資訊安全威脅日益嚴重,除了為人所關注的外部網路攻擊之外,企業內網安全也不容忽視,甚至更應該受到關注;因此對企業而言,不妨先從資訊安全管理政策著手,導入資訊安全管理系統,教育使用者對資訊安全的重視並樹立資安觀念,進而搭配現在各大網路供應商所提供的內網安全解決方案,不論從交換器著手進行IP/MAC管制,或以NAC(Network Access Control)管控接取裝置及認證機制,甚至避免資料外洩而部署防水牆、導入DLP(Data Loss Prevention)解決方案等,都是現階段的可行之道。
<p>
從內部使用者而來的威脅,對企業組織帶來的傷害可能要比外部攻擊來的嚴重,但由於牽涉到人員管控,因此不少IT人員提及,內網安全防護應該要通過總經理以上等高階主官授權,IT部門才能實際執行內網安全防護,落實相關管理政策。
 |
| ▲漢昕科技(BCCS)資訊安全顧問花俊傑表示,企業在還不了解如何制定安全管理政策時,能夠依據資訊安全管理規章,逐一建立內部制度,許多銀行業的內規安全程度甚至超越國際管理標準,資訊安全的強度就相當高。 |
漢昕科技(BCCS)資訊安全顧問花俊傑表示,內網的資安議題包含了技術、管理、教育三大面向,通常對資訊人員來說,都是關注在技術面,看到了資安問題就要尋找對應的技術,例如NAC和DLP等方案。
第二個面向是管理面,屬於比較廣泛的資訊安全做法,只要一個企業組織較為重視資安,一定會訂定資安政策。他表示,在公司內跟資安有關的事情,都要依據資安政策的做法和要求,接下來並制訂相關的作業程序,讓使用者遵守。
另外管理面還有一定要做的事是法規的要求,例如台灣的個資法,適用單位包括公務機關及非公務機關,基本上只要有人事單位就一定有個資保護需求,所以針對個資法所做的管理要求,要先確定公司的個資所存放的位置在哪裡。新版個資法實行後,讓資料保護不再僅止於影響IT部門的責任,還將牽涉到人事單位,甚至企業主。
還有一塊是教育面,也就是提升員工資訊安全意識。花俊傑指出,內網管理的主要對象是人,因此也要了解企業內部員工的資料存取行為有哪些,進而告知員工資訊安全規章規範。到底使用者有無遵守,這也是要注意的問題,例如現在很多政府單位針對社交工程做演練,同時也能達到資安教育的目的。
了解現況
企業導入資料保護的工具、存取行為的控管,目的都在於降低企業內網安全的風險,而有制度的企業要提高內網安全防護,就必須制定資訊安全管理的政策,或是導入資訊安全管理的標準,且公司高層必須賦予相關管理者權限,才能夠有效實際在公司內部執行內網安全政策。
花俊傑表示,當管理權責確認後,就可以透過標準規章來管控內部資訊安全。例如導入ISO 27001 ISMS資訊安全管理系統,針對管理面作加強,規章內針對內網安全管理也有指定細項做出管控,讓企業資訊安全保護能符合國際級標準要求。
他表示,導入資訊安全管理制度,首先要先了解企業現況,確定要保護的目標,包含資訊資產、機密資料、公司專利或是公司的人事資料等。其次則是要看資料傳遞的範圍,有些資料可能大部分在公司內部流動,例如人事資料不太可能傳遞出去,但是合約就可能會在內外部做傳遞,因此要去了解資料平常位於哪些位置以及資料傳遞的方式為何。
再進一步就是檢查現有作業流程,例如針對這些合約資料,內部是否有管控方式,如果沒有就建立,如果有就去檢查傳遞的流程是否正確。花俊傑指出,常常發現很多企業的資料傳遞流程其實是違反了資安政策,常見的例子是企業內部人員用E-mail副本或密件副本將資料寄出,但是副本收件者卻是不應該能夠收到資料的人。所以,了解現況是導入管理機制的第一步,如果今天的管理是針對技術面來管理,也是採同樣的步驟。