[觀點] 綠色資安新主張 節能省碳愛地球

繼「Green IT」之後，「Green Security」是一項更新的議題，許多企業已經藉由建置綠色機房來降低營運成本，並且贏得環保的好名聲。事實上，資安工作同樣也能幫助環境綠化，也能為環保盡一份心力。

在電影「不願面對的真相」中，美國前副總統高爾用他的熱忱，不斷在世界各地到處奔走，希望透過最簡單易懂的演講，提醒世人注意今日全球暖化的現象，已經是一個不亞於恐怖行動的全球性危機，如果沒有及早因應的話，將會帶來一連串的災難，更會威脅到地球所有生物的生存。他更提醒各國政府必須要有所作為，同時強調「這是道德問題，而不是政治議題」。

過去，許多人對於環境保護的議題，往往都視而不見，可能的原因是由於它並沒有立即性的危害，所以一旦大家體會不到，就不太會想要去重視它。但是現在隨著冬天不冷、夏天超熱，全球的平均氣溫正以有史以來最快的速度不斷升高，暴風雨和颶風的威力也變得愈來愈強，大自然已經用它的種種現象，不斷向人類來反映，如果再不珍惜地球這個共有的環境，人類最終將會自取滅亡。

正視全球暖化危機

根據科學家的預測，如果沒有降低溫室氣體的排放量，全球暖化的程度仍會繼續惡化，在本世紀末平均氣溫將會再上升3到9度，一旦溫度上升造成冰山融解，許多臨海的國家恐怕會遭到海水吞噬，而台灣正是處於這種處境的高危險群。

在英國和歐洲，已經有許多商品會在上面標示它在製造、生產及運送過程中，所產生的溫室氣體數量，稱之為碳足跡(Carbon footprint)。碳足跡的多寡，可以用來計算人類在日常生活之中，各項活動對於環境所造成的影響，所以具有環保意識的政府和企業會鼓勵民眾，盡量選購低碳足跡的商品，以減少二氧化碳氣體的排放量。

另外，歐盟委員會也要求各成員國需制定「限用有害物質(RoHS)」的法規，來限制在電子產品中使用鉛或其他有害物質，以維護環境的安全與人類的健康，同時更促進報廢電子產品的回收處理，也要讓它合乎環保的要求。

或許我們並不是所謂的環保人士，但身為資訊人員的我們，還是可以有些行動與作為，來協助拯救我們共有的地球。像是近來熱門的「Green IT」，就是透過省電型的伺服器、刀鋒伺服器、虛擬化主機、電源和空調管理，來打造出一個節能的「綠色機房」，盡可能的降低運作時的能源消耗。

打造企業綠色資安

而資安工作呢？有沒有可能在落實資安的同時，同時也能為綠色環保盡一些心力？事實上，在國外已有一些資安專家，提出了所謂「Green Security」的概念，提醒企業在執行資安工作時，也能同時做好環保的工作。

目前，資訊安全已是現今企業重要的工作之一，為了確保內部重要資訊像是商業機密、客戶資料、財務報告等，不會遭到未經授權的存取與洩露，企業往往建置了資訊控管的辦法，從一開始的資料分級分類、資料的存取流程，到資料的歸檔和最後的廢棄銷毀，這一連串的資訊處理過程，又可稱之為資訊生命週期(Information lifecycle)。

無論資訊存在的形式是紙本或電子檔，不同的資料類別皆有不同的處置方式，如果是事涉敏感的資料，一旦走到最後一步需要銷毀時，那麼就一定要採取安全的方法來加以處理，以免洩露了不當訊息。

如果想要為環保盡一分心力，則可以融合資安與環保的做法來執行，例如可以透過網路加密通道，進行遠端系統的維護，並且建置安全的視訊會議，以減少人員的出差，節省交通工具的油耗與廢氣排放。另外，以下還有結合資安概念的一些應用，可提供給有心執行的企業作為參考。

正確使用列印設備 - 減少紙張浪費，避免資料外洩
企業對於廢棄紙本資料的處理，一般都會使用碎紙機，碎完之後的紙屑，可採取外包處理，藉由合格的廠商與安全的作業流程，將機密資料予以銷毀。不過，為了環保，應盡可能減少列印量，例如可透過列印程序的管控，要求人員必須輸入密碼後才可列印，將可避免不小心列印出來之後，未經銷毀程序而導致資料外洩。

另外，企業若是導入了資訊安全管理制度，將會增加許多政策、作業程序與工作表單，如果還是採取傳統紙本方式控管，將會消耗大量的紙張，建議企業可以進行文件的電子化管理，以節省紙張的浪費。

下班後要求電腦關機 - 減少電力損耗，避免駭客入侵
桌上型電腦的耗電量較高，如果使用者貪圖一時方便在下班之後仍開著，將造成無謂的電力損耗，目前，透過一些工具軟體的幫助，可以偵測出在下班之後依舊開著的電腦。

事實上，除了省電之外，許多企業為了資安的理由，都會強制要求使用者的電腦進行系統更新，一般的作法是透過登入Windows網域時，以Script方式彈跳訊息來通知使用者，或是透過群組原則的設定，讓使用者登入之後，就立即進行系統更新。如果使用者的電腦一直開著，很可能因為長期沒有登入，系統未更新修補程式，而產生資安上面的漏洞，很容易就會成為駭客或惡意程式入侵的對象。

資訊設備回收再利用 - 減少環境污染，兼顧資料安全
在電腦零組件中，含有一些重金屬物質，若隨意棄置將會造成環境上的污染，因此企業應經過適當的報廢程序，將舊電腦回收再利用。但是基於資安的理由，在儲存媒體上的處理應注意小心，像是曾經存放過敏感資料的硬碟，應予以重覆抹寫或消磁處理，或者也可針對硬碟進行實體破壞之後，再予以回收。

採購符合環保節能的設備 - 降低能源消耗，易於風險管理
從資安的觀點而言，在企業中有一些服務是需要全天候運作的，像是垃圾郵件過濾系統、防火牆、防毒牆、入侵偵測系統等。如果在效能上可以符合企業需求的話，以虛擬伺服器來替代實體的伺服器，改為採取虛擬化方式來運作，將可大幅減少能源的消耗。另外，建議企業應採購符合環保標章的設備，以電腦螢幕來說，應選擇具有環保標章或符合TCO、能源之星的產品，而網路設備，也應採購符合RoHS(有害物質限用)標準的產品。

至於這些設備的採購，可以併入一般資安法規的符合性稽查之中，藉由審查硬體設備是否合乎環保法規的標準，可確保只有環保產品才會受到企業採用，而且一旦所有設備都經過了審查，並且留下了文件化的記錄，將可確保企業不會使用一些具有潛在弱點的設備，進而導致資安上的風險。

環境保護，人人有責

藉由以上方法的運用，除了可讓企業降低日常營運可能面臨的資安風險之外，更可同時達到環保的功效，透過將環保要求與企業政策及作業流程相結合，將可減少不必要的能源損失，並且減輕對地球的危害。

所以，在不影響企業營運之前提下，能夠多為環保盡一份心，事實上也是盡到了社會責任，建議企業應仔細思考應該如何做好「綠色資安」工作，為後代子孫保留更多自然資源與美好環境。(本文刊載於2009年4月號網管人雜誌)