2016年11月28日 星期一

[網管人投稿] 個資保護很重要安全加密一把罩

2016/11/28
文章投稿 [網管人] - 個資保護很重要安全加密一把罩
http://www.netadmin.com.tw/article_content.aspx?sn=1611250002


個資保護很重要安全加密一把罩

隨著科技日新月異,收發E-mail、社群分享、線上購物、求職招聘、玩遊戲等已成為人們不可或缺的一部分。然而,隨之而來的蝴蝶效應則導致無法預期的嚴重後果。

近期發生很多個資外洩的案例:2016年11月於第三方網站上進行系統維護時的不正確安全設定,導致求職者資料透過行動版的招聘網站個資外洩,包括姓名、登入帳戶與密碼、住址與電子郵件、電話等重要個資;2016年10月勞動部勞動力發展署「台灣就業通網站」遭民間公司竊取個資約3萬多筆個資;2016年10月第一銀行ATM遭駭盜款案與兆豐銀行防制洗錢疏失案。

如今,個資外洩事件層出不窮,不僅造成社會大眾的恐慌,更證實了不管是個人或是公司企業都應該更妥善的了解與落實個資保護的機制。有鑑於此,為防止個資外洩事件發生,必須強化電腦的個資保護機制,若企業能藉由定期對員工做個資防護教育訓練及電腦、網站、資料庫的個資掃瞄及機敏個資加密,將可大幅度降低企業中因員工疏忽或網站、資料庫的系統程式漏洞而導致個資外洩的風險。

因此,國產資安公司自行研發單機版電腦個資檢測工具,企業在員工電腦盤點完成後,可將所有盤點結果直接輸出成PDF檔,以供管理人員稽核之用。該工具支援Windows與Mac OS作業系統,適用性廣、操作流程相當容易,下載應用程式後,不用安裝即可執行使用,一提該工具最廣受好評的優點為個資掃瞄完成後可立即檔案加密與搬移,目前包含公家單位、銀行企業與學術單位皆大量使用。

目前也有提供免費版申請試用,若申請身份為公司或公務單位申請均可享有30日完整版功能免費試用。除了一般使用者的電腦需要個資檢測外,資料庫與網站都需要定期配合資安政策進行個資盤點,避免成為下一位個資外洩的受害者。

2016年11月16日 星期三

[網管人投稿] 備份不是防制勒索軟體的萬靈丹


2016/11/15
文章投稿 [網管人] - 政府部門如何防範個資外洩?
http://www.netadmin.com.tw/article_content.aspx?sn=1611100005


政府部門如何防範個資外洩?

       勒索軟體持續猖獗,繼日前美國長老教會的醫療中心妥協支付了贖金約1萬7千美元,德國也陸續有醫院遭勒索軟體迫害,據資安廠商統計國內受害企業已超過252家。

       企業部署備份機制是否就可以滿分防制勒索軟體呢?其實並不完全是,在今年公佈的新型態的勒索軟體中發現,已有勒索軟體針對商業備份工具之副檔名進行偵測與加密,換句話說備份已經不是防制勒索軟體的萬靈丹了。

市面上常見的備份方式有以下三種:

1.資料的複製:將原本的資料複製到另外一台主機,通常採用指令方式COPY檔案到網路磁碟機或外接隨身硬碟達成此目的。但因為檔案仍可由本機端讀取網路芳鄰或外接硬碟,因此完全無法防制勒索軟體的攻擊。

2.壓縮或加密:常用的方式為採用壓縮方式定期加密與壓縮檔案,但壓縮後的副檔名也是勒索軟體最喜歡攻擊的目標,因此加密壓縮之後的檔案一樣會被勒索軟體所攻擊。採用商業軟體進行備份與加密,商用軟體備份之後會產生自己格式的副檔名,例如TIB或PDB等常見副檔名,但2016年有研究指出CryptoBit、HydraCrypt等勒索病毒軟體已經將這些副檔名列為基本攻擊對象,目前也陸續傳出採用商用備份軟體卻無法防範新變種勒索軟體的案例。

3.加密並偽裝:勒索病毒的運行原理為偵測檔案型態、加密檔案內容、變更副檔名、要求高額贖金等四個步驟,鈊保資訊技術經理指出,要可以完全防範勒索軟體,也必須提供對抗勒索軟體的攻擊模式,備份工作需設定加密檔案路徑與型態、加密檔案內容、變更完整檔名、保留差異式版本還原機制等,除此之外,更必須支援開關網路磁碟機、背景差異加密式備份、跨網路加密傳輸等功能,以滿足企業需求。


備份不是防制勒索軟體的萬靈丹,選擇對的備份工具才能滿分防制勒索軟體。

2016年11月9日 星期三

別再擔心勒索軟體加密電腦檔案了,來試試免費備份工具 - 備份王 BackupKing 吧!


我們的電腦中都儲存了很多重要的檔案,包括公司要提供給客戶的重要文件檔案,個人許多珍貴的回憶照片,例如:出門旅遊的照片、年少時期的青澀照片,還有學術研究者嘔心瀝血即將完成的論文及設計工作者的設計等,而這些資料您都有給予保護嗎??

除了硬碟可能意外的損毀之外,近年來出現的勒索軟體在網路上盛行,它會加密使用者電腦中的所有檔案,讓使用者無法正常開啟,通常都會要求利用比特幣支付高額贖金,才能解回檔案?(打個問號,誰也不能保證一定可以取回),但是如果我們平時都有養成「備份」的習慣,當這樣的災難發生時,也不會再感嘆:「早知道就要備份了」。

那有沒有方便又好用的備份軟體/工具呢? 今天要來跟大家推薦一套好用又可以輕鬆備份檔案的工具「備份王 Backupking」,備份王由國內廠商開發,全中文化介面,提供加密備份還原功能,讓您備份的檔案更具有安全性,連勒索病毒也無法更動已經備份的檔案,並且還提供多排程設定,可以讓您自行設定想要備份的時間,備份王目前可以免費使用,還等什麼快來下載備份吧!!

備份王 (BackupKing):
官方網站:http://www.backupking.net
下載點:http://www.backupking.net/free.html
支援作業系統:Windows XP / Vista / 7 / 8 / 10 (32位元及64位元)

主要功能及特色:
  • 全國唯一支援備份檔名自動擾亂,防止勒索軟體加密。 
  • 可設定分時日排程自動加密備份,可存於本機或遠端。
  • 可支援自選資料夾與多排程設定,集中管理輕鬆使用。

1. 安裝方式
備份王可以從官網下載,下載檔名為 backupagent.zip,解壓縮直接執行 BackupAgent.exe 即可啟動程式,不需額外的安裝步驟。

zip檔解壓縮密碼 : demo




2. 開始使用
開啟 BackupAgent.exe 執行後,首先會看到「主選單」畫面,這裡需要填入登入資訊
備份王採用帳號驗證機制,也就是說每次登入使用的時候,需要連線回伺服器做帳號驗證。

伺服器位址:try.backupking.net 通訊埠 (port):2121
Demo 帳號 : demo
Demo 密碼:demo123 

官方提供demo帳號可以進行登入,但 Demo 帳號是共用的,建議還是在官網申請個人測試帳號來使用比較方便。

帳號申請網址:http://www.backupking.net/free.html



3. 備份設定
登入後,畫面上方會出現設定選單,「備份設定」可以設定相關的備份選項,包含備份路徑、排程時間、備份方式、加密檔案、備份位置等功能。

排程設定:使用者可以選擇週期性執行,只需設定每次備份的間隔時間即可。也可以選擇每週固定日期與時間執行備份。

▼ 其他設定:

  • 備份方式:可以選擇差異式或完整備份,建議使用「差異備份」,可以節省硬碟儲存空間
  • 加密檔案:建議啟用「加密檔案」可以加密檔案及擾亂檔名,這樣一來備份後的檔案就不怕勒索軟體的威脅了
  • 備份位置:可以選擇備份到遠端(備份王的雲端主機)或本機備份,建議可以選擇「本地備份」,然後備份到本機的其他硬碟(USB外接硬碟也可以)進階使用者也可以備份到自己的FTP或是NAS掛載的網路磁碟機哦。
  • 排除備份:可以選擇全部備份,或是指定想要備份的副檔名,或是排除不想要備份的副檔名或路徑。
 
 ▼ (進階功能) 使用者也可以使用批次檔在備份執行前後執行特定批次指令。勾選「開機執行」則會在電腦每次開機後自動執行備份王(需用管理員身分執行備份王後再設定才會生效)。



 4. 開始備份
當按下開始備份或是排程時間一到,就會開始進行指定的備份,每次備份開始執行的時候,「備份資訊」會顯示正在備份的相關資訊,若是選擇差異備份,則會檢查之前的檔案是否有異動,若有異動才會更新備份檔案。



5. 還原方式
當我們有意外發生時,例如:中了勒索病毒,原始檔案都被加密了,我們就可以先想辦法移除病毒或是將電腦重灌,然後再透過備份王的還原機制將檔案還原。

「備份還原」會顯示已經備份的版本資訊,預設只顯示最近備份的20次資料,若想要查看全部,可以點選「所有清單」即可顯示。

使用者若想要將整份版本還原,只要選特定版本編號的備份,接著選擇「排程還原」,這樣就會還原該次備份的檔案。

若只想要還原某一個檔案,還可以選擇「單檔檢視」(單檔檢視也可以還原整個資料夾)。


6. 檢視備份檔案
由於在電腦中已經備份的檔案都是加密的,所以一定要透過單檔檢視的方式,才能查看已經備份的檔案清單。

▼ 進入「單檔檢視」會顯示該次備份的所有檔案清單,可以透過列表的方式,勾選想要還原的檔案。


▼ 選定檔案或資料夾之後,點選「還原檔案」,接著再選擇檔案要還原的儲存路徑,即可輕鬆的將備份檔案還原回來。

 7. 成功還原(救回檔案)
此介面會顯示還原的進度,備份王提供使用者輕鬆又快速的還原方式,完整無誤的還原使用者的檔案,輕鬆救回檔案,不用再煩惱中了勒索軟體要不要支付贖金,從此免除勒索軟體的威脅。


備份王的軟體操作介面採有順序流程的方式,引導使用者step by step完成備份與還原的動作,只要設定好排程,備份王就會自動備份電腦中的檔案,備份版本也沒有上限,而且只要選擇差異備份也不會大量佔用磁碟空間,讓使用者可以輕鬆又簡單的備份電腦中的重要檔案。

備份王也針對企業版用戶有提供更多進階的功能,讓企業可以打造私有的備份雲,大量佈署企業電腦的備份機制,避免遭受來自四面八方的勒索軟體威脅,若您的公司企業有此需求,歡迎到官網進一步了解備份王,也可以在官網取得詢問方式,都會有專人回覆哦!!

2016年11月7日 星期一

[網管人投稿] 政府部門如何防範個資外洩?


2016/11/07
文章投稿 [網管人] - 政府部門如何防範個資外洩?
http://www.netadmin.com.tw/article_content.aspx?sn=1611030006


政府部門如何防範個資外洩?


       2016年10月勞動部勞動力發展署「台灣就業通網站」遭民間公司竊取個資約3萬多筆個資。在這個資訊氾濫的時代,到處都可以看到個人資料,不論存在於紙本上或是電腦中,而個資法同樣不管是紙本或電子檔,只要外洩就開罰,可想而知,若這些個人資料外洩,勢必得面對逼近天價的高額罰款還有民事賠償外的刑事責任,那政府部門該如何防範個資外洩呢?


       以勞動部為案例,經檢方調查,每位民眾在該網站上的登入帳號均為個人的身分證字號,密碼則是預設「12345678」,在首次登入後,網站系統會要求使用者更改密碼,但大部分使用民眾並未更改,直接沿用原本的預設密碼,而讓有心人士有機可乘,主要影響的就是網站中的個人資料庫被非法竊取,除此之外,非法竊取網站個資的方式還有很多種,例如:程式的邏輯錯誤變換參數後即可存取他人資料、網站中的資料庫的管理介面遭破解、網站後台資料庫查詢系統遭破解等。


       因此個資保護的第一步,就是先了解政府部門中的電腦及網站系統有多少個資檔案,由於網站是公開服務,任何人都可以存取,也是個資最容易外洩方式。鈊保資訊有限公司曾經一年內協助政府與教育單位掃描超過一萬個網站個資,常見的網站個資外洩都是以暫存檔和系統漏洞為主,因此如何防範個資外洩最好的方式就是「自我做好個資檢測」,個資外洩除了會有相關的法律責任外,更大的影響為失去民眾的使用信心,以及對公部門的信任。最後,中華民國資料保護協會同時也指出,除了一般電腦需要個資檢測外,資料庫與網站都需要定期配合資安政策進行個資盤點,不要讓您的單位,成為下一位個資外洩的受害者。


個資防範解決包:http://www.sinpao.com.tw/privacyagent.html