每年一度的全球資訊安全重量級展會RSA Conference 2008剛剛在舊金山落幕,來自世界各地的資訊安全專家及業者齊聚一堂,在論壇會議及展場中發表許多重要趨勢、關鍵技術及創新解決方案,也激盪出資訊安全最新議題的無限火花…
同樣的方式也可以類推到企業政策與資安架構上,公司高層制訂出一些資訊安全規章,的確是可以保障所有的資訊安全,但是這類一以概之的政策規範,往往卻也讓員工沒有靈活調度的彈性。「過多的規範與限制,只會讓企業難以生存,」Arthur如此認為。
以往單以產品防護企業網路的概念已然過去,現在應該要與金融體系的安全概念看齊,從風險管理的角度看待資訊安全建設,不需要去考慮保護所有資料,而是從損失的角度去看哪些資料會影響企業營運,影響的層面多廣,進而決定應該要採取何種解決方式保護這些資料。
過去在採購資訊安全設備時,往往都與採購其他設備一樣,以整體持有成本(Total Cost of Ownership,TCO)或投資報酬率(Return of Investment,ROI),但是這往往造成投資無法估算,最大的原因是因為資安設備或解決方案,並不能替企業創造利潤,除非是以資安服務為營業項目的企業,在公司財務報表上,也不會出現相關的獲利來源,演變成營運上的財務黑洞。
但如果以保障資產的角度來看,今天如果投資一百萬的設備與架構,能夠保障價值上千萬的資料與機密資訊,這樣的評估才能真實反映出資訊安全的價值及重要性。
資料防護以成為未來重頭戲
去年在沸沸揚揚的Web 2.0風潮下帶起了不少關於網頁安全及相關技術的討論,但是隨即出現的問題是因為資料外洩導致的各種事件。
姑且不論陳姓藝人的豔照風波,在國際上其實有許多企業內部機密文件或個人資料遺失,而造成相當程度的損失。這些資料之所以遺失,有絕大部分是因為員工的使用習慣所導致。
這些事件發生的原因,最常見的就是裝載資料的光碟或隨身碟遺失或遭竊,在沒有任何保護的狀況之下,這些設備一旦落入他人手中,就等於是直接將資料送給他人處理,有心人士可以利用這些資料做各種有害企業的事情。
 |
| ▲Symantec總裁John Thompson認為未來的資訊安全架構應該強調以資料及資訊為主,並加強終端的安全性,避免資料外洩造成的危害。 |
Symantec總裁John Thompson便提出應該重新檢視現有資訊安全架構的防護要點,應該要從原本防護各種攻擊手法或漏洞,轉而鎖定資料本體,畢竟能夠傳送資料的方式相當多種,但需要保護的資料只有一項。台灣科技大學管理學院院長吳宗成也認為,有價值的資料才需要保護,而且保護資料可以讓資訊安全問題簡單化。
在不考慮員工便利性的狀態之下,將資料加密且限定存取裝置是最好的方式,但這往往也相當不切實際,且大幅減低了員工的工作彈性。因此最佳的方式應該還是要評估所有資料,並且訂出安全等級係數,進而導入不同的安全防護措施。
RSA北亞區技術顧問黃惠美表示,除了資料重要程度之外,商業流程也是不可忽視的環節,因為資料在傳遞過程當中,不可能僅限定於在內部傳送,有時必須與整體產業供應鏈結合,便會將相關資訊送交合作伙伴,而這時候往往也是資訊安全最脆弱的時候。
因此,除了保障資料本身安全之外,必須還要導入其他方式整合商業流程與供應鏈結構,確保資料在傳遞過程當中都是受到保護,不會遭外人竊取,才是最佳因應之道。
最終目標是端對端信任
 |
| ▲微軟首席研究與策略長Craig Mundie表示,資訊安全上的信任不應該只是單點而已,而是從伺服器到終端設備這條路徑上,所有設備、服務乃至於連線網路,都應該可信任的。 |
微軟首席研究與策略長Craig Mundie便在接下來的講座中,談論有關於資料傳送相關的端對端信任(End-to-End Trust)。這項議題也已經討論數年之久,但實際可行也是近兩年才能夠做到。
雖然微軟本身從Windows Server 2003起,便已經可以藉由伺服器及群組原則的方式,訂定內部網路需要經過身分認證及IPsec加密方能連線,但是對於出了企業門口後的網際網路,卻是難以控管。