2008年底的金融海嘯,嚴重打擊了世界各國的經濟發展,也連帶使得台灣的失業人口數,因此一舉而突破了五十萬人,到底哪些企業在這一波海嘯中受害最深呢?從媒體的報導中看來,高科技製造業與金融產業應該佔了排行榜中的前二名,而無薪假的實施,更是這些科技新貴萬萬沒有想到的景況。不過,卻有一則新聞是讓人感到欣慰的,那就是在資訊安全方面,受創很深的金融業並沒有因此而減緩腳步,根據資策會MIC的調查指出,「強化資訊安全能力」仍是2009年金融業最重要的投資項目,而另外三項重點工作,包括「法規遵循需求」,「強化災難備援能力」、「提升風險控管能力」,事實上也都和資訊安全工作息息相關。
資安威脅的趨勢發展
個人認為,今日資訊部門有一項重要的任務,就是要確保企業發展必要的關鍵業務,能夠藉由資訊系統的協助而順暢運作,換句話說,如何去確保資訊系統的可用性,即是資訊安全重要的工作之一。因此,回顧過去的資安趨勢發展,可看出資訊安全已從風險管理的角度,演變成為在資安事件發生時,如何使企業能夠持續營運,這也代表著資訊安全、風險控管與災難備援,已具有密不可分的關係。
舉例來說,以往企業透過了風險管理的過程,即可鑑別出資訊安全方面可能的威脅與弱點,然後就能導入適當的控制措施,以降低所面臨的資安風險。可是,若萬一還是不幸發生了資安事件,那麼需要思考的角度就必須轉換成為如何在災難發生前,事先擬好各項應對的劇本,以便一旦災難真的發生時,就可以照著劇本的步驟來進行緊急應變,確保能夠在最短的時間內,盡快恢復企業的正常營運,並將對業務活動可能造成的營運衝擊傷害降至最低。
根據個人的觀察,病毒、蠕蟲與木馬等惡意程式,仍是讓目前大多數企業感到最為頭痛的資安威脅,尤其當惡意程式開始肆虐的時候,不只將造成企業的生產力降低,同時也讓資訊與網管人員疲於奔命,更嚴重的甚至會導致企業業務停擺,或是造成機敏資訊的外洩,這些都會是企業難以忍受的狀況,也應該列為優先預防及因應的目標。
資料與網站安全仍受關注
在新的一年,除了惡意程式之外,資料安全與網站安全也仍是資安的兩大主要議題。所謂的資料安全包括像是內部非法存取,行動裝置失竊和儲存媒體遺失等;而網站安全則包括網站主機系統強化、應用程式漏洞修補、網頁應用層防火牆部署等相關工作。
所以,針對資料安全我們該如何來因應呢,首先企業要識別的就是有哪些資料是需要受保護的?接著是這些資料究竟存放在哪裡?還有誰是資料的擁有者和使用者?唯有了解資料的所在位置與從屬的對應關係,我們才能進一步決定,應該要選擇何種控管措施。例如針對檔案伺服器,我們可以進行存取權限的審查與控管,而針對儲存資料的媒體如磁帶等,我們可以選擇以加密的方式來進行資料的保護,當它需要運送至異地存放時,也要選擇適當的保全方法。因此,建議大家可先從管理面的角度來出發思考,再根據本身實際的需求考量,就可以幫助我們更容易判斷應該導入哪一種資安控制技術。
除了確保資料安全無虞之外,截至目前為止,每天仍有許多網站不斷受到駭客入侵,當正牌網站被植入了惡意連結之後,同時也轉變成為危害一般民眾的幫兇。較令人憂心的是,對於有些企業或組織來說,網站遭到入侵仍是漠不關心的一件小事,即使得知自家的網站已被成功入侵,管理人員也不願或沒有採取任何的修補措施。因此,一般使用者必須要尋求自保之道,例如像是更新作業系統的修補檔、安裝最新的防毒軟體和病毒碼、安裝反間諜軟體等,這些已是使用者必要的基本配備,而留意已遭入侵的網站資料,避免連上這些已經淪陷的網站,也是降低感染惡意程式的好做法。
但是對於企業而言,資安人員除了協助使用者採行以上這些措施,還有一項技術是可以考慮導入的,那就是建置具備網頁過濾功能的Gateway端設備,此一裝置除了可阻擋內部使用者連線至惡意網址之外,對於釣魚網站的預防和非正當網頁的瀏覽,以及像是即時通訊軟體的傳送檔案管制,都可以收到不錯的管理效用,也能為資料內容安全做了一層更深的把關。
資安工作的重點提醒
以上的觀察與建議,除了提供給資安相關人員作為參考之外,還有幾項重點工作的提醒,也是未來可以規劃及運作的方向,分別說明如下:
- 進行資安解決方案的整合 - 為了確保資料不會遭到外洩,透過資安方案的整合,可以從端點安全開始,即針對重要的使用者電腦進行檔案加密,同時進行週邊設備控管;如果使用者經常需要存取內部的應用系統,可再藉由網路存取控管機制,當電腦一連接到網路,就馬上對它進行身份認證及系統安全掃瞄,在確認使用者電腦所安裝的軟體都已經更新,並且符合所設定資安政策的要求之後,才允許它連上企業內部網路。
- 資安管理仍是一帖良方 - 據了解,政府相關的B級單位,最遲須在2009年底通過ISO27001驗證,因此導入有效的資訊安全管理系統(ISMS),已是刻不容緩的工作。個人建議既然要做,就不可將拿到證書當作唯一目的,應該要抱著加強單位資安的心態來進行,因此在導入範圍的選擇上面,千萬不可避重就輕,仍要以關鍵的營運或服務系統為對象。
- 加強資安專才訓練 - 政府及民間企業的資安人力不足,仍是一項迫切需要改善的問題,根據資策會MIC在「台灣金融業資安投資現況與展望」調查報告中指出,以台灣的金融業為例,平均每一名資安人力,就需要負責221.4台電腦的資安工作,而1000人以上之金融業,每名資安人力更需要負責高達560.4位的員工。在這麼繁重的工作底下,非常需要專業的資安人員,並且要授權讓他們運用適當的工具,才能達到事半功倍的管理功效。
- 注意個資法的動態 - 未來一旦您所處的行業納入了新修正個人資料保護法中的規範,也就表示盡力保護儲存於企業中的個人資料,已是法律要求的必要做法。因此,企業若還是輕忽了個人資料的機密性,而將個人資料輕易地洩露出去,就必須接受法律所規範的罰則制裁,所以建議資安相關人員,請務必以「個人資料保護法」去Google一下,應該可獲得蠻多的資訊,可作為日後因應的參考。
沒有留言:
張貼留言