全方位防制資料外洩研討會-新科技考驗企業安全管理 競爭優勢可在一夕變天

辨別企業核心資料
由《資安人》雜誌主辦「全方位防制資料外洩研討會」於8月9日及8月14日分別在新竹及台北二地舉辦。新竹場邀請到財團法人安全衛生中心黃建彰博士來引言；台北場則由《資安人》雜誌主編余俊賢開場，並於引言中提到，防制資料外洩10個要點，1.最小權限、2.政策要寫下來、3.行為稽核、4.資料加密、5.應用系統權限管理、6.限制可攜式媒體、7.控管筆記型電腦、8.控管對外傳輸內容、9.限制無線網路通訊、10.隨時注意「創新」的行竊花招等。除此之外，更呼籲企業主應將重兵佈署在最重要的地方，而辨別出企業核心資料也可以說是防制資料外洩的第一步。



研討會花絮
根據初步的估計，新竹場與會的貴賓多為高科技產業，而台北場則以政府單位、金融業、高科技產業及製造業居多，可推想這些產業對於資料保護的重視及需求增加。整體而言參觀者多半抱著瞭解新的解決方案的需求而來，如威力盟電子股份有限公司資訊工程部高級工程師羅啟誠表示，參加的目的是想瞭解目前資安方面有那些解決方案，針對各廠商的解決方案介紹，對後續資安產品的評估能有個參考。當然其中不乏帶著明確需求而來的貴賓，如遠東紡織電腦室江君豪就表示，此次參加是為了尋找USB裝置的解決方案，希望能獲得廠商的協助。另外，秀傳醫療體系翔生資訊股份有限公司資訊處副組長黃俊雄表示，目前亟待保護的核心資產是關係到病人的病歷資料，目前是採用層層的密碼管制與備份機制來保護資料，預計加強更積極的防護機制，限制醫療網路的上網行為，防治入侵與限制USB存取，防止資料洩漏。透過此次研討會得到新的技術資訊，認為廠商提供的一些解決方案很值得嘗試。

當然，在提供有效解決方案的同時，也要瞭解與會者在執行相關解決方案時遇到一些困難，五聯國際股份有限公司技術部經理諶沛傑表示，經費是個問題，資訊設備通常都很昂貴，在經費有限的前提下，就必須花很多管理功夫，例如安裝多種免費軟體，利用技術整合後達到功效。羅啟誠則認為人的問題及資安認知是導入所面臨最大的困難，資安的管控會造成大多數的不便，造成使用者抱怨；資安認知上，如果每個部門主管不知道資安對公司的危害性，任意允許同仁的申請，那有控管等於沒控管。整體來看，企業主在導入相關的解決方案時，多認為「人」與「錢」是最大的問題。



360度全方位防護解決方案
隨著企業以Web加值服務客戶的型態越來越普及，因網路特性使然，也讓企業暴露在不安全的環境下，來自Web的威脅加劇，該如何保護企業免於外來的威脅，進而保護企業內部的安全，趨勢科技新事業發展經理楊肇謙在會議中提到，目前絕大多數的病毒及惡意程式多在用戶端被發現，這表示，現代企業缺乏完善閘道端的防護或未能確實執行安全管理政策；行動用戶及裝置的大量成長與未受到妥善保護也是造成此情況的重要因素之一，因此容易造成企業內大規模的病毒爆發事件。加上現在病毒製作技術精進，現有防毒產品單靠病毒碼更新來防阻已是緩不濟急；尤其現在由HTTP來散播的攻擊手法更是猖獗，尤以台灣地區的家用電腦情形嚴重，楊肇謙表示，單靠偵測率已非唯一判斷標準，必須要提高防感染率。而趨勢科技所推出的WRS網頁信譽評等服務透由幾項判斷要素針對網頁的可信度來評等，透過這樣的機制，可有效協助企業降低病毒或惡意程式感染率的發生。

McAfee香港及台灣區總經理陳聯在接下來的會議以「有效管理風險，就可徹底防制資料外洩」為題來說明，資料保護要從那開始？陳聯認為，第一步要從辨別資料重要性開始，必須知道我們要保護的主體是什麼，並做好風險分級才能對症下藥。資料外洩在現今是企業必須面對的嚴肅課題，大體上，企業核心資料可能輕易的透過三種管道洩露出去，1.實體管道，如USB、行動裝置、印表機等；2.網路，如Web、Wi-Fi、FTP等；3.應用軟體，如P2P、Email、IM等，這也意謂企業面臨的挑戰將更多。陳聯認為好的DLP解決方案必須做到資料分級、分析管理、易於佈署及即時監控等。另外，陳聯表示，資料外洩備受重視還有另一項原因，即法規的要求，如，HIPAA、SOX、PCI-DSS、SB1386、Basel II等對於資料保護都有強烈要求企業必須重視資料外洩所帶來的損失及應負的責任。未來企業應該努力將威脅防護與風險/法規遵循做一有效的整合。

剛提到來自網路上的攻擊已嚴重威脅企業內部的安全，F5技術經理胡偉剛在會議中表示，企業在保護內部機敏資料普遍建置有完善保護工具及制度，而應用層的安全卻常被企業主所疏忽。64%安全事件的發生都來自Port 80，為什麼現今許多網路應用程式會如此不安全，胡偉剛認為，大致有程式開發時間緊湊，多數開發人員多是著重在功能而非安全上、網頁應用程式常常也是被攻擊的目標、企業忽略Port 80這個重要的通道口、及SSL傳輸協定無法保障網頁應用程式的安全等因素。綜合以上原因，要如何解決，胡偉剛表示，請程式人員修改固然是釜底抽薪的好辦法，然而其效果及時效性如何？有待思考。因此網路應用層的防火牆即可解決這方面的問題，最後胡偉剛表示，大家要記住，網路安全並不等於應用安全！

結束了上午的精采演說，下午的第一場則由Fortinet產品技術經理劉乙以「主動式完整內容稽核監控」為題帶來演說。會中提到，全球的網際網路愈來愈普偏使用，多樣化的網路威脅無所不在，網路駭客不定時的攻擊，從Nimda、Code Red到疾風病毒、Slammer、網路釣魚事件，肆虐企業網路造成重大損失。然而除了外部威脅以外，內部的控管及洩密行為所造成的企業損失更是難以估算。因此劉乙認為完整的防禦除了做到END TO END安全機制，即從閘道端到用戶端安全，完美的內容安全機制還必須包含完善的稽核管理，必須做到完整記錄網路用戶的使用行為與內容，有效掌握攻擊來源與標的、並記錄加密具法律效益。接下來，Check Point台灣區技術顧問陳建宏帶來「為企業行動資料提供萬無一失的保障」。陳建宏表示，行動工作者透過筆記型電腦、PDA、隨身碟來交流、傳送重要商務資料的現象越來越頻繁，發生在端點的安全威脅也因此急速增加。陳建宏提到，一套好的行動裝置管理工具必須要包含以下幾項功能：裝置管理、即插即用媒體管理、傳輸加密及稽核。因此Check Point則提供了一套嚴密的行動裝置管理工具，協助企業做到行動裝置的控管。

談了許多裝置及硬體上的控管，接下來TrustView(優碩資訊)產品經理林大均則以「全方位機密文件及安控保護」為題帶來如何利用數位版權的理念做到機密文件的保護。林大均認為目前坊間資料外洩解決方案除了身分控管及鎖硬體，已擴展到鎖檔案，而鎖檔案的方式目前有三種，一是檔案的加密，只有合法的帳號才可讀取，缺點是文件一旦解開後就無法控管使用者的行為；二是用viewer的方式，將原始檔轉檔成受保護的檔案，使用者除了必須透過特定的viewer才能讀取外，對一些與Partner合作的協同性文件就不能進行往返的修改，更別說用Word或Excel等來進行維護，而且更要注意的是實體原始檔並未受到保護；為了解決上述的缺點，第三種，保護實體檔案的方式，Trustview就是用這樣的方式來保護機密資料，同時TrustView強調需有完整3A（Authentication、Authorization、Auditing）保護，來確保機密資料安全。最後由邁格行動技術顧問顧新貽以「落實USB隨身碟控管，防止資料竊取」為題，分享USB隨身碟在企業應用的控管技巧以及如何稽核隨身碟的使用，避免機密資訊的外洩。顧新貽在會議中提到，目前IT部門面臨一些問題，即市面上行動式媒體裝置普及，而使用行動式儲存裝置和消費電子設備則容易導致機密失竊、安全、版權等問題，甚至會影響生產力。顧新貽認為，完整的控管應該包含身分控管、使用者存取記錄及完整報表、中央主控台及支援更多的裝置，以獲得滴水不漏地掌控。現場還展出多家廠商的解決方案，如趨勢科技、McAfee、F5、Fortinet、Check Point、TrustView、GFi(邁格行動)、SECWARD、及Lexmark等，從外而內的保護都能在展場中找到需要的解決方案。



結論
資料外洩的議題在近年來獲得各方單位的重視，企業主也已體認到資料外洩防護的重要性，然要全面有效的防堵及預防企業機敏資料的安全，必須從各方面著手，除了大家所熟知的DLP(Data Lost Protection)、ILP(Information Leak Prevention)之外，還要瞭解威脅的來源及管道，除了一般所熟知的數位版權管理(DRM)、內容過濾、身分及權限控管外，還要擴大到整體的防禦；從如何偵測問題、發現問題、事前事後的處理機制，及應具備的應變管理能力等，多方位著手，達到360度的全方位防護。