亞利安科技資安技術支援部協理 王添龍

近年因雲端、零信任、AI、量子密碼…等科技進化腳步加速,不斷衍生資安新挑戰,加上隨之而來轉趨嚴格的法遵需求,在在為企業帶來沈重壓力,急需思考如何重構自身的資安系統。

亞利安科技資安技術支援部協理王添龍呼籲,目前企業的首要之務,就是因應AI、量子運算等技術對現有加密機制的衝擊與影響,研究如何推動公鑰加密系統的升級;同時也需思考如何善用零信任架構與AI技術,逐步打造動態且智能的資安防護系統,形塑內外兼顧的多層次資安防線;以及應對全球各地日趨複雜的資安法規,確保企業在數位轉型旅程中持續安全合規。

從法規按圖索驥,梳理資安補強重點

談到企業如何建立全方位數位安全策略,王添龍認為,可先從合規出發,從中掌握下一步佈局重點。以《資通安全管理法》為例,就有不少關於加密的規定,包括:

  1. 針對「遠端存取」,不論等級高中普均應設置加密機制。

  2. 針對「傳輸之機密性與完整性」,等級高的資通系統應採用加密機制,且應定期更換加密金鑰或憑證。

  3. 針對「資料儲存之安全」,等級高的資通系統重要組態設定檔案及其他具保護需求的資訊,應以加密方式儲存。

  4. 針對「加密模組鑑別」,等級高、中的資通系統如以密碼進行鑑別,該密碼應加密或經雜湊處理後儲存。

綜觀《金融資安行動方案2.0》,裡頭也有許多值得留意的要求。譬如針對核心資料保全,提到「檔案、資料庫加密與分持儲存」與「第三地或雲端備份」,加上「鼓勵零信任網路部署」,足見資料庫加密、碎形加密、零信任等解決方案的重要性持續走高。

再談到《金融機構作業委託他人處理內部作業制度及程序辦法》,其中第19條第5點規定,金融機構傳輸及儲存客戶資料至雲端服務業者,應採行「客戶資料加密或代碼化」等有效保護措施,並應訂定妥適的「加密金鑰管理機制」,同樣凸顯了資料加密的迫切性。

除此以外,王添龍認為行政院建議的資料安全管理措施,箇中亦有值得觀察之處。在《行政院及所屬機關落實個人資料保護聯繫作業要點》第5點規定中,就要求應至少包括下列六項資料安全管理措施:1.使用者身分確認及保護、2.個資顯示之隱碼機制、3.網路傳輸之安全加密、4.個資檔案與資料庫之存取控制與保護監控措施、5.防止外部網路入侵、6.非法或異常使用行為之監控及因應機制等。

因應上述六項管制措施,亞利安已完成對應產品及解決方案之規劃:

  1. 身分驗證:TOPPAN IDGATE

  2. 個資隱碼:Thales CipherTrust

  3. 傳輸安全加密:Thales CipherTrust代碼化

  4. 個資檔案與資料庫之存取控制與保護監控:Thales CipherTrust檔案加密、Imperva DAM(資料庫安控稽核)、PiExtract CLM日誌管理

  5. 防止外部網路入侵:Imperva WAF、Proofpoint郵件安全

  6. 非法或異常使用行為監控因應:Imperva DAM、PiExtract CLM日誌管理

加強監視活動、安全編碼,滿足ISO 27001轉版需求

接著觀察《數位經濟相關產業的個資檔案安全維護管理辦法》(簡稱『安維辦法』),當中規定業者應採取加密、備份、傳輸安全等措施,可由‎Thales CipherTrust資料保護方案來滿足需求。

安維辦法也提到,業者以資通系統直接或間接蒐集、處理或利用個資時,除遵循前述要求外,另應採取幾項資料安全管理措施,其間涉及的技術包括郵件防護、網站防護、資料庫稽核、弱點掃描、零信任、PAM、代碼化等;環顧亞利安的代理版圖,當中的Proofpoint郵件安全、Imperva WAF/DAM、Qualys合規掃描、Pentera自動安全驗證、TOPPAN IGDATE身分驗證、Thales CipherTrust代碼化,皆能應對前述措施的佈建需求。

王添龍強調,企業欲強化數位安全策略,不應只停留在保護層面,只阻擋第三方存取企業系統和資料,而是需要假設自己不可能100%遏止駭客入侵,所以須針對資料本身採取實質防護,此時「加密」就是很好的做法。他同時提醒,安維辦法中還包含一項重要規定:進行系統測試時應避免使用真實個資;由於多數企業不會為測試環境建置完整資安措施,使駭客更容易入侵,因此測試環境中若存在真實個資,後果恐不堪設想。

除上述重點內容外,還有一些亟需關注的合規要項,如ISO 27001:2022的新增控制措施,亞利安也提供相關解決方案可助企業一臂之力,如下表:

最後他建議企業應著手推動兩件事:一是展開後量子密碼學(PQC)的評估研究,因為現今日常生活中的非對稱演算法案例中所使用的PKI或憑證機制,隨著量子電腦出現恐將遭到破解,而現階段駭客已展開「先竊取、後解密」的前置策略,所以企業須儘快研擬資料防竊機制,並著手規劃將PQC部署到內部正式環境;另一項則是盤點資源存取途徑,進而以零信任思維深化資安防護,逐步建置MFA、網路微分段、資料加密、應用程式安全檢測、日誌收集、AI分析…等關鍵基本功。

熱門新聞

Advertisement