歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
USB硬碟要怎麼管?
2005 / 11 / 03
徐 子 文
兩年前我應邀參加一個資訊安全產品解決方案廠商辦理的發表會,在議程中的問答時間中,有一位參加聽眾問台上的專家顧問一個問題:「USB硬碟要怎麼管?」。
這專家顧問一時之間回答的有點吞吞吐吐,不是很順暢,答案模模糊糊的。雖然提了很多的建議方案,但是似乎無法滿足這聽眾的需求。我們在下面很替這專家顧問覺得緊張,因為這時他忘了反問了一個最重要的問題:「你為什麼要管USB硬碟?」
安全或是風險對應政策應該是針對風險威脅而來。不同風險威脅可以用很多種方法來達成相同的風險管理目的。
聽眾會問這個問題而言,因為他假定的是『USB硬碟是資訊機密外洩的風險威脅』。這個命題,在某些情況下是正確的,但是換個角度和邏輯思考可能會更完整些。
資訊機密外洩是一個風險,要避免這風險的對策則有很多種。
一般而言,我們可以用的風險管理手段有:1.規避風險 (Avoid);2.轉移風險 (Transfer);3.分散風險 (Segregation);4.風險預防 (Prevention);5.損失抑制 (Reduction)。
前面三項屬策略面,後三項則是作業面。
選擇風險管理手段和對策一定要想到風險管理成本的問題;能夠找到源頭,就有機會找到最有效、最具成本效益的方法。
若以客戶資料保護而言,以『風險=威脅×可能性×弱點×緊要度』和『犯罪=動機+手段+機會』這些公式來簡單分析就知道客戶資料外洩的風險是相當大的。
為了作業上的需要,客戶資料一定是在公司裡面被各單位使用,也會被不同的媒體工具存儲。不要忘了,資訊安全並不只是資訊科技安全。客戶資料存在電子媒體和印在紙張上的同樣都是客戶資料,都是要被保護。就算我們控管了印表機和所有的I/O埠,還是必須要用螢幕把資料呈現出來,才可以做客戶服務吧!有心的人拿紙筆就可以抄下來了呀!(這不是誇張的說法,是真實的案例!)
因為有客戶資料就會有資料外洩的風險,要規避很難,要轉移則可能更危險(2004年案例顯示,洩漏資料就是負責協助建檔的外包廠商)。因為要在後端做預防很難,所以要解決客戶資料外洩的可能性,所以在策略上要採用分散風險管理。如果從源頭著手,降低所謂客戶資料的價值,或許會來的更有成本效益。
除了必要的和無法避免的集中(如Data Center、帳單印製中心等)必須要在此處特定加強控管外,在平常應用時就要想辦法讓資料夠用但是卻不是真正的客戶資料,也就是不讓它成為「足徵辨識為個人者」的資料(例如:完整電話號碼+姓、部分電話號碼+身分證字號,或是另外訂一個參考號碼做為內部工作處理用等),讓想獲得完整資料的人必須要另外再找其他好幾份資料來做參照,才可以對的出來,增加其難度和被偵測到的機會。
策略上做了分散風險之後,接下來就是要做風險預防。這就是大家比較熟悉的,即利用各式軟體硬體和程序控管的一些技術和作業管理方式。前面提到的問題『USB硬碟要怎麼管?』放在這邊就很恰當。
當然,損失抑制的機制也要建立,讓事件發生初期就能夠早期發現,早期『治療』。
良好的管理就是要先『理』再來『管』。下次遇到類似問題,建議問一下:『為什麼要管?』
本文作者 徐 子 文 MSc. CPP為國際認證CPP專業安全管理師,美國產業安全學會(ASIS International)台灣區分會會長
USB
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制