根據 2018 Thales 資料威脅報告 (Data Threat Report) 顯示，隨著 Cloud、Big Data、IoT 物聯網、行動支付等科技的廣泛應用，資料的儲存範圍也日益擴大，94% 的數位傳輸過程中都包含了機敏資料；而高達 67% 的企業曾被入侵，資料遭竊的企業比例也從 2016 年的 21% 攀升到 2018 年的 36%。

諷刺的是，即使企業IT預算支出比例也逐年增加，卻依然阻止不了資料外洩的趨勢。

依據近年來的觀察，企業龐大的IT支出，大多用在IT環境的維運、架構擴充，真正用在保護資料的比例其實普遍偏低，多數企業對資料保護的執行重點依然是”盡可能不讓壞人進來”，但隨著駭客、有心人士的技術能量不斷加強，入侵方式也一再推陳出新，企業思考重點應該轉為”萬一壞人突破城牆，入侵到企業內部核心時該怎麼辦？”

在勒索軟體出現後，不難發現”加密”其實是真正能保護資料的方式，若企業能善加利用，自行先將資料加密保存，便能防止勒索軟體肆虐，即便遭竊，資料也能在加密狀態下而免於外洩或受到濫用。

談到加密，一般都會擔心效能及資料存取、使用上的不便，但其實現今的加密技術已經可以克服這方面的問題，對效能的影響相當有限。另一個關於”加密是否就不會被破解?”的顧慮，時間就是金錢，駭客與其花功夫破解加密演算法，不如設法取得加密金鑰，因此，金鑰管理反而是加密方案選擇時的重點。提供加密方案的廠家越來越多，金鑰管理勢必成為考驗，若加密方案能同時支援第三方廠家加密金鑰的管理與保護，才能有效減緩企業面臨的金鑰管理難題。

資料來源：iThome

TaiPay 是台灣本土唯一自主研發「代碼化技術（Tokenization）」的 FinTech 金融資安公司，並以「化碼化技術」為核心技術，分別投入「金融資訊安全」、「交易資訊安全」、「支付資訊安全」及「機敏資訊安全」等領域，將逐步為兩岸三地、大中華地區、亞洲各國地區及全球市場提供「代碼化技術」解決方案，為銀行、商店及消費者，打造最高等級交易資訊安全環境。

2017年TaiPay也已獲得 PCI SSC（Payment Card Industry Security Standard Council，支付卡產業安全標準協會） 訂定的 PCI-DSS Level 1（PCI-DSS，Payment Card Industry Data Security Standard 支付卡產業資料安全標準）證書。

亞利安科技在資安防護的規劃建置上，已累積10年以上的產業經驗，此次與TaiPay的合作，主要是希望透過Tokenization資安防護服務的共同推廣，協助國內金融、電商、保險，甚至是政府單位加速達成合規及機敏資料防護，並進一步為國內企業強化資安防護。藉由雙方的共同開拓市場，創造雙方及消費者三贏的局面。

更多 TaiPay 服務相關資訊，請見官網：https://www.taipay.com.tw/

亞利安科技與TaiPay於2018年8月正式成為合作夥伴

過去兩年企業面臨許多資安的大事記，如DDoS攻擊、勒索軟體等，而檯面下的攻擊事件也未曾少過，加上個資保護意識及法規的要求也越來越嚴謹，讓企業的合規成本也隨之增加，像是今年即將實施的GDPR便讓不少企業耗費不少心思。

以2017年來說，企業漸漸意識到過去將資安重點放在IT環境保護的模式，在面對如勒索軟體、APT等攻擊時，並無法真正保護到資料，等到駭客真的侵入到企業內部，大筆的明碼資料毫無防護，任君取用。受害產業也從政府、電商、金融，逐漸擴散到醫療、旅遊、製造、零售等產業。因此2018的資安議題應轉為對「資料」本身的保護，包括資料加密、Tokenize、靜態遮罩等解決方案都將越來越受到重視與關注。

而在IoT、Blockchain、工業4.0、AI、車載系統、自動駕駛、智慧城市等新興議題上，資安著眼點應在於device間如何相互驗證？自動化、雲端化的運作基礎架構下，如何確保數據、資料、指令傳送來源與目的端的真實性、正確性？雖不涉及個資，但若不重視將嚴重影響新技術或設備的導入，錯誤的數據亦無法為企業帶來節省成本、改善製程良率等預期效益。

在產官學的共同努力之下，目前已知有區塊鏈應用先驅率先導入以硬體HSM強化其平台對於加密金鑰的運算與安全; 不少廠房自動化設計廠商亦規劃在資安上多做加值，以符合市場對資安的要求。2018年勢必將有更多關於HSM、憑證使用與保護的解決方案廣泛應用於不同產業。

資料來源：iThome

在全球消費者意識抬頭下，企業為迎合政府法規要求與維護公司商譽，近年添購資安設備預算持續不斷增加，期望提高整體資安防護等級，但似乎仍無助於避免資料庫被駭客入侵的事件發生，如Dropbox、Yahoo等知名業者，便爆發大量電子郵件帳號被竊取的事件。而在2016年美國大選期間亦傳出有部分州政府選民資料庫被入侵的事件，顯見企業資安防護架構存在眾多盲點，才會導致資料庫被駭事件頻傳。

亞利安科技資安技術支援部經理王添龍說，多數公司資安防護架構仍著重在閘道端防護，在駭客入侵管道日益增多的狀況下，無力察覺隱藏於公司內部的惡意程式，使得資料庫被入侵事件不斷發生。其次，部分公司為省下資料庫昂貴的授權費用，習慣採取多人或多個程式共用帳號的存取模式，無形中也增加維護資料庫安全的難度，很難查出駭客入侵的管道，因此資安人員有必要調整資安防護思維。

亞利安科技總經理范梓芳表示，亞利安一直非常關注全球資安趨勢發展，並致力解決台灣企業用戶需求，所以在原有 IMPERVA SecureSphere 資料庫稽核方案之外，也引進在國際市場受到好評的 Thales Vormetric 資料庫加密解決方案，期望藉由兩者之間的完美搭配，協助資安人員完整保護資料庫安全。

三大面向著手 杜絕資料外洩

身為台灣專業資安設備代理商的亞利安科技認為，要達成資料庫安全防護應該要從E(加密)、A(稽核)、M(遮罩)等三大面向著手，才能將資料庫被駭風險降至最低。市面上採取欄位加密技術的資料庫加密產品，不僅影響資料庫效能甚巨，且在共用數量有限的資料庫帳號狀況下，難以辨識真正的使用者，並容易因密碼被駭客竊取，導致失去引進資料庫加密產品的意義。

相較之下，Thales Vormetric 則是在作業系統層上直接對資料庫進行加密，除支援多種作業系統、Agent效能高、不需改程式、免停機即可加密資料等特性外，也因管理員無法看到明碼資料，所以即便駭客組織透過APT攻擊取得資料庫帳號，亦無法取得資料內容，可說是效果最好的資料庫加密方案。

王添龍指出，市面上雖然部分產品號稱有類似功能，不過由於資料加密工作仰賴單一設備，所以很容易影響到資料庫伺服器的效能。而 Thales Vormetric 則是採取加解密運算分散處理的概念，所以幾乎不會發生效能瓶頸問題，能將保護機制延伸到公有雲端平台上的資料庫，有效保護商業機密與客戶個資安全。

至於 IMPERVA SecureSphere 平台，則能在不改變既有網站應用程式或網路架構下，提供監控、阻擋異常存取行為功能，達成留存資料庫存取紀錄稽核軌跡的目的。另外，產品也能夠針對特定欄位提供遮罩功能，確保前端用戶看不到完整資料 ，將資料外洩管道降至最低，協助企業維護辛苦建立的商譽。

范梓芳認為，在駭客攻擊手法快速進步衝擊下，企業不可能只靠一套軟體或設備杜絕資安威脅事件，而是需要透過各種資安產品之間的相互搭配，將駭客入侵之後造成的損失降至最低。而亞利安科技所推出的 IMPERVA SecureSphere資料庫稽核 與 Thales Vormetric 資料庫加密解決方案的搭配，正好可提供加密、稽核、遮罩等三大功能，堪稱是市面上保護資料庫安全的最佳解決方案。 

資料來源：資安人雜誌

延伸閱讀

• 資料庫安全解決方案
• IMPERVA 資料庫稽核系統(DAM)
• Thales Vormetric 資料庫安全解決方案