回顧過去,展望未來 2009年資安工作重點提醒

2009-01-05
面對全球不景氣的年代,隨著新的一年開始,究竟資安工作該如何加以落實與推動,將是一個值得重新思考的問題,尤其是在缺錢又缺人的情況下,企業該如何維持資訊安全的水準,同時達到預先設定的目標,本文所提出的建議可作為參考。
2008年底的金融海嘯,嚴重打擊了世界各國的經濟發展,也連帶使得台灣的失業人口數,因而一舉突破了五十萬人,最近有許多朋友在見面時問候的第一句話,更從「貴公司今年業績好嗎?」演變成為「貴公司裁了多少人?」,面對景氣嚴寒一波又一波的襲來,原本就不太受到高層重視的資安工作,究竟該怎麼辦才好?相信這是許多資安人員心中一個很大的問號。  

到底哪些企業在這一波海嘯中受害最深呢?從媒體的報導中看來,高科技製造業與金融產業應該佔了排行榜中的前二名,而無薪假的實施,更是這些科技新貴萬萬沒有想到的景況。不過,卻有一則新聞是讓人感到欣慰的,那就是在資訊安全方面,受創很深的金融業並沒有因此而減緩腳步,根據資策會MIC最新的調查指出,「強化資訊安全能力」仍是2009年金融業最重要的投資項目,而另外三項重點工作,包括「法規遵循需求」、「強化災難備援能力」、「提升風險控管能力」,事實上也都和資訊安全工作息息相關。  

資安趨勢的觀察發展  

個人認為,今日資訊部門有一項重要的任務,就是要確保企業發展必要的關鍵業務,能夠藉由資訊系統的協助而順暢運作,換句話說,如何確保資訊系統的可用性,即是資訊安全重要的工作之一。因此,回顧過去的資安趨勢發展,可看出資訊安全已從風險管理的角度,演變成為在資安事件發生時,如何使企業能夠持續營運,這也代表著資訊安全、風險控管與災難備援,已具有密不可分的關係。 舉例來說,以往企業透過了風險管理的過程,即可鑑別出資訊安全方面可能的威脅與弱點,然後就能導入適當的控制措施,以降低所面臨的資安風險。可是,若萬一還是不幸發生了資安事件,那麼需要思考的角度就必須轉換成為如何在災難發生前,事先擬好各項應對的劇本,以便一旦災難真的發生時,就可以照著劇本的步驟來進行緊急應變,確保能夠在最短的時間內,盡快恢復企業的正常營運,並將對業務活動可能造成的營運衝擊傷害降至最低。  

根據個人的觀察,病毒、蠕蟲與木馬等惡意程式,仍是讓目前大多數企業感到最為頭痛的資安威脅,尤其當惡意程式開始肆虐的時候,不只將造成企業的生產力降低,同時也讓資訊與網管人員疲於奔命,更嚴重的甚至會導致企業業務停擺,或是造成機敏資訊的外洩,這些都會是企業難以忍受的狀況,也應該列為優先預防及因應的目標。  

資料與網站安全仍受關注  

在新的一年,除了惡意程式之外,資料安全與網站安全也仍是資安的兩大主要議題。所謂的資料安全包括像是內部非法存取、行動裝置失竊和儲存媒體遺失等;而網站安全則包括網站主機系統強化、應用程式漏洞修補、網頁應用層防火牆部署等相關工作。  

所以,針對資料安全我們該如何來因應呢,首先企業要識別的就是有哪些資料是需要受保護的?接著是這些資料究竟存放在哪裡?還有誰是資料的擁有者和使用者?唯有了解資料的所在位置與從屬的對應關係,我們才能進一步決定,應該要選擇何種控管措施。例如針對檔案伺服器,可以進行存取權限的審查與控管,而針對儲存資料的媒體如磁帶等,則可以選擇以加密的方式來進行資料的保護,當它需要運送至異地存放時,也要選擇適當的保全方法。因此,建議大家可先從管理面的角度來出發思考,再根據本身實際的需求考量,就可以幫助我們更容易判斷應該導入哪一種資安控制技術。  

除了確保資料安全無虞之外,截至目前為止,每天仍有許多網站不斷受到駭客入侵,當正牌網站被植入了惡意連結之後,同時也轉變成為危害一般民眾的幫兇。較令人憂心的是,對於有些企業或組織來說,網站遭到入侵仍是漠不關心的一件小事,即使得知自家的網站已被成功入侵,管理人員也不願或沒有採取任何的修補措施。因此,一般使用者必須要尋求自保之道,例如像是更新作業系統的修補檔、安裝最新的防毒軟體和病毒碼、安裝反間諜軟體等,這些已是使用者必要的基本配備,而留意已遭入侵的網站資料,避免連上這些已經淪陷的網站,也是降低感染惡意程式的好做法。  

但是對於企業而言,資安人員除了協助使用者採行以上這些措施,還有一項技術是可以考慮導入的,那就是建置具備網頁過濾功能的Gateway端設備,此一裝置除了可阻擋內部使用者連線至惡意網址之外,對於釣魚網站的預防和非正當網頁的瀏覽,以及像是即時通訊軟體的傳送檔案管制,都可以收到不錯的管理效用,也能為資料內容安全做了一層更深的把關。

資安工作的重點提醒  

以上的觀察與建議,除了提供給資安相關人員作為參考之外,還有幾項重點工作的提醒,也是未來可以規劃及運作的方向,分別說明如下:

1. 進行資安解決方案的整合
  為了確保資料不會遭到外洩,透過資安方案的整合,可以從端點安全開始,即針對重要的使用者電腦進行檔案加密,同時進行週邊設備控管;如果使用者經常需要存取內部的應用系統,可再藉由網路存取控管機制,當電腦一連接到網路,就馬上對它進行身份認證及系統安全掃描,在確認使用者電腦所安裝的軟體都已經更新,並且符合所設定資安政策的要求之後,才允許它連上企業內部網路。
2. 資安管理仍是一帖良方
  為了確保資料不會遭到外洩,透過資安方案的整合,可以從端點安全開始,即針對重要的使用者電腦進行檔案加密,同時進行週邊設備控管;如果使用者經常需要存取內部的應用系統,可再藉由網路存取控管機制,當電腦一連接到網路,就馬上對它進行身份認證及系統安全掃描,在確認使用者電腦所安裝的軟體都已經更新,並且符合所設定資安政策的要求之後,才允許它連上企業內部網路。
3. 加強資安專才訓練
  政府及民間企業的資安人力不足,仍是一項迫切需要改善的問題,根據資策會MIC在「台灣金融業資安投資現況與展望」調查報告中指出,以台灣的金融業為例,平均每一名資安人力,就需要負責221.4台電腦的資安工作,而1000人以上之金融業,每名資安人力更需要負責高達560.4位的員工。在這麼繁重的工作底下,非常需要專業的資安人員,並且要授權讓他們運用適當的工具,才能達到事半功倍的管理功效。
4. 注意個資法的動態
  未來,一旦所處的行業納入了新修正個人資料保護法中的規範,也就表示盡力保護儲存於企業中的個人資料,已是法律要求的必要做法。因此,企業若還是輕忽了個人資料的機密性,而將個人資料輕易地洩露出去,就必須接受法律所規範的罰則制裁,所以建議資安相關人員務必以「個人資料保護法」去Google一下,應該可獲得蠻多的資訊,可作為日後因應的參考。

寒冷冬天總是會過去  

隨著大環境的景氣不佳,許多企業單位皆進行組織整併或人事凍結,原來事多人少的資安工作,在此時此刻更顯得雪上加霜,但資安工作是一個持續性的過程,即使在目前景氣不佳的時候,其實也正是可以進行內部反省與檢討的時刻。因為既然花錢的事不太好說服老闆進行,但是檢討資安政策、落實資安規範、進行員工資安教育訓練,卻正是最好的運作時機,而所有資安工作的推動,仍有賴於所有相關人員的共同努力,就讓我們彼此互相打氣加油吧!


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!