2012年11月27日 星期二

[觀點] 個人資料的資安控制措施

在個人資料保護法尚未三讀通過之前,個資保護並不是一個受人矚目的熱門議題,個人資料頂多只是附屬在資訊安全工作中,需要被記錄的一項資訊資產。

雖然資訊安全是一項重要的工作,但是在過去,對於許多企業組織而言,卻不見得是一項必須要達成的營運目標,只有那些具有遠見的管理人員,為了降低可能因為駭客入侵或不當存取而產生資料外洩的營運風險,或是受到上級主管機關要求的政府單位,才會認為資訊安全是一項需要落實的工作項目,進而要求各個部門需要強化資訊安全。 

如今,隨著個人資料保護法的實施,個資保護已成為一項勢在必行的工作,許多過去未曾在意資訊安全的企業組織,突然之間被要求需針對個人資料進行保護,並提出因應的相關做法,這時候往往都會感到不知所措。

2012年11月24日 星期六

[觀點] 雲端運算安全入門(十一) - 雲端資料加密與金鑰管理

上一次談到了雲端環境對應用程式部署的影響,我們需要考量資料控制、資源共享和法規問題所可能帶來的風險,更應確保一開始在軟體開發生命週期中,已將安全問題納入成為檢測的重點之一,本期我們將探討雲端資料加密與金鑰管理。 

在雲端運算服務之中,若以公有雲為例,雲端資料的儲存基本上是以委外方式來進行,這意味著除了同一個儲存資源會由多個用戶來共享之外,系統管理人員也可能會擁有可存取資料的權限,因此,如何確保資料的機密性與完整性,這是在雲端安全中最常被提出來探討的問題。

2012年11月21日 星期三

[觀點] 工作職場個資與隱私保護

隨著個人資料保護法的正式實施,目前與個人隱私保護有關的議題也逐漸躍上檯面,事實上,個人隱私是屬於憲法保障的人格權之一,因此對企業雇主而言,除了含有隱私的個人資料檔案,必須要有妥善的防護措施之外,如何去尊重員工的個人隱私權,確保工作職場的隱私保護,已是責無旁貸需要重視的地方。 

依據個人觀察,有些企業老闆因為擔心員工將公司的網路、電腦拿來公器私用,所以喜歡安裝一些網路監控或電腦監看的軟硬體,以達到監督員工的目的,卻不知道在未告知員工的情況下,擅自實施這樣的作法,很可能已經侵犯到員工的隱私權。 

2012年11月12日 星期一

[觀點] 網站隱私與個人資料保護

Google之前宣佈,為了精簡與整合60多項所提供的服務使用條款,包括了搜尋、電子郵件、影片、地圖等服務,將在2012年3月1日起實施更新的隱私權政策。雖然Google表示此一調整將讓隱私政策更加簡單易懂,而且絕對不會販售使用者的個人資訊給第三方,仍然在國內外引起了許多的意見與關注,歐盟隱私單位甚至提出在相關的調查結束之前,希望Google能暫緩實施新的隱私政策內容。 

目前,透過網站蒐集資料是最簡便快速的方式,組織要如何因應個人資料保護法的要求,確保個人隱私和資料安全,已是必須要審慎因應的重要課題。

2012年11月4日 星期日

[觀點] 雲端運算安全入門(十) - 雲端上的應用程式安全

上一次說明了資料中心的營運重點,包括如何更有效率地管理與因應雲端服務所衍生的彈性化需求,也提到了必須要求服務供應商在發生資安事故時進行通報,並依照事前所擬定的應變流程進行處理,同時也要保留相關的記錄作為事故檢討,本文將探討在雲端之上的應用程式安全。 

資訊科技改變了世界,影響了所有人的生活,藉由資訊科技所提供的各項資訊服務,使得企業的經營運作更加地便利。對於傳統主從式架構(Client-Server)的應用服務而言,無論其資訊應用是檔案存取、電子郵件或是網頁瀏覽等,在程式的開發設計與維運方面,許多企業都累積了多年的經驗因而駕輕就熟,針對來自於軟體、作業系統、網路架構等可能產生的安全風險,隨著許多資安事件的發生,慢慢地也產生了安全意識與認知。 

不過,隨著雲端運算的出現,當這些應用程式部署到雲端之中,無論採用的型式是軟體即服務(SaaS)、平台即服務(PaaS)或基礎架構即服務(IaaS),依照其服務型式的不同,應用程式的安全管理卻變成了一大挑戰。其主要的原因是傳統的應用服務大都來自企業本身資訊部門,無論開發、部署、維運、事件處理,有任何問題都能找到對應的窗口與負責的人員,但是對公有雲的雲端服務而言,本質上就是一項委外服務,也就表示以往既有的安全管控作法,也就必須要延伸至服務供應商的領域之中。

2012年10月29日 星期一

[觀點] 雲端運算安全入門(九) - 資料中心營運與事故回應處理

上一期說明了傳統的實體環境安全、營運持續計劃和災難復原,與雲端運算之間所具有的緊密關係,這些傳統的資安問題,仍然會深深地影響雲端服務的佈署與運作,接下來本期將要說明資料中心營運與資安事故的處理與因應事項。 

在雲端服務還沒有成為熱門的議題之前,資料中心就已經存在IT的運作環境之中,因為資料中心可以提供共享的資源,包括伺服主機、儲存設備等,透過集中化的方式以達到更有效率的管理。但是傳統的資料中心,通常為了滿足擴充的需求,在設計架構上會特別提供超出水準之上的資源,一旦若是閒置而未充分地利用,相對地反而耗費了許多管理與能源消耗的成本。 

隨著雲端服務的興起,資料中心的資源共享模式,正好滿足了雲端服務的主要特徵,因此資料中心的建置數量也隨之不斷地增長,以提供更多雲端服務所需要的運算資源,而且傳統閒置資源可能造成的浪費,也透過如虛擬化技術的運用,可以實施彈性且自由度高的擴充作法,以最佳化各項硬體設備與支援服務的使用。

2012年9月26日 星期三

[觀點] 雲端運算安全入門(八) - 傳統安全、營運持續與災難復原

上一篇我們說明了關於雲端服務的相互運作與可移植性,這是屬於雲端治理部分的最後一項安全領域,接下來將會解說雲端營運的部分,會牽涉到許多的技術性安全議題,這也是大多數組織較為重視的地方,和IT單位也會有更密切的關係。 

在「傳統安全、營運持續和災難復原」的安全領域中,雲端服務的用戶和供應商必須了解傳統的資安問題,在轉移到雲端服務的架構之後,是否都有對應的控制措施,一旦組織轉而採用或是由資訊單位本身提供雲端服務之後,對於資訊安全的控管與營運持續的要求為何?如何進行災難復原?就成為不得不去面對的一大問題。

2012年9月2日 星期日

[觀點] 雲端運算安全入門(七) - 雲端資料可移植性與相互運作

上一篇文章我們提到,針對資料一旦存放至雲端之後,應該要考量的資料安全風險和所需的控制措施,本期將針對雲端治理的最後一個知識領域「可移植性與相互運作」,說明一旦需要更換雲端服務供應商時,實務上要注意的建議與做法。 

隨著雲端運算服務的蓬勃發展,對組織而言,可供選擇的服務供應商也會愈來愈多,就像一般的委外服務一樣,不見得永遠都會是可合作的夥伴,在許多情況之下,我們可能會想要更換雲端服務供應商,例如:服務供應商所提供的服務,達不到企業所需的業務要求或服務水準,甚至是無端的暫停服務或服務中斷;或是合約期滿之後,服務商提高續約的服務價格,或是想要修改合約內容,造成雙方的歧見無法達成共識等。 

因此,在一開始評估選擇雲端服務供應商時,資料是否可順利移轉到其他儲存設施或同類型的服務供應商,以及服務供應商是否能夠支援資料移轉的工作,就顯得十分重要,若是等到需要處理這些資料移轉工作時,才思考到相關的配套作法,往往是緩不濟急,尤其是若在當初的合約中,並未規範相關的事項,舊有的服務供應商又不願意提供所需的支援,可能就會引起更多的問題,更別提還需要維護資料本身的安全。 

2012年7月30日 星期一

[觀點] 雲端運算安全入門(六) - 雲端資料安全防護與管理

對組織而言,雲端服務和傳統資訊服務的最大不同之處,在於資料的本身不再像以往可由組織內部的資訊人員來管理,而是完全交由外部的雲端服務供應商。雖然對於用戶來說,藉由服務供應商所提供的管理介面,仍然可以針對資料進行新增、刪除、修改等動作,但事實上這樣的控制程度是很低的,因為用戶完全不清楚資料實際位於何處,以及是否已經完整的進行備份。

2012年6月20日 星期三

[觀點] 雲端運算安全入門(五) - 雲端法規遵循與稽核建議

上次我們談到了雲端運算的法律問題與電子證據的採集提供,對大多數由第三方所提供並且跨越國界的雲端服務而言,法律議題將會是一大挑戰。

因此,為了符合法規的要求,實施稽核將是一項必要的做法,本期將探討雲端的法規遵循事項與安全稽核建議。

許多組織由於本身所處行業屬性或是國情不同,所面臨到的法規要求也有所不同,舉例來說,像是健康醫療產業和電子商務業者,雖然他們可能採用同一雲端供應商的服務,但是對於如何維持法規的符合性,其要求的重點就會有顯著的差異。一般而言,醫療業者較為著重的是個人資料的隱私維護,而電子商務業者強調的則是交易過程的資料安全,因此如何評估雲端服務供應商所能涵蓋的資安與法規要求,將會是一開始就需要協調溝通與相互理解的重點。 

2012年5月7日 星期一

[觀點] 雲端運算安全入門(四) - 法律問題與電子證據蒐集

上一次談到了雲端運算與組織的經營治理,也就是高階管理階層對於雲端安全問題應有的認知,以及因應雲端部署和第三方的管理建議,本文將探討和雲端運算有關的法律問題與證據蒐集,以及用戶和服務供應商如何因應安全事件的調查。 

雲端運算的其中一項特徵是會將資源作動態的虛擬化分配,也就是說雲端資料的儲存位置將跨越國界,這對於許多雲端服務的用戶來說,可能會無法控制或是根本不清楚資料實際的存放地點。一旦企業選擇透過雲端運算,將商務或個人相關資料移轉到雲端之中,對於雲端服務可能面臨的法律議題,就必須要有所認知並了解所需的因應作法。 

目前在各個國家,針對資料的存取和利用,特別是和隱私有關的個人資料,都有其法律規定與要求,例如在亞太地區,包括日本、澳洲、紐西蘭等國家,以及即將實施個人資料保護法的台灣,對於個人資料的保護與安全方面,都有需要遵守的規範,其中最值得作為參考的基礎,就是由經濟合作發展組織(OECD),針對個人資料的限制蒐集、正確完整性、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等,所提出的個人資料保護八大原則,以及亞太經濟合作論壇(APEC)所提出的隱私保護綱領。 

2012年4月11日 星期三

[觀點] 雲端運算安全入門(三) - 雲端治理與風險管理

上一期提到了雲端運算的基礎架構,說明雲端運算的必要特徵、部署模式與服務型式,對服務提供商和使用者而言,有了一個可以共同探討的知識框架,對雲端服務應實施哪些資安控制也比較能夠達成共識,接下來將討論有關雲端治理與風險管理的重點。

雲端運算聯盟將雲端運算安全區分為三個部分,分別是雲端架構、雲端治理和雲端營運,在雲端架構的部分,主要針對雲端的五項必要的特徵、四種部署模式和三種服務型式作了說明,這些也可以作為在探討雲端安全時的共同基礎,在這之上來區分有關雲端服務提供商和使用者的安全責任,以及可能面臨的安全風險。

2012年3月18日 星期日

[觀點] 雲端運算安全入門(二) - 認識雲端運算架構與框架

安全問題普遍被認為是採用雲端服務的最大障礙,但事實上雲端並不會比現有的IT環境更加安全或不安全,所謂的安全強度是基於組織本身所能接受的風險程度,因此必須先了解雲端運算的架構,才能評估可能的風險,最後依此來決定是否採用雲端服務,或是要將何種資訊、流程或服務轉移到雲端之上。

依據個人的觀察,許多人只要一提到雲端運算相關的議題,大致上會有三種不同的看法。

首先是認為雲端將是未來的趨勢,企業必須盡早擁抱這項新技術,才能夠為產業創新,並且帶來更多獲益;其次則是認為雲端運算是舊酒裝新瓶,不過是廠商的行銷包裝手法,並沒有太多值得應用之處;最後一種看法是認為雲端服務就是要把資料和系統外包給別人處理,並且透過網際網路來存取,讓人感到很不安全,所以根本無意採用所謂的雲端服務。

2012年1月30日 星期一

[觀點] 雲端運算安全入門(一) - 您了解雲端之上的安全風險嗎?

雲端運算是目前最熱門的資訊科技應用之一,透過無遠弗屆的網路連結與運算資源,讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過,新科技的應用總有其風險存在,想要降低可能的安全風險,就有賴於足夠的認知和正確的應對之道。

在幾年前談到雲端運算時,它還只是一個趨勢和概念,許多人對於雲端都有不同的解讀與說法,甚至有人認為它只是舊酒裝新瓶的商業炒作,會是另一個網際網路上的泡沫。但是,隨著今日Amazon、Salesforce所提供的商業應用已相當成熟,Google、Apple所提供的Google doc、iCloud等服務,更讓一般大眾都能享受到雲端科技所帶來的便利與創新,雲端應用已不再只是一項口號,而是真正地實現在我們的生活之中。

面對雲端運算和其衍生的各項創新服務,有些先知先覺的開創者已經品嘗到甜美的果實,後知後覺的採用者也因為前人的經驗累積,逐漸地跟上雲端的腳步,但也有人因為不了解雲端,只是道聽塗說而害怕可能的安全問題,一直裹足不前的結果,反正讓自己錯失了良機,同時也失去了產業競爭力,這是令人感到惋惜的地方。

當然,雲端的應用並非全然都是正面的好,站在使用者的角度,我們必須先了解雲端先天的限制與部署的架構,才能讓它的應用符合自身的需求,同時也要明瞭可能潛藏的安全風險,才能進一步有效地駕御它,使其成為營運發展的好幫手,所以接下來的一系列文章,將帶領大家來一窺雲端安全的全貌。

2012年1月10日 星期二

[觀點] 解析資訊安全控制措施(完) - 資訊安全與法規遵循

上一次我們談到ISO 27001中有關如何避免資安問題影響企業營運的要求,以及在發生資安事件之前,應如何建立相關的事件處理應變流程,本文將說明在標準附錄的最後一項,有關法規遵循的控制措施。

在過去,每當與企業管理階層談到資訊安全的議題時,通常被重視的程度,大都遠低於和業務活動相關的事項。探究其背後原因,乃是當資安事件發生時,主管人員皆認為其可能造成的衝擊並不大,採取方式也往往是由內部人員來自行處理。

不過,隨著組織在營運活動上,愈來愈倚靠資訊系統的運作,再加上資訊可被傳遞的管道愈來愈多,讓現今的資安問題變得更加複雜,一旦發生資料外洩事件,也容易受到媒體矚目,民眾所產生的不良觀感,將對組織的信譽造成傷害,加上當事人若受到實質損害時,也會訴諸法律來尋求必要的賠償。

此外,企業若發生商業機密的外洩,也必須要因應與客戶或供應商所簽訂的合約中,明訂需要負責或賠償的事項,所以對企業而言,重視資安問題並在營運過程中識別出需要遵守的法律、法規及合約的安全要求,將它落實在內部的政策與作業規範,將會是最好的做法,只要能及早未雨綢繆,就可避免因資安事件所造成的傷害與損失。

2012年1月8日 星期日

[觀點] 解析資訊安全控制措施(十) - 資安事故管理與營運持續

上一次我們談到了ISO 27001中有關資訊系統的安全規格要求,以及在系統開發時,如何導入適當的安全控制來降低系統的安全風險,本期將說明接下來的資安事故管理與營運持續的控制措施。

在資訊安全的世界裡,無法達到所謂百分之百的安全,能夠做到的只有相對的安全,這是組織務必要體認的實際情況,因此,難免會有一些資安事件,像是電腦中毒、駭客入侵、資料損毀等狀況發生。既然無法保證絕對不會發生資安事件,那麼在事件發生時,為了要降低可能的損害,就需要事先建立處理應變的方式,才能將衝擊降到最低,甚至還要進一步擬定營運持續計劃,以便在災害擴大時,仍能保持業務營運的正常水準。