Deb Shinder.唐慧文譯
2006/07/25 07:00:37
最近紛紛傳出有關行動電腦安全性--其實正確說是不安全性--的新聞報導。某職員的筆記型電腦遺失或遭竊,造成數千筆或甚至數十萬筆企業客戶的身分資料暴露於險境,因為筆記型電腦裡存有社會安全號碼或信用卡號等敏感資訊。這顯然會給客戶添麻煩,也有損公司的商譽。
這類事件日益增多,是因為行動運算(mobile computing)已成為當今商業界的家常便飯。有些事得儘快處理,不能總是等到我們回辦公室才做,而且有時難免涉及機密資訊。公司規模小的時候,必須帶著電腦在外奔波或把公事帶回家做的員工比較少。隨著公司規模擴大,你會發覺愈來愈難掌控誰把什麼資料存在哪個硬碟,以及資料的去向。
所以,務必要打從一開始,就建立一套讓行動電腦使用者有所依循的安全政策,並確定這些政策在你公司業務成長的同時,仍能合乎使用者的需要,且不會陷客戶或公司於險境。
零容忍政策
部分資安專家提倡完全禁止在筆記型電腦上儲存敏感資料的作法。最近美聯社發自波士頓的一篇報導所引述的Gartner分析師,就採取這種立場。其背後的理論是:行動電腦使用者需要用資料時,可連線到集中儲存資料的伺服器。這種作法除了安全性之外,也解決另一問題:免除檔案出現多重版本、彼此不一致的麻煩。可是,這麼做真的比較安全嗎?
嚴禁把資料儲存在筆記型電腦上的零容忍政策,固然讓筆記型電腦竊賊比較不可能取得資料,但卻可能產生其他的安全風險。必須連線到辦公室伺服器來處理資料的職員,很可能把虛擬私人網路(VPN)連線設定成隨時可上線,也許把連線到辦公室網路的身分資料都預先存好以便使用。這意味竊賊一旦能登入電腦,除了取得電腦主人先前處理的資料檔以外,恐怕也能存取到該名使用者權限所能及的一切辦公室網路資料--至少在職員回報電腦失竊、封鎖原使用者帳戶之前,竊賊是可以橫行無阻的。
依照這種政策,使用者通常會先連上網際網路,處理敏感資料時再透過VPN登入公司網路。他仍可能遭到外來的攻擊,例如鍵盤側錄程式或螢幕擷取程式可能拷貝他處理的文件,並回傳給駭客。這麼一來,即使筆記型電腦片刻不離手,資料仍可能被偷。
或許最大的問題是,這種政策未必總是行得通。有時候,還是有必要把機密檔案帶出辦公室。例如,假設主管身在沒有網路連線之處,或沒有其他方法能連上公司網路,卻又急需存取資料,那麼,在這種情況下,你該怎麼做,才能防止敏感資訊不會落入壞人手中?
加密、加密、加密
大家都聽過,買房地產最重要的考量因素是:「地點、地點、地點」。同理,說到保護機密資料,務必銘記在心的金科玉律就是「加密、加密、加密」。如果你的使用者必須把敏感檔案帶出公司,問題就不是「他們該不該加密?」,而是「他們該怎麼加密?」
若你用的是Windows 2000/XP/Vista作業系統,最簡單的解決辦法就是作業系統內建的加密檔案系統(Encrypting File System;EFS)。不過,這有缺點。EFS用來讓使用者一目瞭然,但這表示任何人只要能以該使用者的帳號登入,就能讀取加密的檔案。在預設環境下,EFS把私密金鑰(Private Key)儲存在硬碟裡,但你可把私密金鑰輸出、自硬碟刪除,然後把它放入可卸除式硬體,與電腦分開攜帶,即可加強安全保護。
你也可要求使用者登入電腦前,先接受雙重認證(two-factor authentication),讓安全防護再添一層。換句話說,使用者不僅要提出身分認證資料(這部分竊賊也許能夠破解),另外還得再提出智慧卡、憑證(token),或指紋等生物測定(biometrics)特徵。
另一解決辦法,是用支援嚴密演算法的第三方加密產品。有許多軟體程式可針對所選取的檔案或整個磁碟進行加密。其中一部分軟體也支援雙重認證。有些筆記型電腦支援硬碟層級的加密,其中一些配備內建的指紋或智慧卡解讀器。
分散風險
就算使用者無法連上中央伺服器存取敏感檔案,那也不表示這些檔案一定得存在筆記型電腦上。不使用時,把資料檔儲存在可拆卸式快閃記憶碟(USB flash drive)或可抹寫式光碟上,並與筆記型電腦分開來擺(不只是與電腦機身分開,還要放在不同的箱子裡),就能降低竊賊盜走資料的機率,因為他可能專挑你的電腦箱下手,而不是你的行李箱。
文件記得要redact
你還可以採取另一種預防措施,就是只把局部的記錄拷貝到可卸除式磁碟。從文件中移除敏感資料的動作稱為「redact」。可以先做這道手續,再允許職員把文件攜出公司。
有的資料庫讓你拷貝特定欄位內的資料。而且,職員不見得需要社會安全號碼等資料才能辦事。事實上,已有軟體能把這些號碼加密或用亂碼處理,以防竊賊萬一取得文件,也無法解讀最機密的資訊。
其他保護措施
如果確實有必要把敏感資料儲存在筆記型電腦上,那麼,除了把資料加密外,你還可以安裝會「回報」和/或在外人未獲授權就試圖登入時自動關閉的軟體。有的程式甚至更狠,在這種情況發生時,乾脆把磁碟上的資料全部刪除並覆寫掉。
除了技術上的解決辦法之外,別忘了最重要的預防措施:向員工宣導保護行動電腦及其內含資料的重要性。畢竟許多失竊案發生,是漫不經心使然。
版權所有 © 2010 CNET Networks, Inc.