亞利安科技資安技術支援部協理 王添龍
近年因雲端、零信任、AI、量子密碼…等科技進化腳步加速,不斷衍生資安新挑戰,加上隨之而來轉趨嚴格的法遵需求,在在為企業帶來沈重壓力,急需思考如何重構自身的資安系統。
亞利安科技資安技術支援部協理王添龍呼籲,目前企業的首要之務,就是因應 AI、量子運算等技術對現有加密機制的衝擊與影響,研究如何推動公鑰加密系統的升級;同時也需思考如何善用零信任架構與 AI 技術,逐步打造動態且智能的資安防護系統,形塑內外兼顧的多層次資安防線;以及應對全球各地日趨複雜的資安法規,確保企業在數位轉型旅程中持續安全合規。
從法規按圖索驥,梳理資安補強重點
談到企業如何建立全方位數位安全策略,王添龍認為,可先從合規出發,從中掌握下一步佈局重點。以《資通安全管理法》為例,就有不少關於加密的規定,包括:
-
- 針對「遠端存取」,不論等級高中普均應設置加密機制。
- 針對「傳輸之機密性與完整性」,等級高的資通系統應採用加密機制,且應定期更換加密金鑰或憑證。
- 針對「資料儲存之安全」,等級高的資通系統重要組態設定檔及其他具保護需求的資訊,應以加密方式儲存。
- 針對「加密模組鑑別」,等級高、中的資通系統如以密碼進行鑑別,該密碼應加密或經雜湊處理後儲存。
綜觀《金融資安行動方案 2.0》,裡頭也有許多值得留意的要求。譬如針對核心資料保全,提到「檔案、資料庫加密與分持儲存」與「第三地或雲端備份」,加上「鼓勵零信任網路部署」,足見資料庫加密、碎形加密、零信任等解決方案的重要性持續走高。
再談到《金融機構作業委託他人處理內部作業制度及程序辦法》,其中第 19 條第 5 點規定,金融機構傳輸及儲存客戶資料至雲端服務業者,應採行「客戶資料加密或代碼化」等有效保護措施,並應訂定妥適的「加密金鑰管理機制」,同樣凸顯了資料加密的迫切性。
除此以外,王添龍認為行政院建議的資料安全管理措施,箇中亦有值得觀察之處。在《行政院及所屬機關落實個人資料保護聯繫作業要點》第 5 點規定中,就要求應至少包括下列六項資料安全管理措施:
- 使用者身分確認及保護
- 個資顯示之隱碼機制
- 網路傳輸之安全加密
- 個資檔案與資料庫之存取控制與保護監控措施
- 防止外部網路入侵
- 非法或異常使用行為之監控及因應機制等。
因應上述六項管制措施,亞利安已完成對應產品及解決方案之規劃:
-
- 身分驗證:TOPPAN IDGATE
- 個資隱碼:Thales CipherTrust
- 傳輸安全加密:Thales CipherTrust 代碼化
- 個資檔案與資料庫之存取控制與保護監控:Thales CipherTrust 檔案加密、Imperva DAM(資料庫安控稽核)、PiExtract CLM 日誌管理、PackeX GRISM 網路可視化平台
- 防止外部網路入侵:Imperva WAF、Proofpoint 郵件安全、PackeX GRISM 網路可視化平台
- 非法或異常使用行為監控因應:Imperva DAM、PiExtract CLM 日誌管理
加強監視活動、安全編碼,滿足 ISO 27001 轉版需求
接著觀察《數位經濟相關產業的個資檔案安全維護管理辦法》(簡稱『安維辦法』),當中規定業者應採取加密、備份、傳輸安全等措施,可由 Thales CipherTrust 資料保護方案來滿足需求。
安維辦法也提到,業者以資通系統直接或間接蒐集、處理或利用個資時,除遵循前述要求外,另應採取幾項資料安全管理措施,其間涉及的技術包括郵件防護、網站防護、資料庫稽核、弱點掃描、零信任、PAM、代碼化等;環顧亞利安的代理版圖,當中的 Proofpoint 郵件安全、Imperva WAF/DAM、Qualys 合規掃描、Pentera 自動安全驗證、TOPPAN IGDATE 身分驗證、Thales CipherTrust 代碼化,皆能應對前述措施的佈建需求。
王添龍強調,企業欲強化數位安全策略,不應只停留在保護層面,只阻擋第三方存取企業系統和資料,而是需要假設自己不可能 100% 遏止駭客入侵,所以須針對資料本身採取實質防護,此時「加密」就是很好的做法。他同時提醒,安維辦法中還包含一項重要規定:進行系統測試時應避免使用真實個資;由於多數企業不會為測試環境建置完整資安措施,使駭客更容易入侵,因此測試環境中若存在真實個資,後果恐不堪設想。
除上述重點內容外,還有一些亟需關注的合規要項,如 ISO 27001:2022 的新增控制措施,亞利安也提供相關解決方案可助企業一臂之力,如下表:
最後他建議企業應著手推動兩件事:一是展開後量子密碼學(PQC)的評估研究,因為現今日常生活中的非對稱演算法案例中所使用的 PKI 或憑證機制,隨著量子電腦出現恐將遭到破解,而現階段駭客已展開「先竊取、後解密」的前置策略,所以企業須儘快研擬資料防竊機制,並著手規劃將 PQC 部署到內部正式環境;另一項則是盤點資源存取途徑,進而以零信任思維深化資安防護,逐步建置 MFA、網路微分段、資料加密、應用程式安全檢測、日誌收集、AI 分析…等關鍵基本功。
本文同步刊載於 iThome