在這個網路犯罪份子和民族國家在不斷刺探著企業安全防禦的時代中,資料保護安全措施成了不可或缺的要素。尤其金融產業收集與儲存的資料,一旦流入黑市,多半行情不斐,自然也成為網路攻擊的首要目標。
因此,金融產業需要實施能保護敏感性金融資訊,以及客戶和員工「個人識別資訊」(Personally Identifiable Information,PII) 的政策與技術解決方案。由於社會安全號碼、銀行帳戶資訊、地址、貸款月結單,以及支付卡卡號之類的資料皆具有敏感性,也屬於許多法規的保護範圍,銀行業者若未實施符合州、省籍國家法規 (或產業標準) 等級的安全操作控制,可能必須繳納巨額罰金,還可能因此名聲掃地。
為保護經濟,全球政府皆實施了控管金融資訊安全性的法規。然光是在過去 3 年內,全球遭竊的資料就有近 60 億筆之多,因此全球政府也針對收集、保留、處理,以及共用個人資訊方面採行更加嚴厲的規範。如在美國境內營運的銀行,必須遵守多項涵蓋資料保護防禦措施或條款的法規。其中,金融服務現代化法案 (Gramm-Leach-Bliley,GLB) 規範收集與披露客戶個人金融資訊的行為,沙賓法案 (Sarbanes Oxley) 的稽核條款,則規定公開交易組織要能夠開放「內部控管與程序」的稽核。
凡收集、儲存或傳送有關歐盟居民之客人資料的營業人,還必須遵守一般資料保護規範 (General Data Protection Regulation,GDPR)。其中,許多規範包含重要條款,規定收集與儲存具敏感性資料的機構,及收到或處理該項資訊的外部營業人,皆須妥善保護此類資訊。
做好資料監管
若組織習慣運用企業檔案同步與共用 (Enterprise File Sync and Share,EFSS) 及電子郵件等方式,與合作夥伴、分公司及客戶互傳資料時,可能會發現這種做法與資料保護規範背道而馳。此種分享方式雖然方便,但通常無法達到法規要求的加密、存取控制及稽核記錄標準,即便雲端服務供應商宣稱其產品或服務「符合」資料保護規範標準,一旦產品遭到濫用或資料遭竊,公司必須承擔的責任也不會因此減輕。
若仰賴多個 FTP 伺服器和必須區分平台的自動化指令碼來管理檔案傳輸,隨著 檔案傳輸過程所用的系統越多,公司所面臨攻擊風險也越大。IT 團隊期盼整合採用單一檔案傳輸系統,其中一個關鍵因素,即是為減少容易遭受攻擊的層面並簡化稽核流程。
然要遵守法規要求,通常還必須實施嚴格的存取控制、無時無刻地進行資料加密,同時製作稽核記錄。企業內部的安全控管措施,也應該要求採行能夠保障資料安全的標準化工作流程,為確保遵守法規,銀行應淘汰未受管控的文件傳輸方式, 改採安全、可靠且符合規範的資訊交換程序,以利確保資料的安全性與周密性。
安全通訊端層 (Secure Sockets Layer,SSL) 和安全殼層 (SSH) 等種常見安全通訊協定,有助於確保資料傳輸的安全性並提高其穩定度。SSL 和 SSH 強化檔案傳輸安全及可靠性的原理,在於以加密功能,可防範高風險資料在過程中遭未經授權者擅自瀏覽及竄改。
無論是在傳輸過程或靜止狀態,資料保護皆應該持續進行。金融產業應採用市面上功能最強大的密碼演算法,儲存及傳輸資料。結合 SSL 和 SSH 安全措施與 OpenPGP,就能針對靜止中的資料提供多一層的保護。OpenPGP 運用驗證使用者及資料的密碼演算法金鑰組為儲存裝置 中的檔案加密。資料收受方需使用對應的私密金鑰才能將檔案解密。
**安全的檔案傳輸管理 **
安全檔案傳輸管理 (Secure Managed File Transfer) 系統能以安全、準確、精密控管,並詳實記錄的方式進行外部資料傳輸,有助於因應現階段及未來可能會採行的各種法律及規管措施。此類系統,讓金融機構得以在傳送資料時收到回條,還能運用廣泛的追蹤與稽核功能,遵守 GLB、PCI DSS、SOX、GDPR 及其他州、省或全國法規。
評估安全的檔案傳輸管理系統或替代方案時,企業應該從機密性、完整性、可用性 以及稽核這四種類別的功來深入瞭解這些服務的效能優劣。機密性能確保唯有獲得授權的人員,可在經過核准的前提下使用資訊。至於確保機密性的基礎,在於驗證登入認證資訊、運用定期失效的帳戶,以及及密碼管理等功能,施行有力的密碼政策。
存取控制包括要求所有連線一律支援採用 256 位元 AES SSL 加密與 TLS。而這種存取控制等級應強制套用於所有連上貴組織網路基礎架 構的用戶端。
完整性是指確保能夠運用完整的 SHA支援,持續提供所有正確的資料,避免出現漏洞。安全加密資料傳輸是確保業務永續發展的重要關鍵,安全雜湊演算法 能確保檔案不會在傳輸過程中出現漏洞,也可確保原始檔案和目的地檔案完全一致。不可否認性技術,則是利用加入數位憑證管理的方式,進行安全傳輸與資料加密,讓資料安全性達到現階段最高的等級。
可用性能透過負載平衡和叢集架構達成,此種方式支援自動容錯移轉及集中儲存組態資料,因此能夠將資料出現漏洞的機率降到最低,也有助於防範分散式的拒絕服務攻擊。若在解決方案中加入檢查點重新啟動及加強功能,藉以克服硬體故障或網際網路連線中斷等問題,將同樣有助於確保可用性。
至於稽核功能,可提供完整的記錄功能及防竄改證據安全措施,因此能保障記錄檔的完整性。基於技術、安全及其他稽核目的,應將所有用戶端/伺服器的互動與管理措施完整記錄下來。
MOVEit 是一種安全的檔案傳輸管理系統,能在與外界交換敏感性資料時進行管理、檢視、保護以及控制,徹底遵守資料保護方面的規範。
在市面上眾多解決方案中,MOVEit 是少數功能完整,能協助企業符合法遵要求的解決方案。
MOVEit 提供簡單易用的介面,讓管理人員、使用者都能快速上手,可大幅提高整體工作效率。