掌握雲端時代,企業資安新關鍵 - trendmicro.com.t€¦ ·...
TRANSCRIPT
「近年來資安危機已從對外
駭客攻擊或是植入病
毒木馬程式,逐漸轉換成對內的防
止資料外洩(Data Leak Prevention,
DLP)。」台達電子資訊處朱漢安資深
處長表示,傳統的資安危機幾乎一
致槍口對外,也就是駭客入侵、垃圾
郵件或是電腦中毒等事件,這些危機
靠著資安服務業者如趨勢科技等,所
提供的防火牆或是病毒入侵偵測等
服務,已為台達電提供完善的資安準
備。目前最應該擔憂的反而是,隨著
網路應用的普及化,各種使用者的終
台達電子資訊處資深處長朱漢安:
落實資安政策防止資料外洩 避免競爭對手有機可趁
掌握雲端時代,企業資安新關鍵
端介面都可以連上雲端,以及企業愈
來愈全球化,客戶與員工分佈於世界
各地,當從外面連到企業內部時,則
如何防止資料外洩,則變成台達電最
重視的資安課題。
DLP資料外洩防護成為資安採購重點
台達電目前最重視的防止資料外
洩議題,同時也是許多資訊長相當重
視的項目。因應個人資料保護法上
路,企業主對於保護客戶重要的個資
不再是紙上談兵,而是確切列入今年
度資安重點評估和採購項目。根據
DIGITIMES的2012年企業資安管理
政策調查,為因應個人資料保護法
的實施,企業在資安設備與服務採
購上,以DLP獲得第一高票。
造成企業內部重要資料流出有許
多個途徑,許多人的刻板印象都認
為,資料外洩的主因來自於外部,也
就是企業資料庫或伺服器遭到駭客
入侵或是藉由員工電子郵件被植入
木馬程式或病毒感染。但根據趨勢
科技的報告顯示,有78% 資料外流
來自於內部員工,不管是惡意或是無
知,在離職時利用職位之便,把公司
資料甚至是機密文件一併帶走。
朱資深處長解釋,去年公司曾發
生兩件資料外洩的遺憾,其一為離職
主管將公司資料帶走,並且到競爭對
手的公司服務。其二,為員工將公司
ERP的教育訓練資料,上傳到中國大
陸的百度網站。這兩件事情讓台達
電開始重視內部員工對於資安保護
的宣導。
以不影響效率為原則 制訂資安政策並由系統稽核
「有句話是這麼說,不教而殺謂之
虐。」朱資深處長表示,當時公司內
部並沒有明確的資安政策,例如哪些
資料屬於機密或是一般性,哪些資
料不能分享、上傳或藉由檔案寄出,
因此當發生資料外洩時,無政策依循
來懲罰造成資料外洩的主事者。為了
加強員工重視資料外洩的嚴重性,因
此由法務單位、人資單位以及資訊處
共同組成一個委員會,來制訂資訊安
全與商業機密等相關政策。朱資深
處長進一步解釋,由於台達電事業
群眾多,每個事業群對於機密資料
的定義不同,因此委員會所制訂的只
是大原則,並且先在其中一個BU推
廣示範,視該BU落實的狀況與發生
的問題再做增修。
「我們對員工採取信任,除非發生
違規事件,否則不限制使用權限。」
朱資深處長解釋,在資安政策的推廣
上,一開始採取宣導,也就是把該事
業群對於資料保密程度作分級,機密
的資料必須受到嚴格保護,告訴員工
屬於機密文件絕對不可分享、上傳與
轉寄等。台達電的資安政策作法為一
視同仁,並依權責分明原則做權限設
定,例如哪些部門的人只能看某些資
料,哪些人則不行。但在一個固定時
間後,會把每個員工看過哪些資料做
統計報表供主管查核,當發現員工看
不屬於自己工作執掌的資料,主管必
須瞭解員工查閱此資料的動機與目
的,做進一步處置。
朱資深處長強調,台達電對於資
安防護的作法,在制訂政策與落實作
法時,除了講究安全外,並考慮員工
的感受來進行。可喜的是,目前都還
沒有發生異常狀況,顯示同仁很重視
公司的資料安全。
交給專業資安服務 偵測郵件機密與病毒
此外,為了保護新產品或新軟體的
開發專利,台達過去採由在工程師自
己的電腦上研發作業;但現在電腦只
是一個終端介面,所有開發工具都儲
存在伺服器的開發環境裡,程式設計
完成後,也採由儲存在遠端環境,而
非個人電腦裡,以避免專利外洩。台
達對於保護資料外洩從政策端到執
行端,做到滴水不漏。
台達電在防止資料外洩的作法,並
不只限於機密文件在企業內部的管
控,也延伸到對外文件的機密保護。
朱資深處長解釋,對於員工寄出去
的附加檔案,我們委由資安業者提供
的資訊系統,來做關鍵字資料掃瞄,
舉例來說,當檔案裡有出現台達電營
收等關鍵字眼,系統即會偵測到,並
立即擋下,以保護公司機密文件。至
於從外部寄給內部員工的信件,只要
有執行檔.exe的檔案,系統也一律阻
擋,以防止木馬程式透過郵件滲透到
企業內部。
根據研究機構拓墣預估,2012年全
球雲端運算服務市場產值約有259億
美元,因應雲端商機,台達電也成立
雲端技術中心,未來台達電將與資安
設備業者合作,提供更完善的雲端應
用服務。朱資深處長表示,隨著台達
電企業在轉型之際,而新事業群也
愈來愈多,公司內部要專注自己企業
的核心競爭力,把資訊安全防護的議
題,交給專業的資安服務業者,企業
內部只要落實政策即可建構一個安
全無慮的環境。
趨勢科技專家觀點
因應即將在下半年上路的個資法,許多企業仍然無所適從,不知道如何建構一個資訊安全的環境,來保護客戶資料
或公司機密,以符合個資法的規劃。我們建議,企業對於防止資料外洩的作法,並不需要改變公司內部原有的管理
制度以及限制週邊硬體與員工的網路使用,也不要花太多的時間維護資安,如此一來容易降低員工的生產力以及
影響同仁的觀感。解決之道其實很容易,只要整合DLP功能在單一的防毒程式中,再由此延伸在企業既有防護上添
加DLP功能即可,簡單來說,透過整合DLP功能的防毒軟體掃描,公司同仁不需要改變電腦的使用習慣,也不破壞改
變檔案本身,一旦使用者疏忽或刻意洩漏資料,將被會系統偵測、記錄與阻擋,為企業資安做到嚴格把關。