全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
個資與機密都不容外洩
文/李宗翰 (記者) 2010-06-09
該如何防止資料外洩呢?企業還是該從清查你手上有那些資料類型開始做起,並且明確界定出那些該優先保護。

(原文刊載於iThome周刊418期)
我們重視資料安全的程度真的不夠。這類問題到現在仍然層出不窮。今年6月,我們報導了東森購物個資外洩疑似內部流出的消息,最近校園二手書教科書交換的網站也發生1.6萬筆個資外洩;回顧去年,網路報稅、31萬基測考生個資也遭到外洩。

從2005年到現在,相關事件頻傳,而且發生的原因也不太一樣,例如有些是單位的使用者故意攜出,或是因為操作錯誤、個人疏忽、環境因素而無意中傳送出去,例如擅自安裝P2P應用程式,將資料分享出去;有些則是遭到駭客入侵或被植入惡意程式、側錄,或者是透過社交詐騙、實體紙本竊取的方式取得。除了使用者和外部強行入侵之外,IT人員對於所開發、管理的應用系統,如果疏於防範,沒有嚴密管制保護使用者所輸入的資料,也一樣有可能造成資料外洩。

這顯示了幾件事,我們對於資訊安全的概念仍停留在系統安全、網路安全的角度,總以為注意這兩部份即可,使用者或IT人員也不太重視經手資料的價值,沒有人察覺弊病叢生的狀況,等到有人揭發、媒體踢爆,因而客戶抗議、公司的形象受損,才發覺問題的嚴重性。

比起病毒大幅擴散或伺服器服務停擺,企業往往不容易及早發現、掌握這類事件。隨著新版個人資料保護法進入審查和政黨協商的階段,企業必須更加正視無法保護資料、造成被害人損失的嚴重後果──龐大的賠償金額。不論是賠償總額上限為10億元,或是每人每一事件賠償2萬至10萬元,同時無賠償上限。

那麼,該如何防止資料外洩呢?企業還是該從清查你手上有那些資料類型開始做起,並且明確界定出那些該優先保護,傳統的端點安全和網路安全防護是最基本的,先安外,針對無時無刻都在企圖入侵和感染系統的惡意程式做起,再攘內,逐步作好內部控管。我們這次所實測的資料外洩防護產品即是屬於後者,針對的對象主要是企業內部的各種資料存取動作,涵蓋的範圍包括擁有共享資料夾的檔案伺服器、蘊藏大量交易資料的資料庫系統,以及個人端電腦。

簡單地說,這些產品要做到防止外洩,首先要找到欲管制的對象,通常不外乎格式比對、關鍵字過濾和特徵辨識等幾種方式,透過對於資料內容的分析、加註來判斷是否經過授權,並可從個人端電腦的代理程式搭配網路閘道來協防,限縮資料輸出的所有管道,因此本機的周邊裝置、應用程式的控管,以及各種網路傳輸方式,也都要涵蓋在內。

至於文件安全控管,比較適合需要流通至外面的資訊,例如公司之間的資訊交換、業務往來。如果是擔心電腦、儲存裝置遺失而讓資料外流,就比較適合搭配磁碟/磁帶加密的做法來管制。(請見第26頁)

除了積極保護所擁有的資料之外,為了降低風險,企業在蒐集客戶資料時也要考量,是否一定要記錄某些欄位,例如為了確保資料的唯一性,有些市場調查會要求受訪者填上完整的身分證字號,這不必然能保證是本人,還是可以透過程式產生器來提供非本人的身分證字號;另一方面對企業來說,仍然可以透過其他方式來過濾無效資訊,因而就減少保管大量身分證字號資料的風險。

企業要保護資料,但使用者本身也要更主動去捍衛自己的隱私,就如同使用者自己主動將資料張貼到網路上之後,是否仍保有擁有權,這有很大的爭議。例如 Plurk上正妹猛男牆所引發的圖片使用權的討論,以及更早之前Facebook的隱私權條款論戰,都值得網站經營者和用戶多加注意。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome