企業關鍵三防線 加密機制不可缺
2020年於台灣資安大會論壇上國立政治大學金融科技研究中心副主任陳恭提到,隨著API廣泛應用,資安議題增多。同時還提及API安全的兩大基本做法, 威脅防護和存取控制,陳恭強調,所有API與應用系統依舊需要進行基本的認證、授權、分級管理、流量監控等。因此,我們從存取控制做法來看,加密機制是不可或缺。 由一群專注於資訊安全領域寶誼資訊的專業技術團隊表示,經過多年服務企業的經驗,從企業角度來看,提供三個關鍵組織單位,必需要具備加密機制觀念與行動。
一、開發單位
加密對於開發單位是一個專業的領域,開發單位除了開發過程需要因應法規要求,又需配合開發時程及配合個別需求單位的應用程式開發,因此往往開發團隊是各自獨立,獨立團隊(因為各自團隊會有自行加密的程序),開發團隊同時又需要花上許多時間處理加密機制,因此對於開發團隊人員,程式開發、時程與成果,均會受到衝擊,對於成效也會受到影響。
二、稽核單位
稽核單位,跨單位稽核是經常所見的行為,如果未有機動性的集中管理機制且安全的,對於稽核人員進行稽核流程所耗時與耗人力,均是高成本的一環,同時也是高風險的提升。
三、資安單位
如論是資安單位的負責資安人員或是資安長的職級人員,對於未做好良善的資料安全與稽核的保護,導致企業資料曝於資安高風險狀況,或是增擴硬體設備來防禦,也是高成本,這對於資安單位亦非最佳化的資安管理機制。
寶誼資訊技術團隊補充說明,普遍而言,加密的做法有三種,儲存體加密、傳輸層加密和應用層加密。加密的觀念行之有年、早期大部分大家進行的是儲存體的加密,例如USB加密、硬碟加密 ; 傳輸層加密,例如VPN site to site的傳輸層加密,但是儲存體加密與傳輸層加密機制多年來出現漏洞與洩密事件攀高,因此對於企業而言,對於儲存體與傳輸層加密安全的信任度上保留存疑。應用層(AP)加密機制,則是現階段加密機制的新思維與技術,也帶來新的解決方案。所謂應用程式加密是直接將加密機制整合到每一項應用程式中,讓開發人員原本需要執行的應用程式加密機制工作,直接交由機密機制應用取代,不僅可以節省開發人員的時間並提高整體應用程式的安全性,協助企業組織達到低延遲、高效能的冀盼,當然,具有高技術能量與服務客戶經驗的服務廠商也是企業們同時找產品時,找夥伴的期許條件。