因應北市府薪資系統資料外洩事件 善用內部防火牆

在缺乏足夠安全意識下，全球各地不時發生機敏資料外洩事件，而近來台灣最熱門的資安新聞，莫過於關於某政府機關發生薪資系統資料外洩事件。該事件起因於網路警察以Yahoo引擎搜尋警察同仁資料，結果意外搜尋到相關單位員工薪資資料連結，該連結內容包含員工姓名、職等、薪資、銀行帳號等。在該名員警通報該機關相關單位後，該機關隨即緊急關閉連結並清查外洩原因。
根據該單位說明指出，薪資發放單位為方便外部單位存取資料，所以會將資料存放於暫存區，讓其他單位有權限的特定人員，可連線至DMZ區的薪資發放管理系統。當員工輸入帳號密碼後，即可調閱員工薪資資料做成當月薪資報表，而在報表製作完成後，也會同步產生一個報表連結，而任何取得該連結的人士，無需輸入密碼即可下載該薪資報告檔案，成為資料外洩的主因。
台灣岱凱指出，現今各大搜尋引擎業者均會使用網路爬蟲(Crawler) 等程式，自動在網路上搜尋資料，協助其完善搜尋的資料庫。此次出包，則是因為被 Yahoo奇摩網站「爬走」這些薪資清冊資料，進而發生機敏資料外洩的情形。面對前述問題，台灣岱凱指出目前多數知名資安大廠的新世代防火牆(NGFW)，都有針對網路爬蟲應用的識別能力，能直接在資安政策中設定予以攔阻，如可在資料進出「薪資發放系統」時，設定攔阻所有「網路爬蟲」應用行為，便可立即快速解決此次外洩問題。此外，在各種行動裝置已鋪天蓋地進入內部網路環境中，現今內網環境已不再是百分之百安全無虞，所以建議客戶必須積極規劃與導入「內網隔離防火牆」，將內部不同部門、無線與有線網路等加以區隔，方能避免內部網路不設防，產生不可預知的後果。     ．【資訊安全】 疫情引爆資安 趨勢科技籲警覺
．【資訊安全】 遠端辦公成為資安高風險群
．【資訊安全】 BEC詐騙 台灣受害北亞區居冠
．【資訊安全】 思科助攻 打造遠距體驗
．【資訊安全】 微軟攜手法務部 遏止殭屍網路
．【資訊安全】 防疫當頭 Check Point提供安全技巧
．【資訊安全】 F5亞太報告 關切網路安全
．【資訊安全】 微軟五資安要點　助企業提前部署
．【資訊安全】 區塊科技 推BEC方案
．【資訊安全】 AEGIS CUSTODY攜手中國信託 推帳款資