資料安全(Data Security)是指在整個資料生命週期中,透過各種實務來保護數位資訊,防止未經授權的存取(例如,網路犯罪者、惡意內部人員、人為疏失),以避免資料遭竊、外洩、損毀或刪除。資料安全的基礎涵蓋多項商業、組織與 IT 流程與技術,包括對所有硬體、軟體及其所在的實體設施的存取控管。
資料安全的一個常見模型與架構是 CIA 資安鐵三角(機密性、完整性與可用性)。每個元件在資料安全中的角色如下:
- 機密性 建置資料安全措施,是為了確保只有擁有適當憑證的授權使用者才能存取資訊。
- 完整性 實作資料安全系統,是為了確保資訊可靠、準確,並防止未經授權的變更。
- 可用性 建置資料安全檢查,是為了確保授權使用者能持續且順利地存取所需的資料。
除了與惡意軟體(Malware) 與進階持續性威脅 (Advanced Persistent Threat, APT) 相關的風險外,資料安全也致力於降低由人為因素所造成的威脅,例如:
- 受騙於社交工程手法 社交工程(Social Engineering)是最具威脅性的網路安全威脅向量(Threat Vector) 之一,因為它利用了組織中最脆弱的資料安全環節:人。這類攻擊透過操控授權使用者,使其洩露敏感資訊,例如帳號憑證或個人可識別資訊 (personally identifiable information, PII),進而導致資料外洩事件。
- 人為疏失 資料外洩(Data Breach)通常與網路犯罪者或惡意內部人員有關,但單純的人為疏失往往是敏感資料或資訊外洩的原因。這可能源自於不慎分享、錯誤授權存取、遺失,或不當處理敏感資訊所造成的結果。
- 惡意內部人員 這些內部威脅可能包括蓄意危害資料安全的員工、承包商、供應商或合作夥伴。惡意內部人員利用他們對組織的瞭解,繞過資料安全措施,竊取、洩漏、破壞或銷毀敏感資訊。
除了防止資訊遭受網路犯罪分子的攻擊外,資料安全還能帶來其他好處:
- 透過確保組織正在採取措施保護敏感資訊的安全,幫助組織在客戶、合作夥伴與員工面前保持良好的聲譽。
- 提供競爭優勢,使企業從其他遭受資料外洩的企業中脫穎而出。
- 確保授權系統與使用者能夠存取資訊。
資料安全為何重要
隨著遠端工作、雲端服務與物聯網 (Internet of Things, IoT) 裝置的興起,資料安全的重要性顯著提升。這些趨勢使攻擊面(Attack Surface)急遽擴大,讓未經授權存取的機會比以往更多。
隨著組織在保護敏感資訊方面面臨挑戰,這項趨勢持續推動對資料安全的需求。資料安全之所以重要,最常被提及的三大原因包括:法規遵循要求、品牌資產與價值,以及專有資訊。
1. 法規遵循的資料安全要求
公共與私人組織皆須遵守各種標準與規章,包括嚴格的資料安全要求。
- 產業特定規章包括:
- 反洗錢 (AML)
- 客戶盡職調查 (CDD)
- 家庭教育權利與隱私法案 (FERPA)
- 2002 年聯邦資訊安全管理法案 (FISMA)
- 金融服務業現代化法 (GLBA)
- 健康保險可攜性與責任法案 (HIPAA)
- 瞭解您的客戶 (KYC)
- 支付卡產業資料安全標準 (PCI-DSS)
- 沙賓法案 (SOX)
- 涵蓋同一地理區域內所有組織的規章包括:
- 加州消費者隱私權保護法 (CCPA)
- 兒童網路保護法案 (CIPA)
- 兒童網路隱私保護法 (COPPA)
- 歐盟一般資料保護規範 (GDPR)
- 個人資訊保護與電子文件 (PIPEDA)
資料外洩還可能造成重大財務損失,包括未遵守法規遵循要求所規定的資料安全協議時的罰款,以及需要恢復敏感資料時處理與損失與損害修復相關的和解索賠的法律費用。
2. 資料安全,防止品牌資產與價值受損
資料安全也有助於解決資料外洩帶來的聲譽風險,聲譽風險可能導致失去客戶信任,進而將市場佔有率拱手讓給競爭對手。
品牌受損所帶來的代價難以估計,一次重大資料外洩事件可能摧毀企業多年甚至數十年累積的品牌資產與價值及信譽,而這些損失是無法用金錢挽回的。事實上,品牌受損常被視為資料外洩最嚴重的影響之一,也進一步凸顯了資料安全的重要性。
3. 保護專有資訊的資料安全
資料安全的核心在於保護組織的數位資產與系統,包括智慧財產權、網路和伺服器以及關鍵基礎設施。除了財務竊盜之外,網路犯罪者也經常針對組織發動攻擊,竊取商業機密與有價值的客戶資訊。
其他攻擊則著重於破壞 IT 基礎設施,導致營運中斷,以及破壞關鍵服務(例如電力或水)的關鍵基礎設施。資料安全提供必要的防護機制,以抵禦這類攻擊。
資料安全的類型
用於保護資訊、裝置、網路、系統與使用者的五種最常見的資料安全類型是資料加密、資料清除、資料遮蔽、資料韌性與 Token 化。根據不同的使用案例,這些技術可單獨使用,也可搭配使用。
1. 資料加密 資料加密使用演算法將人類可讀的文字轉換為字串。只有擁有唯一解密金鑰的授權使用者才能將加密資料解碼回純文字。加密是一種有效的資料安全工具,廣泛用於保護靜態與傳輸中的資料。
2. 資料清除 資料清除比資料抹除更安全,是從系統中永久移除資料的方式。資料清除是資料安全的關鍵,可確保裝置上殘留的所有資訊都被完全覆蓋,並且經過驗證無法恢復。
3. 資料遮蔽 資料遮蔽技術讓組織能夠向使用者呈現人類可讀的文字,但以替代文字隱藏敏感資訊,即「遮蔽」或使用 Proxy 字元替換人類可讀的文字來隱藏關鍵訊息。當授權使用者存取時,內容會恢復為其原始形式。
4. 資料韌性 資料韌性是資料安全的關鍵,因為它能確保資料的可用性。透過導入資料韌性系統與流程,例如資料備份,可在發生網路攻擊(例如勒索軟體(Ransomware))或網路災難時,意外毀損資料或資料遺失造成的營運中斷降到最低。
5. Token 化 與資料加密類似,Token 化會將明文替換為一串字元。Token 化是將明文替換為相同資料的不可讀版本,稱為 Token。
這串字符代表原始資料,並儲存在安全的 Token 庫中。這項資料安全解決方案可用來保護敏感資訊,例如個人可識別資訊 (Personally Identifiable Information , PII) 或受保護的健康資訊 (protected health information, PHI)。
資料安全工具與解決方案
常用的資料安全工具與解決方案包括:
- 存取管理與控制
- 驗證方式,例如生物辨識、單一登入 (SSO , Single Sign-On) 與 多因子驗證 (MFA , Multi-Factor Authentication)
- 資料與檔案活動監控
- 資料探索與分類
- 資料遺失防護 (DLP)
- 電子郵件安全
- 身分與存取管理 (IAM , Identity and Access Management)
- 網路與端點保護、監控與控制
- 即時系統與資料監控
- 漏洞評估與風險分析
資料安全策略
全面的資料結合安全策略將工具與解決方案,與以人為本的流程。以下是一些應與工具與解決方案結合使用的重要資料安全策略。
- 套用修補程式並保持軟體更新
- 制定政策以確保對網路攻擊的應變準備
- 切勿忽視行動資料安全
- 教育員工瞭解資料安全的重要性
- 採用資料管理策略,包括:
- 確保伺服器與使用者裝置的實體安全,例如:
- 瞭解資料存放的位置
- 將敏感檔案進行分區管理
- 限制高風險活動
- 測試流程與系統
- 追蹤使用者存取權限
- 使用基於行為的權限
- 資料稽核
- 資料蒐集最小原則
- 資料風險評估
- 清除過時的資料與應用程式
- 聘僱資安人員
- 使用門禁卡或生物辨識技術實施存取控制
- 保持檔案櫃上鎖
- 鎖好辦公室門
- 銷毀紙本記錄
- 使用監視攝影機
資料安全最佳實務也建議實施管理和營運安全措施。
- 管理安全透過以下措施解決源自組織外部的風險:
- 營運安全則透過以下策略保護資訊免受內部漏洞的影響:
- 進行第三方風險評估
- 制定隱私權、事件回應與資訊安全政策
- 投保網路安全保險
- 實施稽核控制
- 提供安全意識訓練
- 在登入畫面上新增安全訊息
- 制定並實施員工入職與離職程序
- 培養安全文化
- 監控使用者裝置
- 訓練內部與外部使用者
資料安全趨勢
物聯網裝置的攻擊面不斷擴大
物聯網 (IoT , Internet of Things) 裝置因其部署規模與速度(全球已達數十億台)而成為最嚴重的資料安全風險之一。這些裝置幾乎無所不在,且大量連接至網路,使得攻擊面呈指數型擴大。
除了物聯網裝置的部署數量之外,其本身的漏洞也對資料安全構成重大威脅;多數物聯網裝置在設計時並未將安全性列為優先考量,且往往在缺乏安全防護的情況下部署。
由於物聯網裝置的處理能力與儲存空間有限,在這些裝置上安裝資料安全軟體極具挑戰性。此外,物聯網裝置數量龐大且分散各地,使得維持安全系統的更新與安裝修補程式變得困難。
勒索軟體威脅日益嚴重
雖然勒索軟體(Ransomware)自 1989 年起便已存在於網路威脅環境中,但如今已成為許多網路犯罪者偏好的惡意軟體。勒索軟體的部署相對容易,其有效載荷的傳遞方式與其他常用惡意軟體相同。
勒索軟體在暗網上也很容易取得。即使是個人或小型網路犯罪集團,也能利用勒索軟體即服務(Ransomware as a Service)進行攻擊。
資料安全解決方案可用於對抗勒索軟體。然而,由於勒索軟體常利用社交工程手法來繞過這些解決方案,資料安全系統在阻止勒索軟體方面面臨挑戰。
在資料安全領域中,人工智慧的應用日益增加
人工智慧 (Artificial intelligence, AI) 與機器學習技術 (machine learning, ML) 在資料安全解決方案中的應用日益廣泛,能有效提升防護效能。AI 與 ML 可用於自動化安全流程與威脅偵測,並透過持續收集的資料不斷改善可疑活動的識別能力。AI 對資料安全的重要性在於,它能夠處理大量資料,並根據分析快速做出決策,以比人類與基本軟體快數千倍的速度通知事件回應。
AI 的另一個分支:自然語言處理 (natural language processing, NLP),用於打擊網路釣魚攻擊(Phishing),因為支援 AI 與 ML 的工具在識別惡意訊息方面比人類更具效能。AI 也提升生物辨識技術在授權上的準確性與效能,例如臉部辨識、指紋辨識與語音辨識。此外,AI 也正被用來開發更多進階的生物辨識方法,以強化資料安全,例如行為辨識技術。
企業資料安全
企業資料安全需要採用多層次的方法,來確保資料與應用程式始終安全可用。此外,還需納入營運持續計畫,以在遭遇網路攻擊或災難時,將服務中斷降至最低。
隨著居家辦公人數的不斷增加、行動裝置的廣泛使用以及 IoT 裝置的爆炸性成長,企業資料安全的範圍不斷擴大。這些使用案例皆高度依賴敏感資訊。隨著複雜性、使用者數量(即機器與人類)以及攻擊面的擴大,企業資料安全的標準也隨之提高。
雲端資料安全
資料安全的範疇已不再侷限於企業內部 IT 系統,而是擴展至日益增長的雲端基礎設施與服務。通常,雲端基礎設施與服務的資料安全性是由雲端服務供應商與企業 IT 團隊共同提供。
雲端運算面臨的威脅與本地端部署相似。資料安全解決方案已針對雲端環境管理進行最佳化,但仍需採取額外的防範措施。基於雲端的基礎設施與服務的其他資料安全考量包括保護雲端遷移,以及避免因雲端設定錯誤而產生的漏洞。
資料安全與自攜裝置 (bring your own device, BYOD)
自攜裝置(BYOD,即在企業運算環境中使用個人電腦、平板電腦與行動裝置)已成為常態且持續擴展,儘管 IT 資安團隊對此做法所帶來的風險提出合理的強烈擔憂。為了保護這些裝置,資料安全措施也不斷改進。
為加強對 BYOD 威脅的防護,所採用的資料安全通訊協定要求使用個人裝置的員工必須安裝安全軟體才能存取公司網路。這種資料安全實務旨在集中控制與掌握資料在個人裝置之間的存取與移動情況。其他有助於保障 BYOD 安全的資料安全策略包括強制使用加密、強密碼、多因子驗證(MFA)、定期安裝修補程式與軟體更新,以及備份。
監控是另一項重要的資料安全措施,用於降低 BYOD 的風險。這種方法還可以透過識別所有裝置,來防止未經授權的 BYOD 使用。
掌握資料安全的最新發展
自從資訊誕生以來,資料安全便一直扮演著確保資料完整性與可用性的關鍵角色,從早期的人工加密技術到用於儲存機密的隱密空間。與多數技術一樣,資料安全也持續演進。若要充分發揮資料安全的效能與價值,就必須投入時間,掌握最新的發展趨勢與相關解決方案。
