道成資訊 張賜賢

1. ~ 資 訊 安 全 ~ 道成資訊 張賜賢 Mail: jason@triplets.com.tw Web: www.triplets.com.tw Mobile: 0917032666

2. 個資法：舊 VS 新 個人資料保護法(新版) 賠償上限提高至 2 億 受害民眾索賠時，不須負舉證責任，非公務機關要證明「無故意或過失責任」 公務機關須負「無過失責任」 擴大為所有公、民營事業均適用 電腦處理及未經電腦處理之個人資料 企業負責人、管理人連座 電腦處理個人資料保護法(舊版) 損害賠償金總額以 2 千萬為限 非公務機關違反，致當事人權受損害者，應負損害賠償責任。除能證明其無故意或過失者。 徵信業、醫院、學校、電信業金融業、證劵業、保險業、大眾傳播業、法務部會指定之事業、團體或個人 包括電腦處理之個人資料 2

3. Internet 企業資安風險 ‧輕鬆拷貝數分鐘 辛苦研發數十冬 上網行為隨意來 ‧不知不覺引蟲駭 3

4. 降低資訊風險的方式 4

5. 企業對策 在資料被竊取之前先行攔阻。ex：隨身碟、P2P 軟體、即時通、燒錄器、檔案加密、網路芳鄰、3.5G、限制瀏覽網站, 通道都管制 防範未然 即時記錄違規電腦、傳送資料、備份敏感資料存證供事後稽核。紀錄授權者接觸機密資料的行為與時間。以機制取代人治。 行為紀錄 當員工出現將機密資料以 USB、Email、IM 或 FTP 等管道傳輸出去時，系統會立即在其電腦視窗示警 主動預警 定期資安健診與稽核，發現問題並著手加強網站軟體資安漏洞掃描，強化入侵偵測與防駭機制 定期稽核 強化資安觀念訓練，維護企業名譽，確保競爭優勢與無形資產 強化觀念 5

6. 企業落實資安的好處 避免競爭者 快速超越 避免危急企業生存 保護 公司資產 維護公司利益,保障全體福利 避免 法律糾紛 避免影響商譽與股價 讓證據 說話 清清白白, 避免瞎猜 降低部屬犯錯機會 確保工作飯碗 資訊安全齊努力 風險降低全得利 安全使用網路資源 稍有不便,但乾乾淨淨 6

7. 防火牆 VS 防水牆 防火牆 DOS攻擊 木馬 X-FORT 防水牆 病毒 防火牆 垃圾郵件 昨日的資安系統 今日的資安系統 7

8. 資訊安全威脅來源 內部人員 (80%) 人為疏失、不誠信員工 環境因素 (15%) 水災、火災、地震等 外部人員 (5%) 駭客、病毒 資料來源: 資策會 MIC IT IS 8

9. 資訊外洩的風險地圖 網路瀏覽、傳輸Web-MailIM, P2P, Tunnel網路硬碟、討論區 網際網路Internet USB隨身碟 各種行動週邊裝置 Bluetooth藍牙 電子郵件內容、檔案傳送 SmartPhoneBlackBerry 內部資料文件管理分享目錄資料庫印表機 使用者 CD/DVD 內部網路Intranet / Server Farm 1394 WiFi 無線上網 Floppy 9

12. 防毒牆

13. VPN

15. 防火牆

16. 反垃圾郵件1 基礎防護 建立護城河 10

17. 資訊安全的基礎防護 11

18. 資訊安全護城河 12

19. 資訊安全防空網 13

20. DLP(資料洩漏防護) VS DRM(檔案加密) 14

21. 資料外洩的風險防護 網路瀏覽、傳輸Web-MailIM, P2P, Tunnel網路硬碟、討論區 X-FORT 管道控管 DLP 資料外洩防護 DRM 檔案加密 網際網路Internet USB隨身碟 電子郵件內容、檔案傳送 各種行動週邊裝置 Bluetooth藍牙 內部資料文件管理分享目錄資料庫印表機 DCC 圖文資源管制 SmartPhoneBlackBerry 內部網路Intranet / Server Farm 使用者 CD/DVD 1394 Floppy WiFi 無線上網 15

22. 市場領導者 : Websense® 簡介 Leading Provider of Web, Messaging and Data Security Solutions IDC, Gartner, and Frost and Sullivan 共同評選為全球網頁過濾市場領導廠商 根據 Gartner 統計在網頁過濾全球市占率超過 70% IDC, Gartner 評選為網頁安全以及網頁防護閘道器市場領導廠商 Gartner, Forrester 評選為資料外洩防護 (Data Loss Prevention) 的領導廠商 全球超過 50,000 個客戶以及四千兩百萬個以上的使用者 成立於 1994 年 (Nasdaq: WBSN) 總部位於加州聖地牙哥 共有約 1250 名員工 全球有五個研發中心、威脅研究中心以及技術支援中心 全球有 100 個以上的專職內容安全研究人員 主要併購案 Port Authority (Jan 2007) SurfControl (Oct 2007) 16

23. Gartner/Forrester Magic Quadrant for Content Monitoring and Filtering and Data Loss Prevention 17

26. 資料庫

27. CRM (客戶資料)

28. ERP (成本資料、製程資料)

30. 各種檔案

31. 智慧財產

32. 研發計畫

33. 併購案

34. Licensed IP19

35. 0xB6751 0xB61C1 0x37CB2 0x5BD41 0x190C1 0x93005 0x590A9 0xA0001 0xB6751 0xB61C1 0x37CB2 0x5BD41 0x190C1 0x93005 0x590A9 0xA0001 01011100110100110000101100 100100 0x5BD41 0x190C1 0x93005 Extract Outbound Content (E-mail, Web, Fax, Print, etc.) Algorithmic Conversion One-way Mathematical Representation Fingerprint Creation PreciseID 如何學習及比對資料相似度 Fingerprint: 0x59A06 01011100110100110000101100 100100 1000111 01110101011010110110011 0111101 0x66A1A 0x1678A 0x461BD 0x6678A 0x4D181 Extract 0xB678A 0x9678A Database Record or Document Algorithmic Conversion One-way Mathematical Representation Fingerprint Storage & Indexing Detect: Real-Time Fingerprint Comparison 20 20

36. Websense 如何防護個資外洩 21

37. Websense DSS政策管理邏輯，可對任何項目製定白名單或黑名單 Who Where How What What 人資單位 競爭對手 FTP 檔案傳輸 程式碼Source Code 網路硬碟 Web 客服單位 事業計畫 員工個資 會計事務所夥伴 IM 即時訊息 行銷單位 財務人員 部落格網站 P2P 檔案交換 合併計畫 會計人員 客戶 Email 病患個資、病例 間諜軟體網站 網路印表機 業務人員 財報 對案 法務單位 客戶個資 隨身碟 技術支援單位 媒體 技術文件 工程研發 Web Mail 網站 競爭比較資訊 誰 傳了什麼 到哪裡 如何送 (人員解析/ AD帳號整合) (文件內容自然語言比對) (網址/IP分類庫整合，目的地感知) (支援完整的資料通道) 22

38. 企業資訊安全防護效益 23

40. 各部門的共識

41. 各部門對機密的有效分類, 檔案統一存放到主機

42. 定期人員教育訓練24