誰在洩露客戶資料!臺灣網路認證舉辦「資訊安全研討會」引起廣大迴響

2008/11/07

【臺北訊】新版個資法明年即將正式實施,且將大幅提高網站管理者對洩露客戶資料的罰款上限,網站管理者應更小心建立安全的網路環境以免客戶資料外洩。臺灣網路認證公司特別與中華無店面零售業協會合作,於10月29日舉辦資訊安全研討會,現場120個座位完全預約額滿,反應熱烈。 

會中邀請到臺灣網路認證公司策略顧問杜宏毅博士及數位資安總經理蘇隄等兩位資安領域的專家,分別探討網站不小心洩露客戶資料的嚴重性及如何做好預防措施。 

杜宏毅表示,網站資料遭駭客入侵有No tech、Low tech及high tech等三種層次,一般網站設計者最容易忽視的反而是技術層面不需太高的前兩種案例,因而常不經意設計了一個環境,讓個人資料以「明信片方式」流傳在網路上。臺灣網路認證公司建議,網站至少要啟動SSL憑證機制,以達到基本的安全防護措施,讓所有資料都以密文方式傳輸,任何意圖竊取私密資料的有心人士,便不至於輕易取得各種私密資料。 

蘇隄指出,企業資料外洩的途徑不外乎正面入侵(目標:企業網站與對外IP)、側翼入侵(目標:企業員工、客戶、或合作夥伴的電腦)或裡應外合(目標:企業員工或委外人員)等三種途徑。 要想保障客戶資料不致外洩,企業需針對各種入侵途徑強化防禦措施,如:針對正面入侵的防禦措施,可協助企業找出自身弱點的「矛」,進行弱點評估(Vulnerability Assessment)、滲透測試(Penetration Testing),及協助企業強化防禦能力的「盾」,即建構網站SSL加密機制,如:TWCA SSL、網路防火牆(Firewall)、入侵偵測(IDS/IPS)、應用程式源碼檢核(Application Code Review)、網路應用程式防火牆 (Web Application Firewall)。 

針對測翼入侵的防禦措施,包括硬碟加密、機敏資料識別與分級、縱深防禦。針對裡應外合的防禦措施,包括機敏資料識別與分級、縱深防禦、檔案加密、端點資料保護等。