FineArt News

大型製造業最在意的資安治理之道

製造業是以製造出有價值產品的產業,他與農業或服務業最大的不同是,製造業會有工廠產出產品,從設計研發到生產等一系列具有標準化的產品製造流程,這中間經過詳細的研究、計畫、評估來製造符合標準的產品,而服務業是以服務人,針對人提供各種差異化、客製化的產品為主,雖然現在製造業與服務業之間的界線已經慢慢模糊,但是以下我們還是以傳統金屬製造業來舉例說明。

 

兼具效率,管控達到平衡點

研發部、生產部、業務部、行政部、企劃部、財務部、工程部各部門的文件可橫向流動,主部門與子部門之間文件也會垂直流動,如何做好兼具效率不改變使用者習慣卻能讓文件正常流通於各部門間又可達到防止資料外洩的目的,對於資訊單位的管理人員來說,可分為兩大項進行規劃。

1. 本機周邊設備管控:外接式儲存裝置(隨身碟、外接硬碟)、智慧手機、藍芽設備、燒錄機、印表機。 

電腦可透過上述周邊設備把公司檔案攜出,基於業務需要各個部門都有可能把檔案寫出到外接儲存設備,提供檔案給政府、廠商或客戶。

以下將針對各個裝置說明控管的方向。

  • 外接式儲存裝置(隨身碟、外接硬碟)預設禁用外接儲存媒體(包含多功能的裝置),有寫出檔案需求者需透過申請流程,再由管理員針對申請人員帳號開放寫出檔案到外接儲存裝置,且會有檔案寫出記錄。
  • 智慧手機:預設禁止使用者把智慧手機透過連接線接到電腦上,只保留充電功能,若有業務需求請透過申請流程申請使用,且會有檔案寫出記錄。
  • 藍芽設備:預設禁用藍芽傳輸檔案功能,但是藍芽設備例如藍芽鍵盤、滑鼠不受此限制。
  • 印表機:控管各部門電腦只能列印到自己部門所屬印表機,無法列印到其他部門印表機,即使自行安裝印表機也無法列印,若有所屬部門外印表機列印需求,請依照申請流程申請列印,無論列印成功失敗均會有記錄可查詢。

 

2. 網路行為控管:雲端硬碟、IM通訊軟體(如:Line)、網頁控管、無線網路、郵件。

製造業資訊部門基礎建設必備對外防火牆,上述電腦上網行為均可透過公司防火牆達到保護及管制效果。 

資訊部門需考慮的是筆記型電腦在公司外面的網路行為與使用者透過智慧手機上網達到不受公司防火牆控管的資安漏洞。

面對此漏洞提出以下建議參考

  • 對筆記型電腦設定離線政策:一旦筆記型電腦脫離公司網路、更換廠區,電腦資安軟體會自動套用離線政策,建議離線時禁用IM通訊軟體、禁用雲端硬碟(包含雲端硬碟同步程式)、禁用WebMail。若一定要使用,重點就必須放在筆電脫離公司控管環境下,行為仍需要可以被稽核,如先將記錄存放於電腦中,電腦返回公司時,行為記錄自動回傳到資安系統備查。
  • 無線基地台連線限制:為防止使用者透過智慧手機分享的無線網路上網,導致上網行為不受公司防火牆控制,建議把公司無線基地台設定為白名單,公司電腦只能透過白名單無線基地台才能連網。不論是否在公司內外,都可避免使用者私接其他網路,脫離公司管控範圍。
  • 智慧手機連線上網:使用者可透過智慧手機連接線接到電腦透過智慧手機分享的網路卡上網,建議預設禁用外接USB連接線網卡,杜絕此資安漏洞。

只要把網路的源頭控管好,讓大部分的網路行為都在控管的範圍內,筆電外出的網路行為也需要有回公司後,自動回傳網路記錄的功能,讓資安的隱患降到最低。

 

資訊安全的補強,加強文件的控管與記錄

公司最重要的財產除了營業設備以外我想更重要的就是公司的『營業秘密』文件,這些是公司的無形資產,舉凡設計圖、合成原料,生產技術等這些重要的機密文件除了前述的防護、保護措施,針對產出這些機密文件的部門,建議加強文件操作軌跡的記錄,舉凡文件的新增、刪除、複製、搬移、更名等行為均需要詳細記錄;文件在檔案伺服器與個人電腦之間的軌跡記錄,將更補強資訊安全的強度。

更甚者對於研發部門文件亦可加上文件加密系統,大大強固了公司營業秘密的安全性,讓企業運作保持了安全性與靈活性。