如何導入文件加密系統?保護機敏資料做好資安管控
公司內部資料進行加密可以防止資訊外洩所造成的損失。「加密」是保護機敏資料最佳解決方案之一,但您必須要知道如何有效執行加密政策與需要加密哪些文件。然而目前文件加密在多數企業尚未普及,甚至有些公司在導入加密系統常遇到障礙。
資通電腦 ARES PP 檔案加密軟體從源頭加密、不須安裝 Agent、具詳實稽核紀錄,且不影響企業既有系統的使用,將協助企業突破加密系統導入變革障礙。
「加密」,保護資訊不可或缺的安全工具
實際上,在任何類型的組織中,都需要管理重要的機密資訊,如果這些資訊落入有心人士之手,可能會對組織造成損害。這些訊息可能包含組織的管理資訊、財務資訊、商業對策、商業機密與客戶資訊。當這些資訊遭到外洩所要面臨的是公司競爭力遭到挑戰與法令法規所帶來的鉅額罰款。所以企業都知道必須採取適當的安全措施,以避免資訊遭到外洩。
而一般組織通常都會擁有一套自己管理機敏資訊的方法,而在公司的資訊單位都知道保護訊息的最佳方法之一是透過加密,但實際上在企業內部常使用的方法都是通訊層級的加密「HTTPS(Hyper Text Transfer Protocol Secure;超級文字傳輸協議安全)/TLS(Transport Layer Security;傳輸層安全性)」,雖然這也是不可少的保護措施之一。
但事實上,根據 Ponemon Institute 的報告顯示,降低資訊外洩最有效的方法就是從源頭「加密」。
此份研究更進一步指出,在大多數的資訊外洩事件中,主要的成因都是人為因素(56%),而且在所有的資料外洩中只有 3% 的資訊是被加密的,更加凸顯出企業資訊保護機制的薄弱。尤其最近勒索軟體攻擊中,已經偏好從組織中竊取未加密的資訊,並要求大量贖金作為不公開企業機密資訊為條件。因為勒索軟體的開發者已經意識到這比勒索加密過的訊息更加有效。
為什麼文件加密在企業中並未普及?
當我們在討論非結構化的資訊(文件、圖檔)時,誰應該對其加密並沒有很清楚的方向,因為管理加密資訊並不像管理未加密資訊那麼簡單,導入加密系統也必須改變組織的管理心態。以下列出組織導入加密系統的四大障礙:
1. 一般使用者難以使用:
使用者的檔案使用體驗受到改變,必須遷就加密系統,或者並沒有很便利的文件分享機制,有可能文件在您的設備上可以正常開啟,但若將檔案攜出至另一台電腦,則需要安裝軟體才能開啟檔案。這將為使用者帶來不便的使用體驗。
2. 沒有明確的加密指導方針:
如前面所述,對於哪些資訊要加密,哪些不需要加密保護並不是很清楚。所以有些組織就使用「靜態資訊」加密,例如:直接將筆記型電腦進行全硬碟加密。其特性是在筆記型電腦遺失時可防止外洩,但文件透過該電腦傳送檔案到第三方時,文件是無法受到保護的。所以最好的方式就是透過加密文件伺服器進行加密政策的派送,並指導用戶端應該保護哪些資訊。
3. 加密系統與企業內部系統整合不易:
在許多情況下,最敏感的資訊是存在於 ERP、人力資源系統等。
某些企業應用程式中若導入加密文件則有可能會破壞內部文件的管理流程,因為這些系統並沒有具備讀取加密文件的能力。另一方面,對於中大型組織,若是基於密碼的加密是不可行的。因為中大型組織非常依賴 Active Directory(以樹狀的資料結構來組成網路服務的資訊)等工具來進行集中化管理,而不需要為每個加密文件設定單獨的密碼。最好是能夠與企業內部工具達到輕鬆整合的解決方案。
4. 沒有便利的稽核工具:
當我們討論機密、敏感或重要訊息時,重要的是能夠稽核該資訊的行為並能控制與對其進行相對應的處理,並能夠查出該資訊被誰處理、何時處理、在何處處理並有完整的資訊行為軌跡,當有異常時必須進行文件召回。上述這些行為是必須要有完整的技術解決方案,才能維持資訊的加密狀態,並且擁有完整的稽核紀錄。
正如我們前面所說,「加密」已被證明是保護我們資訊外洩最有效的作法之一。然而,只要找到對的解決方案,資訊加密並不一定是很複雜任務。
