【大纪元12月28日报导】(中央社记者吴佳颖台北28日电)惠普发布一项新的全球调查报告指出,由于企业对于资料库管理者、网路工程师及IT资安人员等“特殊权限使用者”的监管不甚周延,导致企业机密资料外泄风险持续增加。
惠普台湾表示,这项由Ponemon Institute组织进行的资讯科技(IT)产业及安全管理研究报告,访问对象跨越13个国家,包含澳洲、巴西、法国、德国、香港、印度、意大利(亦译:意大利)、日本、韩国、新加坡、西班牙、英国与美国,共调查超过5000多位企业IT及资安管理人员。
研究报告中,52%受访者表示,特殊权限使用者可以取得高于本身权限许可的机密资料;而60%受访者表示,特殊权限使用者经常很容易取得与其工作职掌无关的机密资料。
研究报告也指出,滥用特殊账号权限的严重程度,每个国家不尽相同,法国、香港与意大利被检测出滥用权限程度较为严重,德国、日本与新加坡的情况较轻。
另外,将近80%受访者表示,建置一套安全资讯和事件管理(SIEM)系统,是监控特殊账号权限有效的解决方案。
惠普台湾表示,这显示企业对于资料库管理者、网路工程师及IT资安人员等“特殊权限使用者”的监管不甚周延,容易增加企业机密资料外泄风险。
报告也指出,“顾客个资”与“企业业务资料”所面临的安全风险最高,特别是在相关的应用软体存取企业内部系统、行动通讯、社群网路等系统;且有将近4成的受访者表示,对于公司存取资讯权限的规定并非全盘了解,特别是不确定现行特殊权限使用者的行为是否合乎规范。
惠普台湾说,企业已试图用不同方式掌控这样的状况,有27%受访者表示,公司现行以身份确认系统与存取控管方式,来管控资料管理系统的相关人员;24%受访者表示,公司有制定相关作业程序来管控资料;但仍有15%受访者认为公司对资料取得的权限掌控不佳;也有近11%的受访者认为取得资料的权限实际上无法被有效辨识。
惠普科技企业安全解决方案事业单位副总裁芮里(Tom Reilly)表示,这项研究显示,企业暴露在风险中的原因,在于没有将存取机密文件的权限视为关键,企业需要更完善的管理规章与更强化的安全智能科技解决方案,来加强机密资料的控管。
