因應北市府薪資系統資料外洩事件 善用內部防火牆
【文/編輯部】2017/2/7 下午 04:48:20
在缺乏足夠安全意識下,全球各地不時發生機敏資料外洩事件,而近來台灣最熱門的資安新聞,莫過於關於某政府機關發生薪資系統資料外洩事件。該事件起因於網路警察以Yahoo引擎搜尋警察同仁資料,結果意外搜尋到相關單位員工薪資資料連結,該連結內容包含員工姓名、職等、薪資、銀行帳號等。在該名員警通報該機關相關單位後,該機關隨即緊急關閉連結並清查外洩原因。
根據該單位說明指出,薪資發放單位為方便外部單位存取資料,所以會將資料存放於暫存區,讓其他單位有權限的特定人員,可連線至DMZ區的薪資發放管理系統。當員工輸入帳號密碼後,即可調閱員工薪資資料做成當月薪資報表,而在報表製作完成後,也會同步產生一個報表連結,而任何取得該連結的人士,無需輸入密碼即可下載該薪資報告檔案,成為資料外洩的主因。
台灣岱凱指出,現今各大搜尋引擎業者均會使用網路爬蟲(Crawler) 等程式,自動在網路上搜尋資料,協助其完善搜尋的資料庫。此次出包,則是因為被 Yahoo奇摩網站「爬走」這些薪資清冊資料,進而發生機敏資料外洩的情形。面對前述問題,台灣岱凱指出目前多數知名資安大廠的新世代防火牆(NGFW),都有針對網路爬蟲應用的識別能力,能直接在資安政策中設定予以攔阻,如可在資料進出「薪資發放系統」時,設定攔阻所有「網路爬蟲」應用行為,便可立即快速解決此次外洩問題。此外,在各種行動裝置已鋪天蓋地進入內部網路環境中,現今內網環境已不再是百分之百安全無虞,所以建議客戶必須積極規劃與導入「內網隔離防火牆」,將內部不同部門、無線與有線網路等加以區隔,方能避免內部網路不設防,產生不可預知的後果。
更多新聞
.【資訊安全】 疫情引爆資安 趨勢科技籲警覺.【資訊安全】 遠端辦公成為資安高風險群.【資訊安全】 BEC詐騙 台灣受害北亞區居冠.【資訊安全】 思科助攻 打造遠距體驗.【資訊安全】 微軟攜手法務部 遏止殭屍網路.【資訊安全】 防疫當頭 Check Point提供安全技巧.【資訊安全】 F5亞太報告 關切網路安全.【資訊安全】 微軟五資安要點 助企業提前部署.【資訊安全】 區塊科技 推BEC方案.【資訊安全】 AEGIS CUSTODY攜手中國信託 推帳款資