APP应用正夯 文件加密及控管挑战高
以目前的市场趋势法发展,企业已经逐渐意识到移动应用趋势,并逐渐将数据由本机的电脑,转换到云端服务平台,企业界也开始规划私有云的架构,以建立整合的信息服务平台,降低营运的成本,让员工可以利用移动设备,存取重要信息,也因此在此时刻,针对移动设备上的文件加密及控管保护,也将更显出其重要性。
由于移动设备不像企业内部的电脑设备,享有多道安全防线,不仅防御能力薄弱,装置一旦遭受网安攻击,极容易造成数据外泄风险与损失,而且还可能因为遗失或遭窃,导致移动设备内的重要文件信息外泄,就算企业将所有数据存放在云端,仍很难避免员工在自己的移动设备存放备份,移动设备的文件加密及控管,也就变得要格外谨慎。
实时传讯APP内容不易控管
新一代实时传讯软件APP如LINE、微信与M+ Messenger等,由于具有低成本及便捷性,不仅改变了个人的沟通习惯,也造就新的企业沟通形式,愈来愈多的企业或公务机关,都已开始使用免费实时传讯APP,组成现成的企业实时沟通管道。
这些实时通讯APP在使用过程中,自然也会产生许多与企业运作相关的信息,其中也自然会有机敏信息,但这些实时传讯APP,因为本是以个人使用情境为主,缺乏企业网安需要的权限设定、加密、控制过滤数据等管控机制,实时传讯APP也因此可能成为企业文件加密及控管的漏洞。
如之前就有国内网友反映使用LINE发送信息内容时,因有相关敏感关键字词,手机屏幕画面居然会显示:「您的信息内含敏感词,请调整后再发。」除了引起网友对使用LINE传讯时,隐私安全是否已遭到侵犯的广泛讨论外,也显示LINE所产生的信息内容,其实并不难被人监控或窃取。
事实上,目前已有台湾使用者的LINE帐号,因为被黑客入侵取得帐密后,自动发送信息及连结给大量通讯录好友的案例,这些原本透过社群网站散播诈骗连结和恶意软件,以偷取社群好友帐密数据的网络犯罪,现在也已开始透过手机免费通讯软件来进行。
由于这些实时传讯APP的服务器,并非设于企业内部,很难确保客户信息或商业机密不外流。因此,目前已有业者推出架设于企业封闭环境的通讯APP,以解决前述使用免费实时传讯APP可能发生的文件控管问题。
利用社群沟通力量 仍应注意信息安全
EVERY8D互动资通创始人郭承翔指出,企业要加强在移动沟通应用上的网安问题,须注意传送信息加密机制、进行员工帐号验证、特殊权限控管、创造安全封闭的环境等机制,以确保企业的重要数据不外泄。
郭承翔建议企业在使用通讯软件时,要确认所有传讯过程,皆需经由加密处理,保证信息传递的机密性,若信息不慎被外力拦截时,也无法读取内容;同时,设计特殊的帐号权限管控机制,让信息读取、发送和存放皆可被管制跟纪录,不该读取的使用者,将接触不到任何信息,以降低数据外泄风险。
最重要的是,要替企业设置一个安全封闭环境,让通讯的数据全部存取在企业内部的服务器上,即便员工在外使用移动手机传送信息,数据的控管仍然是在企业内部封闭环境中进行,企业网安才有保障。
郭承翔表示,就一个企业主的立场,让公司内部的关键信息沟通曝露在公开式的通讯平台中,是很不安全的状况。然而时代在转变,企业主绝对不能忽视社群式的沟通力量,所能替公司带来的绩效与变革,因此EVERY8D全新推出建置在企业内部网安环境下的社群式组织沟通架构,让企业能够有效能的执行企业网安标准,并导入现今社群式沟通的优势。
电子邮件附件也有控管必要
除了实时传讯APP外,电子邮件的文件加密及控管,也是不可疏忽的一环。根据市调单位Forrester Research调查报告指出,有35%的企业怀疑员工会透过电子邮件泄漏机密数据,其中外寄邮件中有高达25%的信件,带有财务或法律性的管理风险,而在邮件外寄行为中,最难以掌握的是附加档案的安全。
为了有效管理邮件附档加密,优硕信息科技指出,企业可以透过加解密的金钥机制来实现,以邮件使用情境来说,系统会针对每个邮件收件者,提供一组特定的金钥,再透过读取金钥的程序,确认该档案的的存取权限,有效将附加档案的使用范围加以控管,对管理者而言,可以弹性的进行权限设定,符合公司的网安政策。也可以透过系统稽核功能,监看档案目前授权与使用的状况,随时稽查管理。