資料外洩事件突顯企業身分認證管理重要性

留下回應

分享

    

半導體龍頭廠商近日因為內部資料遭到合作夥伴竊取IC機密，並利用竊取來的商業機密，研發產品圖利。這件事再度將資訊外洩問題搬上檯面，資訊安全專家以及業者皆指出，企業資料外洩情況日漸嚴重，也顯示出企業對於員工身份認證的忽視以及執行的困難。

如何建立企業資料外洩第一防線，台灣IBM整合資訊服務部經理陳俊昌就建議，應該從員工以及外來人員的身份辨識管理(Identity Management)著手，並應強調針對以身份為生命週期管理的機制。該方案是指企業內員工流動後，可以對每個身份加以認證辨識，像是不同職位、職等的升遷後的身份認證做重新的審核等，同以也可以防範企業離職員工透過原有的權限盜取資料的問題。

事實上企業類似的事件層出不窮，中華電信曾發生員工涉嫌將用戶資料賣給其他業者，做為推銷產品甚至電話詐騙用途。美國司法部與聯邦調查局在2001年時就有合作夥伴的大陸工程師涉嫌透過內部網路竊取的商業機密。另一個例子則在2000年時美國蘋果電腦新品上市資料被竊取，同時竊取者還將資料直接透過網路散佈。

許多科技業者資訊安全措施向來以嚴密著稱，像是透過禁止員工上網、電腦沒有USB埠、甚至有的電腦沒有硬碟等方式防範，不過對於這些企業來說資訊安全外洩情況仍然時有所聞，遑論資訊安全做的不夠完善的企業。專家及分析師建議，企業除了上述實體的防範外，也需利用身份認證來控管人員存取資源。

IDC（國際數據資訊）軟體產業分析師陳志杰表示，以往許多企業認為資安問題大多自於外部威脅，但根據IDC一項企業面臨的資安挑戰調查中顯示，內部員工控管已成為企業重要控管項目之一，且等級提升到第五名，低於像是病毒、駭客入侵。這顯示出內部員工控管已漸漸從以往不重視的層級開始提高。

現在市場上主要的身份認證解決方案供應商，有IBM 、Novell、CA、微軟、昇陽、Oracle、BMC等廠商。

如何有效控管外洩問題，陳俊昌表示，除了身份管理外，應加上員工的存取管理，透過存取權限的設定，才可以確保資料不會被竊取，以及知道每份資料被哪些人閱讀過。他建議企業先行評估企業所面臨的風險什麼是最高的，並從本身所較為需要防範的部分開始著手，像是有的企業文件是以檔案居多，就會有員工透過電子郵件傳輸的方式傳送出去，因此，這種企業可以郵件的內容管理開始著手。

科技發展日新月異，企業不時面臨新型態的竊取資料方式，因此，重新擬定有效的資安政策也是很重要的一環，陳俊昌強調。

CA技術顧問林宏嘉補充表示，企業內擁有權限的人做不合法的資料竊取行為更是防不勝防，因此，除了透過身份認證的方式防止資料外洩，企業往往要透過更強大的網路行為鑑識配合電腦鑑識，糾出可能已存在的洩密行為，藉此確保資料安全。