固守公司智能资产 降低数据外泄风险

精品科技股份有限公司网安顾问兼网安部经理陈伯榆。

新型态网安风险已经来临，要如何固守公司智能资产，已经成为企业必须重视的议题。有监于此，精品科技网安顾问兼网安部经理陈伯榆先生，发表他们的看法。从传统到创新应用、人员流动的网安保护、常用IT管理策略如何搭配DLP、档案使用权限、云端的冲击与应变等面向来说明。

他认为，当今的企业应该跳脱传统IT思维，提升到整体企业经营战略的层次。将企业分成内外部的对策及管理，来进行规划设计。

以企业营运的四大核心价值：商标、着作权、专利(显性获利)、营业秘密(隐性获利)来看，其中的专利和营业秘密(包含生产、销售、经营等信息与方法？技术？制程？配方？程序？设计等Know-how)部分，则要先了解法制的保护规定，才能延伸实务的技术防护，再深入探讨营业秘密问题与保护。例如营业秘密法第二条中第3个符合要件「所有人已采取合理之保密措施者」。因此当有冲突时，此将成为诉讼时重要的举证来源，以确保公司营运不受影响。

做好数据保密分级 杜绝数据外泄疑虑

陈先生指出，当今导致企业数据遗失？外泄的前五大因素，包括：黑客入侵、电脑失窃、诈骗行为、Web应用系统、档案销毁问题。因此企业的应变措施，必须：掌握营业秘密所在、分析数据之类型、数据分级设计、设计保护措施、建立稽核追踪循环作业。

IT人员可以把「管理制度」整合「技术防护」，来保护营业秘密。前者透过管理制度，从人员到职(签署保密？就职？竞业禁止等条款)、人员在职(提醒保密义务？管制？着作权归属？技资专利申请)、人员离职(重申保密范围？签切结书？重申竞业禁止)到他公司就职(高端主管应变与知会新雇主)的员工流动周期，来防止员工数据外泄。

而后者透过技术防护设计，从人员到职(权限政策？定期追踪？分层负责)、人员在职(档案流通管理？数据加解密申请？稽核追踪)、人员离职(管制数据保护？分析轨迹数据)到他公司就职(保存轨迹纪录，避免问题衍生)等方式来防堵员工将数据带走。因此，整合两者来设计公司智能保护措施，便能做好数据安全保护。

由于移动化、云端化，创造出新兴的信息服务，各类云端储存服务因应而生，数据外泄疑虑也跟着出现，使得各种网安防护架构被开发出来。该公司所提供X-FORT电子数据监控与X-DoRM电子文件控管的技术，能够确保数据和文件在公司网络流动的过程中，能够受到主管人员严密的监控与管制。

全面的安全的管理设计  保护企业智能资产

在电脑使用权限部分，设计成外接储存装置、光盘写出档案时，能具备主管审核管理；亦让装置能够禁用、唯读、写出的加密档案用口令管控、可否烧录光盘、留存纪录以便稽核等多种模式；打印纸本也可具备浮水印、特定档名打印管控、打印文件备份存查等功能；在硬盘防护部分，可防止硬盘被带走，或以USB开机、硬盘串接方式来存取数据；至于操作纪录，能够追踪各种档案的新增、复制、删除、更名，以及纪录剪贴簿的文字内容，以确保机密数据的严密监控，不会流到别人的口袋里。

在网络安全部分，能够透过传输管控、防火墙、网络芳邻、网页管控、网页文字纪录、邮件管控等方式，来保障公司数据不会流到外界，而外部文件的流入，与委外文件的流出，也能获得掌控与追踪，以避免企业机密外泄。

至于在软件安全部分，亦可透过软件安控、文件防骇、线上管理等技术，来保障电脑使用过程中不会有非法存取。最后在稽核纪录警示与分析部分，能够透过多种纪录与报表，来追踪各种企业网安趋势。

最后，在企业组织常见ISO27001 2013版中，亦有许多控制项与网安制度有关，例如A6网安组织、A7人力资源安全、A10口令学、A15供应商关系、A18符合性等等，皆有明定网安各环节之控制规范，可更有效益去执行企业智能资产保护。综合上述趋势，该公司提供完善的技术，协助企业架设完整的智能安全防护网。