[RSA2009 大會] 保障重要目標 掃除攻擊路徑

春暖花開的舊金山是旅遊好去處，同時也是每一年重量級資安研討會 RSA Conference 的舉辦地點，在本研討會中，不但可以看到最新的資安科技，也能學習到最具深度的概念，更可以與眾多經驗豐富的專家一同討論，共同解決企業目前所面臨的各項資安難題。因此，每年都吸引了上萬人共同參與此項盛會。

不可否認地目前企業深受經濟風暴的困擾，因此都盡力減少各方面的開銷，但對於資訊安全方面，還是竭盡所能的維持一定比例。其原因為何？會中一名 CIO 與筆者談及此話題時，「從損失的角度上來說，資安問題不但是金錢上的損失，更是客戶忠誠度與信心的流失，」他認為一定要維持資安的投資，「經濟風暴中，業務與效能相對地沒有如此吃緊，但攻擊數量卻相對增加了，因此資安反而變成不可放棄的重要措施。」

而除了經濟方面的威脅，讓企業不能放棄資安方面的投資之外，另外還有法規上面的疑慮。目前包含臺灣在內，已經有越來越多國家制訂與個人隱私保護相關的法律，不但有相關規範內容之外，更有著嚴厲的懲罰性賠償條例，讓企業更戰戰兢兢地確實做好各項資料保護，以降低資料外洩的風險。

而從企業依然維持或僅是小幅縮減資安預算的處理方式來看，使用者信心度及法規遵循等問題，已經讓企業正視到資料外洩的龐大風險，而今年整個議題與展覽，便圍繞在如何確保資料安全上。分析今年的資安趨勢，可以明顯地看出資料洩漏保護 (Data Leakage Prevention, DLP)、網頁安全、資安事件分析與法規遵循為今年的 3 大重點。

DLP 從概念走向實務

去年包括 Check Point、McAfee、RSA 與 Symantec 等重量級廠商，都相繼推出 DLP 概念與解決方案，但由於當初的技術與概念並非十分純熟，因此其內容大多侷限在如何加密資料與其傳輸途徑。不過時至今日，不但對於資料本身的保護方式日趨完備，同時更增加整體資料處理流程中的保護，讓企業不但能確保資料保存時的安全，更能避免在發送或處理相關重要訊息時，遭到各種攻擊或入侵，而導致機密資料外洩。

其實去年 DLP 市場已經造成相當程度的風潮，但由於相關解決方案並不成熟，同時價格偏高，對於企業實質效益及營運模式不明顯，雖然許多企業樂觀其成，卻依然躊躇不前。今年便可看到許多廠商都推出資料保護的相關解決方案，從本機端、儲存區、應用程式乃至於網路傳輸，都有廠商推出可與其他面向整合的解決方案，而仔細區分其作法，大致上可分為資料加密、設備保全與傳輸保護等 3 種方式，分別處理資料在儲存、處理及傳輸上可能遭遇到的安全風險。

……未完（更多內容請參閱網路資訊雜誌 2009 年 5 月號 210 期）