Customer Like

Customer Satisfaction

Image is not available
Image is not available
Image is not available
Image is not available
Image is not available

新萊潔淨

應用材料善用巧勁,以資安管理決勝負

 

八二法則管理資安

80%交給X-FORT,20%交給IT管理者

 

新萊潔淨應用材料是以各類衛生級不銹鋼304、316L管配件及閥類製造為主。該公司所製造的產品,廣泛應用於半導體設備、真空設備、生化科技設備、食品加工、製藥、飲料及化學等工業中,產品已獲得3A和ISO 9001-2000國際品質認證,提供客戶品質和服務的保證。

 

在配合廠商方面,新萊是世界知名廠商的設備配件OEM製造者,產品銷售於美國、英國、德國、法國、瑞典、丹麥、義大利及日本。在客戶定位上,面對的始終是國際最頂尖的生產商,特別鎖定在全球性的大型食品生產商在大陸設立的工廠。由於對於品質要求非常高,所以定位在高水準的標準化元件,價格上比一般競爭對手稍高,在市場上仍具有高品質的優勢,相對來說,新萊對於防堵關鍵技術外流的管道甚為重視。

對於像新萊這樣的製造廠商,首要防範的就是帶槍投靠競爭對手的員工,有計畫的竊取公司的重要資料。負責處理IT相關事務的特別助理黃士育說:「只要有心,要在公司內部竊取資料其實不難!」從辦公桌上的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟等等,都可當作洩密的工具,隨著業務不斷拓展,為了企業的永續經營,新萊必須找出一套有效阻絕機密資料外流的防護措施。在高層再三商討決議之下,決定導入精品科技的X-FORT電子資料監控系統。

 

杜絕USB設備濫用,嚴防內部帶槍投敵

 

X-FORT可針對企業內部制定的資安政策,依個別使用者設定不同的用戶權限,以管理企業內部用戶端電腦,控管用戶端任何可寫出資料的管道。黃士育認為,導入X-FORT最明顯的成效就是外接式設備的管控,以USB的控管為例,現在市面有許多儲存設備都可以使用USB埠,所以很多公司都會想盡辦法讓USB無法使用,例如用鐵條將USB焊死,或是用矽膠灌入USB中,又或是在USB上貼上封條等等。這些措施雖然看似可笑,卻也證明以往IT管理者無法針對USB進行防護的困境。導入X-FORT之後,包括各種外接式儲存裝置、一般網路應用及無線傳輸方式都可以由IT管理者管控,從此不再為了防堵而傷透腦筋。

另外,IT管理者對於網路的開放程度常感到相當棘手。「即時通很方便,但一天到晚聊天不做正事,根本沒辦法管!」黃士育表示,網路管理會遇到非常複雜的情況,例如許多像使用HttpTunnel、SoftEther的網路工具,或是碰到員工私自架設網站、使用EMule、BT等P2P下載軟體佔用公司頻寬,更誇張的甚至還有執行非法軟體,或上班玩電玩的都有可能。他笑著說:「在公司還沒佈署X-FORT之前,我還真的不知道辦公室會有這麼多精彩的事!」而且就算知道,也無法可管,這就是之前IT人員沒有管控工具、沒有辦法留下證據的最大無奈。

黃士育認為,在導入X-FORT之後的最大差別,好比公司提供了一個監視錄影機的功能。「這就像在全台灣的街道、社區裡裝了超過2百萬支的監視錄影機,犯罪率當然一定會比較低嘛!」由於X-FORT能將員工平常使用電腦的作業詳細記錄下來,傳送到資料庫裡存放,提供搜尋、統計,所以員工一定不敢隨便盜取資料。

除此之外,X-FORT也提供一個類似社區警衛的功能,「當偵測到員工有可疑的作業時,X-FORT會將它特別標示出來,也會顯示其嚴重性。」黃士育說,這些訊息可以警告系統管理員或部門主管,相關管理者可以馬上設定權限,直接阻擋該員的非法作業。

 

機密文件加密,強化資安的最後一哩路

 

話說回來,USB、網路僅僅是防護機制上的一小環而已,以電腦本機來說,還有很多地方需要防護。黃士育提到,以前有員工或訪客帶筆記型電腦到公司,透過網路芳鄰或USB連接線,將公司資料複製到筆記型電腦裡。這種事情,特別常發生在於有權限讀取,且將要離職的員工身上,因為有通行密碼,所以可以存取內部的各項資料;甚至遇過有人將整台電腦搬出去的情況,或是把硬碟給整顆拔走。

「這些硬碟裡的文件,都是一家公司靠著長時間累積下來的寶貴經驗,一旦被對手取得這些寶貴的經驗,形同是培養了一個不用支付任何學習成本的頭號競爭者。」在導入X-FORT之後,由於具備完善的硬碟防竊保護機制,只要硬碟被拔走,就會馬上提供警訊給相關的主管與管理員;另外再透過加密的保護,即使有心人想盡辦法將硬碟帶出去,也無法獲得內部的重要資料。黃士育說:「資料加密,是資料安全的最後一哩路。」資料有加密,即便是在運送過程中遺失,資料外洩的疑慮也會相對減少一些。

由於燒錄機非常普及,在防止資料外洩上也是一個重點管道。黃士育認為,以前有些公司的管理者會認為內部很少人有裝燒錄機,所以不用控管,這是非常危險的心態。之前就有某晶片大廠發現員工在離職前一個小時,將光碟機偷偷換成燒錄器,並且操作燒錄程式擷取重要資料。他以為自己神不知鬼不覺,但是很不巧該公司也有導入X-FORT,也將他的所有動作記錄下來。黃士育說:「研發機密是科技製造業生存的命脈,就算不是高科技產業,客戶交易資料洩漏出去,也往往攸關公司生死存亡。」

 

80/20法則:管控最重要的20%外洩管道要做好

 

企業機密資料保護,新萊採用的是「用對人」和「建立制度」這兩大準則。用對了人,員工對公司就有向心力,就能理解公司重要智慧財產權和研發資料不能外洩的重要性。此外,爭取高階主管的力挺,以及花至少半年以上的時間,跟全體員工溝通建立文管制度與流程的重要性,都是所謂的用對人。

至於建立完整的流程和制度上,可以倚賴X-FORT強化機密文件的保護等級。若要寄送資料檔案給客戶,除了要先通過X-FORT的把關,還要獲得主管的許可,所有流程都有跡可尋,杜絕不肖份子趁機竊取機密。現在所有文件列印都由X-FORT監控,甚至可將列印者的帳號、列印時間與列印地點一併印在文件上,機密的研發資料限制只能由某些印表機列印,還可設有浮水印避免再印外流。

黃士育認為,IT管理者要處理的事情非常繁瑣,是否能夠掌握80/20的管理法則將是提升效率的重點,換言之,管控好最重要的20%機密外洩管道,是資安把關上第一優先的事。例如對於必須使用筆記型電腦的高階主管,則透過X-FORT的管控,例如管控工業設計圖檔不能任意外傳,「資安後面的80%幾乎都可以靠X-FORT輕鬆解決,IT管理者有更多餘力可以擺在重點的20%上頭。」