[RSA2009 大會] 保障重要目標 掃除攻擊路徑
春暖花開的舊金山是旅遊好去處,同時也是每一年重量級資安研討會 RSA Conference 的舉辦地點,在本研討會中,不但可以看到最新的資安科技,也能學習到最具深度的概念,更可以與眾多經驗豐富的專家一同討論,共同解決企業目前所面臨的各項資安難題。因此,每年都吸引了上萬人共同參與此項盛會。
不可否認地目前企業深受經濟風暴的困擾,因此都盡力減少各方面的開銷,但對於資訊安全方面,還是竭盡所能的維持一定比例。其原因為何?會中一名 CIO 與筆者談及此話題時,「從損失的角度上來說,資安問題不但是金錢上的損失,更是客戶忠誠度與信心的流失,」他認為一定要維持資安的投資,「經濟風暴中,業務與效能相對地沒有如此吃緊,但攻擊數量卻相對增加了,因此資安反而變成不可放棄的重要措施。」
而除了經濟方面的威脅,讓企業不能放棄資安方面的投資之外,另外還有法規上面的疑慮。目前包含臺灣在內,已經有越來越多國家制訂與個人隱私保護相關的法律,不但有相關規範內容之外,更有著嚴厲的懲罰性賠償條例,讓企業更戰戰兢兢地確實做好各項資料保護,以降低資料外洩的風險。
而從企業依然維持或僅是小幅縮減資安預算的處理方式來看,使用者信心度及法規遵循等問題,已經讓企業正視到資料外洩的龐大風險,而今年整個議題與展覽,便圍繞在如何確保資料安全上。分析今年的資安趨勢,可以明顯地看出資料洩漏保護 (Data Leakage Prevention, DLP)、網頁安全、資安事件分析與法規遵循為今年的 3 大重點。
DLP 從概念走向實務
去年包括 Check Point、McAfee、RSA 與 Symantec 等重量級廠商,都相繼推出 DLP 概念與解決方案,但由於當初的技術與概念並非十分純熟,因此其內容大多侷限在如何加密資料與其傳輸途徑。不過時至今日,不但對於資料本身的保護方式日趨完備,同時更增加整體資料處理流程中的保護,讓企業不但能確保資料保存時的安全,更能避免在發送或處理相關重要訊息時,遭到各種攻擊或入侵,而導致機密資料外洩。
其實去年 DLP 市場已經造成相當程度的風潮,但由於相關解決方案並不成熟,同時價格偏高,對於企業實質效益及營運模式不明顯,雖然許多企業樂觀其成,卻依然躊躇不前。今年便可看到許多廠商都推出資料保護的相關解決方案,從本機端、儲存區、應用程式乃至於網路傳輸,都有廠商推出可與其他面向整合的解決方案,而仔細區分其作法,大致上可分為資料加密、設備保全與傳輸保護等 3 種方式,分別處理資料在儲存、處理及傳輸上可能遭遇到的安全風險。
……未完(更多內容請參閱網路資訊雜誌 2009 年 5 月號 210 期)