iThome
當員工規模到了上百人時,在電腦資產管理及端點安全方面,就不像中小企業能簡單解決。有的公司會採用資產管理或端點安全軟體,協助IT人員快速且有系統的管理。
而這次介紹的資產管理與端點安全軟體,我們分別以旭辰資訊的SmartIT與精品科技的X-FORT為例,探討在資料保密上能防護到怎樣的程度。這兩套軟體對於資料保密,都有不同的著眼點。
資產管理軟體能夠控管硬體異動外,也能限制設備存取權限
一般來說,資產管理軟體涵蓋電腦軟、硬體資產,方便IT人員清點與管理,且能控制零件異動。在管理上,它能確切地檢視公司財產是否完整。硬體方面,它能記錄使用者電腦的硬體資訊,而像使用者自行更換硬體時,更動的警訊也會出現在系統中,讓IT人員得知硬體狀況。而軟體方面,則能夠快速蒐集並統計使用者的軟體資訊,當員工安裝非公司授權軟體時,也能發送軟體變更通知給IT人員,快速掌控員工新增移除軟體的狀況。
以SmartIT為例,IT人員可以透過硬體分類功能,快速辨識擁有該硬體的電腦群組。如再搭配上資產生命週期功能,就能清楚得知哪些硬體年限已到,需要進行採購。軟體管理則能管理軟體名稱、版本、更新套件等資訊,做為軟體採購時的依據。
而SmartIT的資安防護,則是以資產管理為基礎,所延伸出的進階功能。它以防止檔案流出為目的,以軟硬體的方式,做好資安控管。
檔案稽核與加密
員工在進行文件編輯或複製時,為了工作上的順利,很少會對文件進行記錄的動作。而這會造成,內部文件流出後,卻不知道是誰經手過該份文件。而SmartIT的檔案抄寫功能,可以監控文件或目錄,只要使用者編輯、複製內容時,SmartIT的代理程式就會備份起來。當IT人員在稽核時,除了文件更動記錄外,還能夠提出有效的證明文件。
除此之外,SmartIT的USB檔案加密功能,也能有效保護公司資料。當該功能開啟時,只要USB隨身碟存取資料,就會被SmartIT加密。當文件在公司以外的電腦開啟時,需要透過SmartIT提供的File Decrypt Tool解密,才能開啟。而資安防護除了檔案稽核與加密外,也提供網頁、軟體禁用管理,方便IT人員管控使用者行為。
禁用外接式儲存設備
除了將文件存取行為記錄起來外,企業更需要防止員工透過USB隨身碟等外接式儲存設備,將內部文件外流出去。
所以在硬體部分,IT人員能透過SmartIT的禁用通訊/儲存裝置功能,限制該類設備的讀寫,來降低重要文件外流的風險。像外接式儲存設備(外接式硬碟、USB隨身碟等)、光碟機、軟碟機,這類容易將資料複製帶走的裝置,都能限制存取權限。並且,連藍牙、紅外線及無線網卡,甚至想透過智慧型手機上網也可以禁用。
如果公司政策需要開放USB隨身碟,也能夠透過SmartIT,將USB隨身碟的唯一識別碼登錄到系統裡。這樣,企業內除了有登錄過的USB隨身碟外,其餘皆不能使用。
進階的資料加密功能
像限制硬體存取這樣的防護功能,大多是防止員工將資料帶出公司,卻不能防範筆電遺失時導致資料外洩的可能性。因此,有的端點安全軟體還提供硬碟防護與虛擬加密碟這兩種功能,防止筆電內的資料遭人取走。接著,就以精品科技的X-FORT為例,介紹2種資料加密功能。
硬碟防護功能
有許多人建議用全硬碟加密的方式來防護,但X-FORT的硬碟防護則是採取加密索引區的方式。
採取加密索引區的硬碟防護,它主要是防止別人,透過硬碟串接或USB、光碟開機的方式,直接將硬碟資料取出。實作上,當X-FORT啟動硬碟防護功能時,它會對實體硬碟進行加密動作。X-FORT會在硬碟的MBR區域寫入部分程式碼,用來辨認硬碟的唯一序號及X-FORT的版本號碼。如此一來,從裝有X-FORT的硬碟開機時,就會核對序號等資訊,並將硬碟索引區的資訊解成明文,才能順利開機。
如果是透過硬碟串接或其他的方式開機,作業系統在讀取裝有X-FORT的硬碟時,會因為索引區資訊加密過而無法辨識,只會被辨識成尚未進行格式化的硬碟。
不過,硬碟防護雖然能保護資料,不讓他人透過串接方式取得資料,但只要是從X-FORT的硬碟開機,就能夠順利進到作業系統裡。所以,硬碟防護還要搭配上作業系統層級的密碼防護,才能徹底防止資料外洩。
虛擬加密碟
上述的加密方式,是透過加密硬碟索引區資訊的方式,讓硬碟資料的索引不能辨識,來達到效果。而虛擬加密碟,則是透過原有硬碟的空間,切割一部份容量並給予磁碟機代號,來製造虛擬硬碟。實作上,虛擬加密碟是從原有的磁碟模擬出來,所以檔案依舊在磁碟上。不過,就算有辦法找到虛擬加密碟的資料夾,但沒透過X-FORT的軟體解密,資料依舊無法辨識。
而使用者要存取虛擬碟時,需要經過兩層身分認證,除了要輸入網域帳號密碼外,還要再透過X-FORT伺服器驗證後,才能存取。這一點,在密碼防護上比單靠作業系統還要有效果。並且,X-FORT的加密方式也通過FIPS 140-2認證。所以就算取得加密資料,也不會輕易被解碼。
-%E5%B0%81%E9%9D%A2%E6%95%85%E4%BA%8B-P23-400.png)
禁用儲存設備
大多的資產管理軟體,都會有管理外接儲存設備的功能,讓IT人員依照公司資安政策,封鎖可能將資料外洩的管道,圖為旭辰SmartIT的禁用通訊/儲存裝置功能。照片提供/旭辰資訊
-%E5%B0%81%E9%9D%A2%E6%95%85%E4%BA%8B-P23-400-2.png)
硬碟防護功能
IT人員啟動硬碟防護後,該硬碟將會加密資料索引區,如圖中的C、D碟皆為啟動,在這兩個磁碟下存取或寫出檔案時,將不受控管。但如有外接式儲存設備,進行存取則會受到控管,圖為精品X-FORT的硬碟防護功能。照片提供/精品科技
需做好權限控管與稽核
使用硬碟加密,雖然能防止大多數外部使用者取得資料,但在資安防護上還是有風險。
像是硬碟防護功能,雖然能防止以串接方式取得資料,不過只要從系統碟開機,依舊能進入到作業系統層並進行破解,所以資料仍舊有可能被取出;而虛擬加密碟,雖然有兩層身分認證,但為了防範員工不提供密碼,X-FORT允許主管階層的身分,開啟底下員工的虛擬加密碟。
當筆電遺失時,X-FORT能做到預防外部人員取得資料。但是,當竊取資料的人為合法使用者時,資料還是有流出的可能性,所以IT人員需做好權限的控管。
筆電遺失為何不易尋回?
除了防止筆電資料外洩,企業主當然也希望,能進一步將筆電尋回。如果要透過軟體方式尋回,那非常困難。基本上,筆電在臺灣遺失時,大多只能依靠警方協助尋回。
精品科技技術總監賴頌傑表示,以國外為例,像LocateMyLaptop.com網站就提供協尋服務,使用者只要加入會員並安裝軟體,每當電腦插上網路線,就會自動連線到該網站登錄。所以當筆電遺失時,使用者就能依照登錄IP位置去尋找筆電。但該類服務,由於IP對應位置太過廣泛,最多只能辨識出所在區域範圍,但在尋回筆電上難度依舊很高。
理論上,如果筆電上有GPS模組,應該比較容易將筆電尋回。但賴頌傑說,實際上,依舊很難尋回。因為就算有GPS定位,也要竊賊將筆電保持開機狀態,才能找到正確位置。假設真的要在筆電上加入尋回機制,那GPS模組要在筆電不開機的狀態下也發射訊號,如此才能獲得正確的所在位置,並進一步找回筆電。照片提供/LocateMyLaptop.com
-%E5%B0%81%E9%9D%A2%E6%95%85%E4%BA%8B-P23-400-3(1).png)
相關報導請參考「該重新檢視筆電失竊風險!」
熱門新聞
2024-04-30
2024-04-29
2024-04-29
2024-05-01
2024-04-30
2024-04-30
2024-04-29
2024-04-28