[觀點] 從照片被竊事件談資料儲存安全

首先，讓我們回顧一下近來一些重大的資料外洩事件，在2007年11月，英國稅務海關總署的員工將存放2500萬筆兒童福利輔助及銀行帳戶資料的光碟片，透過郵寄方式不小心弄丟，造成數百萬民眾必須向銀行查閱帳戶資料以及更改密碼；繼這個事件之後不久，英國皇家海軍一名軍官，也因為將筆記型電腦放置在停車場的車子裡被竊賊偷走，使得裡面儲存的60萬即將入伍的士兵個人資料不翼而飛；在2008農曆年前後，某香港藝人因為將個人電腦送修，即使事前已將硬碟的資料刪除，但仍然被惡意人士利用資料還原工具將隱私照片復原，再複製出來散佈至網路上，引起了軒然大波，也突顯出敏感資訊究竟該如何儲存以及保護的問題。

對於企業來說，現今筆記型電腦的使用者日益增多，企業員工在所使用的筆記型電腦裡，經常會存放個人工作的電子郵件、客戶和交易資料，以及研究技術等敏感資訊，究竟該如何去保護這些資料儲存時的安全，已形成IT管理人員一個相當頭痛的問題。而除了筆記型電腦中的硬碟之外，還有許多隨身的儲存設備，像是外接式硬碟、USB隨身碟、含記憶卡的手機、PDA，或是像易於攜帶的MP3、數位相機等，都可讓使用者在小小的裝置裡，儲存大量的資料，若是這些資料為個人隱私或是商業機密，只要有易於攜帶的特性，就代表被竊的風險隨之升高，一旦遭到有心人士利用，後果將不堪設想。

凡走過必留下痕跡

根據資安廠商Check Point在2007年12月針對424位台灣企業受訪者，詢問有關企業建置資料安全解決方案的調查指出，有57%的企業已經意識到行動裝置可能帶來的資料外洩風險，也已制定了保護行動裝置內容的政策，但其中會使用資料加密方案的企業卻只佔51%，顯示出企業雖然具有行動資料安全風險意識，但是在落實資料保護與儲存安全方面，仍有相當大的改善空間。

因此，如果您是企業的行動工作者，請思考以下問題：

• 請問您是否會在Notebook/隨身碟存放重要商業資訊，例如產品報價成本、客戶機密資料、研發技術資料，以及個人隱私如帳號密碼、信用資料等？
• 如果您的Notebook/隨身碟遺失或被偷了，裡面所含的資料有良好的保護嗎？
• 當個人電腦需要送修或報廢時，您硬碟裡面的資料該如何處理？
• 將舊手機送給朋友或上網拍賣時，您確認個人資料已經刪除乾淨了嗎？
• 您是否以為曾經儲存的資料或照片，只要把它刪除就安全了？

以上這些問題，若在您心中沒有很肯定的答案，那麼您應該小心謹慎手邊所儲存的重要資訊，並且尋求企業內部IT或安全人員的協助，因為事實上，一般電腦作業系統像是Windows在刪除資料之後，即使一併把資源回收桶也清空了，資料並不會就此消失，作業系統只是在硬碟的檔案表中做了註記，讓您以為這塊空間已經清除，可以再存入新的資料了，但卻必須要等到下一次有其他資料要儲存時，覆寫了這一塊硬碟儲存空間，您的原始資料才會被覆蓋過去，而難以被還原回來。

所以，就算一些敏感資訊您已經事先就將它刪除了，但是在資料尚未被重複覆寫、也沒有被完全銷毀之前，如果有惡意人士以任何方式獲取了您的硬碟、隨身碟或是記憶卡，只要利用一些檔案還原工具，就可以輕易地把您已經刪除的資料再次復原回來，個人隱私或商業資訊仍很可能就會被竊取盜用。

將小口袋裡的大倉庫上鎖

對於企業IT管理人員而言，究竟該如何讓使用者具有資訊安全的認知，並且進一步去預防資料的外洩？ 到底有什麼好方法，可以保護企業或個人的敏感資料不會外洩呢？以下幾點建議可作為管理人員的參考：

• 資安教育訓練 - 企業內部可透過員工教育訓練來宣導，讓使用者了解應該盡量避免在會攜出的筆記型電腦，或是隨身儲存設備中存放企業機密資訊，如果必須要存放的話，務必自行採取一些防範措施，例如針對office等檔案，最簡單的方法是設定密碼才能開啟，但最好的方式則是透過加密工具將檔案加密。

• 加強存取控制 - 管理人員應依據「Need to know」原則，為使用者設定適當的資料存取權限，以避免非業務及非財務相關人員接觸到機密資訊，進而有機會將它攜出外洩。

• 部署安全方案 - 企業可導入完善的資料保護方案，透過完整的「全硬碟加密技術」，針對筆記型電腦的硬碟和隨身儲存媒體進行加密，即使電腦遺失之後，惡意人士欲將資料轉存到其他地方，仍然無法通過身份認證機制，也無法打開瀏覽您的檔案。

另外，若員工的電腦需要送修時，記得一定要先將硬碟取出，以避免憾事發生，而企業內部曾存放過機密資訊的儲存媒體，若需要進行報廢處理時，則建議最好將硬碟進行實體破壞，或採取低階格式化，將硬碟資料重覆複寫七次以上，以避免曾經存在的機密資料再度復活。

參考資安法規的要求

國際上有許多法規，對於資料儲存都有一定的保護要求，以資訊安全管理系統標準ISO 27001為例，針對設備安全，在控制措施的條款A9.2.4裡即提到，若資訊設備需要進行定期排程維護時，必須實施適當的控制措施，並且考量由現場人員或是委外廠商來處理，在必要時，設備上的敏感資訊要把它清除，並且充份清查維護人員的身份，以防假冒事件發生；在條款A9.2.5則要求，內含重要、敏感和重要營運資訊的設備，必須要有專人看管，並且採取上鎖等保護措施。

至於有關設備的安全報廢與再使用，在條款A9.2.6裡提到，針對含有儲存媒體的設備，在進行汰換或報廢時，必須將含有敏感資訊的設備加以實體銷毀，或以無法被重新復原的技術將設備予以刪除覆寫，確保資訊已徹底清除。

最後，提醒IT人員務必謹記在心，只要是曾經存放過的敏感資訊的儲存媒體，在處理時都必須要確認、再確認才行。(本文刊載於2008年4月號網管人雜誌)

[觀點] 從購物詐騙事件談網站安全防護

最近，知名的電視購物與網路書店業者因資料外洩，遭到詐騙集團利用這些客戶資料與購物記錄來矇騙消費者，謊稱因不小心設定為每月扣款，要求消費者必須至ATM 提款機操作更改，在過程中伺機引導消費者轉帳至詐騙帳戶，造成許多消費者的金錢損失。

而另一家購物網站，則是遭到歹徒不斷地利用測試帳號和密碼的方式，企圖冒充購物網站會員的身份登入，這種手法有別於以往常用一些駭客工具來破解帳號密碼，而是先去入侵其他網站，在取得網站會員的個人資料之後，再採用人工的方式，到其他網站來逐次逐筆的輸入，如果該會員使用相同的密碼，很容易就會被入侵成功。

狡詐多端的資料拼圖手法

根據刑事局的研判，購物業者的資料會外洩，很可能是因為網站資料庫遭到駭客入侵，或是內部人員擅自將客戶購物資料外洩所造成。一般而言資料庫會遭到入侵，通常是資料庫本身存在著安全漏洞，例如主機未安裝系統修補檔、存取權限設定不當，或是存取資料庫的應用程式，有撰寫語法上的問題，使得駭客可以輸入惡意指令來獲得資料表中的內容。

若資料是經由企業內部人員攜出外洩，也顯示業者沒有針對客戶資料進行妥善保護，對於會接觸到客戶資料的相關人員，並未管制儲存設備如隨身碟的使用，更沒有進一步監控其透過網路傳輸的內容。當然其中最重要的一點，就是企業缺少了一個資訊安全政策，無法透過它來宣導並告知相關人員，維護資訊安全的重要性，以及違反資安規定的後果。

行政院研考會的調查則指出，目前已有近五成的網路族會使用電腦上網購物，如果因為網站業者沒有做好資訊安全防護工作，使得會員的資料外洩，導致它被用來進行電話詐騙，或是作為猜測其他購物網站的登入密碼，將會造成一連串犯罪的連鎖效應。

就像此次利用購物資料的詐騙行為，讓我們見識到利用虛擬世界(網路)登錄的資料，再結合實體世界(電話)的詐騙手法，已成為一種新興的犯罪手段，這種新的入侵手法，也被稱之為「資料拼圖」，它利用別處獲得的身份證字號(帳號)來搭配密碼組合，使得破解成功率大為提高，更可避免因為猜測次數過多，而遭到系統鎖定停用帳號，所以一旦順利猜中並登入系統之後，就可獲得此一網站已註冊的會員資料，最後再利用它來進行電話詐騙。

資料安全最佳實務─PCI-DSS

對網站業者而言，資料外洩除了造成客戶財物損失之外，更會對網站的聲譽造成重大的打擊，一旦消費者對於購物網站失去信心，拒絕在購物網站消費，那麼業者未來的損失更是難以估計。到底業者該如何防護網站的安全，除了諮詢資安專家的建議之外，由American Express、Discover Financial Services、JCB、Master Card Worldwide、Visa International等五家知名的信用卡業者共同組織的PCI Security Standards Council，所制定的「支付卡行業資料安全標準(PCI Data Security Standard；PCI-DSS)」，也可以作為電子商務業者加強資料安全的實務參考。

雖然，PCI-DSS標準主要是用來保護信用卡持卡人的資料，但其目的就是為了要保護個人敏感資訊，以確保電子商務的交易安全。因此，對於提供線上交易的業者而言，主動落實PCI-DSS中所明訂的各項要求，將可有效保護網站交易的各項資料。目前在PCI-DSS標準中，主要分為6大類及12項基本要求，簡要說明如下：

(一) 建立並維護一個安全的網路
　　 要求1：安裝並維護良好的防火牆配置，以保護持卡人的資料
　　 要求2：不使用設備出廠的預設值，例如管理密碼和其他安全參數

(二) 保護持卡人資料
　　 要求3：必須妥善保護持卡人的資料
　　 要求4：透過公共網路所傳送的持卡人敏感資料，必須加密

(三) 維護一個弱點管理系統
　　 要求5：安裝防毒軟體，並經常更新程式和病毒碼
　　 要求6：發展及維護安全的系統和應用程式

(四) 實施強而有力的安全存取控制措施
　　 要求7：依據業務需求，限制對於持卡人資料的存取
　　 要求8：對於進行資訊存取的個人，只賦予一個唯一識別碼
　　 要求9：限制持卡人資料的實體存取

(五) 定期監控並測試網路
　　 要求10：追蹤並監控存取各項網路資源和持卡人資料的過程
　　 要求11：定期測試系統安全與流程

(六) 維持一個資訊安全政策
　　 要求12：實施並維護一個資訊安全政策

網站與資料安全管理建議

企業除了參考PCI-DSS標準的要求，來加強各項網站與資料安全措施之外，在資訊安全管理方面，個人建議可以先從以下三方面來著手：

• 系統(System) - 基本的網路系統防護，像是建置防火牆、入侵偵測系統等是一定要的，並且要定期針對系統進行測試掃瞄，以確認已知的系統弱點都已修補完成；而針對重要的應用程式，可考慮採取原始碼檢視(Code review)的方式，來檢查程式碼是否存在撰寫漏洞。另外，流量大且交易多的網站，還可以建置一道網路應用層防火牆，透過第七層的深入檢查，來確保惡意人士無法使用組合指令或參數攻擊手法，利用系統可能的漏洞來竊取資料。

• 資料(Data) - 電子商務網站務必使用SSL的安全傳輸協定，可以確保資料在傳輸的過程中不會被竊聽，而針對敏感的個人與交易資料，無論儲存或傳輸，也必須採取適當的加密方式，以防止資料外洩。

• 人員(People) - 企業必須確保只有通過合法身份驗證的人才可使用網路，一旦發現非法者就加以隔離處置，以避免其伺機存取內部網路資源。最好的做法就是根據業務的需要(Need to know)，來限制人員對於客戶敏感資料的存取，換句話說，其他不相干的人，根本就不該讓他有機會接觸到客戶的敏感資料。

定期稽核找出安全漏洞

對於網站業者來說，一旦發現資料可能外洩時，就應該在第一時間內通知消費者，並且進行緊急處置工作，例如要求使用者盡快變更網站登入密碼，並且小心提防可疑的詐騙電話，以避免事件如滾雪球般愈滾愈大，進而造成更大的損失。另外，業者平時也要記得在網站上宣導，提醒消費者避免在許多網站使用同樣的帳號密碼，同時不要使用懶人密碼，這也會是一種最簡單有效的自保方式。

當然，除了導入適當的技術來協助之外，企業務必要定期進行安全稽核工作，從管理面來著手，以確保可能的系統漏洞都已經修補，並且合乎企業的資訊安全政策要求。另外，對於資料本身還要設定完整的追蹤監控機制，以了解到底是誰(Who)曾經存取過哪些(What)資料，作為日後可追查的證據之一。

最後，管理人員還需要去審查整個資料處理的流程，是否存在著商業上的邏輯漏洞，因為這種不牽涉到技術手法的入侵方式，往往更令人難以防範。(本文刊載於2008年3月號網管人雜誌)

[觀點] 從訊號盜用事件談無線網路管理

無線網路近年來掀起了一陣風潮，無論是在機場、旅館、咖啡店或是捷運站，只要使用具備無線上網功能的行動裝置，到處都可以連結無線基地台而輕鬆上網。無線網路的特色，就是利用空中的無線電波來傳遞電子訊號，只要透過無線網路卡來接收及傳送訊號，就可以進行資訊交換的工作，但也因為它看不見摸不著，所以潛藏了一些資訊安全問題，值得我們去注意。

根據無線網路安全廠商AirDefense最近針對美國各大都會區超過3,000家商店的調查指出，有超過2,500 個行動裝置像是筆記型電腦、PDA和條碼掃瞄器被這些店家用來連結無線網路，但其中有85%都存在著資料外洩或是被竊取的風險；此外，在調查中所發現的4,748個無線基地台中，有550個所設定的SSID連線識別名稱都太過簡單，很容易就會被猜中，而且有25%的基地台根本沒有採用加密措施，因此，透過這些漏洞，有心人士就能藉由收集無線基地台所溢出的訊號，伺機來進行非法的行為。

不可不知的無線安全問題

美國零售業者TJX公司，從2005年7月開始，至少有一年半的時間，由於無線網路遭到駭客入侵，惡意人士可自由地進入TJX的資料庫，偷偷盜取客戶的資料，造成至少4,500萬筆以上的客戶信用卡資料外洩，使銀行也蒙受了巨大的損失。同樣在國內，也曾發生歹徒使用自製的無線網路訊號捕捉天線，截取週圍未經加密的無線訊號，利用無線基地台的「無線溢波」來連上網路銀行，再以「懶人密碼」的方式猜測別人的帳號與密碼，在順利登入帳戶之後，就將別人的存款轉走，或是竊取其個人資料來盜刷信用卡。

為了因應容易忽略的無線網路安全問題，網管人員必須熟悉各項威脅才能加以反制，目前常見的無線網路攻擊手法，說明如下：

• 封包竊聽─在無線網路的訊號範圍內，只要利用一些監聽工具，就可以從空中截取無線網路的封包，如果這個無線基地台未啟用加密機制的話，包括SSID、使用者IP位址和傳送的內容，都會曝露在惡意駭客的手中。

• 偽冒攻擊─只要駭客得知所在位置的SSID連線識別名稱，就可以冒用這個SSID來架設偽冒的基地台，引誘不知情的使用者連線，再竊取使用者所輸入的連線帳號與密碼。另外，駭客也可以假冒無線網路卡的MAC位址，藉由修改網卡的MAC位址，騙過系統認證而成為合法使用者。

• 阻斷攻擊─駭客可以對無線基地台發出大量的封包，造成系統無法回應其他使用者的連線要求，使得服務停擺；另外，駭客也可以攻擊特定的使用者，發送反認證封包，使無線網路連線中斷。

• 攔截攻擊─駭客會結合偽冒攻擊與阻斷攻擊手法，同時與無線基地台和使用者連線，成為無線網路的中間人，在基地台和使用者都未察覺的情況下，所有傳輸的資料都會經由中間人來轉送，也就表示所傳輸的資料都會被這個惡意的中間人完全掌握。

如何保護無線網路安全

企業要保護無線網路安全的目的，就是為了確保透過無線網路所傳輸資料的機密性、完整性與可用性，不會輕易遭到惡意人士竊取利用，而導致企業的重大損失，因此，建議企業可以同時從技術面與管理面來著手，思考該如何加強無線網路的資訊安全。

從技術面來看，網管人員必須要記得修改無線基地台出廠預設的帳號和密碼，也要記得關閉SSID的廣播功能，並且定期更改SSID名稱，以避免被人輕易得知。如果是提供企業內部使用的無線網路，務必要啟用加密功能，以確保傳輸資料的安全，由於早期WEP的加密方式很容易就會被駭客破解，因此建議採用最新的WPA2來加密，可大幅增加安全性。

另外，在認證方式方面，採取帳號密碼或是802.1x的驗證方式是絕對必要的，如果在使用人數不多的情況下，還可以鎖定只有合法無線網路卡的MAC位址才能使用無線網路，多重防護就多一層保障。如果企業需要開放給訪客使用無線網路，可採取切割VLAN的方式將公用和內部網段做區隔，以避免不必要的網路攻擊或病毒感染事件發生，至於無線基地台位置的擺放，也需要經過事先妥善的站台調查規劃，以避免無線溢波的範圍擴大。

企業如果想要有效防禦各種針對無線網路的攻擊，還可進一步部署無線網路入侵防禦系統(WIPS)，藉由無線感測器即時的訊號偵測，來阻斷非法無線設備的架設與連線，並且也能保有各項監控記錄，可有效防範惡意駭客的入侵。至於從管理面而言，企業在開放使用無線網路之前，必須制訂無線網路使用政策，也要評估可能面臨的風險有哪些，建議從以下幾個角度來思考：

• 人員─無線網路使用者一定要經過身份驗證，對於內部員工需採取嚴格認證管控，而外來訪客也必須要登記之後，才允許使用無線網路。

• 設備─應明文禁止員工架設私用的無線基地台，尤其是敏感地區更要禁止攜入具無線上網功能的裝置，管理人員也絕不使用預設或固定的管理帳號密碼。

• 時間─限制可使用無線網路的時間，例如下班後即將無線基地台關閉。

• 位置─妥善規劃可供無線上網的地點，盡量避免辦公室死角及暗處可接收到無線網路訊號。

• 記錄─定期針對所有無線設備進行清查，稽核是否符合安全政策，並且監控與記錄是否有惡意攻擊行為發生。

不使用無線網路也要小心

或許有人會說，既然無線網路聽起來不太安全，那乾脆不要使用就好了。其實我們大可不必這樣因噎廢食，因為不管使用有線或無線網路，都不可能有百分之百的安全，其重點在於我們是否有事先做好降低風險的工作，即可防範危害資安的事件發生。

最後，還有一個觀念要分享給大家，那就是並非只有開放使用無線網路的公司需要管理，事實上，沒有使用無線網路的公司更要小心注意，因為現在的無線基地台愈做愈小，甚至具有無線網路卡的筆記型電腦也可透過軟體模擬成為無線基地台，只要有心人士偷偷將這些裝置和企業內網連結，這些平常人不會注意的小地方，往往就是企業資料外洩的大漏洞。(本文已刊載於2008年2月號網管人雜誌)

[觀點] 從離職竊密事件談員工資安管理

對企業來說，重要的資產通常可以分為兩種，一種是我們熟知的有形資產，例如廠房、機房、辦公家具、IT設備等，另一種則是無形的資產，包括了智慧財產、客戶資料庫和研發經驗等。不過，隨著企業逐漸的e化，有一種足以影響企業生存的「資訊資產」更需要去重視，因為資訊資產橫跨了有形與無形，只要任何對企業具有價值，並且和資訊有關的事物，就必須要和可見的資產一樣，能夠確保它的安全。

因此，為了要維護資訊資產的安全，企業可以建立實施資訊安全管理系統(ISMS)來協助，而在保護資訊資產過程之中，又以「人」最為重要，因為企業的經營發展，可能都維繫在每一位員工身上，所以，無論是管理階層或作業人員，都要具備資訊安全的意識與認知，才能讓企業長治久安，達到永續經營的目標。

為何要重視員工資安管理

企業若忽略了員工資安管理，究竟會造成什麼樣的後果，我們來看看以下這些真實案例：

• 某影像圖庫公司的員工離職之後，因原任公司並未凍結或刪除其email帳號，使其仍可進入前公司的信箱讀取商務往來之郵件，導致前公司的業務遭受損失。
• 某手機週邊研發公司兩名離職的創業員工，共謀偷偷侵入該公司高階主管的電子郵件，竊取仍在研發中的相關機密檔案，並且唆使仍在職之妻子，利用職務之便協助盜取公務資料，所得的機密資料價值估計達一億兩千萬元。
• 某電信業者員工將客戶資料盜賣給不法集團，竟被拿來作為電話詐騙之用，造成無辜民眾受騙上當。
• 某教育單位員工將所承辦之業務機密資料帶回家處理，因個人電腦中含惡意程式，造成200名軍訓教官個人資料外洩。
• 某國防單位採購中心，因廠商招待相關負責人員喝花酒，竟私自將招標工程文件外流販售，使重要軍事設施資料外洩。
• 某電視購物業者疑內部員工將客戶資料外洩，導致詐騙集團利用此一資料對會員進行詐騙。

根據IDC的資安調查指出，內部員工控管已經逐漸受到企業高層的重視，因為許多企業在網路安全上花費了巨資，對外建立起一道堅固的安全防線，以防止惡意駭客入侵來竊取商業資料，但卻萬萬沒有想到，竟會有內部的不肖員工，利用職務之便來取得機密資訊，進而兜售謀利，正好也應驗了「內賊難防」這一句話。

目前經由員工洩密的管道很多，像是電子郵件、即時通訊、隨身碟、網路P2P分享軟體等，在技術面方面，可透過權限控管、稽核側錄、內容管制、文件加密、上網行為管理等方式來處理。但是，許多時候員工其實是具有合法權限的，所以其不當行為往往具有更高的風險，此時就必須從管理面來著手，透過相關資安政策的制定以及教育訓練，讓員工了解資訊安全的重要性，也避免員工誤觸法網。

員工資安管理的注意事項

在財務方面，「管錢的不管帳」是避免個人舞弊的重要原則，對於資安方面也是很好的參考，要使責任分散以避免各項權限都集中在一人身上。另外，系統或網路管理人員在設定對於資訊的存取權限時，請務必遵循最小權限原則(Least Privilege)，讓員工不會接觸到不符合其職等權限的資訊，以避免資訊外洩的可能。

至於人員招募與離職的問題，這部份或許跟IT人員比較無關，但是有許多的作業流程像是員工任用與離職都已Web化，因此也需要IT主管和HR人事單位來相互配合，關於這方面的注意事項，說明如下：

• 人員招募時的注意事項 - 若是職務涉及資訊安全或是敏感性的工作，應盡可能地去了解該人員的背景，例如詢問曾任職公司的HR部門或單位主管，也要確認該人員所提供的資料，像是離職證明與學歷資料是否屬實。

• 成為員工後的安全教育 - 員工被正式錄用後，依員工的職務等級，要進行相關的資安教育訓練，使員工明瞭公司的資安政策，並進行相關資安法令的宣導。正式員工須簽署同意遵守公司相關政策的規定，如網路、郵件、電話使用規範等，必要時還須簽署保密協定(NDA)，同意即使在離職之後，不可對外洩露職務上所獲悉的商業機密。另外，員工若從較低職等升遷至較高職等時，需要HR部門進行人員的背景審核，並且告知該職等所需遵守的資安規範。

• 離職人員處理的安全步驟 - 從離職生效日開始，IT管理人員須將員工的帳號與資訊資產(如筆記型電腦)暫時凍結停用，待確認所有檔案權限都順利移轉之後，即將該員工帳號和權限刪除。在員工離職當天，要收回各項實體設施的存取權限，像是職別證、門禁卡、Token、文件櫃鑰匙等，也要公告離職員工名單，尤其務必告知櫃檯接待人員該員工已經離職，如果是善意離職的員工，應由主管陪同離開原辦公處所，若是不太友善或是遭到革職的員工，則建議由警衛人員護送離開。

還有，適時的進行職務輪調或讓員工休假也是一項好辦法，一方面可以檢視相關的工作是否有職務代理人可接手進行，一方面也可以了解工作是否隱含了個人作業疏失，所以在員工休假時，可暫時將其帳號停用，觀察是否有除了職務代理人之外，其他不正常的存取情況發生。

讓資安意識成為企業文化的一環

人是企業最重要的資產，企業的基本態度應是相信每一位所招募的員工，但是從資安的角度而言，凡事預防勝於治療，為了維護資訊安全，持續的員工教育訓練與資安政策的要求，是確保員工不會誤觸法網或導致資料外洩的好辦法。

除了教育員工務必遵守公司的相關政策規定之外，在資安教育訓練過程中，要讓員工了解目前常見的作業疏失、環境威脅和惡意的資安事件有哪些，另外也要使員工明白事故回報的重要性與管道，以及懂得小心防範利用「社交工程」的偽裝詐騙手法。

所以，管理人員千萬切記，要確保資訊資產的安全，最重要的關鍵還是在於人的身上，因為無論採用多麼安全的設備與技術，只要忽視了人員的管理，員工缺少了資安意識，一切都是白費功夫，也會讓資安防護變得不堪一擊。(本文刊載於2008年1月號網管人雜誌)

[簡報] 從資料外洩談DLP解決方案

雖然大環境仍處於不景氣的狀態，但資安工作卻是疏忽不得。根據資安廠商的預測，2009年防治資料外洩的產品，仍是企業規劃導入的重點項目之一。

在資料外洩方案中，最熱門的就是DLP相關產品，它在2008年時各家廠商就已經推出，但由於架構過於龐大複雜，部署起來並不是那麼的容易，因此事前的評估與規劃就顯得更為重要。

以下簡報內容，將協助你快速了解DLP的幾項特點，以及導入時的注意事項。

Data security from jackforsec