讓我們重新審視公務電腦防護管理,在DLP發展過程中,聚焦在裝置管理、網路應用、檔案保護...等核心議題。看似完美的DLP防護架構,卻不能忽略硬碟加密防護的程序。我們可以從Global Data Leakage Report, H1 2016報告書發現「設備丟失/被盜」(Equipment loss/theft)不論是故意或是偶發事件佔有一定比例(1.92%),看似微量的比例,其傷害卻是佔前五名。必須把這塊拼圖組成,才是完善的資料防護措施。
不能說的資安風險秘密
上述的情境很難描繪發生的事件,筆者想用三個情境案例來說明資訊部門在管理裝置硬碟上不能說的秘密。
情境一:以機房伺服器硬碟為例,硬碟所存放的資料通常比起個人儲存的資料更大更具價值,伺服器可以是研發資料、檔案伺服器、郵件伺服器DB、甚至是資料庫資料。往往伺服器硬碟故障燈亮後,通常是十分緊急因系統服務停止運作將會影響企業營運,更是重大資安事件。資訊部門大致會通知伺服器保固廠商進行「更換」硬碟。因為是熱備援(Hot Spare),將所謂故障硬碟拔出,更換新硬碟,進行抄寫或是還原。
亮燈的硬碟是否真的故障?您心中是否有一絲疑惑呢!?硬碟的資料是否還有機會重建被取出?當這些資料不外部人員讀取,是否代表著企業敏感的資料跟著外洩呢?這是一個十分嚴重的安全防護缺失。
情境二:一位資深的員工,工作了10多年,在企業公務電腦中的資料具備一定的「含金量」。可是被競爭對手或是商業間諜偷偷收買,將伺服器資料複製到公務個人電腦,資料量大且具備DLP保護,要如何迴避達成任務,將資料無聲無息地取出呢?將公務電腦硬碟拔出,偷偷拿回家接取非公務電腦,輕易將資料取出轉賣。
在企業資料外洩案例中,這也是時而可見的情境。當電腦關機,DLP監控勢必有其空窗期,資訊人員卻無法有效防護這類實體轉移竊取資料的行為。又是資訊部門不能說的痛。
情境三:一位高階主管出國與國外客戶,商議這一年度產品發展合作事宜,手提電腦中放置「加密」與「未加密」極機密業務資料。可是在轉角的咖啡座,一時失去注意,被小偷或是商業間諜偷去手提電腦。這時候緊急報警或通知國內資訊部門尋求處理。
這時候只能期待,警方可以順利找回。而資訊部門只能期待,電腦開機上網能讓DLP遠端管控。這樣的期待往往是落空且曠日廢時,因為資料已經外洩被竊取。就又是資訊部門遠距無法解決的資安難題。
BitLocker硬碟加密防護解決隱藏風險
從上述的難題,難道沒有更安全得處置方案嗎!?精品X-FORT在過往MBR硬碟加密設計外,又多了BitLocker硬碟加密防護機制,將可以有效解決上述三者困擾資訊部門的資安風險。
因為透過BitLocker硬碟加密防護,企業資訊單位,透過X-FORT系統統一管控BitLocker金鑰,甚至防止私自變更金鑰。當小偷竊取了高階主管手提電腦,就必須破解處理第一道硬碟啟用金鑰,才能取得資料;反觀,在伺服器端因為採取了BitLocker防護,當硬碟故障亮燈,也可以不需要擔心,這故障硬碟是否帶來資料外洩的風險。這一道BitLocker安全設設計,將強化DLP管控的效果,讓「意外」的資料外洩災難,不再是資訊部門不能說的秘密。而BitLocker具備 (1) 統一金鑰管理;(2) 防護私自變更金鑰;(3) 防護硬碟失竊資料外洩;(4) 確保主機硬碟更換作業安全。這是值得資訊部門仔細審視硬碟加密防護的可行性措施。