信息数据外泄事件突显企业身份认证管理重要性

    存储在线 6月26日消息:安全专家指出,企业目前除了面临外来信息安全威胁,由内而外的数据外泄是更大威胁。 
  
    半导体龙头厂商近日因为内部数据遭到合作伙伴窃取IC机密,并利用窃取来的商业机密,研发产品图利。这件事再度将信息外泄问题搬上台面,信息安全专家以及业者皆指出,企业数据外泄情况日渐严重,也显示出企业对于员工身份认证的忽视以及执行的困难。 
  
    如何建立企业数据外泄第一防线, IBM相关人员就建议,应该从员工以及外来人员的身份辨识管理(Identity Management)着手,并应强调针对以身份为生命周期管理的机制。该方案是指企业内员工流动后,可以对每个身份加以认证辨识,像是不同职位、职等的升迁后的身份认证做重新的审核等,同以也可以防范企业离职员工透过原有的权限盗取数据的问题。
  
    事实上企业类似的事件层出不穷,中国银行曾发生员工涉嫌将用户数据卖给其它业者,做为推销产品甚至电话诈骗用途。美国司法部与联邦调查局在2001年时就有合作伙伴的大陆工程师涉嫌透过内部网络窃取的商业机密。另一个例子则在2000年时美国苹果计算机新品上市数据被窃取,同时窃取者还将数据直接透过网络散布。 
  
    许多科技业者信息安全措施向来以严密著称,像是透过禁止员工上网、计算机没有USB端口、甚至有的计算机没有硬盘等方式防范,不过对于这些企业来说信息安全外泄情况仍然时有所闻,遑论信息安全做的不够完善的企业。专家及分析师建议,企业除了上述实体的防范外,也需利用身份认证来控管人员存取资源。 
  
    IDC软件产业分析师陈志杰表示,以往许多企业认为资安问题大多自于外部威胁,但根据IDC一项企业面临的资安挑战调查中显示,内部员工控管已成为企业重要控管项目之一,且等级提升到第五名,低于像是病毒、黑客入侵。这显示出内部员工控管已渐渐从以往不重视的层级开始提高。 
  
    现在市场上主要的身份认证解决方案供货商,有IBM 、Novell、CA、Microsoft、Sun、Oracle、BMC等厂商。 
  
    如何有效控管外泄问题,陈俊昌表示,除了身份管理外,应加上员工的存取管理,透过存取权限的设定,才可以确保资料不会被窃取,以及知道每份数据被哪些人阅读过。他建议企业先行评估企业所面临的风险什么是最高的,并从本身所较为需要防范的部分开始着手,像是有的企业文件是以档案居多,就会有员工透过电子邮件传输的方式传送出去,因此,这种企业可以邮件的内容管理开始着手。 
  
    科技发展日新月异,企业不时面临新型态的窃取数据方式,因此,重新拟定有效的资安政策也是很重要的一环,陈俊昌强调。 
  
    CA技术顾问林宏嘉补充表示,企业内拥有权限的人做不合法的数据窃取行为更是防不胜防,因此,除了透过身份认证的方式防止数据外泄,企业往往要透过更强大的网络行为鉴识配合计算机鉴识,纠出可能已存在的泄密行为,藉此确保数据安全。