维护资料安全 管控措施要着重

　　由于不管设下多么严密的防御，都只能降低资安风险发生的可能，资料外泄的可能性无法降到零，加上个资法修正后，企业必须承担更大的资料外泄责任。事实上，来自内部人员的资安威胁，其实要远大于外部人员。根据美国CSI/FBI的调查，内部泄密对大企业造成的损失，每年平均为270万美元，而外部攻击平均为5万7千美元，差距近50倍，也显示出内部泄密造成的损害，远大于外部攻击。

　　为了让资料即使外泄，都不会造成企业损失，或承担法律责任，未来有关资料加密的技术，势必将成为资安管理非常重要的环节。如利用目前已广泛用于影片、音乐、游戏、电子书等产品的DRM技术，也可以用于文件控管，让企业信息可以在对的时间，让对的人分享，即使外泄，取得资料的人也无法使用，使用者无论是内部员工、出差、外派人员，或是委外及合作协力厂商，机密文件皆能受到最好的保护。

　　此外，如何确认存取资料的人是谁？如何确保资料在保存或传输中，不被第三者偷窥或窃取？如何确保资料完整、正确、未被窜改？如何确认资料来源，并避免使用者在事后否认曾交换资料？也都是资安管理非常重要的课题。

　　为确保资料安全，企业的基本资安需求包括：身分识别（Authentication）、资料保密性（Confidentiality）、资料完整性（Integrity）与不可否认性（Non-Repudiation），而这些需求，只要透过可提供数码信息传递安全服务，如签章、加密等相关应用的PKI，就能获得满足。

　　此外，帐号与权限管理，以及稽核与日志管理，也都是防止内部泄密的重要管理策略。如帐号与权限管理要按规则做到自动化，人员只要更换部门，帐号权限就会自动改变，以避免特权帐号泛滥。即使是受信任的管理者，也不能长时间使用特权帐号，以免带来资料外泄的风险。

　　而由于风险难以杜绝，企业更要做好稽核与日志管理，才能找出需要修改的地方，让风险发生的可能性降至最低。企业不能只是注意外患，也要做好内部控管的工作，才能满足法规上的要求，并同时防护实时的新型攻击，提升资安意识 有效落实资安管理但资安问题的核心关键，还是在于许多相关单位没有资安意识，如企业高层对于资安的认知不足，法规也落后新进国家太多，以至于企业可以规避责任问题。使用者也必须提高危机意识，建立正确的资安观念，企业必须积极针对员工，进行资安认知教育训练。

　　事实上，虽然大部分的人都了解资料保护的重要性，但还是有很高比率的员工，会将被规范的客户资料及机密性的公司资料带出办公室，而且就在外工作的员工而言，使用方便性的考量远大于资料隐密性。

（编辑：宁德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!