2019 年
2019-03-28
面對金管會要求禁用 USB,該如何選擇 CCP 內容協作平台
PM部門經理 張弘達
想像企業電腦中勒索病毒時,該如何因應 ? 或企業發生員工將客戶的個人資料外洩時,將造成什麼樣的影響 ? 我們身處數位的時代,重要機敏及客戶的個人資料都靠數位格式儲存,若有一天,這些數位資料無法開啟了,或這些數位資料被外洩了,企業會面臨多大的損失 ? 金融業更是高度資安要求的單位,在員工因工作需求必須經常相互分享及傳送檔案時,如何確保分享的過程中是安全的?
從分享內容及分享流程 2 大方向思考
金融業對於資訊安全要求高,對於檔案的分享要求不僅要滿足使用者的需求,更重要的是能確保檔案分享時的安全以及是否能符合法規的要求為最高原則。如何確保員工在分享機敏檔案時的安全,我們建議應從「分享內容」、「分享過程」等 2 大方向進行思考,並依企業的屬性導入合適的系統進行安全控管。
分享內容是否安全?
員工每天都在傳遞檔案,但這些被分享的檔案內容是否夾帶惡意病毒?是否含有機敏個資?近期陸續聽到金管會稽核金融單位禁用私人外接儲存裝置 (以下簡稱 USB, Universal Serial Bus) 的案例,主要是因為使用 USB 存取檔案導致中毒事件頻傳及透過 USB 管道外洩機敏資料案件不斷發生。例如去年 8 月,知名晶元代工廠發生生產機台中毒事件,初次預估營收衝擊將高達 78 億元。有一說指出其感染途徑則是設備廠商工程師在沒有經過標準作業下,不小心使用 USB 存取檔案造成病毒感染。另外,近幾年也發生國泰世華商業銀行離職員工將客戶個人資料下載至 USB,被主管單位依未妥善建立資訊作業管理制度,核處新臺幣 300 萬元罰鍰。
分享過程是否安全?
分享的過程是否有完整的操作記錄?異常分享時是否有良好的控管機制?員工常見分享檔案的方式有網路芳鄰、FTP、USB、使用郵件寄送附檔,或者透過即時通訊傳送檔案等,不管透過何種方式分享,管理者最在意除了上述說明的內容是否安全外,另外就是員工這些分享行為是否都有完整的操作記錄,是否知道這份文件分享給誰。而當分享重要機敏文件時,是否有審核或良好的管控機制,以及當發現異常分享時,是否有即時攔阻及管控等等。因為這些不當分享,除了造成公司的損失外,更可能會因違反法規造成公司形象及財產受損。
建置 CCP 內容協作平台解決安全分享的過程
企業要求效率,金融業則必須在確保安全的環境提供有效率的溝通平台,近期許多銀行、壽險業陸續入內容協作平台(Content collaboration platforms, CCP),取代早期透過 FTP, USB 等分享方式,確保分享內容及分享過程中的安全。在選擇 CCP 的內容協作平台時,通常我們會建議從架構可用性、內容安全性、平台整合性等 3 大方面評估
架構可用性
金融業在現有法規及安全的考量下,在選擇 CCP 時首先要考量到主機建置的地點,在評估企業有足夠的 IT 人員自行維護設備時,可選擇私有雲架構,將所有分享的資料建置在企業的機房。相反的,若希望將服務平台委外公有雲服務,則必須更加慎重評估,例如選擇有 ISO27001 等國際認證的廠商,確保資料的存放是安全可掌握的。另外也需考量到架構的備援及擴充性,系統可評估導入多主機架構,可避免單點故障造成服務中斷,在任何一台主機異常服務時,另一台主機可主動接手,確保平台的完整可用性
內容安全性
防毒、檔案備份及完整的操作記錄是確保內容安全的重要項目,系統必須針對所有上傳進來及分享出去等所有檔案進行掃毒,在發現有檔案得病毒時立即中斷分享。另外可針對勒索病毒提供良好的解決方案,例如透過檔案的自動備份及版本控管機制,因應不幸受到勒索病毒等攻擊時,能夠快速復原到被加密前的版本,將損失降到最低。另外,完整的操作記錄能有效在機敏資料外洩事件發生時提供查找工具,找到異常外洩來源,並即時中斷分享源,防止災害進一步擴大。
平台整合性
金融業的員工人數多,人事異動頻繁,通常都是利用 AD 來管理使用者的帳號及群組,導入 CCP 平台必須直接整合 AD,讓管理者在人事異動時,調整 AD 後則會自動同步至 CCP,可減輕管理者的負擔。另外,CCP 平台通常都會評估整合郵件系統,讓溝通更加流暢,進而解決郵件無法寄送大檔案的問題。將大檔案儲存至 CCP 平台,透過郵件方式寄送連結給收件者,收件者透過連結方式直接至 CCP 存取大檔案。相反的,若員工收到郵件檔案時,亦能將郵件檔案直接儲存至自已的 CCP 帳號空間統一進行分享管理,提高工作的效率。
最後,在考量到架構、功能是否合乎要求後,金融業在導入 CCP 系統時也需評估系統的導入廠商是否有足夠的服務及維運的能量,一來是面對主管單位的稽核通常需要立即的改善,二來在法規的要求下,通常需要進行客製化或在地化的功能調整,例如客製稽核含有銀行帳號、保單號碼的檔案分享等,才能順利導入合乎企業使用的系統。安全與便利通常是相互矛盾的,不過,若能在控制範圍提供的便利原則下,則可達到安全與便利的平衡,也能讓員工產生最大的工作效率。
相關解決方案
ArkEase Pro 雲端儲存平台 ─ 滿足企業全方位需求:安全可靠、檔案永存、協同作業