一、由「2016年高雄美濃地震」事件,談談主動、被動安全。
2016年高雄美濃地震,發生於農曆年前的小年夜,是1999年921集集大地震以來傷亡最嚴重的地震。而維冠金龍大樓的倒塌,造成臺灣有史以來最多人因單一建築物倒塌而罹難(共計115人死亡)的記錄。這場地震,也突顯建築物以及相關法規的安全問題。
筆者先以真實世界的大樓作為開場白,淺談大樓安全項目所能做的工作。一般來說,以災害發生的時間點為分界,可分為主動安全以及被動安全:
- 主動安全:在災害發生之“前”或“發生時”,嘗試以通報、各種方式執行,主動迴避可能發生的災害。如門禁系統、保全警衛、保險箱櫃、濃煙偵測系統、一氧化碳偵測器、防震阻尼器、良好的施工品質與建築結構設計、正確鋼筋綁法…等。
- 被動安全:在災害事件發生之“後”,嘗試還原現場、保護物品與人員,將損失及傷害盡可能的降低。如監視器、大樓防火牆、防火建築材料、升降梯器材、緊急發電器、照明器具、疏散引導指示燈...等。
主動安全項目是較好的方案,可以避免災害的發生,但也最容易因為成本或利益考量,被捨棄或部分達成;如果要靠被動安全來降低傷害,也代表著傷害已經造成,造成的人物損失可能遠高於建築物當初建造的成本,是人們較不願意見到的結果。
那麼買保險、重要資產儲存在銀行,該算在主動或被動安全項目呢?筆者認為:主動將風險降低,以避免災害發生後求償無門。無論主動或被動安全,當災害發生後,如何快速恢復原有的生活或家園?這是人們最在意的重點。畢竟傷害已經造成,如果能迅速恢復災害發生前的樣貌,好過千瘡百孔無法修復或需要長時間重建的窘境。
二、網際網路世界也有主動及被動安全維護?
網際網路世界當然有主動及被動安全維護的議題,值得企業主與相關人員關注!簡略分類如下表:
| 分類 | 真實世界 | 網際網路世界 |
| 被動 | 監視系統 | 螢幕擷取、螢幕錄製、產生操作記錄 |
| 被動 | 防火牆 | 網路防火牆或相關設備 |
| 主動 | 門禁系統 | 權限控管設定 |
| 主動 | 保險箱 | 檔案加密保護、DRM |
| 主動 | 保全警衛、維安人員 | DLP系統、防水牆 |
| 主動 | 偵測、通報系統 | 資訊系統事件警示通知 |
| 主動 | 買保險、重要資產放銀行 | 資料備份、異地備份 |
「勒索軟體」[註1]是近年來很轟動IT界的新聞,各位必然還有印象。著名的CryptoLocker是種特洛伊木馬病毒,可偽裝成一個合法的電子郵件附件或.exe執行檔案格式,會隨著網際網路散佈。終端設備如果被植入後,該軟體就會使用RSA公鑰或AES密鑰等加密方式,針對常見的文件、繪圖檔案進行加密,造成檔案無法正常閱讀與使用。如果受害者未在指定的時間內支付贖金,攻擊者將自動銷毀當初加密的密鑰,被加密的檔案很可能永遠無法解密。先前已提到「當災害發生後,如何快速恢復原有的生活或家園?」,在網際網路世界裡,是同樣重要的議題。
雖然勒索軟體的開發者初期目標是針對微軟的Windows作業系統作為攻擊對象,近期的變形勒索軟體更將戰場轉往Linux作業系統[註2]。即使此類型的勒索軟體可輕易被移除,但被加密的檔案才是難解的問題。更有資訊安全廠商提出「2016 年為網路勒索軟體年」的警訊[註3],提醒每個掌管連接網路的 Windows / Linux 設備的管理員,必須重視這個挑戰。
除了外部的威脅之外,也不得不提到企業內部的隱憂 – 內部洩密。近期發生的新聞如:
企業洩密新聞亦突顯出資訊安全防護的重要性及企業落實度。資料防護產品與技術每隔一段時間便推陳出新,本篇不提老生常談的DLP、DRM防護概念與產品,因為防護觀念已蔚為主流,許多業主與IT人員已有危機意識。
面對這些戰役,您已經準備好了嗎? 當災害發生後,如何快速恢復原有的生活或家園?
三、從資產到資安,保護企業機敏資料,加上備份端點資料,讓還原不遺餘力。
如何執行大樓安全維護?以及真正碰到無法迴避的重大災害之後,該如何快速重建?只能靠平日的主動安全意識與作為,奠定災難發生後的迅速反應、恢復原先的正常運作。
前段內容已經點出來需要被重視的主動及被動資訊安全議題。筆者認為,企業不僅只有機房內的伺服器端儲存的資料面臨了上述的挑戰,一般的企業員工操作的電腦也曝露在這高風險的環境。很可惜的是,大部份企業可能願意投入資源在提升機房內各種伺服器的存活率及恢復力,但更多的員工電腦必須自負風險。當員工電腦發生類似勒索軟體的綁架向IT人員求救時,IT人員可能也束手無策。平日未主動備份檔案的使用單位,FBI也建議最快解決方法就是支付贖金花錢消災[註6]。
企業內部即使有完善的資訊安全防護、資料遺失防護,也應將眼光放在員工平日的「買保險、重要資產放銀行」這項降低風險的投資,比起支付的贖金或是重要機密檔案拿不回來,這項投資是個值得思考的選項!
-------------------------------------------------------------
[註1]可參閱維基百科 - CryptoLocker,連結: https://zh.wikipedia.org/wiki/CryptoLocker
[註2]網管注意!勒贖軟體已盯上Linux網站!文/林妍溱 | 2015-11-10 | 詳見 iThome。連結: http://www.ithome.com.tw/news/99865。
[註3] 2016:網路勒索年 | 2015/11/23 | 文/TREND LABS 趨勢科技全球技術支援與研發中心。| 詳見趨勢科技 | 連結: http://blog.trendmicro.com.tw/?p=15171。
[註4] 台積電張忠謀復仇告贏叛將梁孟松 -文/林志函、蘇位榮 | 2015-08-25 | 聯合新聞網。| 連結: http://www.cw.com.tw/article/article.action?id=5070312。
[註5]友達多主管洩密獲罪,被華星光電掌握的技術卻回不來了。文/liu milo | 2015/12/02 | 科技新報| 連結: http://technews.tw/2015/12/02/auo/。
[註6] iThome - 中了勒索軟體該怎麼辦?FBI回答:解密資料的最快方法就是花錢消災!文/陳曉莉 | 2015/10/28 | 連結: http://www.ithome.com.tw/news/99586。