谐和 2008-7-1 20:52
赛门铁克 企业数据保护达标准者少
虽然台湾目前没有如欧美般严谨的法规遵循政策,不过赛门铁克大中华区资深首席顾问曹如玮指出,将[url=http://security.ctocio.com.cn/]安全[/url]防护技术结合企业安全政策控管([url=http://whatis.ctocio.com.cn/searchwhatis/177/6026177.shtml]policy[/url] control),是最正确的方法。
近日个人资料外泄事件频传,也因此政府积极推动个资法修法,希望提高罚责及扩大规范范围。而赛门铁克日前发布的全球研究也显示,企业间在数据保护及法规遵循的表现上有很大的关联,显示法令规范对于企业在个资保护的做法有很大效果。
赛门铁克今天发表[url=http://whatis.ctocio.com.cn/searchwhatis/250/6025750.shtml]IT[/url] Policy Compliance Group最新标竿研究报告,指出在欧、美、亚洲地区的研究范围内,只有十分之一的企业拥有符合国际规范的资料安全保护政策。这样的比例明显偏低,显示出不只是台湾,全球企业在数据保护的做法上都应加强。
另外研究中也发现,在数据保护上表现优良的公司,在法规遵循稽核也有很好的成绩。目前欧美都有法规遵循的政策,例如欧洲在1995年通过欧盟数据保护指令,美国则在2002年制定沙宾法案。
而台湾目前的计算机处理个人数据保护法,则只限于公务机关、金融、电信等特定八大行业,近半年来频传数据外泄的电视及[url=http://networking.ctocio.com.cn/]网络[/url]购物业者都不在个资法的规范范围之内。
赛门铁克则认为,受到法令规范的行业,在数据保护上就会做较严密的控管。以台湾来说,较重视数据保护的产业包括政府机关、金融业、电信业等等。这是由于政府受到行政机关信息安全管理要点规范,金融业通常会签定数据保护契约,而电信业则是受个资法约束,因此在数据保护上都有较明确的政策。
不过现有的个资法由于罚金只有2至4万的上限,因此仍然无法成为强大约束力量,因此政府现在也推动修改新版个资法,将罚金提高至最高五千万。
企业应重视安全政策控管
虽然台湾目前没有如欧美般严谨的法规遵循政策,不过赛门铁克大中华区资深首席顾问曹如玮指出,将安全防护技术结合企业安全政策控管(policy control),是最正确的方法。
他说:「企业现在需要的是全方位的IT风险管理。」从储存、[url=http://storage.ctocio.com.cn/tt-storage-bfrz/]备份[/url]到电子邮件、实时通讯软件([url=http://whatis.ctocio.com.cn/searchwhatis/460/6025460.shtml]IM[/url])控管,到网关端([url=http://whatis.ctocio.com.cn/searchwhatis/110/6093110.shtml]gateway[/url])、端点防护(endpoint)及防火墙,除了使用安全厂商的产品外,企业本身也要制定安全政策。因为以黑客现有的多元[url=http://whatis.ctocio.com.cn/searchwhatis/308/7333808.shtml]攻击[/url]手法看来,只要漏掉了任何一块,都会成为数据外泄的管道。
赛门铁克今年也将端点防护视为资料防护的关键,今年更将新版企业端防毒软件更名为Symantec Endpoint Protection(SEP)11.0,强调加强端点安全防护,并搭配安全政策控管软件Symantec Network Access Control([url=http://whatis.ctocio.com.cn/searchwhatis/134/7352134.shtml]NAC[/url])11.0,希望结合防毒和政策控管强化企业端点安全。
另外数据遗失防护(Data Loss Prevention,DLP)技术也是各家厂商关注的焦点,包括McAfee、[url=http://whatis.ctocio.com.cn/searchwhatis/294/7785794.shtml]趋势科技[/url]、赛门铁克等三家安全厂商都已并购DLP厂商,要将其技术在既有产品内补强。
除了McAfee较早在去年就已买下Onigma之外,趋势科技在今年10月底买下DLP厂商Provilla,赛门铁克则是在本月(11)初并购Vontu。目前McAfee已将DLP技术整并进其整合管控平台ePO 4.0;趋势科技则打算在明年Q2将DLP整合进企业端防毒产品OfficeScan中。