微软全球策略计划副总谈资安:信任、更新是一切的基础
无疑的资安防护已经成为当前行动优先时代最重要的一个热门课题,台湾微软全球策略计划副总裁柯提斯(Chris Cortez)特别抵台,分享各国政府在资安实务与运作经验,同时建议政府有关资安防护方面的三大要务,呼吁政府部门使用并遵循国际验证标准,重视并加强资讯安全政策,并持续采用最新资安技术。
根据 ITRC 资料外泄资料库(ITRC Breach databace)统计,2014 年全球外泄身份资料高达 8562 万笔,企业与政府单位因为罚金、诉讼费用或是机密外泄造成庞大的损失。对于企业与政府单位因为罚金、诉讼费用,或与大数据应用的兴起,所带来新的资讯安全威胁,已经成为资讯安全防护的另一个挑战。
台湾微软营运暨行销事业群总经理康容表示,台湾微软给客户的责任永远都是安全第一,针对 CGIS、资料隐私等事件,微软都是唯一着重提供云端服务、产品服务以及用户资料隐私防护的公司。
即将于 3 月 19 日前往国际国防通讯电子协会分享有关国家资安经验,现任台湾微软全球策略计划副总裁柯提斯(Chris Cortez)稍早提前与台湾媒体见面。一开场便强调,微软旗下产品在各个领域都跟用户息息相关,为求取得客户信任,因此着重在资安防护尤其是技术跟政策上的关注与投资都是持续不断的。
「信任,是一切的基础」,柯提斯认为,基本的防护,从很多事情开始,好比说使用电脑,怎么设定属于自己的安全密码,怎么保护个人每天员工证件不让别人使用等,都是一种资安观念的基本建置。然而,微软公司在资安防护的投入,是不容忽视的,以这样的想法套用在智慧型手机、平板电脑、家用电脑的使用经验上,就是微软对用户在资安防护上的作法。
以微软的角度来看,台湾往往被骇客当作攻击各国的跳板,然而当使用者用微软 Windows 8 作业系统,就不用担心自己的资讯被窃取,使用者把资讯存在云端平台,如果没有好的安全措施、没有对于资安的重视,是没有办法在每个领域上重视资安防护,就没有办法获得用户信任。在这当中前提是,所有政府部门跟使用者必须要持续不断更新,避免自己的装置成为被攻击的目标。
柯提斯表示,微软在考虑资安的前提,首要题目,就是身份验证、目标威胁、IT跟云端上防护,这其实是一项重要课题,也是重要的新兴技术。像是云端系统为使用者带来许多便利性,但是如果没有资安防护做基础,那么用户将会付出惨痛的代价。他也提到有关政府资安防护上,不是仅仅单纯的销售跟服务,事实上要有更符合政府需求跟完整的在地服务、互相连结的各种应用,才能了解资安的需求。
针对资安防护的实际作法,柯提斯说明微软身为资讯基础架构平台技术厂商,在资讯安全上持续不断的投资与开发,也创造了不少独到优势。例如,微软在全球有一百万台以上伺服器,可以获得遥测数据进行分析,在台湾也有所谓的 Photo DNA,透过个人资料防护的方式,防止遭到性侵的儿童受到二次伤害。
微软公司进一步解说,除了致力防守资安漏洞外,微软进行可信赖的电脑运算计划(trustworthy computing)工作超过 12 年,也是率先取得全球公认 ISO/IEC 27018 国际云端安全标准的厂商,同时获得全球政府与国防单位所采纳。