FineArt News

資安新知

深化內部資安控管,建構資料安全堡壘

永續金融的資安挑戰

近年金融工作環境面臨諸多挑戰,例如新冠疫情的蔓延,使得遠距辦公模式興起,模糊企業的安全邊界。另俄烏戰爭帶來的跨國網路攻擊,以及雙重勒索軟體的針對性攻擊,都是金融產業無時無刻面臨的威脅,也使得端點安全躍升成為資訊安全主角。去年 iThome調查 CIO年度目標,「強化資安」與「確保IT穩定與一致」高居前二名,與金管會力推的「永續金融」目標不謀而合。

為此,金管會在去年底,修訂並推出金融行動資安方案 2.0版,從原有1.0的先求有,邁入2.0的求好深化階段,並要求金融企業與時俱進,增訂資安規範以納入上述新興資安挑戰。

新增的具體精進措施,例如資安長們需定期聯繫會議,分享資安情報與腦力激盪;要通過國際資安管理標準(例ISO 27001);引入零信任精神加強網路安全性,強化資料保全以面對駭客與勒索軟體威脅。這些要求,也被納入今年2023的金融檢查重點,對於各金融企業與IT、稽核人員都是不小的挑戰,要全面達到並不容易。因此,如何善用資安工具,提升終端使用者的資料安全,落實1.0與2.0新增的資安規範,是減輕企業負擔,讓合規工作能事半功倍的關鍵。在此介紹X-FORT實務上協助金融客戶,由外到內的提供防護措施,落實資安治理與監理的要求。包含各種檔案寫出行為的控管,電腦內檔案的內容過濾,包含個資或特定機敏關鍵字,進一步加密保護。

 

落實資料保護的資安規範

首先,針對落實資料保護的規範,盤點常見的檔案寫出管道,像是USB隨身碟、光碟燒錄、印表機、智慧型手機、記憶卡等各種日常可見,與工作相關卻又潛藏外洩風險的出口。

USB隨身碟的攜帶和使用非常方便,是檔案攜出公司的主要管道之一,若是非公司配發的隨身碟,可預設禁止使用,或是僅允許唯讀,以便帶回客戶檔案。只有公司配發,由IT登錄過的隨身碟,才允許寫出檔案。雖可寫出,但檔案寫出時一律加密,只有在公司內才能讀取。若要將公司檔案提供給外部人員,須說明原因,經主管審核後才允許寫出明文,並留下使用者申請,以及主管核准記錄。

寫出的檔案本身也過濾內容,若偵測到有包含個資,且個資筆數過多,可直接予以阻擋。所有寫出行為,不論有無個資,一律保留記錄。若是檔案內容包含特定關鍵字,例如機密文件,或是公司內部專案名稱,則在寫出記錄上特別加註標籤,供主管和稽核方便事後查核,掌握特殊活動。這些機制不只運用於USB隨身碟,也可用於各種網路傳輸行為。例如: 用LINE、Skype等即時通訊軟體傳輸檔案,或是用Outlook郵件夾帶附檔,以及透過Gmail、Yahoo等私人webmail將檔案寄出的行為,也一併適用。

而數位金融的終端裝置:智慧型手機,已融入銀行的日常作業。在使用數位金融的便利之餘,也須避免成為資料外洩管道。對於非必要使用手機存取公司檔案的同仁,可禁止將公司檔案傳輸到智慧型手機。需要使用情境,可允許但保留所有傳輸記錄及檔案備份,將智慧型手機的檔案傳輸納入監控。

使用印表機印出紙本資料,是最常見,也最容易脫離公司管控的外洩管道。與USB隨身碟的控管相同,可先界定公司核可的印表機清單,對於未知印表機,或是居家辦公的個人印表機,一律禁止列印。對於核可的印表機,除了保留記錄與列印檔案備份,另可於印出紙本上,加註資安警語的浮水印並留下可追朔源頭的特殊編碼。若不幸外洩,可從特殊編碼反查列印的人員、電腦、及印表機名稱、檔案名稱等資訊。確保列印當事人能保持警惕,妥善保管印出紙本,不會輕易外流給無關人員。

 

用識別與加密建構資料安全堡壘

降低資料外洩的風險後,再進一步將電腦內的資料納入保護,資料的使用層面,包含

  1. 檔案傳輸
  2. 資料使用
  3. 資料儲存

前面介紹的屬於檔案傳輸的保護,接下來要保護使用中以及靜態儲存的檔案。 

檔案寫出時,X-FORT可以識別寫出的檔案內容。同理,也可以事先掃描電腦內的檔案,全磁碟掃描找出包含大量個資的檔案。若有,可將檔案自動搬移到指定位置,集中保管並加密處理。檔案加密後,便只能在有安裝X-FORT的電腦才能使用。檔案加密後即使遺失或遭外部竊取,也不擔心資料外洩,真正從源頭保護好檔案。特別的是,考慮到金融組織的環境複雜性與人員多樣性,X-FORT的加密模組File Locker特別加強可用性,包含

  1. 雙擊自動開啟,不改變操作習慣
  2. 加密檔案可自由搬移,不限制存放位置,不改變使用者原有的檔案存放習慣
  3. 相容於各種OA應用程式,容易導入與教育訓練
  4. 存放到雲端的檔案也可以加密,離線模式下也可使用,滿足遠距工作情境

另外,不論是包含個資的目錄或是一般目錄,可界定可存取的信任程式。啟用保護後,只要是未知軟體,甚至是Windows內建程式,一律禁止存取,有效保護檔案不被竄改。並可啟動就地或異地定時備份,避免遭未知程式破壞。此安全存取與備份機制,除了適用於終端使用者電腦,也可用於Windows base的File server和Database Server,將核心金融資料納入保護。

對於關機後的靜態資料,也不能鬆懈,多數資料保護方案,在關機後,所有的監控和防守機制就跟著結束。如此,無法防守來自硬體的資料外洩風險,例如關機後被替換同型號硬碟,或是筆電不幸在外遺失。為此,X-FORT提供2種加密方式,一般OA電腦,可使用輕量型的開機磁區加密,兼顧操作效率與安全性。而機敏電腦可使用BitLocker全磁碟加密。加密後的硬碟即便被取出,串接到公司外電腦,一樣無法讀取內容,輕鬆解決硬碟遭替換的風險。

上述整合DLP 資料保護 、DRM 檔案加密等控管技術,可有效降低各層面風險,保護金融企業的重要資料。且皆由一個用戶端程式,一套管理伺服器就能滿足,在系統導入和管理負擔上最輕鬆。也可依照需求,分階段導入控管措施,滿足金融行動資安方案 2.0版為期3年的推動期程。

 

※X-FORT 個資過濾功能需搭配第三方軟體。