ITU(國際電信聯盟International Telecommunication Union)公佈2013年全球有27億的上網人數連結到網路,這數字已佔全球人口數的38%。然而在全球68億的行動電話註冊用戶中,使用3G、3G+等行動寬頻的人口數已達21億,這數字佔總人口數近三成(21億/71億)。然而,在網際網路快速發展的同時,資訊安全事件也層出不窮,影響範圍與頻率也都不容小覷。例如,今年2014年2月10日影響最大的地區在歐洲,遭遇史上最大DDoS(Distributed Denial-of-Service Attacks)攻擊,讓Spamhaus在短短的兩小時內就遭受到400Gbps流量的攻擊,並差點癱瘓整個歐洲網路。
企業使用網路安全防護的產品,例如,防火牆或入侵偵測系統,來對進出入公司網路做安全上的防禦。然而,隨著行動裝置的增加與雲端服務的快速成長,許多企業也正推行BYOD(Bring Your Own Device)方案。那麼,怎樣的環境才算安全?如果駭客透過行動裝置跳過既有的安全組態環境進入到公司內網時,就能直接存取公司內部網路的資料時,又該如何防護呢?根據媒體報導,美國國稅局有名員工把記錄兩萬筆員工資料的未加密隨身碟帶回沒有受保護的家用電腦使用,可能讓員工姓名、社會安全碼、地址等資料外洩。其實,電子商務也是需要一個安全的資訊環境,在2013年12月時,美國地區有家Target連鎖商店,就曾遭到駭客入侵與外洩1.1億筆客戶資訊,且有多家零售商的POS系統及精品百貨被植入惡意軟體。另外,美容零售商Sally Beauty可能讓2.5萬筆金融卡付費資料遭受到存取與刪除,甚至手機病毒簡訊也越來越猖獗。
因此,在這幾年的「資訊安全」想法、概念與系統對外來威脅的防護與容錯機制,已朝向更多元的「資訊安全健檢」與「您的資訊設備健康嗎」的多重面向的防禦與風險防範來進行,並隨著時代的進步,企業會更新設備、增加必要的防禦措施以及規範自帶設備的員工,對設備的軟體做宣導與控管…。現在,就讓我們從「心」來看資訊安全。
標準化是未來整合的主力
監控系統從類比走向數位,從封閉式邁向網路化,以開放的標準來進行設備、系統之間的整合通信之需求日益迫切。在網路時代,開放標準的且同時具備靈活性和可擴展性的安防系統,已經成為目前積極推動的目標。網路百萬像素攝影機的標準化已經成為必然。
繼 ONVIF、PSIA 相繼成立後,HDcctv 聯盟(HDcctv Alliance)也成立了,從而形成了當前網路監控市場的三大標準。這些組織的成立,都是希望在網路時代推動實現監控標準統一的願景。例如ONVIF,是希望通過全球性的開放介面標準,來推進網路監控在安防市場的應用,這一介面標準將確保不同廠商生產的網路視頻產品具有互通性。PSIA 實體安防互通聯盟,目標是為實體安防系統的硬體和軟體平台創立一種標準化的介面,使基於IP網路的不同安防系統具有相容性。而 HDcctv 聯盟則主要是由晶片廠商與系統供應商共同成立的,主要以高畫質監控系統所開發的標準,開發更容易建置、成本更低的網路解決方案。
最可怕的敵人是駭客還是自己?
2014年3月4日,Twitter就曾發生系統失誤,誤將大批使用者的密碼重設。在一開始Twitter給使用者的通知信是這麼寫的:「Twitter相信您的帳號已被某個和Twitter無關的網站或服務入侵了…,我們已重設您的密碼,以防止帳號為他人所存取。」另外,國道計程收費上路以來,新聞報導所傳出的問題至今不曾間斷,而在初期遠通的網站也經常發生大當機的情況,曾說遭駭客惡意攻擊82億次,結果真相大白,原因是系統本身設計不良所導致。雖然所舉的這兩個案件最後都查出並非駭客所為,但是已讓許多人在駭客還沒登門前,就先嚇死自己,一旦遇到真正的駭客,心房一下子就會被攻破,這也就是我們看到許多購物網站與社交網站也都曾發生過帳密被駭或資料外洩的新聞事件,這類的詐騙手法,常見的方式是會讓使用者收到自己帳號被駭的訊息,然後誘使使用者連結或依照訊息上的指示進行下一步驟或者連結到釣魚網站…。
然而,當公司員工電腦因此被植入惡意軟體時,企業又該如何因應與防範?遇到問題時,我們的處理方式是否可立即浮現反詐騙的概念與分析我們是否事先做好安全措施,讓個人與企業都「免驚啦」!以避免損失的發生與急亂中出錯的風險。
Google如何做好員工的資安管理
在鴻海郭董事長提到,來自Google的員工,薪水加倍的訊息,證明大家都在看大型的科技產業怎麼做?記者黃彥棻就曾採訪曾任國家科學委員會國家高速電腦中心主任,Google亞太營運總監及現任行科技部部長張善政所表示Google如何從五個面向來控管員工的資訊安全。
  • 用戶端的安全更新:不使用微軟的作業系統,只允許使用Linux和Mac OS等兩種作業系統(如需使用Windows需提出申請),且作業系統要升級或進行程式修補時,必須先經過Google內部認證後才能進行。而主機端的作業系統和應用程式,也都是Google自行開發的產品。
  • 落實網路監控:落實企業與個人的網路監控,阻斷非必要的連線,例如,阻擋除Internet以外的服務,避免不明應用程式連入的風險。
  • 預防DDoS(分散式阻斷式服務)攻擊:網路服務提供業者,通常會使用IPS設備進行防護(小型公司因費用的關係,可能會使用Web Server中Apache設定mod_evasive的3rd-party模組或firewall設定iptables的ipt_recent(module)來阻擋DDoS攻擊),因此,像Google這種具規模的公司,就會不斷地擴充網路頻寬與流量,DDoS攻擊就有一定的難度。
  • 善用App來控管公務手機:Google要求有使用公司所配發的公務手機之主管或員工,都必須安裝手機APP的裝置管理軟體(例如:Device Policy),用來避免手機遺失後,可能發生機密資料外洩的風險。因此,公司會建立相關控管伺服器來防止手機一旦遺失時,就可以透過遠端伺服器來達到鎖定或刪除手機中的資料。另外, Google 不允許員工在公司使用 Dropbox等雲端儲存應用軟體,但為了解決內部員工儲存與檔案傳遞的需求。就規定員工使用自己開發出一個 Dropbox 的替代品Google Drive,在員工離職時,會清除所有企業為安全管理設置的軟體及資料。
  • 控管員工自帶設備作業系統版本:公司會對員工在使用筆記型電腦等自帶設備所安裝的應用程式與版本做管控,以確保其安全性。
資訊安全從「心」做起
我們看到許多的資安事件的發生,起因都是因為「有心人」,也是因為許多單位或人一時疏忽或資安意識或認知不足的情況下,就會是一個高風險的因素。因此,企業在做資安防護時,會需要對軟硬體設備及操作問題所發生的技術風險與威脅做一個預先的防範。此外,在網路與雲端設備普及的時代,如可避免員工惡意盜取企業資料與外部病毒以及駭客的滲透、攻擊、竊取與修改,企業在網路與儲存工具的加密機制是不可少的。
企業在面對基本資安需求包含:身份識別、資料保密性、資料完整性與不可否認性。在帳號與權限管理方面,密碼長度至少八碼且混合三種類型的字元,並非字典或自身相關資訊等的限制。在稽核與日誌管理方面,也應有定期檢視相關的警告訊息排除與管理。在日常習慣方面,要拒絕來路不明的工具列程式、軟體且不隨意開啟不明郵件與留意檔案的副檔名,不隨意開啟不明網址與廣告連結,大型網站或購物網站的網址應有https://受到 SSL 保護的網頁。需更新系統所發佈的重大安全性更新,並留意瀏覽器的安全組態設定。在個資方面,企業在進行防範與監控網路或資料傳輸的行為時,也應重新從「心」來正視個資法的保護,以避免資安外洩或侵犯隱私而影響企業形象甚至造成更大的損失。並且應對資料的等級做不同資料備份及異地備援的機制,以及需安全且可靠的妥善保管。最重要的是我們必須捫心自問,是否定期經常檢視與執行對資安的基本需求?因此,就讓我們從現在起,讓資訊安全從「心」做起,用心來檢視一個健康的資訊安全環境。