iT邦幫忙

15

企業安全投資新重點:防資訊內賊

機密資料的暴露對於企業而言,已成為最大的網路資訊安全威脅之一。IDC在對於木馬、病毒等外部惡意攻擊相關的資訊安全市場追蹤已行之有年,然而近年來,IDC發現企業面對的最大威脅卻是來自內部。
在電子商務 (Electronic Business) 從B2B的應用普及到B2C甚至C2C,加上業界以及政府部門大量將資料電子化的趨勢之下,以利益竊取為出發點的電子犯罪行為及案件,在全球各地不斷傳出,因此,不管是法規遵循的考量,或者是防止機密資料的外洩,以保護企業名譽與客戶個人私密資訊,資訊保護與管控 (IPC, Information Protection and Control) 將逐漸成為政府與企業資訊安全建置的優先項目之一。

IDC對IPC相關解決方案的定義為,保護政府與企業所擁有的客戶與員工的私人資料,以及本身的電子資產,包括智慧財產權、產品設計資料與契約單據等。IPC解決方案可細分為下列三種技術:

‧Data-in-motion IPC: 包含監控、加密、阻擋任何透過電子郵件、即時訊息、點對點傳輸、檔案傳輸等流向外部的內容。
‧Data-at-rest IPC: 包含管控及保護儲存在電腦/筆記型電腦、檔案伺服器、USB裝置等的資料。
‧Data-in-use IPC: 包含保護及管控機密資料的正確性,諸如契約、合同及任何商業機密相關文件。

IDC在2007年一份針對美國市場378家中大型企業的資安調查報告指出,27%的受訪企業已採用相關Data-in-use產品,46%已採用相關Data-at-rest產品,Data-in-motion相關產品的採用率,在受訪企業中更高達55%;此外,IDC預測上述三大類別解決方案,在2006-2011年的將分別表現出33%、40%、15%的年複合成長率。

根據IDC在2006年以前的資訊安全市場調查發現,防火牆、入侵偵測與預防以及防毒軟體是企業解決資安威脅最大的依靠,但是從2007年開始,透過筆者在與資訊安全廠商及企業的訪談中發現,台灣企業對於資料遺失防護 (DLP, Data loss prevention) 與資料加密 (Encryption) 產生興趣(IDC是以IPC解決方案的觀點來包含DLP市場)。DLP的實踐方式包羅萬象,其中不乏牽涉到企業政策(organizational policy) 的配合;而相關的資料加密軟體產品,大多針對桌上型電腦/ 筆記型電腦/ 手持裝置等市場為主,另外電子郵件內容加密及資料庫加密相關產品,在市場上為數亦不少。這一切都顯示了企業的確顯露出管控資料的決心。

DLP實踐方式包羅萬象,提供相關產品與服務的廠商繁多,像趨勢、微軟、思科(Cisco)都提出類似方案。不過,廠商不見得會有獨立的DLP解決方案,可能會包含在例如web security, content security等方案中,另外又可分為software-base及 appliance-based,而思科則是結合防毒公司如趨勢,將防洩密機制放在網路交換器上。

何以造成市場需求的改變?IDC研究發現,在近來一連串國內外企業資料外洩事件的警訊之下,保護智慧財產權將是驅動企業推行並採用IPC相關解決方案的最大動力,其中包括產品專利、註冊商標、品牌形象、商業機密、商業設計樣板、著作權、演算法、程式原始碼、硬體架構、商業流程,以及其他以任何格式表現在外的企業資產。在資料電子化及網際網路大量運用的情況下,任何疏忽管理的電子郵件、即時通訊,甚至是USB裝置的不當使用,都可能造成企業機密外洩;此外,即使企業可以容許單一智慧財產權的洩漏,但是客戶資料的遺失,所造成的客戶信任喪失與企業名譽的破壞,卻是不容忽視的。

再者,國際貿易的盛行,效率為成功關鍵,企業廣泛使用可攜式裝置,諸如筆記型電腦、智慧型手機等,並成為連結回企業內部應用程式如ERP、 CRM等內部資料的通道,用以達成商業的時效性與便利性;然而,這些工具也可能淪為有心人士提供竊取資料的管道。以行動裝置相關的資安部署來說,有40%的受訪企業已部署DLP相關產品與解決方案,其中大型企業的建置率高達49%,這個現象與國內金融產業與高科技產業的部署率較高的趨勢不謀而合。

IDC認為,IPC相關解決方案將是未來五年當中,企業主要的IT投資之一,完善保護敏感資料將是IPC解決方案的基本要求。以加州 SB1386法案為例,當企業發現客戶資料外洩時,必須公開受害狀況,並主動通知客戶,目前國內的個人資料保護法修正草案中,也納入相關的精神與做法;在法規遵循對於企業的要求愈來愈嚴謹的趨勢下,企業必須從被動式的反應,在合理採購與管理成本的前提之下,轉變成為主動式的採用IPC概念,此外,合理的規範員工使用 IT的行為,杜絕任何有害及不符法規的的動作,將是企業對抗內部威脅的最大武器。

IDC為科技產業情報分析與諮詢顧問公司,專門建立以評估、分析研究與深度探討全球資訊科技產業現況之研究調查機構,協助客戶獲得科技與電子商務趨勢之觀察與建議,以作為企業規劃發展策略的參考依據。


0
魯大
iT邦高手 1 級 ‧ 2008-05-23 13:11:48

對於電子商務,資訊安全一直很受人重視的一塊
但是即要講就方便性,又要講就安全性
往往在這方面就會有不少的費用

0
lukechang
iT邦研究生 1 級 ‧ 2008-05-23 13:46:29

資訊人員是詐騙集團的溫床

0
john651216
iT邦研究生 1 級 ‧ 2008-05-23 14:02:07

內部的問題一直是很大的問題

0
funkent
iT邦高手 1 級 ‧ 2008-05-23 22:27:59

內賊真的難防,尤其他對公司不爽的離職的時候

0
jerry640
iT邦新手 1 級 ‧ 2008-05-24 02:29:22

唉 鎖來鎖去的,真是限制不完~

0
jcck20008
iT邦研究生 1 級 ‧ 2008-05-24 03:31:22

3Q

0
fanylu60
iT邦研究生 1 級 ‧ 2008-05-24 09:31:53

謝謝分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-05-24 10:28:50

感謝分享此資訊

0
mmm12345
iT邦研究生 1 級 ‧ 2008-06-01 10:34:37

好資訊謝謝提供

0
echen688
iT邦研究生 1 級 ‧ 2008-08-11 13:22:27

的確是如此,真是「日防夜防,家賊難防。裡外都得防,不知如何防。」

0
peterkoo
iT邦新手 1 級 ‧ 2013-06-06 13:06:34

真的 目前就是總經理給一個問題 怎麼樣能不讓客戶資料被刪除 帶出去 又不被使用者知道

我要留言

立即登入留言