IT業界社群及資訊平台

【加密專家】資訊安全巨擘Thales方案 全方位保護企業機密防外洩

數據洩漏事故現時在香港未有立法規管必須通報,並無一個完善的通報機制,除了會造成大眾關注度不足和輕視問題的嚴重性,同時也意味著很多事故隱藏在黑暗中。不要以為數據資料洩漏與自己無關,因為那些被洩漏的資料,分分鐘就是你的信用卡資料、住址、電話;香港過往也曾發生幾宗震撼全城的洩漏相關事故,包括航空公司洩漏 940 萬乘客私隱,選舉事務處遺失載有約 378 萬地方選區選民的資料的電腦,所引發的潛在資料外洩危機等,全都令人擔心企業或政府部門有沒有足夠措施及防護策略,保護客戶、市民的隱私。如果要妥善保護資料,採用由專業的數據保護方案,便能輕鬆管理資料及為資料加密,並設置資料讀取權限,即使遙距工作,也不怕資料外洩。

數據加密零停機 效率保護性兼備

Thales公司的資料保護平台(CipherTrust Data Security Platform, CDSP),為全球各地政府、跨國企業、金融機構所採用,在香港的用戶就包括政府、金融監管機構、發鈔銀行、公用事業及上市企業。Thales公司是數據保護、加密及安全交易的權威,其提供的數據加密方案,能有效保障用戶的個人私隱及交易資料,不會外洩。

其中CipherTrust Transparent Encryption (CTE)方案的透明加密資料設置,可保護結構化及非結構化資料庫,加密內部系統、雲端環境,甚至在大數據和容器內的資料,同時保持存儲數據的效率,在部署時毋須更改應用程式或工作流程,使對業務及作業程序的影響減至最少。 透過Live Data Transformation (免停機背景加密)方案,能在零停機的情況下加密資料,期間不需中斷應用程式或工作流程,在加密過程中,使用者和處理程序可如常繼續存取資料庫或檔案系統,將加密過程對使用者的影響降到最低。另外,平台亦設最低權限使用者存取規則,保護資料免受外來攻擊,以及遭特權使用者誤用。

不少製造商及電子商貿公司亦採用 Thales 的 CipherTrust Tokenization 方案,將數據換轉成代碼,同時保持原始數據格式,這方法可避免更改數據庫架構,在保護如信用卡資料等數據更顯作用。以上這些保密措施,能在數碼轉型或將資料放上雲端時,確保符合諸如歐盟《一般資料保護規範》(General Data Protection Regulation, GDPR)等的法規要求,並全面保護數據。

限制不同用戶存取權限 降出事機率

Thales大中華及南韓數位身份及資安部門資深銷售總監楊偉民(Raymond)表示,CipherTrust Data Discovery and Classification (DDC) 可為客戶掃描數據資料,為他們找出敏感、需保護的資料,再作出數據保護,並為客戶加設不同用戶的存取權限。在疫情期間,不少公司實行遙距辦公,只用 ID 及密碼登入認證身份並不足夠,而 Thales 方案中的存取權限功能,能為企業資料作全方位保護。Raymond 指出,在企業員工存取資料時,Thales 的方案能讓指定的員工取得資料,設定最低儲取權(minimum access right),並有強大的管理系統,讓企業能為員工登入存取資料限時段,收窄「出事」的可能性;而系統中的亦有各項不同權限設定,如用戶權限(user right)、備份權限(back-up right)等等,不同部門也可設定擁有不同的權限,Raymond 特別提到,如果有超級用戶(super user)的風險會很大,所以分工(separation of duty)就有其重要性。

按角色設定權限 減免內部攻擊

遙距辦公另一個要企業關注的議題是內部攻擊(insider attack),Raymond 形容內部攻擊是資料洩漏的原因之一,因為防火牆不能阻擋這類攻擊,但在設定用戶權限後,能大幅降低相關風險,「在按角色設定權限的控制下 (role-based access control),大部分的員工都不用接觸機密,而且資料也經加密,只有少數人能看到解密後的資料。」另外,在採用集中式密鑰管理系統(centralized key management system)後,即使資料不幸外洩,黑客因不能使用密鑰將無法解密資料,減免了企業因資料外洩所引致的損失。

【加密專家】資訊安全巨擘Thales方案 全方位保護企業機密防外洩
Raymond 提到,內部攻擊是資料洩漏的原因之一,倘設定用戶權限,能有效降低相關風險。
獲安全認證 廣被世界各地機構採用

Thales 的數據保密解決方案多年來廣被各地不同行業採用,並獲得 FIPS 140-2Common Criteria EAL 4+eIDAS 驗證,可見其產品和服務方案可靠及受國際認可。而 Thales 的管理系統亦具兼容性、擴展性及伸展性,能應用在多個不同的供應商的系統,並支援第三方廠家的大型數據系統,如SAP HANANetappPureStorage等,當理龐大數據量,甚至在檔案資料加密後所需求的記憶體大增,客戶也毋須多買儲存空間。