陳宛綺
個人資料保護法在五月初終於三讀通過,罰責之重令各界聞法色變,但對許多企業而言,對外,駭客虎視眈眈,對內,無知的員工永遠不知道自己將公司重要資料外洩,面對如此環境,網路資訊雜誌主辦了這場「如何防禦內外夾攻資安問題研討會」,邀約國內外資安專家一同為您防禦各種資安問題。
談內外資安防衛戰 主講人/華義國際數位娛樂 資訊中心資訊長 謝安
推出了多款知名線上遊戲的華義國際,擁有龐大的會員數,為了保護客戶、保障自己,因此對於資安工作相當重視。
目前資安基本防護應該要包含以下幾個部分,才能做好較全面資安防護機制,包括端點保護(閘道端防毒、 WAF 、程式碼檢測、網頁過濾等)、網路端防護(防火牆、 IPS 、封包監測、弱點掃描等)、存取保護(VPN 、 Token 、 IPsec 、 SSL)、資料保護(DRM 、 DLP 等),以及 Web 2.0 保護(包括防範社交工程、資料拼圖 (Data Puzzle) 等攻擊手法)。
針對目前資安的實務狀況,大致有以下的狀況:病毒木馬一家親、修復速度永遠追不上感染速度、駭客如入無人之境、使用者永遠不願意遵守規定、資安限制必須以業務為重、交易資料留不留。
資安應該要「從內而外、從軟而硬」,華義國際自己本身也是如此落實。在端點防護這塊,建議資安與 IT 部門應該要替每一臺電腦、伺服器名稱正名與編碼,以利之後一旦發生資安問題時,能夠快速找出線索並解決。此外,密碼應該要定期更換,且固定次數內的密碼設定不可重複,且應排程及每周手動掃毒、掃木馬,如此可以提供員工對於資安的認知,另外,固定電腦使用固定網路埠、伺服器依類別分網段架設等做法,都可以加強端點防護。
在網路端的防護方面,需要注意的是需要編製部門與個人 IP 、縮小 IP 有效時間與 IP 範圍、透過硬體層封阻多餘 IP 使用、設定 I P 與 M A C 對應表,以及側錄監聽 (Sniffer) 網段封包。
在存取控制的保護方面,則需要針對 IP table 、 Host 進行設定,且集中區域管理,並對於高危險區域封阻 Internet 存取,此外,應透過 VPN 存取遠端資源,以及不同應用進行網段切割、封阻跨網段存取。
在資料保護的部分,建議企業應該要做好印表機管理/傳真管理,針對檔案進行加密/簽章,另外要對 Email 傳檔、 FTP 進行限制,並封阻 IM 軟體。
在 Web 2.0 保護方面,應該要對會員資料隱藏或加密,並採用私有代碼作為主 Key,增加代碼欄位,不留存會員們的信用資料,並減少非必要會員資料欄位。
最後建議,資安限制必須以業務為重,與業務單位討論,並獲得業務單位支持,此外,沒問題不代表沒風險,可能是沒發現或沒發生,且資安需心理建設(長期抗戰)配合教育宣導(法律),一旦遭遇資安問題必須頑強抵抗絕不屈服,並以不信任為前提建設資訊安全,有效的管理手段可以避免無心之過,涉及個資法的相關環節,企業需謹慎處理(業務/技術),建立正確的資安觀念即可有效做好資安工作。
(…未完,更多精采內容請參閱網路資訊雜誌 225 期 8 月號)