SafeNet 身分認證與檔案加密控管
SafeNet 使用強大的身分認證服務保護資訊安全 - 築起堅固防線
資料外洩事件層出不窮,駭客或惡意人士在利益驅使下,會用盡不同方法嘗試入侵內網,加上 BYOD 盛行,資安控管政策卻來不及跟上,加密機制已成為最後一道防線。
SafeNet 資料保護方案因應現代化 IT 應用模式改變,逐步擴大可提供保護的範圍,包括檔案、資料庫、儲存、虛擬環境甚至公有雲端服務,皆有相對應的控管措施。
SafeNet 資料保護方案資深副總裁兼總經理 PrakashPanjwani 指出,現今駭客入侵手法相當多元,像是美國零售業者 Target的資料外洩案例,主因是 POS 主機遭受惡意程式入侵,進而盜取大量消費者的信用卡資料。他認為,面對駭客多變化的攻擊手法,企業對於資料保護的心態應該要有所轉變,現有的防護技術已被多次證實不足以防護,須從管理面嚴格把關,首要是接受資料外洩存在的現實,並更新資料保護政策;其次是明確定義保護標的;最後才是實施控管措施。
實務上應有的作為,Prakash Panjwani 建議是直接針對防護標的予以加密,像是信用卡帳號、公司營運的機敏資料,可能被存放在應用程式、檔案伺服器、資料庫、已歸檔的儲存環境,或是新興的雲端儲存中,便須在防護標的應用環境建立加密機制。而加密後的金鑰管理同樣是不可忽視的環節,尤其是在公有雲端的多重租賃技術應用模式下,掌握金鑰的控制權才可確保檔案存放在雲端的安全性。另一項重點是存取控管機制,從 Target的案例發現,公司外部人員接取內部網路亦可能導致資料外洩,在評估資安防護時不可不慎。
至於日前 OpenSSL 出現 Heartbleed重大漏洞(編號CVE-2014-0160),可能造成資料外洩,傳出加密機制因此受到安全性質疑,Prakash Panjwani 認為,「以往有類似事件發生時,都是由開放陣營的資安專家發現後通報各個採用此技術的廠商,及時予以安裝修補程式。這次事件較以往不同的是,在還沒有通知相關廠商之前,消息就已外流並開始被討論,才會被放大檢視。實際上很多公司都早已快速地做出相關回應。」
Prakash Panjwani 指出,該漏洞並非通訊協定本身,或 SSL 演算法出現問題,而只是在實作上產生漏洞,也已立即釋出更新修補程式來解決。就正面來看,漏洞很快地就被社群發現,並及時提出修補程式,亦可代表該維護的社群很積極在維護,不應由單一事件否定技術本身的安全性。
資料來源:http://www.netadmin.com.tw/article_content.aspx?sn=1406050002
正新電腦 TEL:04-2473-8309 www.pronew.com.tw