前文已簡單交代過多數企業習以資產管理系統管控員工在每台終端電腦的USB使用狀況與USB與病毒散播的關係,接下來將與您分享其與資料外洩的關連性、為何企業甚難以資產管理系統防堵上述狀況,以及企業還有哪些防護措施可選。
第二,資料外洩
(1)公務家辦(偷竊資料)
不要說有心人士竊取公司機密文件,企業也可能因為員工將未完的工作帶回家加班而拉升機密資料外洩的機率。
(2)USB無線網卡
這邊是指員工自行透過USB無線網卡連線到企業外的網路設備,例如802.11g無線網路AP (Access Point)與3.5G上網裝置。特過上述作法,員工可以從內部網路存取機密資料,其後再以USB無線網卡連線到外部網路,並且將內部機密資料傳送出去!
除了透過USB無線網卡外,員工亦可以802.11b\g\n無線網卡架設無線網路AP (Access Point)基地台;透過該機制,企業就像是被開了後門(back door)一樣,員工將能輕易的從企業外部連線至位處內部網路的基地台。
只要有員工以USB無線網卡連結內外部網路,那無論企業架設了多少台很強的防火牆及入侵防護系統(IPS),皆形同虛設。
資產管理系統的安全疑慮
除了使用USB會造成無數風險,那些安裝在終端電腦、用來執行資產管理系統的小程式(Agent)也可能會引發一些安全問題:
首先是程式(Agent)被中止後的安全防範。
正所謂沒有關閉不了的程式,否則電腦將無法正常關機;在這個邏輯下,一定會有辦法可以關閉該程式,若被不良員工發現關閉該程式的方法,後果將不堪設想。目前的變通方法是一但該程式不再執行,員工便無法上網。
乍聽之下似乎很合理,但別忘了員工大可趁這個時間插入隨身碟,拷貝本機存放的機密資料。畢竟在這個當下,資產管理系統是沒辦法控管USB Port的。
其次是安全模式下的防護工作。
狀況跟終止程式後便無法管控員工以USB存取機密資料的道理一樣。在安全模式下,無論是防毒軟體或資產管理系統都沒有辦法啟動,不過安全模式下系統還是可以支援隨身碟存取,員工仍舊可以隨身碟拷貝本機端的資料。
最後是USB與光碟開機模式下的安全隱憂。
關於如何以USB、或光碟開啟電腦這個部分,讀者可上網搜尋USB開機碟、LiveCD與WinPE等關鍵字即可明瞭。
在這樣的狀況下,當員工不透過正常方式開機,而是以USB或光碟開機時,不要說看不到用來執行資產管理系統的程式,根本連該系統也不可能使用。
其他解決之道
或許會有讀者認為上面提到的開機方式不能直接存取NTFS格式的硬碟、無法拷貝本機端的資料,但就算這樣,仍可以Ghost或再生龍(Clonezilla)等工具將硬碟資料備份並儲存到USB硬碟裡。而且企業無法透過資產管理系統控制上述行為--員工使用USB Port。
面對各式內憂外患,企業除以資產管理系統因應之外,完全沒有其他選擇嗎?筆者認為至少還可以透過BIOS設開機密碼與物理性遮罩(矽利康)等兩種模式加強管控。以下為各種因應之法的優劣比較表:
單從上表來看,無論是資產管理系統或者是BIOS設開機密碼的功效皆不如物理性遮罩(矽利康),因此,不管企業有無斥資導入資產管理系統,筆者仍建議企業資訊管理人員以物理性遮罩(矽利康)管理重要的主機系統。
USB禁還是不禁(下)?
