全球安全、儲存與系統管理解決方案領導廠商賽門鐵克(Nasdaq: SYMC)最新網路安全報告顯示，「駭客攻擊」、「內部人員疏失」和「資料遺失」是企業資料外洩的主要原因，其中，「內部人員疏失」和「資料遺失」等內部人為因素與「駭客攻擊」等外部攻擊的比例相當。這突顯了資訊安全防護是一項全面性的管理，須包含主機安全防護、資料加密、資料外洩防護、日誌管理，以至全面的裝置管理和資安政策教育，都要面面俱到。

新版個資法已於10月1日正式生效，但仍有許多企業不了解施行細則的意義，或是對資訊安全防護措施是否完備充滿疑惑。今天賽門鐵克提供資料安全防護教戰守則，從法律面探討新版個資法為企業帶來的挑戰，並針對尚未著手因應個資法施行的企業，將資料外洩的威脅分成一般員工、企業間諜、外部駭客等三個層面一一剖析，再從資料安全、個資盤點、設備安全及資料稽核四個方向，為資安防護準備提出最迅速有效的管理方式。

資安防護是全面性的安全管理，抵禦入侵與內部防禦同等重要
調查顯示，自2012年1月到8月期間的資料外洩案件數來看，大約有四成(40.6%)是駭客攻擊的結果，近幾年駭客猖獗，這樣的結論毫不令人意外。然而，另一個引人注目的發現是「內部人為疏失」造成的資料外洩案件也佔了四成多(48.2%)的比例，包含了內部人員疏失(21.4%)、資料遺失遭竊(18.8%)及蓄意偷取資料(8%)。究其真實狀況，包括行動裝置遺失、經由外接儲存裝置造成的資料外洩、企業內部間諜、因訪客與廠商造成的資料外洩，以及資訊安全教育的不足等等。這結論反映了資訊安全防護是一項全面性的管理，抵禦入侵與內部防禦同等重要。

擁有高敏感個資的產業最易成為駭客目標
根據去年(2011年)的調查結果，每10筆遭外洩的資料就有8筆是來自資訊科技及電腦軟體產業；但今年的調查結果顯示，資料外洩數量的前兩名已被零售業(40%)及電信業者(15%)取代。

然而，如從資料外洩事件的次數的角度檢視，卻無法反映外洩資料規模與資料外洩事件的頻率有正比關係。例如，下圖中醫療產業遭外洩的資料數量僅占總外洩資料筆數的2.7%，但該產業的資料外洩事件數量卻不成比例－若以資料外洩次數來看，醫療產業發生資料外洩案件最為頻繁，佔事件總數的34.1%。醫療紀錄屬於高度敏感資料，這個例子說明，頻繁的攻擊次數雖未造成大量的資料外洩，卻讓較少量的高敏感個資曝光，正好說明了資料外洩的數量無法正確反映外洩資料的敏感性。

企業應提防小而準的資料外洩事件
總的來說，資料外洩事件數量雖無太大的改變（2011年每月平均16.5次，2012年下降到14次），然而，資料外洩事件的平均資料外洩筆數卻大幅減半：去年(2011)5月至12月間單次資料外洩事件導致的資料外洩筆數平均超過131萬筆，而今年卻大幅降低至約64萬筆。究其原因，可能由於2011年的大型惡意網路攻擊影響，讓越來越多的大型企業開始重視客戶紀錄資料庫的保護，但也有可能是因為駭客不再只是鎖定大型企業，轉而瞄準較有價值的資料儲存處出手。這顯示了若要遏止資料外洩，企業採取的措施還不夠。

關於賽門鐵克網路安全情報機構(Symantec Intelligence)
賽門鐵克網路安全情報機構是一個具公信力的資料分析機構，提供最新的資安事件、趨勢及數據分析報告。賽門鐵克雲端安全情報機構(Symantec.cloud Intelligence)則透過各種資料來源，包括賽門鐵克全球安全情報網絡(Symantec Global Intelligence Network)、Symantec Probe Network (一個有五百萬個誘騙帳號的系統)、Symantec.cloud以及數個賽門鐵克安全技術機構，來提供全球資安威脅的各種資訊。 Skeptic™是一款賽門鐵克雲端(Symantec.cloud)的專利技術，使用預示分析法來偵測新的或高複雜度的攻擊威脅，採用Skeptic™這項專利技術的企業機構超過55,000個，客戶遍佈中小企業及全球500大，計有超過1,100萬名終端使用者受惠於這項技術而免於安全威脅。

關於賽門鐵克
賽門鐵克公司是全球領先的安全、儲存與系統管理解決方案供應商，協助消費者與企業組織保護與管理他們由資訊所駕馭的世界。賽門鐵克的軟體及服務對於愈趨多樣化的風險提供了更多元、更全面及更有效率的防護，讓用戶對不論是在使用中或是被儲存的資訊皆能具有信心。若需瞭解更多相關資訊，歡迎瀏覽賽門鐵克公司網頁: http://www.symantec.com

- 新聞稿有效日期，至2012/11/18為止

上一篇：智慧時代的最佳資訊整理術
下一篇：賽門鐵克協助開發者設計可靠的企業行動應用程式 加速企業行動應用普及