信息数据外泄事件突显企业身份认证管理重要性

    存储在线 6月26日消息：安全专家指出，企业目前除了面临外来信息安全威胁，由内而外的数据外泄是更大威胁。 
  
    半导体龙头厂商近日因为内部数据遭到合作伙伴窃取IC机密，并利用窃取来的商业机密，研发产品图利。这件事再度将信息外泄问题搬上台面，信息安全专家以及业者皆指出，企业数据外泄情况日渐严重，也显示出企业对于员工身份认证的忽视以及执行的困难。 
  
    如何建立企业数据外泄第一防线， IBM相关人员就建议，应该从员工以及外来人员的身份辨识管理(Identity Management)着手，并应强调针对以身份为生命周期管理的机制。该方案是指企业内员工流动后，可以对每个身份加以认证辨识，像是不同职位、职等的升迁后的身份认证做重新的审核等，同以也可以防范企业离职员工透过原有的权限盗取数据的问题。
  
    事实上企业类似的事件层出不穷，中国银行曾发生员工涉嫌将用户数据卖给其它业者，做为推销产品甚至电话诈骗用途。美国司法部与联邦调查局在2001年时就有合作伙伴的大陆工程师涉嫌透过内部网络窃取的商业机密。另一个例子则在2000年时美国苹果计算机新品上市数据被窃取，同时窃取者还将数据直接透过网络散布。 
  
    许多科技业者信息安全措施向来以严密著称，像是透过禁止员工上网、计算机没有USB端口、甚至有的计算机没有硬盘等方式防范，不过对于这些企业来说信息安全外泄情况仍然时有所闻，遑论信息安全做的不够完善的企业。专家及分析师建议，企业除了上述实体的防范外，也需利用身份认证来控管人员存取资源。 
  
    IDC软件产业分析师陈志杰表示，以往许多企业认为资安问题大多自于外部威胁，但根据IDC一项企业面临的资安挑战调查中显示，内部员工控管已成为企业重要控管项目之一，且等级提升到第五名，低于像是病毒、黑客入侵。这显示出内部员工控管已渐渐从以往不重视的层级开始提高。 
  
    现在市场上主要的身份认证解决方案供货商，有IBM 、Novell、CA、Microsoft、Sun、Oracle、BMC等厂商。 
  
    如何有效控管外泄问题，陈俊昌表示，除了身份管理外，应加上员工的存取管理，透过存取权限的设定，才可以确保资料不会被窃取，以及知道每份数据被哪些人阅读过。他建议企业先行评估企业所面临的风险什么是最高的，并从本身所较为需要防范的部分开始着手，像是有的企业文件是以档案居多，就会有员工透过电子邮件传输的方式传送出去，因此，这种企业可以邮件的内容管理开始着手。 
  
    科技发展日新月异，企业不时面临新型态的窃取数据方式，因此，重新拟定有效的资安政策也是很重要的一环，陈俊昌强调。 
  
    CA技术顾问林宏嘉补充表示，企业内拥有权限的人做不合法的数据窃取行为更是防不胜防，因此，除了透过身份认证的方式防止数据外泄，企业往往要透过更强大的网络行为鉴识配合计算机鉴识，纠出可能已存在的泄密行为，藉此确保数据安全。

未经允许不得转载：DOIT » 信息数据外泄事件突显企业身份认证管理重要性