資訊安全市場變化速度不僅快更高深莫測，在駭客攻擊火力日益猛烈的現今，如果企業只是套用傳統資安觀念，將無法做好資料防護的工作。

SafeNet亞太區副總裁陳泓指出，以前大家習慣把機密資料隔絕起來，透過防火牆、IPS、IDS等網路安全設備來阻擋駭客攻擊，就好像把人們把珠寶放在家裡，再透過一道又一道的複雜門鎖來避免小偷，但隨著資安攻擊手法日益精進，傳統這種Alert式安全技術已經不再是唯一防護措施。

過去20~30年間，在我們用盡一切努力與技術去預防資料外洩事件後，終於有了新的體悟，那就是接受資料外洩事件會發生的可能性。換句話說，資料洩露不是會不會發生的問題，而是一個遲早、何時會發生的問題，當企業已經建立「資料外洩事件一定會發生」的心態後，在處理安全技術上面的手段就會不一樣。

舉例來說，將資料加密存放降低對駭客的吸引力(因為駭客並不喜歡被加密保護過的資料)，即便真的外洩了，企業損失也有限，另外，並不是所有資料都需要被保護，應該把資源放在最敏感最機密的資料上。對此，中研院資訊安全組組長叢培侃也有相同看法。

他指出，資訊應用無限、資安防禦有限，企業很難避免資安攻擊事件發生，只能面對它、接受它、處理它、放下它。尤其「處理」兩個字特別重要，畢竟現實世界中，無論任何一種資安防禦設施都無法做到100%的偵測率，企業與其一味地提高偵測率，不如將成本投資在資安事件處理上，透過加快對於受害電腦的事件處理速度，來降低損害成本。

以2013年3月發生的南韓大規模當機事件(DarkSeoul)為例，少數幾家受駭機構在2個小時後就恢復業務運作，降低電腦當機造成的營運損失。3月20日下午2點約莫6個金融媒體機構發生電腦當機無法重新啟動的狀況，受駭機構除了通報政府單位KCC(類似台灣NCC角色)與KISA(南韓政府資訊安全專責單位)，並進行緊急事件處理，新韓銀行立即斷開SSC終端機存取伺服器與更新防毒patch的路徑，並在2個小時內重灌系統，於下午3點50分左右恢復正常營運，另一家受駭企業農協銀行也在半小時後，下午4點20分業務恢復正常運作，並於4天後重新設定防火牆政策(擋住不必要的port)以強化安全。

[雲端環境全新架構資安防禦也要革命]

隨著企業逐步邁向雲端時代，叢培侃認為，未來資安攻擊成本將會越來越低，且會朝向以下幾個方向去發展：

第一、攻擊程式低調潛伏於內部組織中，伺機發動攻擊；

第二、阻斷式服務攻擊成本低廉效果立見；

第三、階段式攻擊：由內而外尋找可利用點；

第四、利用組織內部正常派送或管理系統弱點。

當然，雲端運算不只降低駭客攻擊成本，對企業來說，使用雲端服務也是一個降低管理成本且兼具彈性的作法，只是雲端服務的安全性，往往是造成企業裏足不前的原因。

雲端安全聯盟(Cloud Security Alliance；CSA)台灣分會創辦人蔡一郎指出，2013年雲端服務威脅主要有以下9種：資料洩露、資料遺失、帳戶劫持、不安全的API、阻斷服務、惡意的內部人員、濫用與惡意的使用、未盡職責的調查、及共享技術的議題。

其實，關於雲端安全的議題，早在2009年RSA Conference就已受到重視，CSA便是在當時由眾多廠商共同成立，並在2011年發布了新版的《雲端安全指南 v3.0》，這份指南分成3個部分共14個領域，可做為企業評估雲端服務安全的參考。SafeNet技術長Slawek Ligier表示，雲端環境可以為企業節省支出，專注在核心業務上，但是雲端運算也改變了企業對IT的管控方式。

在私有雲情境下，企業可以管控雲端平台內的所有項目，包括AP、Data、Runtime、中介軟體(MiddleWare)、O/S、虛擬化、伺服器、儲存、及網路。但在公有雲情境下，企業所能管控的項目就變少了，如果是IaaS模式，企業所能控制的只有AP、Data、Runtime、MiddleWare、O/S；而PaaS模式，企業所能管理的項目就更少了只剩下AP與Data；到了SaaS模式，則是全部交由雲端廠商來維運管理。

即便如此，企業所能管控的範圍變小了，仍應負起維護雲端資料安全的管控重任，因此，SafeNet針對虛擬化和雲端環境推出以下三種加密解決方案，為企業把關雲端資料安全：

1.Crypto Hypervisor：將HSM硬體加密模組虛擬化，以適用於虛擬和雲端環境的作業模式，包括虛擬機器本身以及相關的應用程式與內容，都可以進行加密。

2.ProtectV：保障VM與雲端基礎架構，確保Guest OS在搬移時的資料安全。

3.Cryptocard：雲端身分認證服務：透過SAML、API、RADIUS、Agent方式與多數網路設備、公／私有雲以及自行開發的系統整合，並支援多種認證器，如：OTP Token、SMS Token以及在智慧型手機上安裝Token app，提供使用者選取使用。

SafeNet亞太區資安顧問經理伍尚池進一步指出，從調查公司Verizon近期所出的資料外洩調查報告中可以看出雙因素認證的重要性，包括VPN、Intranet、雲端服務、BYOD等應用都適合導入雙因素認證機制，但目前有這麼做的企業並不多，背後原因就在於成本，企業要維運身分認證設備必須投入大量的人力與金錢，同時還可能面臨支援度問題，如是否支援遠端登錄等。

採用雲端身分認證服務不僅可以降低維運人力，在投資成本上也相對較為划算，可以說每個人每個月只要付出一杯咖啡的成本，就能享受雲端身分認證服務，而且Cryptocard支援多種認證設備，在應用上也變得更有彈性。

早期雙因素認證多半採用硬體Token，現在隨著智慧型手機普及，使用軟體將動態密碼Push在手機上的比例也就越來越高，而Cryptocard雲端身分認證服務也是採用相同作法，不另外販售Token，而是裝在手機上(Token APP)，且支援各種不同手機作業系統，包括Android、Windows、iOS與BlackBerry，此外，消費者若沒有使用智慧型手機，也可透過SMS簡訊方式來接收動態密碼。

前述提及，資料外洩是企業早晚要面對的問題，如何增加駭客竊取資料的成本，成為企業進行資安防禦的另一種思維，以下介紹四種不同的加密應用模式，為企業機敏資料多加一層防護傘，即便外洩也讓駭客拿不到原始資料。


[雲端儲存安全防護  避免資料外洩風險]

企業在導入虛擬化初期的確可以享受到降低伺服器管理成本的效益，因為實體伺服器數量大幅減少，透過管理平台就能同時監控上千、上百台虛擬伺服器，但是儲存設備管理問題卻漸漸地浮上檯面。因為企業在POC與正式導入階段，可能採用不同廠商的產品，就算是同一個廠商也可能是不同型號，導致IT人員要學習好幾種儲存設備架構，因而增加管理負擔。

NetApp資深技術顧問陳勇維建議企業，最好採用可以和現有虛擬化廠商整合的雲端儲存平台，簡化管理作業，同時要具備安全防護功能，像是內建防毒軟體、資料存進來就自動掃毒，或是硬碟直接加密，另外因應BYOD趨勢，越來越多人透過行動裝置分享資料，企業最好能自建雲端儲存服務，在行動裝置上建立一個存放資料的專屬加密空間，MIS可自訂使用者存取權限，針對適當的人員、裝置、時間授予正確資訊，避免員工採用Dropbox之類的公有雲儲存服務，確保安全防禦不因行動應用而受到影響。


[虛擬環境下的資料保護]

目前企業在發展虛擬化時，不外乎以下幾種應用模式：AP伺服器、郵件伺服器、檔案伺服器、資料中心等，幾乎企業的所有資料都有可能在虛擬環境中運作，如何做好資料保護，就是一個企業值得關注的議題。

聚碩科技產品經理陳擎民認為，企業的資料加密保護機制應該涵蓋以下四個面向：虛擬環境保護、儲存環境保護、資料庫加密、資料遮罩，才能安心地把資料放在雲端。

第一、虛擬環境的資料加密，是件非常重要的事，在VM架構下的Guest OS可以很容易地在不同機器間搬移，所以Guest OS資料需要被加密金鑰保護，當使用者要啟動Guest OS時必須經過金鑰比對，如果一致才能打開，以避免有心人士私自複製Guest OS並帶離企業環境，這樣的應用模式在公雲環境下同樣適用，只要將加密伺服器放在自家機房，當未來企業不再租用雲端服務廠商的OS時，便刪除加密伺服器中的金鑰，就能避免雲服務廠商未落實砍掉Guest OS的資料外洩風險。

第二、儲存環境資料保護，虛擬化架構後面一定有個實體儲存設備，所有存放在其中的資料都必須是加密的，而使用者只能在自身權限範圍內進行存放／讀取檔案的動作，這與文件加解密的差異在於，前者有支援檔案格式的問題，後者沒有，而且還有Log可以做稽核，可以記錄誰把資料帶走。

第三、資料遮罩強調的特點在於落地遮罩，也就是資料一進入DB就是變造過的形式，與其他解決方案採用動態遮罩方式，資料明碼存放於資料庫，等到有人來下Query時再遮罩送出的做法不同，好處在於可以防止有權限人士非法匯出或DBA監守自盜。

第四、資料庫加密，除非有金鑰否則只能取得加密過的資料或假資料，一來可防止駭客，二來可避免DBA權限過大，如果沒有做DB加密，很可能從底層把資料都帶走的風險。另外，某些資料庫廠商本身就提供加密功能，但其加密元件多半安裝在主機上，容易拖累資料庫存取效能，而且還要另外買HSM來管理金鑰，其投資效益未必比較好。


[報廢儲存設備  確實銷毀資料了嗎？]

過往企業資料外洩事件原因，有很高比例來自於廢棄硬碟／磁帶，理論上來說，企業在淘汰磁帶、硬碟等儲存設備前，應該先把其中的資料銷毀才對，較常見的銷毀方式就是透過消磁機或採用物理破壞方式，但有時候因為管理上的疏失，忘了銷毀資料就丟棄設備，或是把磁帶攜出公司卻不慎遺失，導致企業資料外洩。

因此，Brocade資深技術顧問林奇志認為，直接在硬帶或磁碟上做加密，等於是多了一層保障，即便不小心發生人為或管理疏失，也不用擔心資料外洩風險。然而，對於導入光纖通道儲存區域網路(FC-SAN)的企業來說，如果採用Storage-Based的加密解決方案，在終端儲存設備做加密，很容易對效能造成或高或低的影響，畢竟儲存設備除了要頻繁地提供給前端主機做存取之外，有時可能還要負擔異地備援(DR)的任務，這些都會耗用掉控制器的資源，如果還要在上面導入加密機制，當然在效能上就會互相牽制。

比較理想的方式是採用FC-Based的加密解決方案，也就是在光纖網路上進行加密設定，企業可以依照自身需求去指定要對哪個LAN做加密，既簡單又彈性，更不必擔心加密對儲存設備效能的影響。


[行動付款  結合身分認證避免爭議]

智慧型手機普及，促使行動付款應用日趨成熟，除了目前常被討論的NFC技術外，中華電信經理劉根田指出，國外也有許多企業將二維條碼(QR Code)應用在行動付款上，消費者只要在手機上下載QR Code行動付款APP，並登錄信用卡或活期帳戶、個人基本資料，完成認證後，就可啟用手機錢包功能，日後購物，只要持手機讀取POS設備上所產生的QR Code，就能從預設的信用卡或存款戶頭中扣款。面對雲端運算的到來，企業除了擁抱它、享受雲端效益外，更別忘了要做好資料安全加密保護，才能真正駕虛擬躍雲端。