正視企業潛在的風險- 資料安全的基本考量 (下)

電腦資料安全控管在現在商業界實不宜輕視。企業家可以採取之規劃方向除上篇所載部份外，也包含： 四、 密碼保護 (Password Protection) 落實密碼保護制度。所有內部電腦資源(包括網路和移動設備如PDA等)都應該透過有效的使用者+密碼組合登入後才能使用，應用軟體也應有其密碼控管。所有密碼都應定期變更，以防有心者在密碼變更前破解密碼。密碼的長度及複雜度依使用者登入後的權限而定，權限越大的使用者(如系統管理員)密碼的長度及複雜度應該相對增加，密碼變更的次數也應更頻繁。如果單一使用者登入失敗次數過多，該使用者的帳號應被凍結。如果有登入失敗紀錄的機制也應啟動，以利及時發現防禦入侵行為。 伍、病毒及垃圾郵件管理 (Virus and Spam Controls) 伺服機和工作站上都應採購及建置防毒及防垃圾郵件軟體，確保其病毒或其他相關定義檔隨時都是最新的，並設定其定期自動執行病毒掃描，且於掃描發現病毒後自動予以清除。停止各類系統自動啟動讀取USB隨身碟、DVD等可攜式媒體，並在此類可攜式媒體插入或連接時執行掃瞄。在郵件方面要確定進出公司內部網路的郵件都會經過防毒及防垃圾郵件掃描。如果經費允許，與專業的防毒或防垃圾郵件軟體廠商簽訂支援合約，以降低不幸中毒後系統回復的時間。 六、資料備份 (Data Backups) 重要資料應定期(最好自動化)備份並將其備份檔儲置於本機之外的儲存媒介，而後將該媒介存放至其他(公司外部)的安全地點。備份的頻率以資料本身的重要性為依據，越重要的資料應該越頻繁備份。而備份方案媒介的選擇則以系統還原最多能承受的時間為考量，需要越快越快能回復的資料則需選擇讀取速度較快的媒介。為防止備份媒介在運送過程中遺失而造成資料外洩的風險，備份資料最好有加密保護。 七、資料加密 (Encryption) 重要資料除了在備份時需被加密外，在日常儲存、隨可攜式媒體被傳輸、以及隨電子郵件被傳遞時都應被加密。自動硬碟或隨身碟加密軟體可以預防硬碟或隨身碟遭竊後所導致之資料遺失。郵件傳遞時可使用加密包裝(如將附件用Zip密碼保護)或透過數位憑證加密的方式，以確保郵件在傳輸中內容不會被竊取。 八、資料保密政策 (Data Privacy) 將資料依重要性分類，重要資料須強化管理並限制使用人員。最好能做到每筆資料只開放給需要使用的人員讀取。絕對避免將重要資料存放在開放性空間或是網際網路。定期教育內部人員資料 (特別是敏感的客戶資料) 保密的重要性。