評估資安產品的必要項目
在網路已經很發達的今天,在評估資安產品的時候,隨身碟通常都還是第一個被想到要控管的設備,主要還是傳輸速度快、容量大、體積小可快速把大量資料寫出,現在的隨身碟容量都已經到達TB等級了,市面上大部份資安軟體也都可禁用隨身碟,是否禁用隨身碟就可以滿足資安要求?相信大部分的公司日常的工作情境採取禁用政策已經無法滿足工作上的要求了,一定會有很多例外需要有進階的控管,X-FORT本身的外接式儲存裝置模組就可滿足不同的情境需求。
外接式儲存裝置
X-FORT控管隨身碟、外接式硬碟等儲存設備的模組名稱叫『外接式儲存裝置控管』,其中又分為基本與進階兩個模組,一般的資安軟體控管外接碟的方式通常只有放行與禁用兩種模式,用在實際的工作上是不足的,實際上很多情境不只是禁用而已,因為業務上的需求,需要有更靈活的控管方式,讓資訊安全與工作資料交換可以並存。
基本外接式儲存裝置-多種控管模式
基本外接式儲存裝置主要提供外接碟的禁用、唯讀、寫出加密、寫出明文等功能
- 完全禁止
無論接入電腦的設備為何,只要會產生磁碟機代號的外接碟都禁止讀取與寫出,這是最基本的外接碟控管方法。
情境:公司的資安政策決定,所有電腦一律禁用隨身碟,如有需要可向公司申請放行使用。 - 註冊外接碟
外接碟註冊到X-FORT伺服器後,具有X-FORT Agent的電腦就只能使用註冊的外接碟,把未註冊的外接碟接入X-FORT電腦,是無法存取使用的。
情境:公司規定員工不要把私人或來路不明的外接碟接入到電腦,公司的電腦只能用公司配發的外接碟寫檔案,這個功能即可滿足公司的需求,不用擔心有人不遵守規定。 - 未註冊的外接碟允許唯讀
延續上面註冊外接碟的功能,沒有被X-FORT註冊的隨身碟接入到具有X-FORT Agent的電腦只能唯讀,無法把電腦檔案寫出到外接碟,使用者嘗試寫出會有寫出失敗記錄。
情境:用家裡電腦寫報告把檔案寫到沒有註冊的隨身碟,帶到公司可以把在家寫的報告寫入到公司電腦。 - 唯讀
外接碟接入電腦只能把檔案從外接碟寫到電腦,電腦的檔案無法寫出到外接碟,當使用者嘗試把檔案寫出到外接碟會被阻擋下來,並留下寫出失敗記錄。
情境:某些產線電腦只接受外來的檔案,這些電腦的檔案不能被攜出,無論隨身碟有沒有被註冊都只能把檔案寫到電腦。 - 寫出密文
檔案寫出會透過AES-256加密為密文,密文只能在公司的X-FORT電腦開啟,把密文拿到非X-FORT電腦會無法開啟,密文只要拖曳到具有X-FORT Agent電腦即可自動解密為明文。密文拖曳到吳Agent電腦依舊是密文。
情境1:某些部門因為網路與其他部門斷開,資料交換只能透過隨身碟,但是又不希望隨身碟在交換過程中資料外洩,這種情境就可使用寫出密文功能進行資料交換。
情境2:存放密文的隨身碟一旦遺失也不用擔心機密資料洩漏,撿到隨身碟的人需要把隨身碟拿到同一家公司的X-FORT電腦才能解密。
- 離線解密
正常情況下,把密文從外接碟拖曳回電腦,該檔案會被自動解密為明文,這是指X-FORT電腦與X-FORT Server連線情況下,若X-FORT電腦沒有與X-FORT Server連線,要如何讓外接碟的密文拖曳回電腦時變成明文編輯呢?有這種需求的使用者需要勾選離線解密功能,此功能必須在檔案寫到外接碟前就要開啟,開啟此功能後,檔案寫出密文,在未與X-FORT Server連線情況下,拖曳外接碟密文到X-FORT電腦,密文會自動解密為明文。
- 離線解密
- 寫出明文
檔案寫出到外接碟X-FORT不處理,直接以明文的方式寫出,明文到非X-FORT電腦可正常開啟編輯使用,不會受到任何的控管。
情境:業務人員到客戶公司洽談,報價單寫出明文到隨身碟給客戶,報價單在客戶電腦可正常編輯列印使用。
政策制定
公司欲導入X-FORT進行外接碟資安管制,調查公司各部門實際工作內容與業務需求,分類出以下5種角色,再依據實際的需要進行政策制定。
- 高階主管:在公司電腦可接入有註冊的外接碟,只可寫出密文到外接碟。
- 業務:在公司電腦可接入有註冊的外接碟,可寫出密文與明文,密文可以離線解密。
※注:同時擁有寫出密文與明文功能,在寫出當下X-FORT會提供寫出明文或密文選項讓使用者選取。同時啟動寫出記錄與檔案備份。 - 研發人員:在公司電腦可接入有註冊的外接碟,只可寫出密文到外接碟。
- 其他部門:禁止使用外接碟,即使接入公司有註冊的外接碟也無法使用。
- 產線電腦:所有接入產線電腦的外接碟,只能唯讀,無法寫出。
| 政策/角色 | 高階主管 | 業務人員 | 研發人員 | 其他/部門 | 產線電腦 |
| 禁用外接碟 | V | ||||
| 可用註冊外接碟 | V | V | V | ||
| 唯讀 | V | ||||
| 寫出密文 | V | V | V | ||
| 可離線解密 | V | ||||
| 寫出明文 | V |
進階外接式儲存裝置
必須購買基本外接式儲存裝置模組,才能購買進階外接式儲存裝置模組,此模組主要是基於基本模組的功能提供更多細部的功能,例如:檔案寫出須主管審核、密文群組解密、寫出明文提供多種格式供選擇。
- 主管審核:寫出密文、寫出明文都可設定主管審核,管理員可設定各部門主管,當使用者拖曳檔案至外接碟時,X-FORT會自動彈出審核視窗,強制使用者進行寫出申請作業,檔案才可寫出到外接碟,下圖說明寫出須主管審核可彈性設定。
政策/角色 角色A 角色B 角色C 寫出明文需審核 V V 寫出密文需審核 V V - 密文群組解密:系統管理員制定政策時可設定寫出的密文,公司哪個人可以解密(以寫出密文者的角度來看)
- 所屬群組人員可以解密:寫出的密文只有同部門的人可以解密,同公司其他部門的使用者即使拿到該密文也無法解密。
- 所有群組人員可以解密:寫出的密文同公司使用者都可以解密。
- 使用者可以指定解密群組人員:寫出密文的人,在寫出密文時,X-FORT會彈出使用者清單視窗,讓寫出密文的使用者自行選擇寫出的密文誰可以解密。
- 多種明文寫出模式:X-FORT提供多種明文寫出格式,主要目的還是以安全為考量,明文一旦寫出檔案就可被隨意編修,因此在寫出明文的安全性上,X-FORT特別提供一層安全防護,以下為寫出明文的選項說明。
- 純明文檔:檔案不做任何處理。
- 寫出ZIP檔:寫出的明文會被壓縮成ZIP檔,同時可讓使用者填入ZIP檔的解壓密碼,加上基本的密碼防護,拿到ZIP檔的用戶需要有密碼才可解壓縮ZIP裡面的明文。
- 寫出自解檔:寫出的明文會被壓縮成EXE自解檔,同時可讓使用者填入EXE解壓的密碼,加上基本的密碼防護,拿到EXE檔的用戶需要有密碼才可解壓EXE裡面的明文,自解檔還提供將副檔名改為EX_以防止被防毒軟體誤判為病毒。
- 寫出期限自解檔:功能與上述的寫出自解檔多了一個期限功能,使用者在寫出案時可輸入自解檔到期時間,自解時間到期後,該自解檔將無法被解開。
- 指定電腦自解檔:X-FORT系統管理者可預先指定『指定解密電腦』,這些電腦必須是有安裝X-FORT Agent的電腦,當使用者寫出明文時,可選擇『寫出電腦自解檔』,這些字解檔只能在這些電腦被解壓縮,公司其他非『指定解密電腦』拿到這個自解檔也無法解壓縮。
X-FORT的外接式儲存裝置模組,依據不同的情境可設定適合的政策來靈活控管,在安全性與方便性兼顧的情況下取得一個平衡。