• 电  话:+86-0512-62807996
    传  真:+86-0512-62808596
    地  址:中国(江苏)自由贸易试验区苏州片区苏州工业园区东平街287号广鸿大厦4楼511室
    Email:jerry@zhenhong188.com.cn

H1N1让企业主变小丑 杂耍登台?

点击次数:更新时间:2015-02-06 11:02:34【打印】【关闭】

    

       有位小丑他正在表演同时转三个盘子,在排练不熟的情况下,小丑被迫紧急登台,两只手周旋在三个盘子间,小丑自个儿忙得晕头转向、直冒冷汗,深怕砸了其中任一盘子,毁了这场表演!必须要从家里连到家里公司配发的NB,在家里的私人计算机中预先安装这样的软件。IPsec被设计用来提供入口和入口通讯安全,分组通信的安全性由单个节点提供给多台机器,或是端到端分组通讯安全,由作为端点的计算机完成安全操作。


SSL VPN(Secure Socket Layer VPN)
       SSL VPN技术有助于企业在发生流行性疾病、地震、台风与恐怖攻击等天灾人祸时,能维持正常营运。不需要安装软件只需要认证,也不一定要用公司的计算机。计算机内安装软件可以连上公司的VPN,不用死守一台计算机哪都去不得。在这种情况下,使用户输入账号密码便能连到公司,若是私人旅行也可随时随地连结回到公司网络。假设使用完资料不小心放在该公用计算机,公司重要信息也不会外泄,当logout时或不正常关机,系统皆会自动删除刚刚登入的信息。

  员工所使用的终端设备是否安全的?资料传输过程是否安全?SSL VPN让有权责使用资料者的所有操作,都侷限在一个虚拟空间里,因而无法透过随身碟、剪贴簿或荧幕拷贝(除了拿相机拍荧幕)等方式窃取企业内部资料。专家比喻,每家企业就像一间银行,银行大门口前都会站着至少一位有吓阻作用的「保全人员」,保全人员让每位看起来良善的人走进银行,但仍旧无法有效降低,每位进银行的人拿走不属于他的钱的机会。在对外客户交易时,右手拿着公司资料,左手和客户握手,如何在资料与客户交流中,建立安全交流机制,是企业能否具备竞争力的关键原因。
  
       在执行导入信息防泄的设备时,赞同新科技或新政策导入者和向公司提出抱怨者,若刚好是五比五持平,那就代表此导入企业政策是可行的。使用者经过SSL VPN必须先通过预先认证评估,然后根据现有的网络、网络设备、使用者身份与企业连线政策设定等因素,将其动态对应到适合的连线角色,精确的资源授权步骤可进一步确保使用者确实遵循安全政策。

  装设网页安全闸道来防止信息安全一定会造成些许不变,因为装一堆东西会有告警和让网络变慢,这时候就要看企业自己量身评估,情愿让公司没有管理?还是要让员工忍受少许的不便?张志渊称,每个企业在这个议题上都要做取舍,1/3的员工不用到公司上班,企业老板能否接受?在家又要开一个VPN,作业程序会变慢、计算机会变慢,download要等很久,一开始企业和员工整体会经历不方便的历程。但若从成本考量,减少员工上班人数,其实也可以省下不少办公室实体租金的费用。

稽核记录
  能接触到公司高风险资料的人,若要在家工作计算机就必须经过防资料外泄的管道以确保安全。让员工在家上班的状况,可以在公司的控制范围内,一切都设想妥善周全,就算资料是从公司写到家里,也是可以被安全控管。张志渊说,在公用的网际网络上建立一个私人专用的网络,具有保密与认证机制,透过资料的预先加密,只让拥有解锁密码的相关人员能够通过身分认证与授权,进而读取资料。

  企业亦可以设定登入公司网域,检测员工端是否有装防毒软件,这是属于NAC(Network Access Control),NAC架构在公司内部,目的是保护公司的内部网络,透过过滤员工从家里连接到计算机的任何可能危险性。若检测出员工家里计算机未必安全,就无法连至公司网站。这时又一问题产生,那公司对于员工家用计算机的安全性不也是要稽核考量,肯定会提升公司在安全控管的成本,这也要看企业是否重视此一环节,亦可透过在员工私人计算机端安装active access,进行程序交换。

  大陆的网络覆盖密度名列世界前茅,殭尸网络(Botnet)的攻击也是全球第一。专家认为Botnet防护也是资料防护必须要考虑到的层面,找出公司到底有哪些计算机有受到这些攻击,将这些造成资料外泄的漏洞弥补起来很重要。张志渊分析,每笔资料的使用途径都应被记录,一般公司有无线网络,可以让自己员工使用。若有访客来访透过该公司无线网络IP对其他公司攻击,可以顺着IP找到攻击者,透过记录可找回时间再对照访客时间,类似案例的发生层出不穷,做好记录至少可以保护公司存留证据,提供稽核。但各企业重视资安问题态度不一,公司亦可选择安装NAC,如振宏信息研发的网内安NetManager网络准入控制网关,提供给网管人员一个易懂易用的管理平台,不仅可以依据所设定的用户权力而允许或拒绝其存取网络资源,并可进一步限制其运用的网络资源额度。经由网内安NetManager的控管,使用者可以共享资源却又可以免除一人有难、系统瘫痪的困境,让资源共享的初衷美意得以充分落实。透过整合威胁管理产品可连同防火墙、入侵防御系统(IPS)、内容过滤及其中VPN,将家里和公司连结成一加密管道,透过此管道来侦测Botnet。

  稽核工作依企业组织架构及不同时期,可有不同的工作内容。一般多仅需要确认内部人员是否已遵照内控制度执行相关作业,或注意内控有无未完善之处加以修改。据调查有78%的资料外泄是来自于企业内部窃取或不当使用等人为因素,而人为外泄可以分成两类:
第一类危险型:有权限者蓄意窃取敏感资料时
若有窃取行为可采取立即封锁该行为,并记录将之记录:写出管道、使用计算机、登入帐号和位置及违规时间。并可强迫要求控管输入密码加密达成离开控管后的保护。针对终端计算机,定期进行扫描,避免有心人士将敏感资料搜集存放。
第二类无知型:不慎或粗心写出时
当个人出现异常存取资料的行为,稽核软件便发出一个警告。终端点告警教育使用者并且同时记录行为,追查这些log是否为大量写出。

       H1N1疫情扩散导致员工被迫在家上班,为防止企业内部因素导致机密外泄的风险管理,若从人事法规与软硬件系统预防检视,趋势资深技术顾问戴燊将资料外泄从两个角度来分析,一个是对资料本身,一个是对人。

  从资料分级到数位版权管理(DRM,Digital rights management)这些防范措施是针对保护文件本身。一个企业体依据公司内部资料的类型、重要性,进行分类并依据分类的结果建立公司内部资料储存、处理、控管的流程。之后再做档案或设计图加密码,就像金库内每个分类资料箱外头都设置一个密码锁,密码锁保护每个资料箱内的资料只能给拥有密码的人读取,这些防范措施是保护文件本身。每个公司会因内部资料的控管模式不同,在记录窃取信息行为上的规划考量不太一样。例如:金融保险业较重视客户个资、生技研发产业较重视研发技术等。

  对人的部份就和远端连线无关,企业必须先规划出,接触风险性高的人和什么样的资料是敏感性的资料进而制定政策。如果仅是行政人员如助理,公司要考虑是否需要让他远端上网,控管员工由远端透过VPN连接到公司就仅能存取一部份资料,考量ROI,没法让每一个人都能用最高等级被对待,所以做员工群组分类显得相对重要。利用VPN网络传输可减低黑客入侵的机率,但很多公司担心资料外泄,本身对自己内部资产的敏感性分类却都没有做「到位」。

  因此,无论是保护资料或是防人意图与行为,防范所采用的工具必须切中要点。专家认为,其实应首重使用者在使用计算机时是否被公司管制,当这些问题出现,要先了解会遇到怎样的人,做人与事的分类。存底记录的概念易懂,但哪些记录需要被存取以备他日稽核,有下述几个方向做延伸思考预防:

必须考量公司敏感资料在哪些地方。
企业自己要先知道企业本身重要资料在哪些地方。

什么样的人会接触到这些资料。
搞清楚哪些有人有权限可以碰触这些资料。

稽核员工有做过哪些事。
企业内部软硬件政策宣告和执行,让员工清楚知道,本身是接触这类敏感资料的人。

计算机能否辨识考量权限。
存取机密资料的人有哪些?设定存取的时间记录。较细项的设定使资料流通 的管道能被清楚记录。

  上述几个步骤做到之后,才可以确实存留稽核记录,戴燊表示,单就资料外泄的角度来看,不小心和刻意是一样的事,员工并不会在家上班资料外泄的风险就变高,就算让员工在家和在公司ㄧ样受到控管,员工端和公司端的计算机安全性都应该要一并规划。这类的案例跨国性的企业早就开始执行,大陆由因中小企业过去没有这样的需求,但未来天灾疫情等不可测因素,皆迫使这类问题都应该被重视。

 

  2014苏州振宏信息科技有限公司 苏ICP备10070324号
振宏科技始终专注于网络安全技术,一直引导发展网络准入控制系统,桌面管控系统,网络运维监控系统。详询:0512-62807996
全国免费咨询电话:0512-62807996