筆者在手邊有兩本正在閱讀中的書,分別是:(1) Future Crimes:everything is connected, everything is vulnerable, and what we can do about it. 作者Marc Goodman,(未來的犯罪);(2) The Silo Effect: The Peril of Expertise and the Promise of Breaking Down Barriers.(穀倉效應)作者是Gillian Tett。主題看似不太相干的書,歸納兩本書內容,其論述內容卻綁著資訊安全意涵,筆者認為就是「犯罪手法開始出現典範轉移,打破傳統資料分析典範,找出新典範新分析手段,達成抑制解決問題的最終手段。」
2016年高雄美濃地震,發生於農曆年前的小年夜,是1999年921集集大地震以來傷亡最嚴重的地震。而維冠金龍大樓的倒塌,造成臺灣有史以來最多人因單一建築物倒塌而罹難(共計115人死亡)的記錄。這場地震,也突顯建築物以及相關法規的安全問題。
近年來,外在受到紅潮併購與高科技人才挖角海外,台灣內部高科技業者間,也頻傳併購訊息,突顯產業生態出現顯著變化,讓企業核心技術也跟著流動。處在此變局,許多企業主莫不擔心兩件事,一是公司手中握有的核心技術,是否外流與被竊取?其次,人員所產出獲利與技術資料是否跟著移轉至競爭對手,造成重大損失。
文 / 精品科技 資訊安全顧問兼資安部經理 陳伯榆
隨著市場競爭的快速變化與衝擊,企業所維繫核心人才或團隊,以及核心團隊或個人所建立的知識( 資訊) 資產,將是這個企業成長獲利的命脈。但是伴隨而來的人才轉移與業界挖角,相關資訊也可能隨之流動,更遑論惡意競爭行為以及商業間諜行為。而存放在核心團隊電腦或是伺服器的知識資訊,可能被盜拷、可能被抹除、可能被變造,甚至間諜竊取。
文 / 精品科技 資訊安全顧問兼資安部經理 陳伯榆
Windows 10 是微軟最新一代的作業系統,因可將合法授權的Windows 7 至Windows 8.1 免費升級,創造出驚人的下載率及使用率。在媒體推波報導下Windows 10 被稱是新一代優質作業系統,許多在此免費誘因下,開始逐步升級更換新作業系統。
但是Windows 10 仍有許多相容性以及安全性問題,需要時間來解決。尤其是需要高度管控企業或組織單位,並不願貿然升級。舉凡創造利潤的繪圖或3D 工具軟體,並與自動控制整合的環境;或事涉資訊機敏資料及需要高度管制的公司,會更為謹慎看待這個新興的作業系統。
文 / 精品科技研發三部 劉文彬
針對不同客戶需求,微軟推出數種Windows 10版本,
依據微軟網站提供的功能比較表[1],Windows 10有以下版本:
|
版本英文名稱
|
版本中文名稱
|
|
Home
|
家用版
|
|
Pro
|
專業版
|
|
Enterprise
|
企業版
|
|
Education
|
教育版
|
|
Mobile
|
行動裝置版
|
|
Mobile Enterprise
|
行動裝置企業版
|
其中家用版、專業版、企業版的定位與過去Windows版本類似,所以不難推測出適用的客群。而Mobile與Mobile Enterprise版本是繼承以往Windows Phone作業系統的更新版本,所以不會單獨發售。
但這就是完整的清單嗎?不,Windows 10 還有更多針對特別需求的版本:
|
版本英文名稱
|
版本中文名稱
|
|
Enterprise 2015 LTSB
|
企業版 2015 長期維護
|
|
IoT Core
|
IoT核心版
|
雖然在微軟網站的比較表中沒有提及Enterprise 2015 LTSB,而從名稱上看來LTSB只是一般Enterprise版本的分支,但實際上Enterprise 2015 LTSB與其他的Windows 10版本相比有幾個不同點:
而IoT Core版本是為了嵌入式裝置而設計,用於取代過去的Windows Embedded版本,所以IoT Core版本提供的功能是可以由製造裝置的廠商選擇的。
Windows 10與之前版本的另一個不同點是更新機制。以往的Windows update允許使用者或管理者由可用的更新清單中個別選擇要更新的項目。在Windows 10中使用者只能選擇更新的分支[2]:
|
更新服務選項
|
英文名稱與縮寫
|
啟用新功能的時間
|
最短的服務存留期[3]
|
可選用此服務的Windows版本
|
|
最新分支
|
Current Branch(CB)
|
微軟首次發行新功能時
|
約四個月
|
家用版、專業版、教育版、企業版
|
|
適用於企業的最新分支
|
Current Branch for Business(CBB)
|
在CB四個月後
|
約八個月
|
專業版、教育版、企業版
|
|
長期服務分支
|
Long-Term Servicing Branch(LTSB)
|
升級為新的LTSB版本時
|
十年
|
企業版長期維護
|
也就是說:
除了上述有正式支援的分支之外,微軟提供Windows Insider Preview Branch,在使用者加入Windows Insider計畫後可以取得,其中又以取得新功能的速度分為兩個Rings:
從以上的版本與更新方式不難看出,微軟的Windows 即服務 (Windows as a Service,WaaS)策略的目標就是希望大部分的電腦(也就是採用LTSB版本以外的電腦)的Windows系統將會採取每年2至3次的逐漸更新的模式,加快新功能被採用的速度;並且避免出現像Windows Vista或Windows 8一般因為功能變化太大讓使用者不願更新的版本。
[1] https://www.microsoft.com/en-us/WindowsForBusiness/Compare
[2]但在某些更新造成使用者電腦當機後,微軟提供KB3073930疑難排解套件讓使用者可以暫時隱藏部份更新。 https://support.microsoft.com/zh-tw/kb/3073930
[3]服務存留期指的是微軟繼續提供安全性更新的期間;也就是說如果目前使用的版本到達期限後若不更新為新版則無法繼續取得安全性更新。
[4]參考 https://technet.microsoft.com/en-us/library/mt574263.aspx
文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
數位舉證這是一個十分嚴肅的課題,因為當企業管理必須採取相關的程序與手段,必有不得不的原因與理由。通常必須假設需要承受冗長法律訴訟的程序,才能有效解決企業「不得不的選擇」。所以相關的準備必須是有效且無爭議的證據,才能在法庭攻防上,獲得法官信賴與採納。筆者想從兩個方面分析,首先是IT 技術層面的主觀舉證,其次是施作程序與管轄地域非技術面的客觀舉證,來討論如何讓IT 相關記錄可以達成舉證效益的目的。
文 / 精品科技行銷部編輯
在這個資訊安全與個資保護越來越重要,甚至將影響企業生存命脈的今日,一套由經濟部所主導推動的個人資料管理制度TPIPAS(臺灣個人資料保護與管理制度)及通過TPIPAS驗證後取得的dp.mark(資料隱私保護標章),正低調透過先影響各產業內的重要企業,希望能逐步提升台灣企業整體對個人資料保護的品質,以及企業對個人資料保護法的遵循完整度與容易度。
近一年多來,肇因於行動裝置、雲端應用等趨勢的盛行,再加上兩項趨勢彼此結合程度益發緊密,進而產生莫大干擾變數,衝擊企業IT疆界治理至鉅;值此時刻,如何促使傳統電子資料防護、也就是資料外洩防護(DLP)機制加以延伸,藉此達到更好的防禦效果,實為相當重要的課題。
精品科技資安顧問兼資安部經理陳伯榆指出,綜觀現行的電子資料防護機制,發揮數項關鍵機能。一是IT介面裝置管控,例如管控外接裝置、光碟/燒錄裝置、列印裝置等等;二是軟體安控,管制範圍含括軟體(特殊)執行、軟體禁用(如禁止使用TeamViewer)、時段的軟體開放、軟體執行行為紀錄、主管審核、延伸檔名管理…等等。
文 / 精品科技 許樹龍
自從雲端隨處可用的概念推出以來,每年都有雲端相關的消息,然而最近這一年多,隨著雲端技術的快速進步,硬體、軟體不斷地推陳出新,雲端硬碟也已漸漸普及,並受到多數的電腦使用者應用在其生活、工作⋯等方面。底下就從一個使用者的角度來看現在的雲端硬碟。
雲端服務是目前最新的商業模式之一,只要網路搜尋雲端硬碟,隨便就可以找到數十個以上的供應者資訊,這裡不特別一一介紹,主要簡單列出幾個國際知名的廠商,以及其提供的免費服務供大家參考。
| 雲端硬碟 | Google Drive | OneDrive | Dropbox | ASUS WebStorag |
| 基本免費空間 | 15 GB | 15 GB | 2 GB | 5 GB |
| 備 註 | 可透過獎勵活動增加免費空間。 | 手機APP連接相簿,可再增加15GB免費空間。(亦有其他的 獎勵活動) |
可透過介紹朋友使用、 連接facebook⋯等,擴大免費空間。 |
購買不同型號的ASUS產品,可獲得大小不等的免費空間。(有限制使用期間) |
然而取得上述雲端空間之後,是否就可以隨意存放檔案呢?答案當然是”No”,舉例來說:上述雲端硬碟對於所存放的檔案,其單一檔案大小有所限制。
以Google Drive為例,存放
不過,免費空間目前只有15 GB,要達到單一檔案大小的上限,勢必要付費增購雲端硬碟的空間。
此外,若是使用Google的Google Drive或是微軟OneDrive,可以很容易的與其相關產品結合使用,增加使用上的便利性。若是大家覺得上述空間不夠,目前就個人所知較大的免費雲端空間,大多數都是對岸提供,例如: 360雲盤,官方網頁說明其提供最低的免費空間是36 TB起跳,有需求的使用者還是要自行判斷各家雲端的申請條款。
上表所提到的雲端業者除了個人版本之外,皆已有提供企業版供各個公司使用。而企業版與個人版在使用上確實有些不同,例如在基本的雲端空間上,上述廠商的企業版目前並未提供無限期使用的免費空間,但是不同業者針對企業版的雲端服務仍分別提供14天~ 60天不等的試用期間,供使用者試用。不過,須注意的是,"OneDrive及Google Drive 的企業版試用結束後若未購買,即無法繼續使用企業版雲端空間"。而且Google Drive在試用期間若是企業帳戶裡的成員人數超過10人,視同試用期結束,未購買產品,將無法繼續試用。
另外,企業版與個人版功能上最大的差異在於企業版設有管理者主控台,可以由指定管理者進行相關管理設定。以OneDrive為例,管理者可以在該企業帳號下,透過CV檔快速大量新增使用者,同時也提供單一登入與Windows AD同步處理的相關設定,可以指派專屬權限,也具有稽核功能,可以追蹤哪些使用者已對網站、內容類型、清單、文件庫、清單項目及網站集合的文件庫檔案執行哪些動作,並且可以於使用者共同作業時利用Yammer ( OneDrive專用 ) 即時交換意見。不過,單以微軟企業版所提供的雲端服務─使用Office 365 OneDrive for Business以及使用SharePointServer 2013 OneDrive for Business,在功能上就有些許差異,例如:稽核功能報表部分,針對使用Office 365 OneDrive for Business的報告項目並不多,主要是顯示已部署的網站,以及服務使用的儲存空間,若是需要較多樣的稽核管控與報告就必須使用SharePoint Server 2013 OneDrive for Business的服務。
同樣的,Google企業版的雲端服務也區分成兩種,一是Google Apps for Work,另一是Google Apps for Work Unlimited,除了使用空間大小有所差距外, Unlimited版本的服務對於雲端硬碟的控管不僅提供進一步的雲端硬碟管理設定,並提供雲端硬碟內容和共用狀態分析資料的檢視功能。另外,在Google企業版的雲端服務中,有一項功能很方便,就是當人員離職或是職務更動進行業務交接時,管理者只要在管理介面上輸入新舊擁有者的電子郵件,就能搬移所有郵件與雲端硬碟的資料給新使用者,快速完成資料轉移。
建議各個企業組織在評估導入雲端服務時,除應考量自身的需求外,並應深入了解不同版本的功能以及授權條款應注意事項,方能選用適合的方案若要使用企業版需要注意哪些事項公司或組織導入企業版雲端硬碟時,因為該雲端服務為多人使用,應更加小心注意相關控制,以免因疏忽或意外對公司或組織造成重大傷害。但是,如何了解應注意那些重點呢?建議可使用資訊安全管理系統基本CIA的三個面向來看 – C ( Confidentiality;機密性 )、 I ( Integrity ; 完整性)、 A ( Availability ;可用性 )。
以上簡單列舉幾個面向作為導入雲端控制評估應注意事項的參考,盼能在公司或組織建立雲端服務的相關管理控制上有所助益,以期達到增進作業效率的效果。
文 / 精品科技 資安顧問兼資安部經理 陳伯榆
雲端服務並不侷限雲端儲存這一項應用,有許多創新應用吸引著使用者。雲端應用可以應用在工作、教育、生活⋯等各個層面。伴隨著Web Based 技術快速發展、行動可攜(Mobility) 裝置普遍使用、以及未來必定成熟的IOT 技術,都將脫離不了雲端應用。
文 / 精品科技 資安顧問兼資安部經理 陳伯榆
伴隨相關雲端硬儲存或是雲端服務的逐漸普及,不論在企業組織或是個人使用,這一條「公」與「私」的界線也越來越模糊,企業組織的機敏性資料也暴露在網際網路世界中,資訊安全所重視所謂的「Access Control」面臨很大的衝擊。在前篇「企業雲端安全使用」,已經提供企業織對於雲端防護的可能性作為,在本篇將完全聚焦在雲端加密軟體的應用與功能的優異與缺點說明。
文 / 精品科技 研發一部 陳茂清
首先要探討到Hacker文化,Hacker指的是擁有技術並且志在解決問題及突破創造之人,只要你熱衷於鑽研技術、分享技術、喜歡修改現有程式後重新發佈且樂於解答他人問題,在電腦軟體或硬體界貢獻一己之力直到有Hacker稱呼你為Hacker時,你便是一位Hacker。雖然在國內各大媒體及大眾眼裡,所謂的駭客就是一群具備入侵他人電腦能力的人,且不區分Hacker及Cracker。其實作為一個Hacker,入侵他人電腦系統只是因為其了解電腦系統的運作原理,並且有能力進行一定程度的干涉(創造或者破壞),故若要成為目前大眾所認知的Hacker,你必須要先懂得電腦系統、軟硬體、網際網路等等的運作原理,方能知悉如何干涉其中,並會因為你之後的所作所為在駭客界中將你區分為Hacker或者Cracker。
CISSP (Certified Information Systems Security Professional) 是 (ISC) 這個非營利組織所推行的資安認證。目的是提供資安從業人員在資訊安全領域上,不同範疇專業能力水平。擁有所需要的技術水準與經驗,能有效地處理及執行企業的資訊安全系統及政策。
有別於其他一般的IT 認證,CISSP 是中立的,跟產品或廠牌無關。大家所熟知的 MCSE、CCNP... 等,都是針對廠牌或產品所設計的證照;適用於ISP/ISV 服務供應商的專業從業人員,而CISSP 範疇則是較為廣泛,不侷限在特定產品上。
這個認證對實務經驗也有一定程度的要求,考試的題目中會穿插一些實驗性題目;也有部分是實務經驗題。因為在實際工作上所面臨到的問題,並非一定有標準答案可以依循。從業人員的專業知識與工作經驗,決定了解決方案內容。所以經驗不同,答案可能不同;不是標準答案,而是Best Practices。
文 / 精品科技 資訊部 鄭文聖
目前企業較為常見的作業系統大都為微軟Windows及 Red Hat Linux,而經常使用及管理微軟作業系統的人知道,每星期或每天幾乎都有修補檔(Patch)要安裝,防毒軟體更新等,而系統管理人員大都也會乖乖照做,問其原因,普遍回答”Windows很容易中毒”、”Windows容易被攻擊”⋯等,其實所有作業系統均需要被良好的管理,差別在於觀念及做法,下面我們從使用者角度介紹,來看看如何做好個人電腦的資訊安全防護。
文 / 精品科技 法務 邱芷葳
接到僱用公司的錄取通知後,報到當日往往需要花費至少半天的時間來簽署各種文件,但報到當天要簽的文件究竟有哪些呢?
文/精品科技 研發一部 鄭楷照
隨著智慧型行動裝置(手機、平板電腦等)的普及,人員攜帶行動裝置上班成為普遍情況。由於行動裝置的功能強大,如果企業、組織沒有做好防範,便有可能造成機密資料、資訊洩漏。在企業、組織的機密管制區域,通常會禁止人員攜帶智慧型行動裝置(手機、平板電腦)入內,以避免機密被洩漏。然而行動裝置有許多功能對於使用者有幫助,可增進工作效益,而不虞造成機密資料洩漏。如果能夠對於行動裝置可能造成機密外洩的功能或行為進行限制,而不影響其他功能,將可以在保護資訊安全的前提下,給使用者更多便利。
行動裝置控管(Mobile Device Management,簡稱MDM)能夠對行動裝置(如手機、平板電腦或其他攜帶性裝置等)的功能或操作行為進行控管,以保護企業組織的機密資訊。
現行MDM軟體的常見功能,包括整合使用者帳戶/憑證,以設置資安控管政策與權限;控管行動裝置硬體功能(如相機、Wi-Fi、藍牙…)並且留下使用記錄;收集行動裝置硬體與系統資訊(包括裝置ID、各硬體功能開關狀態、電量…);行動裝置遺失對策(位置追蹤,遠端鎖定裝置,遠端抹除裝置資料(Wipe)…)等。
MDM軟體對於行動裝置上的軟體(APP)亦可進行控管(亦稱為Mobile Application Management,MAM),例如控管行動裝置安裝的軟體:強迫安裝、反安裝APP,限制軟體的執行,以及管理企業內部APP的下載分享。MDM軟體可控管企業組織的機密資料的存取途徑、與使用者權限,避免儲存於行動裝置的機密資料被外移備份(亦稱為Mobile Content Management,MCM)。
現有的MDM軟體架構,除了運行於行動裝置的MDM APP,通常還具有MDM的中央伺服器。中央伺服器可以是Internet上的雲端伺服器,或架設於企業組織內部網路。中央伺服器管理安裝有MDM APP的行動裝置,例如指派資安政策、收集裝置資訊、遠程遙控等;中央伺服器可兼具企業資料伺服器的功能,行動裝置只能透過中央伺服器途徑存取機密資料,使機密資料流向得以管制;中央伺服器亦可作為企業內部的APP Store,讓使用者下載安裝所需的應用軟體APP。
為了在使用者上班時自動控管裝置,而在下班後能便利解除管制,現有MDM軟體有些可設置為根據時間與位置決定是否處於管制狀態。例如判斷時間是否為設置的上班時段,如果在上班時段內才啟用管制。這需要與中央伺服器同步時間,並且偵測時間是否經手動修改;地理位置則根據GPS、AGPS取得座標,檢查是否在定義的管制區域內,如果在管制區域內才執行資安政策。
1.使用者將企業組織機密外流:
企業組織常在內部網路,以資料伺服器方式儲存、分享資料。現在的智慧型行動裝置均具有Wi-Fi連線能力,因此若資料伺服器與行動裝置雙方面沒有保護措施,當行動裝置進入內部網路區域,便能夠作為終端隨意下載內部資料,抑或是透過USB、藍牙直接與內部設備連線,從而複製外移檔案,造成機密資訊外流。此外現在行動裝置大多具有攝影機設備,若未加以限制,則很容易經由拍照或錄影方式取得機密資料。
為了保護企業組織的資料不外流,對於儲存、分享資料的途徑必須加以管制,例如使用中央伺服器統一儲存管理資料。使用者需要以本人帳號登入中央伺服器才能夠存取內部資料,並且所有存取行為會留下操作記錄以便追蹤。機密資料在傳輸過程也必須加密,並且經MDM APP下載到行動裝置後,需要將機密資料分隔存放於保護區(仍加密),使資料不能夠複製外移,要檢視機密資料亦需要進入MDM保護區(可設密碼保護),並且透過指定的唯讀APP或是MDM軟體解密後瀏覽,以進一步保護資料。透過MDM軟體限制行動裝置的相機等硬體,以避免機密資訊被拍照流出。
2.行動裝置遺失:
若存放有企業組織機密資料的行動裝置遺失在外或失竊,則機密資料可能被因此外流。若行動裝置預先安裝有MDM軟體,則遺失裝置時,可即刻透過網路或簡訊方式遙控,遠端將行動裝置鎖定、遠端抹除行動裝置資料,或利用位置資訊追查裝置下落等措施進行補救。並且平時MDM可強制使用者設定有足夠安全的密碼(與有效期限,到期則必須重設),再配合將機密資料加密、分隔存放的方式,以增加遺失裝置後的安全時間。
3.不當APP
使用者可能有意無意間,執行不當的APP軟體,例如已知的惡意軟體(木馬、資安漏洞軟體)、可能造成資訊外洩的APP、破解或非法軟體、或其他列管APP。透過MDM軟體,可以設置黑白名單限制行動裝置可安裝或執行的軟體,以避免因為使用不當APP遭受損失。
端點防護軟體包括防毒軟體(Anti-Virus)、防間諜程式(Anti-Spyware)、防火牆軟體(Firewall)、入侵預防(IPS)等,可防範外來的病毒、惡意軟體、木馬或其他形式的入侵攻擊。MDM軟體則可管制使用者的操作行為、控管行動裝置功能與APP執行、以及機密資料的存取途徑,從內保護企業組織的機密資料。若能搭配MDM與端點防護軟體,可更全面的保護機密資料安全。
精品科技現有MDM產品為AndroidFORT,支援Android平台,具有硬體控管功能如Wi-Fi控管(只能連結名單上的AP)、藍牙控管、SIM卡異動鎖定、遠端鎖定、遠端抹除資料等,可收集硬體資產資訊(裝置ID、SIM卡ID、SD卡容量、電量、…)、位置追蹤;能夠依名單管制APP軟體的執行,並且收集已安裝APP軟體名單。與多種操作記錄(檔案操作、軟硬體異動、來電撥出記錄、…)。
MDM軟體能夠管制行動裝置功能與使用者操作,讓企業組織能夠信任人員攜帶行動裝置工作時,避免因此造成機密外洩的損失;對於使用者而言,在限制敏感功能後,能夠使用行動裝置其他功能可帶與其便利,而不至於徹底禁止攜帶智慧型行動裝置。唯在保護資訊安全之餘,也需要注意使用者觀感,尤其當行動裝置並非由企業組織統一配給,而是屬於使用者本人時(Bring your own device, BYOD):例如必須尊重使用者個人資訊隱私、不該在管制地區/時段外妨礙到使用者正常使用、事先向使用者教育管制項目、與將收集的裝置資訊等。
文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
首先要了解升級的背景,關於ISO/IEC 27001升級,依據國際標準組織(ISO)遵循標準,每隔5年必須進行升級修訂的原則來進行。而目前的版本是已經使用8年,這8年的資訊安全變化已非同日而語,必須因應需求進行調整升級。大家也認同原先ISO 27001:2005與ISO 27002:2005的版本在體系整合、控制項邏輯問題、充分性等條件都有強化改進的空間。此外雲端安全更是不能輕忽的狀態ISO/IEC 27001:2013可以與雲端安全聯盟 Cloud Security Alliance (CSA) 所提出雲控制措施矩陣Cloud Controls Matrix (CCM)讓相關控制措施充分結合與應用,就是在處理新資訊服務的另一發展趨勢。
文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
若以雲端服務及應用落實的Google 紀元來算起,Google雲端應用服務已經過邁入15年。反觀雲端服務成為廣泛應用也是這2~3年間才快速成長。不從學理上嚴謹的Cloud Computing的定義來界定市場「真雲端」、「假雲端」服務。單就服務應用與創新層面來看,在網際網路結構下,雲端應用(SaaS)的龐大資訊應用與交換,以致延伸出巨量資料分析,就有十分驚人的價值。
文 / 精品科技 資訊安全顧問兼資安部經理/ 陳伯榆
「如何利用資訊安全技術來強化產品與系統」,沿用這樣的概念,技術應用當成內部及外部資訊安全其中一項重要手段。而「做好內部資訊安全」還需考慮到其他面向,包含:資訊安全管理制度( 標準遵循)、法令的配合遵守,都是組成資訊安全妥善度的重要措施。
上述這三個要素會因產業別、服務對象、法令或是行業法令差異、IT 部門規模、知識產權強度…產生不一樣處置或管理方式,有些組織或單位會特重某些面向,但都脫離不了建構資訊安全三大要素。
