資料外洩已經成為當前企業組織及政府機關最頭痛的安全問題。對企業而言,資料遭竊取的風險代價愈來愈高,輕則影響商譽、流失客戶,重則損失財務與研發成果或使企業誤觸法網。而政府機構電腦內存放的資料,更是直接攸關全國人民的公眾利益,如果不慎外洩,甚至可能直接影響社會經濟或國家安全。
駭客可能入侵電腦偷走機密資料或進行側錄複製,而日益猖獗氾濫的木馬程式、間諜軟體,最終目的也都是要竊取有價值的資料。為了避免重要資料遭到惡意竊取,企業採用了許許多多的機制來進行防範,例如帳號登入、身份認證、防毒/防間諜程式、防火牆、入侵偵測防禦、資料庫及應用程式防火牆等。
「然而這些資訊安全保護方案,都是在機器開機運作時才有用,」SafeNet北亞區業務總監林金保指出,當機器處於power-off狀態時,大多數安全機制將完全無法防範資料遭竊。簡單的說,如果有心人士將硬碟取出,即可輕易獲取其中存放的資料,完全不受既有安全方案的限制。在包括美國退伍軍人事務部、AIG紐約人壽等著名的伺服器失竊案例中,竊賊直接將電腦抱走,內含的數千萬筆個人資料也就隨之外流。
硬碟加密 保護關機時的資料
隨著筆記型電腦大量普及,並在企業組織中逐漸取代桌上型電腦,這個問題也變得愈來愈嚴重。筆記型電腦失竊的消息時有所聞,根據研究,存放有重要資料的企業用筆記型電腦,因失竊、送修、報廢、捐贈、借用等情況,而將資料暴露在合法使用者以外的人手中的比例,約有百分之一。
「這1%的風險,就是企業在規劃百分百的end-to-end資訊安全防護時,最常被遺忘的一環!」林金保強調,資料在這種情況下遭竊的機率,或許只有1%,但是比起其他任何資料失竊管道,對企業組織造成的損失,可是一分也不會少。
試想,當使用者的電腦裝設了各種安全防護機制,並通過多重認證及嚴密稽核,才能從資料中心下載重要資料,結果一回頭,卻發現筆記型電腦被偷走… 簡直是資安人員的惡夢。林金保指出,要根本解決這個問題的方法,就是「硬碟加密」。
在整個端到端的資料安全架構中,直接對個硬碟進行加密,只有通過身份驗證的使用者得以存取硬碟,才能有效保護在「關機」狀態下的資料。當然保護的對象除了筆記型電腦之外,也包括各種伺服器、工作站、外接式磁碟,以便防止內部人員、商業間諜或維修人員等的惡意竊取行為。
關鍵技術不在加密 而是反破解
林金保指出,針對硬碟加密,SafeNet提供了ProtectDrive加密軟體,可以對整顆硬碟進行加密,並在系統開機進入作業系統之前就進行身份驗證,防止非法使用者以迴避作業系統的方式存取硬碟。他表示,ProtectDrive完全整合於Microsoft Active Directory,管理者可集中管理硬碟加密,有效減少部署和管理硬碟加密所需的時間與成本。此外,在安裝更新程式時,也無須先為硬碟機解密。
事實上,成立已有超過20年歷史的SafeNet擅長先進加密技術,在資訊安全方面擁有完整的產品線,從硬體、軟體、晶片到矽智財(SIP)都有提供,解決方案涵蓋網路傳輸加密、硬碟資料保護、交易安全、數位身份辨識、遠端存取、軟體及內容版權保護以及各種嵌入式晶片設計方案,ProtectDrive加密軟體只是其中的成員之一。
不過,也由於具有多種安全產品線,因此ProtectDrive可以完善整合其他機制,更有效提高其安全性例如該公司自有的Token及Smart Card技術,已有10年以上的發展經驗,搭配ProtectDrive可實現完善整合的雙因數認證,這也是SafeNet的一大優勢。
「其實關鍵的技術不在於如何加密,而是如何抗破解,而且運算要快,不能拖累效能。」林金保指出,從表面上來看,硬碟加密軟體的功能其實都大同小異,然而背後的技術就有差異了。一般的加密演算法,每個大學實驗室都可以做得出來,然而演算的效能和安全性卻會有很大的落差,這也是SafeNet最自豪之處:「我們用1秒鐘完成加密的資料,卻讓駭客得花上200年才能破解!」
安全方案像保險 要選最可靠的
他強調,ProtectDrive的加密技術符合最嚴格的政府安全標準,包括美國的FIPS 140-2 Level 2加密認證,以及歐洲CC的EAL 2認證(目前EAL 4已在評估中),並獲得美國陸軍聯合互通測試司令部(JITC)安全技術建置指南(STIG)工作小組向國防部提出推薦。
日前傳出消息,美國國防部和聯邦總務管理局已在美國政府企業軟體採購計畫SmartBUY之下,選擇了SafeNet的ProtectDrive產品成為所有聯邦政府機關及部份州政府與地方政府在採購硬碟及檔案加密方案的第一廠商。林金保透露,其實20年來,SafeNet有一半以上的營收是來自美國政府及軍方,只是由於事涉情報機密安全,很多都無法對外公開。
「採購安全方案,就像買保險,要把供應商的可靠度放在最優先考量,」林金保提醒企業,不要用短線產品的角度來看資安方案,而要選擇真正值得長期信任的服務夥伴。他強調,20多年來SafeNet除了是美國政府的主要加密服務供應商之外,歐盟等許多國家政府也是SafeNet的客戶,此外,幾乎全球所有大型金融機構、主要藥廠以及前2000大企業,都採用SafeNet的安全方案,「這才是值得信賴的安全業者。」