對於企業來說,現今筆記型電腦的使用者日益增多,企業員工在所使用的筆記型電腦裡,經常會存放個人工作的電子郵件、客戶和交易資料,以及研究技術等敏感資訊,究竟該如何去保護這些資料儲存時的安全,已形成IT管理人員一個相當頭痛的問題。而除了筆記型電腦中的硬碟之外,還有許多隨身的儲存設備,像是外接式硬碟、USB隨身碟、含記憶卡的手機、PDA,或是像易於攜帶的MP3、數位相機等,都可讓使用者在小小的裝置裡,儲存大量的資料,若是這些資料為個人隱私或是商業機密,只要有易於攜帶的特性,就代表被竊的風險隨之升高,一旦遭到有心人士利用,後果將不堪設想。
凡走過必留下痕跡
根據資安廠商Check Point在2007年12月針對424位台灣企業受訪者,詢問有關企業建置資料安全解決方案的調查指出,有57%的企業已經意識到行動裝置可能帶來的資料外洩風險,也已制定了保護行動裝置內容的政策,但其中會使用資料加密方案的企業卻只佔51%,顯示出企業雖然具有行動資料安全風險意識,但是在落實資料保護與儲存安全方面,仍有相當大的改善空間。
因此,如果您是企業的行動工作者,請思考以下問題:
- 請問您是否會在Notebook/隨身碟存放重要商業資訊,例如產品報價成本、客戶機密資料、研發技術資料,以及個人隱私如帳號密碼、信用資料等?
- 如果您的Notebook/隨身碟遺失或被偷了,裡面所含的資料有良好的保護嗎?
- 當個人電腦需要送修或報廢時,您硬碟裡面的資料該如何處理?
- 將舊手機送給朋友或上網拍賣時,您確認個人資料已經刪除乾淨了嗎?
- 您是否以為曾經儲存的資料或照片,只要把它刪除就安全了?
所以,就算一些敏感資訊您已經事先就將它刪除了,但是在資料尚未被重複覆寫、也沒有被完全銷毀之前,如果有惡意人士以任何方式獲取了您的硬碟、隨身碟或是記憶卡,只要利用一些檔案還原工具,就可以輕易地把您已經刪除的資料再次復原回來,個人隱私或商業資訊仍很可能就會被竊取盜用。
將小口袋裡的大倉庫上鎖
對於企業IT管理人員而言,究竟該如何讓使用者具有資訊安全的認知,並且進一步去預防資料的外洩? 到底有什麼好方法,可以保護企業或個人的敏感資料不會外洩呢?以下幾點建議可作為管理人員的參考:
- 資安教育訓練 - 企業內部可透過員工教育訓練來宣導,讓使用者了解應該盡量避免在會攜出的筆記型電腦,或是隨身儲存設備中存放企業機密資訊,如果必須要存放的話,務必自行採取一些防範措施,例如針對office等檔案,最簡單的方法是設定密碼才能開啟,但最好的方式則是透過加密工具將檔案加密。
- 加強存取控制 - 管理人員應依據「Need to know」原則,為使用者設定適當的資料存取權限,以避免非業務及非財務相關人員接觸到機密資訊,進而有機會將它攜出外洩。
- 部署安全方案 - 企業可導入完善的資料保護方案,透過完整的「全硬碟加密技術」,針對筆記型電腦的硬碟和隨身儲存媒體進行加密,即使電腦遺失之後,惡意人士欲將資料轉存到其他地方,仍然無法通過身份認證機制,也無法打開瀏覽您的檔案。
參考資安法規的要求
國際上有許多法規,對於資料儲存都有一定的保護要求,以資訊安全管理系統標準ISO 27001為例,針對設備安全,在控制措施的條款A9.2.4裡即提到,若資訊設備需要進行定期排程維護時,必須實施適當的控制措施,並且考量由現場人員或是委外廠商來處理,在必要時,設備上的敏感資訊要把它清除,並且充份清查維護人員的身份,以防假冒事件發生;在條款A9.2.5則要求,內含重要、敏感和重要營運資訊的設備,必須要有專人看管,並且採取上鎖等保護措施。
至於有關設備的安全報廢與再使用,在條款A9.2.6裡提到,針對含有儲存媒體的設備,在進行汰換或報廢時,必須將含有敏感資訊的設備加以實體銷毀,或以無法被重新復原的技術將設備予以刪除覆寫,確保資訊已徹底清除。
最後,提醒IT人員務必謹記在心,只要是曾經存放過的敏感資訊的儲存媒體,在處理時都必須要確認、再確認才行。(本文刊載於2008年4月號網管人雜誌)
沒有留言:
張貼留言