固守公司智慧資產 降低資料外洩風險
新型態資安風險已經來臨,要如何固守公司智慧資產,已經成為企業必須重視的議題。有鑑於此,精品科技資安顧問兼資安部經理陳伯榆先生,發表他們的看法。從傳統到創新應用、人員流動的資安保護、常用IT管理策略如何搭配DLP、檔案使用權限、雲端的衝擊與應變等面向來說明。
他認為,當今的企業應該跳脫傳統IT思維,提升到整體企業經營戰略的層次。將企業分成內外部的對策及管理,來進行規劃設計。
以企業營運的四大核心價值:商標、著作權、專利(顯性獲利)、營業秘密(隱性獲利)來看,其中的專利和營業秘密(包含生產、銷售、經營等資訊與方法?技術?製程?配方?程式?設計等Know-how)部分,則要先了解法制的保護規定,才能延伸實務的技術防護,再深入探討營業秘密問題與保護。例如營業秘密法第二條中第3個符合要件「所有人已採取合理之保密措施者」。因此當有衝突時,此將成為訴訟時重要的舉證來源,以確保公司營運不受影響。
做好資料保密分級 杜絕資料外洩疑慮
陳先生指出,當今導致企業資料遺失?外洩的前五大因素,包括:駭客入侵、電腦失竊、詐騙行為、Web應用系統、檔案銷毀問題。因此企業的應變措施,必須:掌握營業秘密所在、分析資料之類型、資料分級設計、設計保護措施、建立稽核追蹤循環作業。
IT人員可以把「管理制度」整合「技術防護」,來保護營業秘密。前者透過管理制度,從人員到職(簽署保密?就職?競業禁止等條款)、人員在職(提醒保密義務?管制?著作權歸屬?技資專利申請)、人員離職(重申保密範圍?簽切結書?重申競業禁止)到他公司就職(高階主管應變與知會新雇主)的員工流動週期,來防止員工資料外洩。
而後者透過技術防護設計,從人員到職(權限政策?定期追蹤?分層負責)、人員在職(檔案流通管理?資料加解密申請?稽核追蹤)、人員離職(管制資料保護?分析軌跡資料)到他公司就職(保存軌跡紀錄,避免問題衍生)等方式來防堵員工將資料帶走。因此,整合兩者來設計公司智慧保護措施,便能做好資料安全保護。
由於行動化、雲端化,創造出新興的資訊服務,各類雲端儲存服務因應而生,資料外洩疑慮也跟著出現,使得各種資安防護架構被開發出來。該公司所提供X-FORT電子資料監控與X-DoRM電子文件控管的技術,能夠確保資料和文件在公司網路流動的過程中,能夠受到主管人員嚴密的監控與管制。
全面的安全的管理設計 保護企業智慧資產
在電腦使用權限部分,設計成外接儲存裝置、光碟寫出檔案時,能具備主管審核管理;亦讓裝置能夠禁用、唯讀、寫出的加密檔案用密碼管控、可否燒錄光碟、留存紀錄以便稽核等多種模式;列印紙本也可具備浮水印、特定檔名列印管控、列印文件備份存查等功能;在硬碟防護部分,可防止硬碟被帶走,或以USB開機、硬碟串接方式來存取資料;至於操作紀錄,能夠追蹤各種檔案的新增、複製、刪除、更名,以及紀錄剪貼簿的文字內容,以確保機密資料的嚴密監控,不會流到別人的口袋裡。
在網路安全部分,能夠透過傳輸管控、防火牆、網路芳鄰、網頁管控、網頁文字紀錄、郵件管控等方式,來保障公司資料不會流到外界,而外部文件的流入,與委外文件的流出,也能獲得掌控與追蹤,以避免企業機密外洩。
至於在軟體安全部分,亦可透過軟體安控、文件防駭、遠端管理等技術,來保障電腦使用過程中不會有非法存取。最後在稽核紀錄警示與分析部分,能夠透過多種紀錄與報表,來追蹤各種企業資安趨勢。
最後,在企業組織常見ISO27001 2013版中,亦有許多控制項與資安制度有關,例如A6資安組織、A7人力資源安全、A10密碼學、A15供應商關係、A18符合性等等,皆有明定資安各環節之控制規範,可更有效益去執行企業智慧資產保護。綜合上述趨勢,該公司提供完善的技術,協助企業架設完整的智慧安全防護網。