瀏覽本站

2018年6月15日 星期五

資安危害

資通安全危害與防護
在電腦科學領域中,防火牆(英語:Firewall)是一個架設在網際網路與企業內網之間的資安系統,根據企業預定的策略來監控往來的傳輸。防火牆可能是一台專屬的網路裝置或是執行於主機上來檢查各個網路介面上的網路傳輸。
它是目前最重要的一種網路防護裝置,從專業角度來說,防火牆是位於兩個(或多個)網路間,實行網路間存取或控制的一組元件集合之硬體或軟體

防火牆主要有兩種類型:
第一種類型是叫做 packet filtering router,主要是通過設置一定的規則來轉發或阻止資料包的傳輸。
第二種是 proxy server, 依靠守護程式來提供驗證,然後轉發資料包。

防火牆能夠提高私有網路的安全性。人們經常認為在內部網路與外部網路之間建立一個防火牆能夠解決所有的安全問題。但是一個糟糕的防火牆設置要比沒有防火牆可能更加危險。一個防火牆可以為系統增加另一個安全層,但不可能完全阻止一些駭客高手侵入系統。如果覺得防火牆能夠完全阻止駭客入侵而放鬆了安全設置,那可能會讓駭客侵入系統變得更加容易。

防火牆缺點:
正常狀況下,所有網際網路的封包軟體都應經過防火牆的過濾,這將造成網路交通的瓶頸。例如在攻擊性封包出現時,攻擊者會不時寄出封包,讓防火牆疲於過濾封包,而使一些合法封包軟體亦無法正常進出防火牆。

統計前三大資料外洩原因:
1. 35% – 筆記型電腦或是其他行動裝置遺失
2. 32% – 第三方問題造成
3. 29% – 系統故障
35% 的公司發現筆記型電腦或行動裝置遺失是資料外洩的主因。其中有 56% 發生時,員工他們的筆記型電腦、智慧型手機、平板電腦或其他行動裝置存放有機敏資料。員工不會回報帶有資料的行動裝置遺失事件。只有 19% 的員工會自動回報資料外洩事件。 56% 的公司承認資料外洩事件都是無意中發現的。

人為因素 : 資料防護裡最脆弱的環節,公司最重要的資產是員工,但這同時也可能是最脆弱的一環。特別現在是強調行動資訊,隨時連線以加強生產力的時代。
員工的疏忽讓公司陷入風險>78% 的公司曾經在過去兩年內遭受至少一次的資料外洩事件。
雖然現在的網路犯罪日漸猖獗,只有 8% 的公司最後發現資料外洩的主因來自外部攻擊。只有 19% 的員工會自動回報資料外洩事件,56% 的公司承認資料外洩事件都是無意中發現的。

防止資料外洩的七大必備要件
1.在儲存或使用機密資料時予以偵測和保護:
有效的「防止資料外洩」解決方案應該要偵測和清點存放在筆記型電腦和桌上型電腦上的機密資料,對高風險端點優先給予較多的保護,以及監控和防止機密資料被複製到 USB 裝置、被燒錄至 CD/DVD、被 下載至本機磁碟機、被夾帶至網路傳輸、被加密或被高風險的應用程式隱藏起來。
2.監控所有資料的使用情形並防止機密資料離開任何的網路閘道或端點:
若要防止機密資料傳送到您的組織之外,首先必須妥善監控多個出口與端點。
3.偵測準確度很重要:
一定要準確的偵測出每一個違反安全政策的事件,無論它是在何時、何處以及如何發生。大部分內容監控解決方案只能產出近似的偵測結果,這只會增加您的內部成本與風險。,準確度解決方案的第三個要素則是達到企業級高準確度的能力。而提供偵測技術的規模應涵蓋傳輸量、受保護的資訊和網路架構。
4.自動執行政策:
 一旦發現機密資訊外洩,安全小組與其他人員都有義務採取矯正與補救行動。但是,在沒辦法自動化強制執 行矯正政策的情況下,可能會對安全與人力資源小組造成很大的管理負擔。舉例來說,負責警示違規者和處 理矯正事宜的小組若沒有自動化政策執行的能力,預估將會增加 2-5 倍的正常工作量。此外,以「人為」方 式強制執行與不一致的回應會導致企業降低風險的成效受限,而與實際的資料外洩嚴重性無法連結。
5.加密資料的能見度與控管能力:
 使用得當的話,加密作業就是一項強大的工具,可確保安全傳送和存取敏感資訊。令人遺憾的是,經過加 密的資訊並不表示它已經過核准可以離開您的企業組織。同樣地,已獲准離開您企業組織的敏感資訊並不 一定經過加密。
6.保護員工隱私權:
監控內部資料與員工通訊的過程中,仍有保護員工隱私權的責任。而員工可以將有效的防止資料外洩解決 方案視為用以維護市場領導地位的強大工具。它可以保護無可取代的研發成果、珍貴的智慧財產與商業機密。
7.經過證實的全球規模擴充性與架構
防止資料外洩解決方案必須在未降低系統效能或未妨礙工作者進行其工作的情況下運作,才能發揮效用。。

新版個資法:個資損害賠償上限為五千萬元:
去年開始各種個人資料外洩事件頻傳,各界也紛紛期盼新版個資法(「電腦處理個人資料保護法」)可盡速通過,預估近期內就可通過。一待新法實施,企業也必須對使用者個人資料付出更多責任。
新版個資法改版重點包括:
個資損害賠償上限為五千萬元,若實際損害金額超過五千萬,以實際受害金額為主。違法取得並利用個資圖利者,處20萬到100萬罰款,並從告訴乃論罪轉為公訴罪。個人資料防護就像是保險的觀念,若沒有事前防範得宜,若因資料外洩而上頭條,可就得不償失了。

沒有留言:

張貼留言

鐵塔之美集景