回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 Blue Coat資安專家提建議,雲端時代政府資料面臨新挑戰
棋略整合行銷 本新聞稿發佈於2015/09/09,由發布之企業承擔內容之立場與責任,與本站無關

雲端時代,政府部門對於其所維護的資料要如何”走入”雲端,面臨了前所未有的新挑戰;一方面要具備各式應用程式的雲端存取,另一方面又要做好資料安全的管控,特別是必需符合法規遵循的要求。為此,Blue Coat美國聯邦系統工程總監David Rubal特別提供了建議概要,以協助政府部門解決相關的法規遵循障礙。

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此 想在你的Blog上輪播產業動態按此
 
雲端時代,政府部門對於其所維護的資料要如何”走入”雲端,面臨了前所未有的新挑戰;一方面要具備各式應用程式的雲端存取,另一方面又要做好資料安全的管控,特別是必需符合法規遵循的要求。為此,Blue Coat美國聯邦系統工程總監David Rubal特別提供了建議概要,以協助政府部門解決相關的法規遵循障礙。
  David Rubal表示,許多政府部門都被委以保管機密資料,而且必須處理與判讀這些資料以服務百姓。無論這些資料是否牽涉到人民或政府人員的「個人身份資訊」(Personally Identifiable Information, PII),或是受某些法規要求的機密資訊,只要是受監督管理的資料,都必須遵守嚴格的政策規範,以確保資訊受到足夠的安全保護。
  但另一方面,政府機構在樽節成本、系統整併及雲端服務控管的要求下,越來越多資料面臨走進雲端的壓力。例如美國聯邦政府以「聯邦雲端運算策略」(Federal Cloud Computing Strategy)規定聯邦政府之間必需採用雲端項目,但是每當有處理這些資料的程序時,卻又只有少數公司具備足夠的安全技術認證可以提供FedRAMP認證的解決方案。結果是,許多政府機關發現,他們無法使用一些真正吸引他們的領導級SaaS應用,也就無法確認這些應用能夠為自己機關所管轄的資料提供符合現行資料安全的法規要求。如果把資料交給提供公有雲服務的第三方業者,如何處理與儲存資料都是一個非常艱鉅的挑戰,往往又會衍生出其他新的法規遵循與風險管理問題。

這些問題包括:
 法規遵循(Compliance):又稱「合規性」。有些機關所處理的資訊可能要求必需符合某些法規的要求與控制。例如,想要存取美國FBI資料的部門就必需符合「刑事司法資訊服務」(Criminal Justice Information Services, CJIS)資料安全要求。如果想要存取某些美國國防部武器系統的資料必需符合國務院的ITAR及商務部的EAR規定。許多機關可能需要存取個人醫療資訊(Personal Healthcare Information, PHI),那麼就必需要符合HIPAA的要求。
 支付卡產業資料安全標準(PCI DSS):許多機構維護支付卡及民眾個人與私人企業的詳細金融資料,如帳號、路由號碼(routing numbers)等。這些資料所存放的地方,包括雲端系統,都必需受到保護。
 敏感的非機密資訊保護(SBU Protection):一些機構所處理的是屬於「敏感的非機密資訊」(Sensitive But Unclassified, SBU)。關於如何在類似公有雲網路環境處理這些資料,美國國家標準暨技術局(National Institute of Standards and Technology ,NIST)就提出具體的處理規範。 


排除採用雲端的障礙
以聯邦政府為例,在考慮是否採用雲端時所面對的問題相當特別。公有雲SaaS在資料控管上的常見缺失,就是一個重要問題。雲端存取安全代理(Cloud Access Security Broker, CASB)解決方案讓政府機關為雲端apps提供資料存取的同時,還能維護及控管機密資料、監管資訊及人民個人身份訊息。
對於考慮選擇雲端存取安全閘道解決方案的政府機構來說,以下是「一定要有」的評估標準:
 完整的雲端資料控制:任何資料都不得在機關單位網路之外以「明碼」方式分享,資料的加密必需基於使用者定義的「符記化」(tokenization)或加密選項達到「欄位級」(field-level)的控管等級,讓相關的政府部門能夠確保對資料安全的符號庫(token vault)及加密金鑰有完整的管控能力。
 使用FIPS 140-2加密並保有雲端功能:為了保有雲端應用的功能,FIPS 140-2合規性模組以及相關的認證演算法在加密機密資料及保有關鍵雲端功能都是必要的。
 經審核的第三方符記化解決方案:符記化技術對於資料的常駐(residency)及資料的管轄要求特別有用,但必須透過相關業界標準稽核與認證。
 控管行動裝置存取的雲端資料:機密資料還在部署的機構內時就要欄截下來,並以隨機的符記或加密值(encrypted value)來取代,將其轉譯(render)為無意義的形式呈現,讓外部個人或機構能夠在存取資料的同時,也能同步儲存在雲端或行動裝置做程序處理。
更多詳細資料請參考: https://www.bluecoat.com/blogs/2015-08-26/addressing-compliance-issues-cloud


關於Blue Coat系統公司

Blue Coat是企業資安防護的領導廠商,提供企業端、混合式和雲端型的解決方案,保護網頁連線能力,對抗進階威脅並處理安全防護漏洞。Blue Coat 是網頁連線防護的全球市場領導者,《財富》評選的全球五百大公司中,有近八成為其客戶。Blue Coat 於 2015 年 3 月由貝恩資本 (Bain Capital) 收購。更多資訊請上www.bluecoat.com。

Blue Coat 與 Blue Coat 標誌為 Blue Coat Systems, Inc. 及其子公司在美國和其他國家的註冊商標或商標。本文件中使用的所有其他商標均屬其各自擁有人所有。

- 新聞稿有效日期,至2015/10/10為止


聯絡人 :徐瑛
聯絡電話:02-27211070
電子郵件:hsuying@chesswin.com.tw

上一篇:大陸整型雙眼皮居冠 赴台手術正火紅
下一篇:AMD嵌入式G系列SoC

 
搜尋本站


最新科技評論

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 

 




個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2008, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!