FineArt News

文 / 精品科技 資訊安全顧問兼資安部經理 陳伯榆

隨著市場競爭的快速變化與衝擊,企業所維繫核心人才或團隊,以及核心團隊或個人所建立的知識( 資訊) 資產,將是這個企業成長獲利的命脈。但是伴隨而來的人才轉移與業界挖角,相關資訊也可能隨之流動,更遑論惡意競爭行為以及商業間諜行為。而存放在核心團隊電腦或是伺服器的知識資訊,可能被盜拷、可能被抹除、可能被變造,甚至間諜竊取。

文 / 精品科技研發三部 劉文彬
 

Windows 10的各種版本

針對不同客戶需求,微軟推出數種Windows 10版本,

依據微軟網站提供的功能比較表[1]Windows 10有以下版本:

版本英文名稱
版本中文名稱
Home
家用版
Pro
專業版
Enterprise
企業版
Education
教育版
Mobile
行動裝置版
Mobile Enterprise
行動裝置企業版

其中家用版、專業版、企業版的定位與過去Windows版本類似,所以不難推測出適用的客群。而Mobile與Mobile Enterprise版本是繼承以往Windows Phone作業系統的更新版本,所以不會單獨發售。

但這就是完整的清單嗎?不,Windows 10 還有更多針對特別需求的版本:

版本英文名稱
版本中文名稱
Enterprise 2015 LTSB
企業版 2015 長期維護
IoT Core
IoT核心版

雖然在微軟網站的比較表中沒有提及Enterprise 2015 LTSB,而從名稱上看來LTSB只是一般Enterprise版本的分支,但實際上Enterprise 2015 LTSB與其他的Windows 10版本相比有幾個不同點:

  1. 沒有Microsoft Edge瀏覽器
  2. 沒有Windows市集,也沒有內建Xbox、新聞等等娛樂App
  3. 沒有Cortana
  4. 版本的更新方式更接近傳統Windows——版本維護期間不會新增功能,只會修正問題;並且有10年的維護期

IoT Core版本是為了嵌入式裝置而設計,用於取代過去的Windows Embedded版本,所以IoT Core版本提供的功能是可以由製造裝置的廠商選擇的。

Windows 10的更新選項

Windows 10與之前版本的另一個不同點是更新機制。以往的Windows update允許使用者或管理者由可用的更新清單中個別選擇要更新的項目。在Windows 10中使用者只能選擇更新的分支[2]

更新服務選項
英文名稱與縮寫
啟用新功能的時間
最短的服務存留期[3]
可選用此服務的Windows版本
最新分支
Current Branch(CB)
微軟首次發行新功能時
約四個月
家用版、專業版、教育版、企業版
適用於企業的最新分支
Current Branch for Business(CBB)
CB四個月後
約八個月
專業版、教育版、企業版
長期服務分支
Long-Term Servicing Branch(LTSB)
升級為新的LTSB版本時
十年
企業版長期維護

 

也就是說:

  1. 專業版、教育版、企業版的使用者可以藉由在Windows Update進階選項勾選「延遲更新」;或是IT系統管理員可以藉由群組原則設定讓Windows切換到CBB。要注意的是勾選「延遲更新」不會影響已安裝的更新——已安裝的更新不會因此被移除,只會延遲之後的更新。
    4-1
    【Figure 1 Windows 10企業版的Windows Update進階選項】

  2. Windows 10家用版微軟強制使用CB分支不能選擇。因此若微軟已發送新功能,不更新將會影響之後的安全性更新。
    4-2
    【Figure 2 Windows 10家用版的Windows Update進階選項】

  3. Windows 10企業版長期維護版本強制使用LTSB分支不能選擇。
  4. 安全性更新不會受分支選項影響,各版本都是在微軟發布後立即可以更新。
  5. IT系統管理員仍然可以使用Windows Server Update Services (WSUS)核准Windows 10的更新。並且由於CBB的維護時間約為CB的維護時間的兩倍長(最少8個月),故IT系統管理員在新功能到達CBB時即使不立即核准,也暫時不會影響安全性更新[4]。但是若核准CB的功能性更新到設定為「延遲更新」的電腦上,更新將不會被安裝直到此更新進入CBB為止。


除了上述有正式支援的分支之外,微軟提供Windows Insider Preview Branch,在使用者加入Windows Insider計畫後可以取得,其中又以取得新功能的速度分為兩個Rings:

  1. Windows Insider Ring – Slow:可以取得測試組建。
  2. Windows Insider Ring – Fast:可以比Slow更提前取得功能性更新,但也可能更不穩定。

 

結論

從以上的版本與更新方式不難看出,微軟的Windows 即服務 (Windows as a ServiceWaaS)策略的目標就是希望大部分的電腦(也就是採用LTSB版本以外的電腦)的Windows系統將會採取每年23次的逐漸更新的模式,加快新功能被採用的速度;並且避免出現像Windows VistaWindows 8一般因為功能變化太大讓使用者不願更新的版本。



[1] https://www.microsoft.com/en-us/WindowsForBusiness/Compare

[2]但在某些更新造成使用者電腦當機後,微軟提供KB3073930疑難排解套件讓使用者可以暫時隱藏部份更新。 https://support.microsoft.com/zh-tw/kb/3073930

[3]服務存留期指的是微軟繼續提供安全性更新的期間;也就是說如果目前使用的版本到達期限後若不更新為新版則無法繼續取得安全性更新。

[4]參考 https://technet.microsoft.com/en-us/library/mt574263.aspx

 

文 / 精品科技 資訊安全顧問兼資安部經理 陳伯榆

Windows 10 是微軟最新一代的作業系統,因可將合法授權的Windows 7 至Windows 8.1 免費升級,創造出驚人的下載率及使用率。在媒體推波報導下Windows 10 被稱是新一代優質作業系統,許多在此免費誘因下,開始逐步升級更換新作業系統。

但是Windows 10 仍有許多相容性以及安全性問題,需要時間來解決。尤其是需要高度管控企業或組織單位,並不願貿然升級。舉凡創造利潤的繪圖或3D 工具軟體,並與自動控制整合的環境;或事涉資訊機敏資料及需要高度管制的公司,會更為謹慎看待這個新興的作業系統。

文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆

數位舉證這是一個十分嚴肅的課題,因為當企業管理必須採取相關的程序與手段,必有不得不的原因與理由。通常必須假設需要承受冗長法律訴訟的程序,才能有效解決企業「不得不的選擇」。所以相關的準備必須是有效且無爭議的證據,才能在法庭攻防上,獲得法官信賴與採納。筆者想從兩個方面分析,首先是IT 技術層面的主觀舉證,其次是施作程序與管轄地域非技術面的客觀舉證,來討論如何讓IT 相關記錄可以達成舉證效益的目的。

文 / 精品科技行銷部編輯

在這個資訊安全與個資保護越來越重要,甚至將影響企業生存命脈的今日,一套由經濟部所主導推動的個人資料管理制度TPIPAS(臺灣個人資料保護與管理制度)及通過TPIPAS驗證後取得的dp.mark(資料隱私保護標章),正低調透過先影響各產業內的重要企業,希望能逐步提升台灣企業整體對個人資料保護的品質,以及企業對個人資料保護法的遵循完整度與容易度。

近一年多來,肇因於行動裝置、雲端應用等趨勢的盛行,再加上兩項趨勢彼此結合程度益發緊密,進而產生莫大干擾變數,衝擊企業IT疆界治理至鉅;值此時刻,如何促使傳統電子資料防護、也就是資料外洩防護(DLP)機制加以延伸,藉此達到更好的防禦效果,實為相當重要的課題。

精品科技資安顧問兼資安部經理陳伯榆指出,綜觀現行的電子資料防護機制,發揮數項關鍵機能。一是IT介面裝置管控,例如管控外接裝置、光碟/燒錄裝置、列印裝置等等;二是軟體安控,管制範圍含括軟體(特殊)執行、軟體禁用(如禁止使用TeamViewer)、時段的軟體開放、軟體執行行為紀錄、主管審核、延伸檔名管理…等等。

文 / 精品科技 許樹龍

自從雲端隨處可用的概念推出以來,每年都有雲端相關的消息,然而最近這一年多,隨著雲端技術的快速進步,硬體、軟體不斷地推陳出新,雲端硬碟也已漸漸普及,並受到多數的電腦使用者應用在其生活、工作⋯等方面。底下就從一個使用者的角度來看現在的雲端硬碟。

 

世面上主要的雲端硬碟有哪些

雲端服務是目前最新的商業模式之一,只要網路搜尋雲端硬碟,隨便就可以找到數十個以上的供應者資訊,這裡不特別一一介紹,主要簡單列出幾個國際知名的廠商,以及其提供的免費服務供大家參考。

雲端硬碟  Google Drive  OneDrive  Dropbox  ASUS WebStorag
基本免費空間  15 GB  15 GB  2 GB 5 GB
備 註 可透過獎勵活動增加免費空間。 手機APP連接相簿,可再增加15GB免費空間。(亦有其他的 獎勵活動)

可透過介紹朋友使用、 連接facebook⋯等,擴大免費空間。

購買不同型號的ASUS產品,可獲得大小不等的免費空間。(有限制使用期間)

 

然而取得上述雲端空間之後,是否就可以隨意存放檔案呢?答案當然是”No”,舉例來說:上述雲端硬碟對於所存放的檔案,其單一檔案大小有所限制。

以Google Drive為例,存放

  • 文件格式檔案:無論頁數多寡和字型大小,上限都是1,024,000個字元。上傳的文件檔案轉換成Google文件格式後,大小不可超過50 MB。若是放置簡報檔案:在Google簡報中建立的簡報檔案大小上限是100 MB。上傳的簡報檔案轉換成Google簡報格式後,大小上限是50 MB。
  • 試算表檔案:200萬個儲存格,即將達到上限時,Google會提醒即將達到上限。
  • 其他檔案部分:上傳檔案時,如果檔案未轉換成 Google文件、試算表或簡報格式,則每個檔案的大小上限為5 TB。

不過,免費空間目前只有15 GB,要達到單一檔案大小的上限,勢必要付費增購雲端硬碟的空間。

此外,若是使用Google的Google Drive或是微軟OneDrive,可以很容易的與其相關產品結合使用,增加使用上的便利性。若是大家覺得上述空間不夠,目前就個人所知較大的免費雲端空間,大多數都是對岸提供,例如: 360雲盤,官方網頁說明其提供最低的免費空間是36 TB起跳,有需求的使用者還是要自行判斷各家雲端的申請條款。

 

企業版與個人版又有哪些差異

上表所提到的雲端業者除了個人版本之外,皆已有提供企業版供各個公司使用。而企業版與個人版在使用上確實有些不同,例如在基本的雲端空間上,上述廠商的企業版目前並未提供無限期使用的免費空間,但是不同業者針對企業版的雲端服務仍分別提供14天~ 60天不等的試用期間,供使用者試用。不過,須注意的是,"OneDrive及Google Drive 的企業版試用結束後若未購買,即無法繼續使用企業版雲端空間"。而且Google Drive在試用期間若是企業帳戶裡的成員人數超過10人,視同試用期結束,未購買產品,將無法繼續試用。

另外,企業版與個人版功能上最大的差異在於企業版設有管理者主控台,可以由指定管理者進行相關管理設定。以OneDrive為例,管理者可以在該企業帳號下,透過CV檔快速大量新增使用者,同時也提供單一登入與Windows AD同步處理的相關設定,可以指派專屬權限,也具有稽核功能,可以追蹤哪些使用者已對網站、內容類型、清單、文件庫、清單項目及網站集合的文件庫檔案執行哪些動作,並且可以於使用者共同作業時利用Yammer ( OneDrive專用 ) 即時交換意見。不過,單以微軟企業版所提供的雲端服務─使用Office 365 OneDrive for Business以及使用SharePointServer 2013 OneDrive for Business,在功能上就有些許差異,例如:稽核功能報表部分,針對使用Office 365 OneDrive for Business的報告項目並不多,主要是顯示已部署的網站,以及服務使用的儲存空間,若是需要較多樣的稽核管控與報告就必須使用SharePoint Server 2013 OneDrive for Business的服務。

同樣的,Google企業版的雲端服務也區分成兩種,一是Google Apps for Work,另一是Google Apps for Work Unlimited,除了使用空間大小有所差距外, Unlimited版本的服務對於雲端硬碟的控管不僅提供進一步的雲端硬碟管理設定,並提供雲端硬碟內容和共用狀態分析資料的檢視功能。另外,在Google企業版的雲端服務中,有一項功能很方便,就是當人員離職或是職務更動進行業務交接時,管理者只要在管理介面上輸入新舊擁有者的電子郵件,就能搬移所有郵件與雲端硬碟的資料給新使用者,快速完成資料轉移。

建議各個企業組織在評估導入雲端服務時,除應考量自身的需求外,並應深入了解不同版本的功能以及授權條款應注意事項,方能選用適合的方案若要使用企業版需要注意哪些事項公司或組織導入企業版雲端硬碟時,因為該雲端服務為多人使用,應更加小心注意相關控制,以免因疏忽或意外對公司或組織造成重大傷害。但是,如何了解應注意那些重點呢?建議可使用資訊安全管理系統基本CIA的三個面向來看 – C ( Confidentiality;機密性 )、 I ( Integrity ; 完整性)、 A ( Availability ;可用性 )。

  • 機密性: 雲端上的資訊如何讓不應看到的人無法看到,可綜合搭配各項不同的管理機制。例如:建立資訊機密等級管理制度、建立權限管理機制 (透過2人以上的控制,避免權限設定混亂或錯誤)、導入文件加密管理系統 (多數雲端服務提供安全的加密通道,但是並未提供文件本身的加密服務)、定期審核雲端服務提供的記錄 (利用記錄進行事後管理及警示)⋯等。
  • 完整性: 是否有什麼狀況影響了資料的正確性及完整性,如何避免發生異常狀況或是有效管理異常呢?例如:針對重要資訊設定異動通知、重要資料區域定期進行異動管理、定期進行備份、建立雲端文件的異動管理作業⋯等。
  • 可用性: 什麼樣的狀況會影響雲端服務的使用?建議可從內部及外部的風險來看。例如:避免外部雲端服務中斷 (選用信譽佳的廠商、建立備援網路通道)、避免內部服務問題 (網通設施的異常管理、網路設定作業控制)、營運持續的考量 (備援作業的規劃與執行)⋯等。

以上簡單列舉幾個面向作為導入雲端控制評估應注意事項的參考,盼能在公司或組織建立雲端服務的相關管理控制上有所助益,以期達到增進作業效率的效果。

 

文 / 精品科技 研發一部 陳茂清

如何開始當個Hacker(駭客)?

首先要探討到Hacker文化,Hacker指的是擁有技術並且志在解決問題及突破創造之人,只要你熱衷於鑽研技術、分享技術、喜歡修改現有程式後重新發佈且樂於解答他人問題,在電腦軟體或硬體界貢獻一己之力直到有Hacker稱呼你為Hacker時,你便是一位Hacker。雖然在國內各大媒體及大眾眼裡,所謂的駭客就是一群具備入侵他人電腦能力的人,且不區分Hacker及Cracker。其實作為一個Hacker,入侵他人電腦系統只是因為其了解電腦系統的運作原理,並且有能力進行一定程度的干涉(創造或者破壞),故若要成為目前大眾所認知的Hacker,你必須要先懂得電腦系統、軟硬體、網際網路等等的運作原理,方能知悉如何干涉其中,並會因為你之後的所作所為在駭客界中將你區分為Hacker或者Cracker。

文 / 精品科技 資安顧問兼資安部經理 陳伯榆

當雲端服務與工作生活逐漸合而為一

雲端服務並不侷限雲端儲存這一項應用,有許多創新應用吸引著使用者。雲端應用可以應用在工作、教育、生活⋯等各個層面。伴隨著Web Based 技術快速發展、行動可攜(Mobility) 裝置普遍使用、以及未來必定成熟的IOT 技術,都將脫離不了雲端應用。

文 / 精品科技 資安顧問兼資安部經理 陳伯榆

雲端加密軟體整體評測

伴隨相關雲端硬儲存或是雲端服務的逐漸普及,不論在企業組織或是個人使用,這一條「公」與「私」的界線也越來越模糊,企業組織的機敏性資料也暴露在網際網路世界中,資訊安全所重視所謂的「Access Control」面臨很大的衝擊。在前篇「企業雲端安全使用」,已經提供企業織對於雲端防護的可能性作為,在本篇將完全聚焦在雲端加密軟體的應用與功能的優異與缺點說明。

為何要考CISSP ?

CISSP (Certified Information Systems Security Professional) 是 (ISC) 這個非營利組織所推行的資安認證。目的是提供資安從業人員在資訊安全領域上,不同範疇專業能力水平。擁有所需要的技術水準與經驗,能有效地處理及執行企業的資訊安全系統及政策。

有別於其他一般的IT 認證,CISSP 是中立的,跟產品或廠牌無關。大家所熟知的 MCSE、CCNP... 等,都是針對廠牌或產品所設計的證照;適用於ISP/ISV 服務供應商的專業從業人員,而CISSP 範疇則是較為廣泛,不侷限在特定產品上。

這個認證對實務經驗也有一定程度的要求,考試的題目中會穿插一些實驗性題目;也有部分是實務經驗題。因為在實際工作上所面臨到的問題,並非一定有標準答案可以依循。從業人員的專業知識與工作經驗,決定了解決方案內容。所以經驗不同,答案可能不同;不是標準答案,而是Best Practices。

文 / 精品科技 資訊部 鄭文聖

目前企業較為常見的作業系統大都為微軟Windows及 Red Hat Linux,而經常使用及管理微軟作業系統的人知道,每星期或每天幾乎都有修補檔(Patch)要安裝,防毒軟體更新等,而系統管理人員大都也會乖乖照做,問其原因,普遍回答”Windows很容易中毒”、”Windows容易被攻擊”⋯等,其實所有作業系統均需要被良好的管理,差別在於觀念及做法,下面我們從使用者角度介紹,來看看如何做好個人電腦的資訊安全防護。

文/精品科技 研發一部 鄭楷照

隨著智慧型行動裝置(手機、平板電腦等)的普及,人員攜帶行動裝置上班成為普遍情況。由於行動裝置的功能強大,如果企業、組織沒有做好防範,便有可能造成機密資料、資訊洩漏。在企業、組織的機密管制區域,通常會禁止人員攜帶智慧型行動裝置(手機、平板電腦)入內,以避免機密被洩漏。然而行動裝置有許多功能對於使用者有幫助,可增進工作效益,而不虞造成機密資料洩漏。如果能夠對於行動裝置可能造成機密外洩的功能或行為進行限制,而不影響其他功能,將可以在保護資訊安全的前提下,給使用者更多便利。

 

目前市面上的MDM軟體類型

行動裝置控管(Mobile Device Management,簡稱MDM)能夠對行動裝置(如手機、平板電腦或其他攜帶性裝置等)的功能或操作行為進行控管,以保護企業組織的機密資訊。

現行MDM軟體的常見功能,包括整合使用者帳戶/憑證,以設置資安控管政策與權限;控管行動裝置硬體功能(如相機、Wi-Fi、藍牙…)並且留下使用記錄;收集行動裝置硬體與系統資訊(包括裝置ID、各硬體功能開關狀態、電量…);行動裝置遺失對策(位置追蹤,遠端鎖定裝置,遠端抹除裝置資料(Wipe)…)等。

MDM軟體對於行動裝置上的軟體(APP)亦可進行控管(亦稱為Mobile Application Management,MAM),例如控管行動裝置安裝的軟體:強迫安裝、反安裝APP,限制軟體的執行,以及管理企業內部APP的下載分享。MDM軟體可控管企業組織的機密資料的存取途徑、與使用者權限,避免儲存於行動裝置的機密資料被外移備份(亦稱為Mobile Content Management,MCM)。

現有的MDM軟體架構,除了運行於行動裝置的MDM APP,通常還具有MDM的中央伺服器。中央伺服器可以是Internet上的雲端伺服器,或架設於企業組織內部網路。中央伺服器管理安裝有MDM APP的行動裝置,例如指派資安政策、收集裝置資訊、遠程遙控等;中央伺服器可兼具企業資料伺服器的功能,行動裝置只能透過中央伺服器途徑存取機密資料,使機密資料流向得以管制;中央伺服器亦可作為企業內部的APP Store,讓使用者下載安裝所需的應用軟體APP。

為了在使用者上班時自動控管裝置,而在下班後能便利解除管制,現有MDM軟體有些可設置為根據時間與位置決定是否處於管制狀態。例如判斷時間是否為設置的上班時段,如果在上班時段內才啟用管制。這需要與中央伺服器同步時間,並且偵測時間是否經手動修改;地理位置則根據GPS、AGPS取得座標,檢查是否在定義的管制區域內,如果在管制區域內才執行資安政策。

 

缺少MDM可能造成的問題

1.使用者將企業組織機密外流:

企業組織常在內部網路,以資料伺服器方式儲存、分享資料。現在的智慧型行動裝置均具有Wi-Fi連線能力,因此若資料伺服器與行動裝置雙方面沒有保護措施,當行動裝置進入內部網路區域,便能夠作為終端隨意下載內部資料,抑或是透過USB、藍牙直接與內部設備連線,從而複製外移檔案,造成機密資訊外流。此外現在行動裝置大多具有攝影機設備,若未加以限制,則很容易經由拍照或錄影方式取得機密資料。

為了保護企業組織的資料不外流,對於儲存、分享資料的途徑必須加以管制,例如使用中央伺服器統一儲存管理資料。使用者需要以本人帳號登入中央伺服器才能夠存取內部資料,並且所有存取行為會留下操作記錄以便追蹤。機密資料在傳輸過程也必須加密,並且經MDM APP下載到行動裝置後,需要將機密資料分隔存放於保護區(仍加密),使資料不能夠複製外移,要檢視機密資料亦需要進入MDM保護區(可設密碼保護),並且透過指定的唯讀APP或是MDM軟體解密後瀏覽,以進一步保護資料。透過MDM軟體限制行動裝置的相機等硬體,以避免機密資訊被拍照流出。

2.行動裝置遺失:

若存放有企業組織機密資料的行動裝置遺失在外或失竊,則機密資料可能被因此外流。若行動裝置預先安裝有MDM軟體,則遺失裝置時,可即刻透過網路或簡訊方式遙控,遠端將行動裝置鎖定、遠端抹除行動裝置資料,或利用位置資訊追查裝置下落等措施進行補救。並且平時MDM可強制使用者設定有足夠安全的密碼(與有效期限,到期則必須重設),再配合將機密資料加密、分隔存放的方式,以增加遺失裝置後的安全時間。

3.不當APP

使用者可能有意無意間,執行不當的APP軟體,例如已知的惡意軟體(木馬、資安漏洞軟體)、可能造成資訊外洩的APP、破解或非法軟體、或其他列管APP。透過MDM軟體,可以設置黑白名單限制行動裝置可安裝或執行的軟體,以避免因為使用不當APP遭受損失。

 

MDM搭配端點防護軟體,相得益彰

端點防護軟體包括防毒軟體(Anti-Virus)、防間諜程式(Anti-Spyware)、防火牆軟體(Firewall)、入侵預防(IPS)等,可防範外來的病毒、惡意軟體、木馬或其他形式的入侵攻擊。MDM軟體則可管制使用者的操作行為、控管行動裝置功能與APP執行、以及機密資料的存取途徑,從內保護企業組織的機密資料。若能搭配MDM與端點防護軟體,可更全面的保護機密資料安全。

 

精品科技現有MDM產品

精品科技現有MDM產品為AndroidFORT,支援Android平台,具有硬體控管功能如Wi-Fi控管(只能連結名單上的AP)、藍牙控管、SIM卡異動鎖定、遠端鎖定、遠端抹除資料等,可收集硬體資產資訊(裝置ID、SIM卡ID、SD卡容量、電量、…)、位置追蹤;能夠依名單管制APP軟體的執行,並且收集已安裝APP軟體名單。與多種操作記錄(檔案操作、軟硬體異動、來電撥出記錄、…)。

MDM軟體能夠管制行動裝置功能與使用者操作,讓企業組織能夠信任人員攜帶行動裝置工作時,避免因此造成機密外洩的損失;對於使用者而言,在限制敏感功能後,能夠使用行動裝置其他功能可帶與其便利,而不至於徹底禁止攜帶智慧型行動裝置。唯在保護資訊安全之餘,也需要注意使用者觀感,尤其當行動裝置並非由企業組織統一配給,而是屬於使用者本人時(Bring your own device, BYOD):例如必須尊重使用者個人資訊隱私、不該在管制地區/時段外妨礙到使用者正常使用、事先向使用者教育管制項目、與將收集的裝置資訊等。

 

文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆

新版 ISO/IEC 27001:2013升級背景說明與考量

首先要了解升級的背景,關於ISO/IEC 27001升級,依據國際標準組織(ISO)遵循標準,每隔5年必須進行升級修訂的原則來進行。而目前的版本是已經使用8年,這8年的資訊安全變化已非同日而語,必須因應需求進行調整升級。大家也認同原先ISO 27001:2005與ISO 27002:2005的版本在體系整合、控制項邏輯問題、充分性等條件都有強化改進的空間。此外雲端安全更是不能輕忽的狀態ISO/IEC 27001:2013可以與雲端安全聯盟 Cloud Security Alliance (CSA) 所提出雲控制措施矩陣Cloud Controls Matrix (CCM)讓相關控制措施充分結合與應用,就是在處理新資訊服務的另一發展趨勢。

文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆

若以雲端服務及應用落實的Google 紀元來算起,Google雲端應用服務已經過邁入15年。反觀雲端服務成為廣泛應用也是這2~3年間才快速成長。不從學理上嚴謹的Cloud Computing的定義來界定市場「真雲端」、「假雲端」服務。單就服務應用與創新層面來看,在網際網路結構下,雲端應用(SaaS)的龐大資訊應用與交換,以致延伸出巨量資料分析,就有十分驚人的價值。

文 / 精品科技 資訊安全顧問兼資安部經理/ 陳伯榆

「如何利用資訊安全技術來強化產品與系統」,沿用這樣的概念,技術應用當成內部及外部資訊安全其中一項重要手段。而「做好內部資訊安全」還需考慮到其他面向,包含:資訊安全管理制度( 標準遵循)、法令的配合遵守,都是組成資訊安全妥善度的重要措施。

內部資訊安全三大面向

上述這三個要素會因產業別、服務對象、法令或是行業法令差異、IT 部門規模、知識產權強度…產生不一樣處置或管理方式,有些組織或單位會特重某些面向,但都脫離不了建構資訊安全三大要素。

 

引用出處:大椽股份有限公司 http://www.digitimes.com.tw/

當前的企業資安正面臨非常嚴峻的挑戰,尤其是愈來愈多的企業機密,被更多資訊部門以外的人員掌握時,企業資安問題更形複雜。精品科技資安顧問許祐福指出,資訊部門人員其實在對抗外界威脅的表現還不錯,但對於內部營業秘密的保護,可能要更為用心,才能避免更嚴重的資安事故發生。

根據商業管理協會(Institute of Commercial Management)研究報告指出,白領工作者平均每周處理11 份機密營業文件,而且這些機密文件常常會在不必要的情況下曝光。報告指出,39% 的工作者曾經將客戶資料寄出公司,52% 的員工曾在離職時,將工作資料帶走;86% 的員工坦承習慣性將郵件轉寄其他人;26% 的員工甚至會使用免費信箱寄送工作資料。

文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆

國內個人資料保護法( 以下簡稱個資法) 施行屆滿週年,這一年來看似無風無雨,仍有些個人資料外洩案例與事件引起大家的廣泛關注與探討。如果再仔細分析,這些國內個人資料外洩事件與判例,可以做為各行業個人資料保護的借鏡。

話說許多專家學者常列舉日本個資法施行後三年的案例大爆發週期,警示國內政府與產業來格外重視個人資料保護的重要性。從某些私下訪談中,也發現不少產業以為是種威嚇的觀點,甚至態度觀望不言而喻。目前並無任何分析佐證,國情文化差異可以將日本狀態,套用到國內個人資料外洩模式。但是提高警覺並適度改善,進而讓政府企業將個人資料保護延伸到機敏性資料保護的價值,是不否認的課題,相關的案例與訴訟也不少,這是我在第二個章節會特別提出的觀點。這樣的防護模式,才可讓企業主更重視相關保護規劃,以及提高個人保護的雙贏效果。

文/精品科技 品管課課長 許祐福

個資等於錢,擁有個資就擁有商機

過去國際犯罪的不法所得,金額最大應該是走私毒品,而現今利用個資所從事的犯罪行為,極有可能取代毒品成為金額最大、影響範圍更為普及的非法活動。所以國際間已經非常重視個資的保護,如果某個國家被認定在個資保護上不週,則國際間各個國家將會限制個資輸出到該國。對於極度仰賴進出口的海島型台灣,會損失很多商機,所以政府緊急修法,是為了讓台灣企業的個資防護水準能與國際接軌。cover-story

 

在現今資訊快速傳遞的年代,個人資料都可以跟錢有直接的關聯,如何合理被利用,也是法律制定的目的。以臉書(facebook)在今年5月21日的收盤價33美元計算,市值約為930億美元。目前臉書的使用者總數已突破9億大關,其中每日活躍使用者(daily active user)人數為5.26億人,因此平均每位使用者貢獻的市值為176.81美元(930億除以5.26億;約台幣5,300元)。臉書上市創造的億萬財富,都是由這群每天主動奉上生活點滴的使用者所成就的。然而,他們並沒有因此分得任何一毛錢。也無法限制臉書如何利用他們的個資來從事營利行為。

 

個資法上路,台灣比國際更嚴格

隨著個資法上路,未來當事人在被收集個資時,可以得知是哪個企業的哪個部門,為了什麼目的要得到這些個資。甚至還可以知道,他所提供的個資會被保留多久,會不會傳遞到海外。而當事人了解這些資訊後,還會被告知若不願意提供個資,會有什麼權益受到影響(像是收不到優惠通知,或是無法收到中獎的通知…)。這些資訊的明確告知,確保當事人是在知情的情況下,自願提供這些資料,供企業作特定目的的利用。若未來他所提供的個資,要被作超出原先目的、範圍的用途時,他也應會收到一份請求同意的專屬通知。也可以在首次被行銷時,透過免費的聯絡方式要求停止利用他的個資。只要他高興,可以隨時向企業要求閱覽、給予複製本、更正或刪除企業所擁有的個資。

 

然而,法律是兩面刃,保障當事人權益的同時,也給了來者不善的人士傷害企業的機會。就像企業的資訊設備提供對內對外的服務,是為了創造營收或增加工作效率,但也為駭客提供了長驅直入的窗口。身為企業或資訊部門的主管,面對即將上路的個資法(預計2012年10月01日正式實施),必須要重新檢視和調整個資蒐集、處理、利用的程序,避免以身試法,成為同業間分析個資法的經典案例。

 

尤其台灣所制定的個資法比國際間更嚴格。以日本在2005年正式實施的個人情報保護法為例:日本是以擁有5,000筆個資,才需納入法律保障的規範;而台灣是一次到位,只要擁有1筆個資就需符合法律要求。適用範圍也從初期的電子商務,擴展到所有的公務與非公務機關。且企業需自負舉證責任,依照「舉證責任之所在,敗訴之所在」的經驗,企業在面臨訴訟時明顯處於劣勢。

 

個資法推行,企業應該思考的重要問題

 

未來也可能是個資蟑螂橫行的時代。個資蟑螂可能藉由各種手法來勒索或打擊企業形象。例如:向主管機關舉發企業未善盡保護個資責任,而使企業蒙受行政處罰和商譽損失。或是假冒當事人行使檢閱個資的權力,取得當事人更完整的個資去從事犯罪。如果企業無法舉證,未來當事人受到實質損失時,企業可能會面臨當事人訴訟及賠償。如同燦坤在2012年初發生的案例,在未來個資法上路後,已經不是一句不知道或是查不出來就可以脫身的。

 

作者: 林佩怡 中時電子報 2012/1/6

台北市法規會最近接獲六位民眾投訴,指在燦坤網路商城購物後,接到詐騙電話,其中一人遭騙十多萬元;消保官懷疑個資外洩,要求業者說明,警方也介入調查。

燦坤副總經理張岳龍說,有關個資外洩的說法,燦坤已經向警方備案,但燦坤查不出有個資外洩,警方也未查出,所以並沒有個資外洩,因為連警方也查不到。張岳龍呼籲民眾購物,若發生詐騙情況,應向警方報案,燦坤希望警方早日偵破詐騙案。

 

所以在個資法推行後,首先您必須思考的幾個問題是:

1. 我們企業有那些個資?

2. 我們真的需要這些個資嗎?

3. 這些個資當初被收集的目的為何?

4. 現在留著這些個資還有價值嗎?

因為企業常見的問題是,蒐集了太多不需要的人的個資,也囤積了太多已經用過,未來用不到的個資。過去個資在企業代表的是正資產,擁有越多個資就擁有越多客戶或潛在商機。但隨著個資法上路,為了符合法令的最低要求,多了許多個資的維護成本,還可能因為保護不周而遭到行政、民事,甚至刑事訴訟。所以過去的正資產,現在可能變成負資產。

 

為了達成適當的防護水準,增加的個資維護至少包含:

1. 已擁有的個資,須於首次行銷時,實行一對一的完整告知。

2. 須提供正確、合理的聯絡管道,供當事人提出請求。

3. 當事人有權請求閱覽、製給複製本、補充、更正、刪除所擁有的個資。

4. 應有受過個資法訓練的專人,負責處理當事人請求。

5. 現有儲存個資的資料系統,需因應個資法增加欄位(取得來源、直接or間接收集、使用期限、使用目的)

6. 依照個資的使用期限,定期銷毀並留下記錄供未來舉證…等。

 

訂定管理手段與管理程序,有效保護個資

 

以上都是因應個資法所需增加的行政程序,為了避免被增加維護成本拖垮,讓握有個資維持在正資產的價值,建議企業需遵循最小蒐集原則加上個資使用期限,來控管個資數量。藉由盤點企業手上握有的個資,把不需要或已經用不到的個資銷毀,只留下有價值的個資。並主動告知客戶,你擁有他哪些資料,提醒他我們是在哪一次的活動中獲得他的資料,這些資料會拿來做那些用途。趁著因應個資法向客戶宣告,我們是注重個資的優良企業,也向潛在客戶聯繫,增加行銷機會。

 

接下來要思考的是:

1. 這些個資散落在何處?

2. 由哪些人保管?

3. 用什麼方式保管?

4. 在現有的使用流程中,有沒有機會遭到內部或外部人員上下其手?

對於沒有電子商務,也沒有蒐集大眾個資的企業,其實更要注意第4點。因為,不管你是哪一行業,企業可能都會保有面試的應徵者資料,員工的人事資料、保險和健檢資料。這就符合個資法,不限行業只要有一筆個資的適用範圍。

 

相較於電子商務經常遇到各式各樣的詐騙行為,業者早已習以為常,練就一套相應不理、明哲保身的標準作業程序。一般企業面臨的是

1. 你難以否認你握有曾面試、在職或離職員工的個資。

2. 這些個資會被不肖員工或外部有心人士,作為勒索或打擊企業的手段。

3. 缺乏面對個資訴訟的經驗,難以舉出企業有善盡保管責任的證據。

也就是,一般企業未來可能會面臨到的是有計畫性、針對性的攻擊,而非只是亂槍打鳥的詐騙行為。

 

因此,為了遵循法律以及避免可能的損失。即便是沒有蒐集個資的一般企業,勢必要作些調整與因應。要花很多錢投資嗎?其實也不見得,因為個資法主要是要求管理流程上的調整,並搭配適當的技術性防護措施。已發佈的施行細則提供11條遵循方向,包含:

1. 成立管理組織,配置相當資源。

2. 界定個人資料之範圍。                   

3. 個人資料之風險評估及管理機制。  

4. 事故之預防、通報及應變機制。  

5. 個人資料蒐集、處理及利用之內部管理程序。      

6. 資料安全管理及人員管理。

7. 認知宣導及教育訓練。

8. 設備安全管理。

9. 資料安全稽核機制。

10. 必要之使用記錄、軌跡資料及證據之保存。  

11. 個人資料安全維護之整體持續改善。

只要管理階層有決心,有宣示、有計畫的支持,初步增加的主要是管理和行政成本。各項管理防護程序進入到落實層面時,才是比較需要導入技術性防護措施的階段,用以降低管理負擔和確保作業程序被落實的下一階段改善計畫。

 

而且對一般企業而言,因應個資法的最大目的是為了避免損失,每年投入金額原則上也不應大於每年預計損失。因此在因應的初期,更需要有經驗的顧問輔導,將有限時間和人力花在刀口上。對於已有資安控管制度的企業,也可藉由這個契機,將個資防護納入現有的管理制度中,順勢爭取必要資源、一併強化資訊安全的防禦力道。

 

子分類