警局傳出筆錄因P2P軟體使用不當而外洩的事件,凸顯了P2P軟體在方便之外的安全威脅問題。 據媒體報導,國內若干警分局因員警違反資安規範,私下在警局公用電腦上安裝「Foxy」等點對點(P2P)檔案分享軟體,意外將案情筆錄等機密資料一併「分享」出去,使得相同軟體使用者可以透過搜尋檔名的方式,找到並下載筆錄等資料,造成資料外洩。..................................
資安政策落實成重點
從日前的軍機外洩,到本次P2P外洩事件,資安專家認為顯示了一個相同且嚴重的問題:資安政策並未落實在員工實質的行為上。
賽門鐵克亞太區首席資安技術顧問林育民便說,軍警內部其實都有資安政策,但兩個事件顯露出的便是政策未被好好執行。CheckPoint技術顧問陳建宏也說,光有政策要人去遵循,不如搭配政策執行工具,「才能真正有效管理,」他說。
多位資安專家都指出,企業應確實做好端點防護,藉由政策執行機制,才能避免類似情況重演。陳建宏引用調查資料說,有80%的資料外洩來自於筆記型電腦遺失,或是不正當的檔案存取行為(例如USB隨身碟),真正藉由入侵導致的資料外洩,「不過20%,」他解釋道,不論員工是忽略或故意,企業都得蒙受損失,因此必須藉由科技來執行資安政策。
「企業普遍採用的閘道端防護並不足夠,」林育民表示,除了防火牆、入侵偵測等閘道端安全裝置,用戶(Client)端的安全更應注重,如可用來阻隔P2P傳輸的個人防火牆、個人入侵偵測系統等,都成為威脅日增下企業應增加的配備。
而林宏嘉則認為,企業主對包括Skype等桌面軟體管理觀念的淡薄,才是最近安全事件連環爆的最根本原因。他引用自身與國內公私部門的互動經驗為例指出,「國內資訊部門主管往往以為這類軟體不過是下載的工具而已,渾然不知放縱員工下載到公司PC可能已引狼入室。」
他指出,一旦「配合」其他疏失,像是欠缺文件控管、定期軟體修補程式更新,以及行為鑑識的安全策略,結果就是PC被有心人士入侵,如入無人之境。而「存有民眾身分資料甚至國家機密的政府單位,一旦發生洩密案,後果將更不堪設想,」他補充。
林宏嘉並指出,在資訊安全上,自由與管理間的抉擇並不太難,「因為如果要求使用自由而導致重大損失,則自由的代價也不免太大了點。」他說。
留言列表
