upside
 
   
  
 反病毒 反诈骗 反虐犬
|
分享:
▼
x0
|
裁员潮当心资料外泄
经济不景气导致企业纷纷紧缩编制,甚至采取裁员策略。针对这波正在陆续发生非自愿离职潮,企业应平常即做好避免资料外泄准备。
离职员工导致资料外泄国内外案例
刑事警察局于今年(2008)3月接获企业报案,某企业离职员工自行成立一家与旧公司性质雷同的电子商务公司,该离职员工盗用接任同仁的帐号、密码,入侵公司资料库,甚至取得旧公司国外竞标的订单,窃取资料值5百万台币。今年(2008)初某购物台离职经理将客户资料存入个人硬碟中,并盗卖14万笔个资取得不法获利。
Check Point去年(2007)六月以「员工与资料安全」为题,向英国二百位高级资讯科技专业人士进行研究调查,结果显示,接近半数英国人会把旧雇主资料带到新公司使用。虽然有百分之七十四的受访企业,规定员工不得携带公司资料离开办公室,但仍有百分之八十五的员工承认可以轻易下载公司的商业竞争资料。
趋势科技针对企业终端使用者进行问卷调查,也发现几个有关资料外泄的事实:
◎获得授权的员工是导致企业资料外泄主因。尽管大型企业已纷纷采用如虚拟私有网路 (VPN)、防火墙以及网路监控工具等保护措施,试图防范未经授权的外部人士存取专属资讯,但这些解决方案仍不足以因应内部使用者日益加剧的威胁。
◎许多员工都不清楚木马程式与其他恶意程式可能出现在部落格的意见反应与网页内嵌的其他程式码中。
◎6% 的终端使用者承认曾经对外泄漏公司资讯,16% 相信其他员工曾导致资料外泄。
◎资料外泄成因包含刻意违反规定,例如窃取资料以换取金钱报酬,也可能是意外造成,例如员工随处放置随身碟或遗失内含客户帐户号码的笔记型电脑等。
<小测试>贵公司有资料外泄风险吗?
□是否在员工离职前,启动资料保护与存取控制程序?
□是否有员工在离职前,已经将敏感资料「备份」在家中的电脑或未获授权的储存装置?
□在员工违反公司安全政策,如将机密文件复制到 USB 时,有办法立即察觉并阻止吗?
□在监控与强制实施资安规定时,可兼顾员工生产力与避免「被监控」的反弹吗?
□ 引进新的行动装置或拓展远端据点时,是否有相对防制资料外泄的对策?
如果你的答案多数不确定的,那么建议你看以完以下文章。
十大避免资料外泄守则
根据世界着名会计事务所KPMG调查,全球有超过2.8亿的人口在过去3年中,个人资料曾因防护不周而外泄;在2007~2008年间,骇客入侵造成资料遗失的受害人数,高达6,000万人;46%的密码未受妥善保存或加密保护,62%的人曾发生资料遗失。以下是趋势科技提供的十个避免资料外泄守则:
1.防止员工将将机密资料复制到USB 随身碟
员工离职前,可能会将资料复制留底,比如将机密文件复制到 USB 随身碟时,企业最好采用可立即阻止员工的行为的 DLP资料外泄防护方案。另外,平日提高员工对于资料保护规定的认知,尤其是在「使用时」加以提醒,将有助于减少,甚至完全避免高比例的资料外泄问题,无论是刻意的行为或意外所造成的。
2.防止员工将敏感资料「备份」在家中
将公司帐户清单转售给竞争对手等许多行为很显然应「严格禁止」,但是也有许多介于「灰色地带」的违规行为,比如将敏感资料「备份」在家中的电脑或未获授权的储存装置中。若未善加处理,可能将导致损害更严重的资料外泄问题。
3.侦测相关资料外泄事件,同时不会造成员工的不便与影响生产力
任何可能影响员工日常活动的新技术都必须聪明而精确地避免降低员工生产力及造成他们的挫折感。在监控与强制实施防范重要资料外泄的规定,以及让员工与系统管理员能够顺利完成工作并推动业务成长之间,必须订出一条明确的界线。
4.防止非必要的通讯协定进入公司网路。例如 P2P 通讯协定与 IRC 等。
5.限制所有网路使用者的权限。
举例来说,核心层级的 Rootkit 会以装置驱动程式的型态进行安装;因此禁止使用者拥有「载入和释放周边设备驱动程式」权限将可大幅降低风险。
6.建议员工可以浏览及禁止浏览的网站。
许多员工都不清楚木马程式与其他恶意程式可能出现在部落格的意见反应与网页内嵌的其他程式码中。制订安全政策与网际网路使用方针,以便控管存取的资讯。还应该要求使用者避免安装不明公司或组织所提供的档案。
7.建议员工在接到电子邮件或电话时,勿透露任何敏感资讯。
银行与其他组织绝不会透过电话或电子邮件要求提供帐户资讯或身份证字号。
8.建议安装采用多层架构策略的防护解决方案,以便在资料进入闸道之前,即可在网际网路层级确认其安全性。
另外在网际网路闸道,网际网路与企业网路或网际网路服务供应商网路的连接处保护资料。此外还应该在网路端点部署防护措施,以便在使用者的 PC 或伺服器上分析资料。
9.在网路上部署安全弱点扫瞄软体
确保所有作业系统与其他软体均已安装最新的安全性修补程式,以更新及修补其中所含的安全弱点。所有使用者均应开启作业系统、浏览器以及其他应用程式的「自动更新」功能。
10.持续定期更新所有系统。
为协助保护使用笔记电脑的行动化员工,请持续定期更新所有系统,并选择具备网际网路层级 (in-the-cloud) 更新功能的安全防护产品
资料外泄防不胜防,企业主应更主动寻求防御措施
由于不仅要抵御外来入侵,还必须防御内部有心人士窃取资讯,因此趋势科技推出一套专门防止内部员工不小心或刻意将资料外泄的资料防泄防御解决方案Trend Micro Leaf Prool (TMLP)。传统的资料外泄解决方案,大多使用关键字规则来侦测机密资讯, 有心人士只要改写部分内容,很容易瞒骗过去,而有些解决方案则是建构在网路端,无法有效的锁定每一台用户端的电脑的USB;此外,目前普遍所见的E- DRM解决方案,通常只针对某些特定的档案格式,无法达到全面有效的资料外泄防护。
LeakProof利用多重比对引擎,为每一份文件制作独一无二的DNA,也就是所谓的「指纹」,这些「指纹」能让用户端装置在连线或离线时强制实行保护措施。就算是有心人将文件的某段重要文字剪下贴入电子邮件中,LeakProof仍能判别出来,并禁止文件寄出。LeakProof支援300多种档案格式,电子邮件、Web- Mail、IM、FTTP、HTTP、SMTP等网路通讯协定,并包含用户端装置的输入输出管道,例如将档案传送到USB行动碟、光碟机等等,IT管理员能够轻松停用某些装置,有心人士很难用各种管道瞒骗过关。
LeakProof共有伺服器端与个人端软体。IT管理员能自行编辑,显示在使用者电脑画面上互动式「警示」对话方块内容,可藉此教育员工如何正确处理机密资讯。未获授权的资料传输及复制会被阻挡,或是能要求员工在将资料复制到USB 装置前,使用内建的资料加密模组将资料加密。趋势科技强调:「安装LeakProof Client端软体,可以避免使用者透过个人电脑或是利用USB将档案偷偷Copy出去;在布署资料防泄防御系统时,必须考虑到如何才能不惊扰员工,也不应该影响工作生产力,管理人员可以设定让使用者在完全不知不觉的情况下运作这套软体,并维持管理运作的协调。」
|
