 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1730385
位訪客!
登入 | 註冊
|
|
|
|
對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2005/8/11 13:58:59
《商用筆記型電腦採購特輯》替筆記型電腦量身打造安全防護罩
商務筆記型電腦攜帶方便,提供極高的行動性,但相對產生許多資安管理的灰色地帶,最好利用管理政策、TPM、指紋辨識器及智慧卡等防護機制,強化安全防護。
隨著筆記型電腦製造技術越來越成熟,穩定性相對較以往提高,再加上廠商提供的保固維修服務措施,企業用戶大量部署筆記型電腦供員工使用,不僅可有效減少MIS負擔,也能大幅提高職員的方便性與行動性;然而筆記型電腦輕薄短小、便於攜帶的特性,卻也是把雙面刃,雖提高員工的行動便利性,卻也容易產生遺失、遭竊而洩漏公司機密資料的危機。
從管理政策面與實體層入手,管住你的筆記型電腦
筆記型電腦由於體積輕薄短小,便於攜帶外出使用,所以也容易曝露在外界毫無防備的高風險狀態,遺失、遭竊或被病毒入侵、駭客攻擊等機率也較桌上型電腦高出許多,所以在管理上就要更加小心翼翼。其實要防止筆記型電腦遭竊或遺失不難,目前幾乎所有的筆記型電腦都配備Kensington Lock鎖孔,所以只要購買不易被剪斷、破解的筆記型電腦防盜鎖,嚴密的以實體方式鎖住電腦,就可以在大部分的情況之下避免竊賊覬覦。但無論再怎麼嚴密的防盜措施,都只能算是「防君子不防小人」,若竊賊真有心偷取筆記型電腦,還是極可能落入遭竊的命運。
對企業用戶而言,要防止筆記型電腦遺失最好透過公司政策規定,針對筆記型電腦使用者,視情況制定嚴格的管理措施,如照價賠償、罰款或降級、去職等處分,從政策面的規定與宣導提高員工警覺心,降低遺失風險。也可以制定列管規定,限制員工任意攜帶筆記型電腦外出,僅開放業務人員或以申請報備的方式,監控每一臺有可能遇到風險的筆記型電腦。
但人算不如天算,任何政策都無法保證萬無一失,也無法真正防止遭竊之後的機密之料外洩問題,所以最有效的方式便是設置外出專用機,供員工出外洽公時使用,讓員工攜帶僅具備常用的工具程式而不含任何公司內部機密資料的筆記型電腦外出,那麼無論筆記型電腦在外發生任何遺失、竊取、或駭客入侵、病毒攻擊等狀況,都不會對公司機密資料產生任何影響,但採購預算就必須增加;若在預算不足的情形之下,也可僅添購外出專用的第二顆硬碟,僅安裝作業系統與必要程式,限制員工一定要更換硬碟才能攜帶筆記型電腦外出。
除了實體層的防護外,筆記型電腦若未具備完善的資訊安全防護能力,也等於敞開公司重要資料大門,極有可能造成駭客入侵、病毒感染、資料外洩等事件產生,造成資訊安全管理不易的嚴重問題,為企業用戶帶來另一層資訊管理與防護的挑戰。設定使用者密碼並安裝防毒軟體,也成了強化資訊安全的基本工作。
設定BIOS與硬碟密碼,做到基本安全防護
幾乎所有的筆記型電腦都能夠在BIOS設置開機密碼防護,設定後需輸入密碼時才能進入作業系統,否則無法啟動,但BIOS密碼只對系統產生防護作用,若竊賊將筆記型電腦硬碟拆除,移至另外一臺電腦讀取,其中的資料還是會一覽無遺,無法確保硬碟資料安全。所以專為鎖定硬碟資料所設計的硬碟密碼就可以做為第二層防護,硬碟密碼設定後,若未輸入正確密碼,整顆硬碟資料將會完全無法讀取,就算移至其他電腦也無法使用,能更有效的防止硬碟機密資料遭竊。
但對技術能力較高的竊賊而言,還是有能力可以破解BIOS密碼與硬碟密碼,所以僅透過BIOS與硬碟密碼,並無法將筆記型電腦內部機密資料做到滴水不漏的安全防護。所以有些廠商便針對BIOS密碼設計更進一步的防護措施,將BIOS密碼儲存在獨立的專屬控制晶片當中,就算完全刷新BIOS也無法破解,但相對的若用戶不慎忘記密碼,那麼就只有更換主機板才能解決。
智慧卡與TPM安全晶片產生多重防護
除了BIOS與硬碟密碼之外,不少廠商也開始強調筆記型電腦的資訊安全,為產品特別加入如智慧卡、TPM(Trusted Platform Module,可信任安全平臺模組)安全晶片、指紋辨識器等安全措施,希望能提供更完善的筆記型電腦安全防護方案,透過層層的安全認證關卡,加強筆記型電腦防護能力。
智慧卡是一張大小與信用卡相似的卡片,以IC晶片儲存身分識別等安全認證資訊,在BIOS狀態即鎖定電腦,用戶必須插入筆記型電腦獨有的智慧卡並輸入正確密碼,才能登入作業系統;另外智慧卡也可寫入個人資料、憑證、數位簽章等其他資訊,將應用延伸至如門禁等身分認證系統。
內建在筆記型電腦主機板上的TPM安全晶片概念與智慧卡有異曲同工之妙,它是以獨立的安全晶片利用公開金鑰架構(Public Key Infrastructure,PKI)產生無法複製的數位簽章,來驗證存取資料的平臺與硬碟的身份。TPM安全晶片是採TCG所定義的通用標準所製造的可信任安全平臺模組(Trusted Platform Module);當TPM設定完成之後,可以在硬碟中另外分割出隱藏性的個人虛擬磁碟機,使用者要輸入正確的TPM安全晶片密碼後才能讀取這個磁區的檔案資料,也能加密企業所發行的電子郵件CA憑證,有效保護電子郵件CA憑證安全。
TPM讓檔案憑證等資料具有雙重防護機制,除了密碼保護外,同時也需搭配機器專屬的TPM晶片才能通過認證,即使硬碟或檔案被駭客竊取,若沒有透過專屬TPM晶片認證,資料就完全無法被讀取;而TPM不僅可以裝置於筆記型電腦內,也適用於伺服器、PDA、智慧型手機等可攜式裝置。
另外,TPM也可應用於企業網路身分認證,讓兩臺同樣使用TPM晶片的電腦,透過TPM金鑰作為信任裝置的認證機制,以節省登入及密碼過程,直接處理資料傳輸程序。
指紋辨識器,讓手指成為獨一無二的通關密語
輸入式的密碼防護有一個先天的重大缺點,就是無法防止「內賊」!試想在輸入密碼的同時,身旁的人直接窺視並暗記你所輸入的密碼,就算使用智慧卡亦容易在毫無防範的情況之下遭竊取盜用,那麼無論再怎麼滴水不漏的TPM晶片與智慧卡安全防護,同樣有可能毀於一旦。故基於每個人獨有的如指紋、虹膜等生物辨識系統,就成了筆記型電腦下一代的資訊安全防護措施,目前在筆記型電腦應用最廣的非指紋辨識器莫屬; IBM、Fujitsu、HP、Tshiba皆相繼推出配備指紋辨識器的機種,讓指紋辨識器儼然成為商務筆記型電腦的主流配備。
指紋辨識器在筆記型電腦上的應用,主要是以指紋代替作業系統的登入認證、檔案與資料的加密等,雖無法與BIOS密碼結合,但可配合TPM安全晶片等措施,加強筆記型電腦的安全防護;與TPM安全晶片不同的是,指紋辨識器可以用指紋替代所有的密碼,讓用戶不用記憶任何密碼,只要用手指輕輕一刷,即可驗證身分。除非手指被切斷或是受傷,否則遺忘密碼的機率微乎其微,生物辨識方式更無法透過窺視與暗記的方式竊取,能有效提高筆記型電腦資訊安全層次。但一般的指紋辨識器仍可透過複製指紋等技術破解,所以更高階的指紋辨識器還可以偵測並記錄手指靜脈流動,那麼就算將手指剁下,也沒辦法通過認證,不過市面上仍未推出應用此種指紋辨識系統的筆記型電腦。
對相當重視筆記型電腦安全防護的企業而言,制定嚴密的實體防護措施,並設定BIOS密碼與硬碟密碼,加上TPM、智慧卡與指紋辨識器等額外的資訊安全保護裝置,就能夠強化筆記型電腦實體的存取認證。文⊙王唯至 |
|
