近期國內外不斷發生駭客入侵事件,手法日新月異,S級的駭客(由政府資助),為了獲得最新情報,各國政府儼然成為這些駭客攻擊的首要目標。例如台北市政府,柯文哲市長的電腦被駭客入侵,並盜走機密文件,資訊局雖然也下令追查,但因屬於新型駭客手法,無法抓到入侵者,而被盜的機密文件到底有多少?以目前的偵辦進度來看無法估計,政府只能淪為駭客的待宰羔羊。
華鉅科技認為,北市府的駭客並非S級攻擊手法,應是屬A級駭客(由企業資助),如果連這樣的駭客都可以來去自如,國家電子資訊的安全性必須做全面檢討。 暫且不說駭客,日前媒體披露「阿宅撿到BRT公文 台中地檢署查洩密」,這則新聞顯示就連一般民眾在路上都能拿到機密文件,這也說明了,政府部門的內部電子資訊管理辦法,才是第一步該執行並檢討的重點。至於該如何才能做到,華鉅科技提出以下10點建議:
- 專人專辦機制:一個專案產生的任何電子文件,只有相關人員可讀取此區域,專案文件位置任何人都不能知道,當專案完成將回收此區域。
- 專案資料夾權責分明:專案資料夾,應可獨立設置人員或群組權限,讀、寫、刪、重命名、拷貝等權限,甚至必需限制,專案文件不可離開保護區,並以授權專案管理人員管理委派,並非由資訊人員(MIS)掌管。
- 檔案加密:當機敏文件受到加密保護,就不用擔心駭客竊取機密文件,其加密演算法必需符合國際標準。
- 操作日誌:專案區必需記錄每個有權限人員的操作記錄,讀、寫、刪、重命名、拷貝等…。,可詳實記錄有接觸文件的人員行為。
- 專案審核員:機敏文件是否可以解密或攜出必需透過審核員的許可得以放行,當然所有審核過程必需記錄包含文件內容。
- 獨立稽核員:所有日誌記錄必需由獨立稽核員進行審查工作(如政風室人員),並非由資訊人員擔任。
- 列印機敏文件許可:當機敏文件必需列印時,必需留下所有列印記錄包含文件內容,並非只有浮水印。
- 解密行為條件:當解密是為了提供對方文件,進行解密操作人員不能留下此明文文件。
- 外發閱讀保護:非授權人員(外部人員),需要閱讀機敏文件時,可控制文件閱讀時間、次數、內容保護(防拷貝)、截圖…等。
- 攜出編輯保護:授權人員希望將機敏文件攜出,並可達到編輯存檔,必需控制可開啟文件密碼、時間、內容保護(防拷貝)、截圖…等。
華鉅科技開發的「VES虛擬加密系統」,目的在對企業重要的檔案資料進行加密處理,從根本上有效地保護企業的知識產權和商業機密。採用國際領先的多緩衝內核層驅動加密技術,通過電腦底層作業系統實現對電腦本身及週邊存取設備的資料進行嚴格的加解密控制。通過靈活的加密策略的配置、分組和分級許可權控制,可完全達到企業對檔案安全性和管理人性化的雙重要求。
新儲域科技自2015年起代理VES虛擬加密系統,提供專業的整合規劃及技術服務。新儲域科技身為儲存、資安、雲端與IT服務專業廠商,代理提供VES、Arcserve、Barracuda、EMC、ENHANCE、eSTORAGE、Oracle、Quantum、Thecus等儲存及資安設備軟硬體產品。