企事业单位在评估是否要进行电子数据保护,第一步就是要先进行风险分析的评鉴工作。从ISMS(ISO 27001国际信息安全标准)定义信息安全就是将重要性高的信息及资产,分析其外部威胁对应到内部存在弱点所产生的潜在冲击,这一系列风险评鉴分析的过程,还需要了解企事业单位的处理程序,因为信息资产所面对的风险因子有可能来自于作业缺失、人员的误用...等,这些是要透过作业流程分析才能观察到。经过风险分析后就要拟定对策,即采用安全控制措施,针对电子数据保护目标而言,例如通过数据分类分级、制定信息安全控管政策、访问权限控制、内容过滤审核、存取纪录保存、人员教育训练...等,都是经过风险分析后可采取的管理控制措施。
近来网络攻击目标多锁定在窃取数据,内部数据外泄的问题也随着商业激烈竞争,而成为信息安全焦点。数据外泄可能起源于外部,例如:黑客会采用Email夹带木马程序、伪装成钓鱼邮件、或发送大量垃圾邮件..等方式,试图窜进企业内部网络,引诱粗心的收件人点开邮件后植入恶意软件,进而窃取计算机里的机密数据。面对这类威胁所造成的数据外泄事件,运用垃圾邮件过滤系统(如守内安SPAM SQR),便能防制垃圾邮件及Inbound邮件攻击(包含钓鱼邮件)所造成的伤害。这类邮件有时会夹带危险附件,如带有木马间谍程序等有害文件,因此企业机关面对的不仅是电子文件保护的问题,如何保护企业网络安全,不让病毒伪冒成正常文件钻进企事业单位,也成为非常重要的问题。
据IDC的调查统计,全球企业资料外泄的最严重管道是电子邮件,约近六成的事件是经由电子邮件进行数据外泄。当外泄事件源自于内部用户,就须在网关及端点部署安控设备,才能做好良好的安全防护。若企事业单位不想做严谨的审核,只想把电子邮件做完整备份及归档调阅等事后查核的管理目的,可通过邮件归档系统(如守内安Mail Archiving Expert),运用强大归档调阅功能可作为邮件举证以辅助数据外泄的审查行动。
若企业经过风险评估后决定采取较严谨的管控模式,通常会先制定安控策略,并运用邮件审计系统(如守内安Mail SQR Expert)进行邮件内容传输的管制,若查觉传输邮件内容异常,则会由专责人员或部门(甚至直接由高阶主管)实施邮件稽核等管控工作,这类管理便属于严谨的风险控管范例。
泄密的管道不仅Email,只要运用Webmail、IM、FTP、Telnet、P2P、网页存取..等方式,就能轻易将数据传出去。守内安Content SQR可配合政策来管理这些上网行为,留存对话纪录及内容,可作为违规及资料外泄的举证,并封锁危险的通讯内容。Content SQR的网络内容过滤技术可涵盖网络层到应用层,优于一般网络监控系统,更能做好对“网络服务用户”的管制,一次解决多样化的网络内容管理(包括Web、Email、IM、P2P、FTP..等)。
