程裏將使用者的重要的十項行為當成指標,讓同仁有實施的依據,例如:
標示─如何標示紙本及電子檔案;
登入-機密資訊分三等級,機密、極機密、限閱,這三等級的權限如何控管;
保管-離職人員的交接、個人電腦環境的安全、電子檔使用時,確保不會因暫存檔導致機密外洩;
流通-對外演講及推廣,工研院同仁常到外界各地進行演講及推廣活動,而所演講的內容通常為機密資訊,要注意是否損及廠商權益等;再來是分發的管制,最後是機密資訊的傳遞,傳真及email的行為指標。以上都是今年機密文件推展的重點。
工研院資訊技術服務中心網路資源組組長鄭富元表示,工研院今年的重點目標有:1.體制建立並實行,工研院在組織面及人員管理辦法,如機密資訊管理辦法,技術資料管理辦法,在今年重新檢視現有狀況再做適當的修定。2.資安的認知宣導及訓練即以3大研判原則,六大管理重點,十項行為指標為重點。3.對外的演講及業務推廣,其內含及流程是否牽涉到廠商的機密資訊,也研擬了相關的行為要求。4.NDA的管理,工研院與外界簽署了許多NDA,以前沒有統一的窗口來做管理,因為工研院常會與一些廠商合作,合作內容會牽涉到機密資訊,如果工研院內部沒有做好機密控管,則很容易被同仁不經意洩密出去。
成立推動小組,力求政策落實
工研院的組織龐大推動不易,因此工研院設立有資訊化與安全推動委員會,成員都是院內各單位的副主管,在此會下有一資訊安全工作小組由資訊中心主任做為組長,目前負責院內BS7799及機密資訊管理的規劃及推動。
希望由工研院各單位內部依資安工作小組所做討論的工作要項來負責推廣,因此規定各單位指派其下資安官及資安幹事來負責未來的資安工作。因此資安工作小組所討論出來的工作目標,流程,辦法和實施計劃後,即交由單位內的資安官及資安幹事來做內部推動。
推動執行後會要求院內的各單位內部必須進行內部稽核,各單位的推展狀況也會列入全院的稽核重點,訂有?勵辦法,另外,在完成教育訓練後,會要求各單位同仁在網頁上填寫自評表,以便了解同仁對於目前的機密文件相關的辦法及措施是否清楚。
將機密資訊納入管理系統嚴格控管
工研院將所有機密資訊分成14大類39小類,而14大類中,已有部份機密資訊已有系統在管理,如技術管理系統,而14大類中即有一大類為技術資料,這方面的相關文件,都必須被輸入到技術管理系統來統一管理。另外還開發一機密文件管理系統,只要經過主管核可為機密文件,便會輸入此系統做文件管理。
另外還有一類稱為技服類,此類主要是工研院提供外部技術服務,在合約裏便會規範產生一些文件,而這些文件中可能會有機密資訊存在,因此有契約系統在管理此類的技服類的資訊,如在技術服務的過程中,從洽談到簽約到最後成果都可能會產出一些機密文件,這些文件則會在此系統內做管理。
目前工研院正在研擬一國內外NDA的管理系統,如何簽署一份NDA,將由統一窗口來做管理,例如那個單位和那個機構簽署一份NDA,內容為何,有效期限多久,都可在此系統被管理。其它像是外來文件,或無法在現有的管理系統內做分類管理的話,便會要求放在機密資訊管理系統內。鄭富元表示,目前工研院控制措施仍在研擬,目前已嚴格要求使用者利用加解密的裝置來自行管理,並計畫於年底前定案實施。
日月光機密資訊管控由制度開始著手
日月光集團為台灣典型的高科技產業,組織龐大,工廠及分公司遍佈全世界,要做好公司機密資訊的控管,並非易事。日月光集團稽核室資訊稽核主任吳家名表示,目前日月光在方法、步驟以及相關流程辦法的擬定上已經有一定程度的導入,但是實際作業面的執行與落實仍顯不足。
要做好機密資訊的控管第一步就必須先將所有資訊資產分類,訂立出「資訊資產分類政策/標準」也有請顧問公司協助導入一完整的管控辦法以及流程,針對軟體/硬體/人/資料(Softcopy or hardcopy) 這主要的四個資訊資產的,可用性、正確性、機密性等三個部份來評估資訊資產的風險等級,而機密等級共分為四級: 極機密、機密、內部使用、公開。風險的高低則是由:資產價值x弱點 x威脅,量化之後所計算出來的。
吳家名以日月光高雄廠為例,單單一個位於高雄的廠房,主要資訊流程就區分成48個,要做好機密資訊的規劃必須先了解整個資訊流,資訊從哪裏流到哪裏,透過哪些媒介,被認為是極機密的資訊經過哪些設備(硬體)、軟體、人、文件等來進行分析。
在執行上,日月光目前僅針對公司員工email的收送做控管,外部設有過濾及垃圾信阻擋機制,當內部將郵件傳送出去時,也會針對特定字眼、內文、標頭來做比對過澽。且為防止來自內部網路的攻擊還設置有病毒、蠕蟲偵測阻擋的設備,可搜尋攔截網路異常封包及流量,防止使用者不經意導致機密資訊外洩。
完整的保護從正確的制度流程開始
高科技產業要保有優勢的競爭力,與研發相關的機密文件就必須要獲得最好的保護,然而研發人員的控管卻是目前高科技廠商最頭痛的問題,效率與安全兩者目前為止,尚未取得很好的平衡。
吳家名表示,目前日月光對於研發單位的機密資訊控管,採行宣導的政策,例如,若研發人員欲使用USB儲存裝置,請選擇有加密功能的;若要將NB帶離公司請做好自身管理及保護措施。而針對研發出來可實行、唯一的成果,公司有專責部門負責申請專利,有了智財權的保護便沒有太大的洩密的問題,唯一值得關注的是,在研發過程中所產生的所有研發機密資料的保護,目前日月光透過宣導及人事規章辦法來管控,吳家名認為,若單純導入技術來控制,一定會有疏漏,因此從管理面及流程面來設計一嚴謹的控制再導入技術來輔助,才是比較好的解決方案。
吳家名認為,若貿然的投入龐大的資金,導入與機密資訊管控相關的系統設備及軟體,卻無法確切的評估其效益,是很難取得高層的重視。因此,目前日月光從IT人員開始著手進行管控,如員工從進公司到離職都會進行嚴格的流程控管,如人員在離職時要簽署切結書,保障公司在法律上的有利地位;在職時所申請的所有帳號,在離職後確定立即刪除等。
另外,人事部門會不定期公佈徵處公告,警惕並加強同仁的危機意識;定期做教育訓練,但吳家名認為教育訓練的效果有限,最好的方式還是在主管會議中提出,請各單位主管配合及宣導。吳家名強調,沒有對的公司制度及流程,是無法對好的東西進行保護。
結論
機密資訊的管控強調的是從管理面來著手,畢竟滴水不漏的防護仍抵不過「內賊」或員工不經意的疏忽,因此如何加強公司內部員工的管理,必須從公司的制度及流程面開始著手,另一方面也必須要強化員工的資安意識,畢竟有正確的觀念才能做正確的事。