電腦資安小幫手

如何防護資訊的傳遞？

隨著資料傳遞越來越方便，公司面臨的風險也越來越高。一不謹慎、隨時都有可能發生重大資安意外。
數位化的資料是公司最最重要資產之一，然而、遺失智慧財產權（IP）、客戶的個人資訊（PII）或財物資訊，都會對公司造成難以彌補的重大損失。

一份機要/敏感的資料在公司裡頭，可能會以三種模式存在：靜止、使用中和傳輸中。儘管保護所有模式的資料很重要，但以傳輸中的資料最容易出問題。
傳輸中的資料指的是「在電腦與電腦之間傳遞的數位資訊」。資料可以上傳到雲端、儲存到隨身碟或由其他軟體傳遞。一旦資料傳輸完成，則又變回靜止的模式。

我們針對資料傳輸做防護的原因不僅是因為法規要求（個資法、PCI DSS，GDPR，HIPAA或SOX...），更重要的是「避免機敏資料外洩造成公司損害」，這包含了財務與名譽上的雙重打擊。

近年來由於企業的E化和人員異動頻繁，資料傳遞越來越多。員工平時使用多種裝置來工作（筆電+桌機 / 桌機+手機...），或多人多工協作（如Slack或Mattermost等協作平台），都是稀鬆平常之事。這表示員工的工作不再受限於特定場所，但也表示「資料外洩的可能性非常高」。無論是以往的寄錯信，或者是任意備份檔案，都可導致資料外洩。

因此、面對資料傳遞，防護系統需要能應付各種可能的威脅。如人為疏失、網絡異常、文件共享、惡意行為...等。
對公司而言，需要的是提高生產力、可用性和靈活性所帶來的好處，要避免的則是傳輸與協作帶來的資安風險。

在下一篇，我們將仔細的介紹如何對傳輸的資料做好防護。

瞭解更多GDPR的資訊，同時支援Windows、MAC、Linux 的DLP系統
https://epptw.com/

什麼是GDPR，它將如何影響您的事業？

GDPR是由歐盟委員會、歐洲議會和歐盟部長理事會聯合發布的一項法規，旨在加強和統一對歐盟公民的資料保護。

這是過去20年來歐洲隱私權法規中最重要的變化，它對個人隱私資訊以及任何持有隱私的單位提出重要聲明，要求單位（公司/組織）妥善保存隱私資訊，並能及時修正、刪除。因此，GDPR意味著公司的重大變更，如果未能適當保護歐盟公民資訊，公司將受到嚴格的罰款。

適逢企業邁向數位化的時代，許多公司有網站或線上交易與線上產品，公司內部也收集了許多敏感的資料。即使公司主要的客戶對象並非歐洲，但資料庫或名單中仍可能會有受GDPR保護的資料。
值得注意的是，國際上開始重視個資，也將GDPR當作遵循的標準。這表示、即使不和歐盟做生意，客戶仍會希望公司符合GDPR；或者說、跨國的生意客戶開始排斥機敏防護不足的公司。

今年九月25日, 歐洲法院(歐洲法院)發表了兩項關於執行歐盟被遺忘的權利的裁決。

對台灣人來說，被遺忘權是個很陌生的名詞，但對老外公司來說，卻是一個很重要的概念。

被遺忘權（Right to be Forgotten）是一種在歐盟內部存在的人權概念。簡而言之，即人們有權利要求移除有關於自己的負面信息或過時的個人身分資訊搜尋結果；但因為產生了與言論自由間的衝突，與可能產生網際網路審查的疑慮，因此引發了爭議，且法律框架仍不明確，當前只有在歐盟實行。

雖然被遺忘權只有在歐盟執行，但對跟歐洲等地貿易的公司來說，卻是非常重要的項目。
如何找出公司內部散落的資料，並妥善處理？這是 IT 人員的新挑戰。

資料外洩 與 資安防護 一直被歸納在資安長 (CIO) 與 IT部門、MIS人員的身上。
不過、這幾年CEO和董事會已經意識到數據外洩對企業帶來的損害與災難，也主動參與網路安全與資料外洩防護（DLP）的決策。

傳統上，公司依靠CIO或IT部門就網路安全策略做出正確的選擇。他們的職責範圍從選擇網路安全產品到為員工教育訓練，藉此提高憂患意識與避免資受到不必要的損失。
但隨著資料外洩案件的節節攀升，全球都受到相當大的影響，從歐盟到中國大陸都在推動數據保護法規（個資法/GDPR）。CEO對於預防資料外洩，也開始感到壓力。

根據埃森哲（Accenture）2018年的網路彈性狀況報告：

• 66％的CEO在網路安全問題上擁有最終發言權
• 59％的網路安全預算是由董事會或CEO授權
• 這些數據較2017年增加了33％

隨著CEO和董事會在網路安全策略中扮演更加積極的角色，CIO和IT部門需要意識到他們的主要擔憂以及如何解決這些問題。以下是最突出的三個：

1. 公司同仁是否始終遵守規定？
2. 即使裝置沒有連線，也可以確保資料不外洩嗎？
3. 資安保護政策是否能減少對員工生產力的影響？

先聲明～本人對認真經營的傳直銷公司並不排斥，畢竟傳銷或直銷只是另一種銷售模式。但是用很鳥的方式銷售，就讓人受不了了...
最近遇到個自稱藥師的不斷騷擾，瘋狂的跳針，我講的是傳銷的食品，他硬是拿藥品的資料見證...
所以我特地整理了一篇傳銷鳥人常用話數來提供消費者分辨

1. 『隱晦的宣傳療效』
       最常見的就是拿「藥品」跟「食品」來比較，說詞不外乎某個N植物翠取的藥物具有神效，本公司的產品也是從N植物翠取而來...，魚目混珠、混淆視聽，接著再進入見證時間。
       「破解」
       八角翠取物可以治療SARS，有人聽過吃藥燉排骨治SARS？胃藥裡頭有高麗菜翠取物，所以狂吃高麗菜可以治療胃病？邏輯上就很有問題。
       除非提出藥品與食品成分比例...等均完全相同的依據，不然、只是在畫虎尾蘭～
2. 『見證好神奇』
       賣什麼產品都有人見證，有人找部落客、有人找網紅，但是找自己家人來見證最有說服力。而且「見證」不等於「療效」，所以不公開宣傳也不會出問題。但是、見證真的是人人有效嗎？
       「破解」
       先不提見證的真偽，假定今天看到的見證都是真的。問題在於，見證的效果可以複製嗎？就算產品對健康有幫助，一般人有財力吃到那個份量嗎？
       再說、藥品都經過翠取，成分是濃縮的。食品成分要達到那個劑量，可能得吃掉幾十公斤的產品...
       如果有個自稱專業人士的護航健康食品，但提不出食品的科學依據，丟出來的全是見證，你最好離這個團隊遠一點。
3. 『宣傳產品是保健食品、機能食品、營養食品...』

瀏覽某些網站的時候，常碰到各式各樣奇怪的錯誤，而錯誤的頁面前方則會有一個簡短的代碼表示。
這個錯誤代碼到底是什麼意思呢？

5XX開頭的錯誤，表示表示伺服器無法完成有效的請求。意思是『伺服器出了問題，請找設計或維護網站的人...』
最常見的通常是HTTP 500

500 Internal Server Error

通用錯誤訊息，伺服器遇到了一個未曾預料的狀況，導致了它無法完成對請求的處理。沒有給出具體錯誤資訊。

依照經驗法則，管理員遇到500時，絕大多數問題在根目錄的config.php文件中設定錯誤，通常是資料庫的名稱、使用者名稱、密碼...等，或者是路徑多了空格、多了.之類的問題

而以使用者的立場來看，遇到500時，有一半機率是網站正在升級，另一半機率是程式沒寫好、剛好點到...

其他還有各式各樣可歸咎於伺服器端的問題，若無法仔細歸類，也會放在500 當中

以歌迷的立場，遇到500時，當然事先要簽名啦～～XDDD

瀏覽某些網站的時候，常碰到各式各樣奇怪的錯誤，而錯誤的頁面前方則會有一個簡短的代碼表示。
這個錯誤代碼到底是什麼意思呢？

依照維基百科的說明：

當客戶端使用HTTP瀏覽網頁時，伺服器需要針對不同的「要求」提供不同的「回應」，譬如瀏覽器發出HTML文件（網頁）的要求，並帶有數字回應碼和MIME的訊息。代碼404的第一個「4」代表客戶端的錯誤，如錯誤的URL；後兩位數字碼則代表著特定的錯誤訊息。HTTP的三字元代碼跟早期通訊協定FTP和NNTP的代碼相當類似。

從HTTP的層面來看，404訊息碼之後通常會有一個可讀的訊息「Not Found」^[1]，許多網路伺服器的預設頁面也都有「404」代碼跟「Not Found」的詞彙。

404錯誤訊息通常是在目標頁面被更動或移除之後顯現的頁面。因為此兩種訊息需要特別架構的伺服器，許多網站並不使用。

看不懂沒關係～簡單的說，就是這個網頁不見啦！