面對資料保護挑戰 加密是不二法則



* 你在乎網路的隱私權嗎?

*
你的資料還在裸奔嗎?

*
你擔心程式被竊取嗎?

*
你擔心機密文件被駭客入侵嗎?

*
資訊安全專家 - 正新電腦 - 將提供給您資訊保安的產品和服務。

大量資料(big data)的時代已經來臨,根據台灣國際數據資訊(IDC)預估,2015年創造與複製的資料量將達到7.9 zettabyte (gigabytes) 。「大量資料」正改變企業從中管理與發掘價值的方法,帶動新世代防禦機制,讓資安系統升級成為硬、軟、網路架構等相關業者與客戶的重要課題,成為一場全民運動。


SafeNet 2012
資安世界邁向加密研討會,特別邀請IDC市場分析師吳乃沛與台灣科技大學資通安全研究與教學中心吳宗成主任,和與會貴賓共同分享智能化資安的發展趨勢,以及資料加密控管等新世代防禦機制主題,並邀請NetAppBrocade、逸盈科技、聯宏科技、叡揚資訊、普鴻資訊、台灣澳圖美德資訊科技分享如何協助客戶克服愈來愈嚴峻的安全挑戰解決方案。


2012全球資安市場趨勢
IDC市場分析師吳乃沛表示,亞太地區三大危害企業、社會發展的因素為(1)政治動盪、(2)通膨以及(3)資安威脅,然而亞太地區在此部分仍未具備高認知度,導致資安風險將成為亞太區2012經濟發展的一大障礙。


去年全球多家知名企業受到駭客攻擊,讓2011年成為資安外洩年。隨著新一代硬體以及新技術的使用將為企業帶來新的風險,例如:Web2.0雖帶來更低的成本與更高的資料存取等優點,但其更廣的社交圈也成為惡意團體(駭客)帶來更大入侵的管道,IDC也預測,在2012年,4億個行動智慧型裝置預計將有130萬個設備有機會受到攻擊,當行動裝置愈多可能產生的入侵風險將日趨複雜,再加上未來10年內仍會有80%以上的IT支出應用於雲端環境,這也將對資安計畫產生重要性的改變。

IDC
補充,台灣新版個資法所帶來的需求絕對不會只是在既有的系統設備添加一個簡單的裝置而已,預估 2012年仍將有更多的客戶加入採用安全服務模式的行列,尋求智能化需求,加上雲端應用、行動裝置等新技術所帶來更強大、更難以預防的資安威脅攻擊,也將讓更多的設備端與應用端廠商面臨更多的挑戰。 


吳乃沛指出,雖然企業期待的資安解決方案不外乎包含防毒、加密等基本功能,但因量身訂製的攻擊需要立即的干禦行為演化來配合,因此通用型的資安系統是不足夠的,建議企業在預算限制範圍內依照公司規模、影響公司的優先順序為企業佈署資安設備的優先考量。


面對資料保護挑戰 加密是不二法則
SafeNet市場總監何宛中提出,2011年企業紛紛表示受到駭客攻擊,例如:20116月花旗銀行信用卡客戶資料被盜取等資安問題嚴重影響商譽,如何讓客戶安心將資料放在雲上?如何持續地在整個資訊週期中保護數據安全?為了減少資料外洩和網路攻擊所造成的風險,並保護企業組織的品牌聲譽,在一個組織的資訊安全戰略中,加密已成為其重要關鍵的中心。



隨著法規和立法執行的激增,SafeNet資安顧問經理伍尚池點出,加密(Encryption)是資料保護的不二法則,他將資料分成三類,分別點出不同型態資料的保護要點:結構化資料強調數據加密、非結構化資料強調儲存等備份伺服器加密、雲端資料注意保護不同儲存槽的資料安全。


伍尚池強調SafeNet資料保護方案支援舊系統,可避免過去許多企業導入資安方案失敗的原因,絕大部分都是因為「改變其現狀」會讓使用者在作業時感到不甚方便,因而拒絕採用並設法加以規避所產生的問題。以規管的結構化資料衍生出應用層的資料保護方案(SafeNet ProtectApp and SafeNet ProtectZ)為例,它的優點為速度快並且支援舊系統,此產品支援不同平台(Windows/Linux)、不同語言的彈性,透過高速處理以及於應用層減少審核(標籤化服務方案)的範圍來避免許多產業如:金融業對於加密會降損其每日客戶流量的擔憂。



伍尚池指出資料保護的三大策略:

一、資料管理和法規遵循;為了維護長期有效的法規遵循,組織需要確保技術決策與商務程序的匹配,並投資持續的稽核、監控、日誌和資料完整性。


二、從資料中心到雲端的泛企業資料保護;為了保護所有形式的資料
- 在網路移動、儲存和使用,必須顧及資料管理、技術延伸能力、外來資料類型、策略方法,包括加密、安全金鑰管理、集中化政策與控制,以確保跨越異質環境的資訊保護 - 資料庫、應用程式、網路和端點裝置。


三、整合平台方法;建構一個可延伸的基礎以支援未來成長和新資料類型之安全性。


他強調金鑰和政策管理必須整合並集中化,以提供更大的資訊管控和能見度,並簡化程序以確保最高層級安全性和法規遵循。


許多企業皆在評估或實施資料加密之解決方案,作為對抗資料被竊、確保遵守法規及行業規範的方法,但為了充分並符合成本效益地解決資安缺口,企業於實施加密解決方案時,必須以最適合企業基礎架構及資安政策的方式進行。企業可以在基礎設施內的多個層次執行加密,並用單一設備即可整合多個Web伺服器、應用伺服器和資料庫,當企業面對與資料外洩相關的法規要求及風險控管時,加密及金鑰管理在其中扮有戰略性的重要意義。


SafeNetDataSecure平台為集中的密鑰儲存解決方案,所有密鑰皆於該平台上產生、存放,且從未脫離SafeNet平台。當加密密鑰是「儲存」於DataSecure磁碟內部時,針對密鑰加密兩次以強化。


伍尚池總結SafeNet方案六大論點,建議業者採購與建置時掌握:

一、透過統合平台提供涵蓋已儲存、移動和使用中資料的生命週期保護。


二、集中化金鑰管理,例如涉及多重管理者的金鑰產生、流通、儲存和移轉。


三、具成本效益且調適/延展的平台,支援實體到虛擬化乃至於雲端,能快速且輕易整合到既有/未來IT基礎設施。


四、FIPSCC認證之高效能標準化安全加密處理。


五、集中化政策管理提供完整稽核與報表能力。


六、透過憑證化(tokenization)顯著減少法規遵循之稽核範疇與成本


打造萬無一失的虛擬動態資料中心
NetApp資深技術顧問紀文智以買的越多,賺得越多,使用的空間越多,節省的空間越多來形容儲存。他強調打造萬無一失的虛擬動態資料中心實其虛擬化應用儲存系統需要具備:實用性、安全性、管理性與操控性、靈活性與彈性,透過Production環境支援重複數據、快速複製的儲存虛擬化刪除提高工作效能。


至於如何建置SAN儲存數據安全?作光纖交換器起家的博科公司(Brocade)目前其亞洲市占達八成,其大中國區技術經理林偉表示:「加密已經不是新的主題,我們目前朝向Total Solution前進,現在很多企業數據化將機密監管儲存資料強調加密,而光纖網路成為中小企業不可或缺的工具。」


如何簡化安全存取與傳輸加密確保多種交易管道的資訊安全,台灣澳圖美德資訊科技i-sprint亞太區副總裁黃勝隆說:「首先提供了一個共同的身分驗證基礎設施,以解決跨多個應用程序和多重傳輸管道的安全要求,然後透過通用的認證平台,確保安全整合架構在廣泛的身分驗證機制的頻譜下,利用集成的標記管理模組,簡化管理和物流操作的複雜性。」


透過資料授權與軌跡紀錄 完美保護個資
何謂個資保護法?其適用於自然人與法人,並涵蓋直接與間接的資料,範圍包含個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動以及其他可以直接或間接識別出個人的資料。叡揚資訊副總經理吳黎權說:「我們發現內部個資流露的衝擊大於外部,除了透過資料的加、解密與資料變造、資料授權與軌跡都可成為人力資源資料保護策略。」


吳黎權提醒,從風險評估的結果中,針對高風險個資以及處理個資之資訊系統,應建立檢測與防護機制,以及安全事件紀錄管理,並透過個資儲存與處理機制,以確保個資受到安全的保護,達到機密性和敏感度的預防措施,至於個資在組織內外部以任何型式流通時,應建立安全傳輸機制。此外,為防範個資之資料外洩與確保資料賦予授權人存取,應建立安全資料存取之控制措施且建立組織定期進行安全評估機制,針對系統上線前之程式碼與網站進行安全檢測,上線後之維運系統也應進行安全監控,集中管理每個安全事件紀錄之機制,透過安全事件分析評估,採取矯正行動並從中學得教訓。


面對身分認證的資安漏洞,逸盈科技技術顧問楊正雄建議透過雙因素認證來強化網路安全存取與傳輸加密;利用動態密碼提高了身分存取的安全性以保護廣泛的應用和遠端造問,與SSL VPN、現有Web系統的整合,舉例,使用智慧型手機達到兩段式身分認證其步驟為1.使用者存取OWA登入畫面;2.點擊應用程式以產生OTP(One Time Password)3.輸入使用者、密碼和OTP4.驗證成功開始收發信件等。


然而,個資防護最為首要的金融產業,如何打造一條安全又省錢的資訊之路由台灣銀行延伸到海外分行?普鴻資訊協理林信哲解釋,金融交易安全需求不外掌握資料完整性(Integrity)、資料私密性(Confidentiality)、不可否認性(Non-repudiation)以及身分辨識性(Authentication)。以ATM/信用卡/網路銀行為例,其最需要的即為客戶密碼保護 、正確完整的交易訊息(MAC/TAC)以及安全的基碼運作空間。普鴻 M3000加密處理器支援雙電源供應器達到穩定性並內建一片SafeNet PSG加密卡其符合FIPS 140-2 Level 3規範,且每秒800筆以上的交易速度支援可滿足各項業務成長需求。



至於,在金融交易資料保護方案下,散發出去的金鑰又該如何管理?聯宏科技產品經理鄭凱文補充,金鑰備份與還原的必要性,應用程式整合與系統安全與效能的權衡需要掌握住。


IT 人員如何尋找個資保護的倚天劍與屠龍刀?
隨著法規的激增,IT人員除了建置更完善的設備以及在預算內進行更有效的建制外,對於自身與企業的保戶也相當重要,如何扮演好新版個資法下的IT人員?國立台灣科技大學資通安全研究與教學中心主任暨資訊管理系教授吳宗成博士轉折技術思維至想法的改變,認為資安稽核過度偏重管理稽核,而忽略技術稽核,應當適當設定安全參數,而不是直接採用預設值,他說:「握有權力者常具有工具應用的迷思,在明智已開的現代當開放資訊日益增多,合法應用與保護資料以及當資料被危害或偷時如何向法律執法者證明已盡力維護資源來保護自身權益非常重要。」


吳宗成形容資通安全需求 CIA + NR像是練內功,Confidentiality (機密性)包含資料加密技術與密鑰管理,Integrity (完整性)包含資料與系統數位簽章、雜湊函數、公鑰管理(憑證)Availability (可取用性)包含系統服務;防火牆、入侵偵防與雲端安全(服務與管理)Authenticity (鑑別性) 包含通信個體安全協定、ID 管理(授權),至於Non-Repudiation (不可否認性)則包含應用數位簽章 + 安全協定法令系統 + 數位鑑識。他點出,從系統組件的角度來看其面臨的安全需求,從介面檢視其完整性,並依不同的產業發展出更直接的需求。


吳宗成表示,受到國內外有關資料保護法案的影響,現在企業的IT人員不僅需要管理大量文件及記錄,同時也要做好保護資料內容的安全。任何有關開放資料存取權限的決策過程,一定要有詳加的明文記錄,並強調其開放的理由。若不幸真的發生意外狀況,被檢調單位人員找上門來時,才會有一個足夠堅實的理由來支持你的做法,相信你的確有考慮過相關風險,也想過要如何緩和問題之間的衝突,以及展現你自己對於法律規範重視的程度。



更多資料來源 : http://www.digitimes.cn/tw/iot/shwnws.asp?CnlID=15&Cat=20&Cat1=&id=280009 


SafeNet資訊安全保護鎖系列  , 歡迎您來電借測 !

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : www.pronew.com.tw

正新電腦   TEL : 04-2473-8309