本文針對企業資料安全的防範策略思考流程,可如何分析現有資料內容,及分類分級之後,針對不同的情況做好保護與應變的措施。
資料外洩的問題是自古即有。孫子兵法裡的用間篇提到:「故明君賢將,所以動而勝人,成功出於眾者,先知也。先知者,不可取於鬼神,不可象於事,不可驗
於度。必取於人,知敵之情者也。」在兵法中,情報是軍隊賴以成功的重要因素之一,而如果對方知道了己方的重要情資,戰場上的勝負情況就有可能逆轉。在今日的資訊社會裡,資料則是企業成功與否的重要根據,而資料安全也就是企業營運要注意的重點之一。
資料安全問題的現狀:法規與通報 就筆者的個人觀察,資料安全大概在2005 年左右突然開始成為資安界的顯學,這當然不代表資料安全是2005年才開始有的問題。最主要的原因是這年突然開始流行起偷備份帶跟偷電腦!光是2005年1年之內在美國就有包括花旗銀行、美國銀行等公司的備份磁帶在運送過程或是儲存地點被偷竊,損失數千萬筆個人資料。這種偷竊方式的好處是一偷就是數十萬到數百萬筆的資料,還因為是備份磁帶,所以可能附贈其他歷史記錄。
在這股熱浪掀起之後,很多資安廠商突然發現,「怎麼沒有足夠的資料保護產品在市場上?」於是換來一窩蜂的資料保護產品與解決方案。這些產品有加密方面的產品,例如硬碟加密,或是部份資料加密。另外就是一些數位版權管理軟體,還有針對特定資料的資料搜尋程式(總是得先知道資料在哪裡才能保護)。大部分這方面的資安產品都不是新的觀念(例如硬碟加密或是數位產權管理方面的產品都存在一段時間了)。但是因為事件層出不窮,引起業界標準的訂定與政府的介入,所以使得企業不得不正視這些問題。
在政府方面,因為資料洩漏的「資料」可能涵蓋很多種類,所以法規上面會分開處理。例如智慧財產權或是商業機密有相關的法令,而跟個人有關係的則是又被歸類為個人資料,或是隱私權相關的保護法令,這幾年來比較受到注目的是在個人資料相關的法規。在美國這裡,首推加州在2003年7月開始實行的“Security Breach Notification Law”,在裡面規定了不管公司在哪裡,只要你的客戶裡有加州居民,一旦有任何事件發生導致可能洩漏客戶的個人資料,公司就有義務通知所有受到影響的客戶。目前在美國有34州已經通過了類似的法案,但是並沒有聯邦等級的類似法案。在美國的法案裡目前都沒有中央通報的規定,因此要知道有什麼樣的案子發生了,還是只能依賴privacyrights.org或是datalossdb.org這類民間組織的定期更新資料了。大多的法案都會定義“Safe Harbor”, 指企業利用密碼學方式來加密保護這些資料,在資料外洩事件裡只要加密用的金鑰沒有被一起偷走,就可能不在法令規定內的必須通知客戶的情況。
資料洩漏的管道
要了解資料安全的問題首先應該來看看資料的流向。首先我們簡單建立一個企業的資料生態系統。在這個生態系統裡面,企業要與幾個不同種類的角色共生共存:政府機關、內部員工、顧客、商業夥伴跟一般大眾。讓我們來看看每個角色與企業間會有什麼樣的資料交換:
?政府機關-企業跟政府機關之間的資料流通從企業的建立開始,包括像公司創建的資訊、財報、稅務以及其他相關的資料,有些資料需要保護,有些資料則是需要公開。
?內部員工-企業握有內部員工的個人資料,而內部員工也握有企業的重要資料例如智慧財產權等等。內部員工也會包括短期或長期的臨時員工及顧問等。
?顧客-企業掌握了顧客的資料,因為跟銷售有關,所以大多的顧客資料都是屬於個人資料保護法的範圍。而顧客對於企業所擁有的資料大多僅是可公開獲得的資料。
? 商業夥伴-企業的商業夥伴包括任何有交換商業訊息的夥伴。可能是策略聯盟,一些工會或業界會議。還有委外的公司,甚至於採購產品的廠商。這些不同類別的商業夥伴所持有的公司資料等級和機密也不同,但是大多都是會與企業每日的運作息息相關。
? 一般大眾-指的是與企業沒有任何商業上的往來關係的個人或企業。這一個種類通嘗試透過不同的公開資訊來源,例如政府機關或是搜尋引擎,掌握跟企業相關的資料。在大部分的情況下,這類的角色不會接觸到企業的重要資料。但是透過不同的攻擊方法,這類的角色還是可以在不同情況下得到企業的資料。
企業一旦掌握了自己的資料生態系統,就可以依照不同的角色列出可能會洩漏的資料類別,或者是企業本身應該分級保護的資料,然後加以分級分類監視控管。
在大致的分類之後,企業可以了解什麼樣的資料,可能會經由什麼樣的管道,被生態系統中的角色接觸。這樣也可以幫助企業在做出資料分類與分級之後劃分責任使用。接下來我們也來了解一下資料可能經由哪些不同的攻擊方法被洩漏出去。我們採用樹狀圖的形勢來看,先是分由企業外部或是企業內部,然後定義是生態系統中的什麼角色之後再定義攻擊方法。
從攻擊樹狀圖我們可以大概看出來有幾種類型針對企業的資料洩漏攻擊方法:
?入侵-攻擊者透過網路入侵存有資料的伺服器或者是個人電腦以竊取資料。例如透過SQL injection攻擊商務網站或是攻擊賣場的無線網路然後入侵竊取資料。
? 偷竊-攻擊者使用實體偷竊的方法來偷竊載有資料的媒體或者是設備,例如偷竊備份磁帶、電腦、電話等。
?蒐集公開資訊-攻擊者在網路上收集公開資訊,這些資訊如果含有機密資料的話,通常是內部人員蓄意或是意外遺失的。例如透過網路搜尋引擎找到公司網站意外曝光的個人資料。
? 意外遺失-重要的資料被意外遺失,例如員工把電腦或備份光碟遺忘在大眾運輸系統中。
在知道了資料洩漏可能的方法跟類型,根據不同的可能歸納出一般的解決方案。
資料洩漏的對策 孫子兵法第十三篇的結尾「五間之事,君必知之,知之必在於反間,故反間不可不厚也。」既然我們知道什麼樣的資訊會是目標,以及可能的偷竊方法,自然要能夠擬定「反間」的對策。以下就讓我們來看看可以從哪些方面著手:
資訊安全政策 首先資訊安全政策是公司在資訊安全指導的最上綱。政策的內容應該要每年或是定期通過公司管理階層的核准。資安政策同時也是員工資訊安全訓練的一個重要依據,員工必須要了解公司對於資訊安全的重視以及員工自身所應該注意規範。例如資料分級的政策,或者是員工使用公司財產應注意的政策以及智慧財產保護的政策。在這裡,資訊安全政策應涵蓋上面所提的4個方向:入侵、偷竊、公開資訊與意外遺失。
資訊安全與商業流程 在各種不同的資訊安全相關標準裡面,大家都會強調所謂的資訊安全控管“Security Control”。在將資訊安全與企業流程結合的一個重要步驟就是資訊安全控管。很多資料洩漏是從現有的商業流程中,因為缺乏控管而蓄意或是意外流出。因此必須要將資訊安全加入現有已知的商業流程。首先要確定現行商業流程已經記錄在文件中,可以考慮用IDEF0(註1)、Data Flow Chart或是其他的標準來將流程記錄在文件上並且定時更新。再定義流程中也需要把流通的資料標示出來,尤其是會被企業定義為高度重要的資料,之後進行流程的安全分析,加入所需要的資安控管,然後執行改變過的流程。這個部分主要是預防入侵、偷竊以及資料被公開等可能的管道。
資訊安全教育訓練 企業是人所組成的,同樣的資訊安全也要靠人來執行。教育訓練是將企業所欲達到的資訊安全目標與實際做法傳遞給企業員工的方法之一。這些教育訓練的內容必須要根據目標、部門類別、接觸到的資料等級等因素考量。經過教育訓練後才能夠有效的減少資料洩漏的管道,尤其是在公開資訊與偷竊方面。
資訊安全科技 有了人、政策跟流程,最後就是需要相關的技術產品或是工具。
? 資料加密產品-資料加密產品能夠有效地保護在傳遞中或是儲存中的資料。在選擇資料加密的產品有2個主要的考量,第1個就是加密的方式必須要是符合已知標準,例如FIPS等,絕對不要選擇任何人或廠商聲稱的新加密方法。第2個就是加解密的金鑰管理流程與方式,切記不要讓加密後的資料跟加解密的金鑰儲存在相同地方。資料加密產品可以有效地降低入侵、偷竊以及意外遺失時資料外洩的可能性。
? 資料搜尋與監視產品-最近熱門的資安產品就屬DLP (Data Loss Prevention)。原因自然就是如前所述,目前這方面的產品分為數位版權以及資料搜尋、監視與預防外洩等功能。數位版權的產品自然需要相關的流程更動,也是前述資訊安全控管的一部分。資料搜尋與監視則是定期定時搜尋企業網路上是否有高度重要性的資料,並且預防這類資料離開企業的網路。這類產品主要是針對入侵與公開資訊這2種可能的攻擊模式。
?電腦遺失搜尋產品以及服務-汽車掉了有LoJack協助尋車,同樣的電腦遺失也有類似的產品可以協助失主找回電腦;有的產品甚至還可以自動送照片或是所在地點給主人。這樣的產品與服務可以涵蓋偷竊這方面。但是如果被偷竊的設備上的資料並沒有被加密,那麼所達到的效果還是非常有限的。
? 其他相關科技-傳統資訊安全的相關科技,如防火牆、入侵防禦系統等還是需要的。這些科技協助預防以入侵方式獲取重要資訊的攻擊方法。但是沒有其他相關流程與教育訓練的配合,這些科技還是枉然。
事件應變 如果很不幸的還是有資安事件發生造成資料外洩,那麼企業還是要準備好做出事件應變的措施。事件應變其實是難度很高的事情。因為在事件應變過程中需要統合企業內各種相關人員,其中包括管理階層、法律人員、技術人員以及外界相關的角色。並不是光把事件的來龍去脈等技術細節調查清楚即可。
企業最好的做法是先建立好一套事件應變的計畫並且定時定期演練,就像工廠需要替工安擬定應變計畫並定期演習一樣。在進入事件調查階段之前,應變小組最重要的決定會是要不要循求法律途徑解決,因為這會影響到後面事件調查以及最後的結果。
事件應變的流程主要分成以下幾個階段,每個階段都各有任務:
1. 應變計畫準備與演練-擬定計畫的內容包括應變隊伍的成員及責任,還有應變的流程(所需要執行的工作細節與注意的事項)。
2. 事件發生與偵測-企業偵測到事件發生後,就要啟動事件應變機制。首先是要成立相關的應變專案小組,然後開始籌備需要的資源並且進入第三階段。
3. 初始應變階段-事件應變首先要做初始的應變行動,以收集足夠的資料協助決定接下來的應變策略。
4. 決定應變策略-在初始應變階段結束對事件有了初步了解後,就要決定接下來的應變策略。主要的考量點有是否要採取法律行動、是否需要外部技術援助及控制事件使其不至於擴大的全盤計畫。
5. 事件調查與其他相關應變行動-策略決定之後就實際執行事件調查、蒐集證據,以及其他相關的行動,例如發布新聞稿、通知客戶等。
6. 調查結束後活動-當事件告一段落之後,應該要召開檢討會議,並且了解從整個事件中所學習到的經驗,及如何利用這些經驗加強現存的事件應變計畫與商業流程。
事件應變計畫以及執行,如果沒有管理階層的支持是很難從理想變成現實的。但是如果企業沒有充足的準備來保護自己的資產,那麼有個事件應變計畫總是比沒有好。
結論 資料外洩會導致企業商譽、財務以及客源的損失。因此如何針對企業所需及所涵蓋的流程作一個全面的體檢,找出要保護的資料,加以分類分級後進行適當的保護以及監視成為資訊安全的一個重要課題之一。要保護資料,不只是需要資料加密的產品而已,在人及流程的部分更是要做好檢驗,並且給予教育訓練與資訊安全控制,多管齊下,並配合事件應變流程才能減低外洩風險。
※ 註1: IDEF(ICAM Definition Languages)是70年代由美國空軍發明,最早用於描述企業內部運作的一套建模方法。經過不斷改進,其用途變廣泛,現在可以適用於一般的軟體開發。目前,I D E F的方法共1 6種- -從I D E F 0到I D E F 1 4(包括I D E F 1 X在內)。
資料來源:http://zh.wikipedia.org/w/index.php?title=IDEF&variant=zh-tw