近年政府及大型機構資訊外泄事件頻仍,令政府部門、企業以至公眾對資訊保安的關注度均大幅提高。然而百密一疏,儘管不少大型機構的網絡保安密不透風,卻往往忽略其多功能文件管理設備,一旦處理不當,極有可能成為公司的「數碼炸彈」。
幾乎每家商業機構都設有影印機,或集影印、打印、掃描及傳真功能於一身的多功能文件管理系統。以銀行保險業及醫療機構為例,每天經由多功能文件管理系統進行打印、複製、保存及傳遞的文件,多含客戶的聯絡資料、財務資訊或病歷記錄等。萬一機密數據外泄,即有可能對業務構成風險,破壞商譽。惟據CBS News的報道指,約六成受訪美國企業並不曉得原來O二年後生產的多功能文件管理系統,機身內均置有系統硬碟,可儲存大量的打印複印文件記錄。也就是說,銀行或保險公司雖然承諾保障客戶的個人機密資料,然而一旦更換多功能文件管理系統,而未有針對系統內存硬碟進行妥善處理,即使網絡保安猶如銅牆鐵壁也不管用,所有客戶均有被盜用的潛在危機!
今年四月,就曾有二手市場買家,購入了兩台本來由紐約市警察局性罪行及毒品小組(NYPD Sex Crimes & Narcotics Unit)持有的多功能文件管理設備,並成功於二十小時內,透過使用網上免費下載的軟件,撮取逾二十萬份過往案件的機密文件記錄。
資訊保安百密一疏
富士施樂(香港)市場部總經理郭學偉強調,富士施樂一向重視商用多功能文件管理設備的資訊保安,並致力確保企業機密資訊不會在文件處理過程中流失或被盜,或在未經授權情況下被存取或更改。
郭學偉解釋指,一般多功能文件管理系統主要面對四方面的資訊安全威脅:第一是系統硬碟中的文件數據,及安全稽核紀錄外泄;第二是文件數據、安全稽核紀錄,和關鍵軟件操控程式的設定資料,被一些未獲授權人士經控制屏或網絡瀏覽器存取、檢閱、使用或更改;第三是文件數據、電腦客戶機內的打印工作、安全稽核紀錄,以至內部網絡中的關鍵軟件操控程式設定數據遭攔截或更改;第四是未獲授權人士透過公共電話線,經傳真數據機肆意存取內部網絡。
「普遍企業用戶均十分著重防止外部經由傳真數據機,進入內部網絡存取資料,甚至將此保安層面訂明為採購條件。然而過去不少大型機構甚至公用企業,均忽略了多功能文件管理設備硬碟『善後』工作的重要性。」
ISO 15408全面保安肯定
富士施樂自二OO四年開始已通過國際共通準則認證(Common Criteria Certification,即ISO 15408)的保安功能驗證。所有數據只會被暫時儲存在系統硬碟內,當打印工作完成了,即會被刪除。客戶若需要在系統內存起有關數據,必須多行一步,根據本身的數據處理政策和影印機硬碟的記憶容量,自行釐定數據儲存時間。這些設備還透過密碼辨別用戶身份,進一步保障數據安全。
郭學偉續指,富士施樂所有多功能文件管理系統的保安功能,不僅已通過ISO 15408 的EAL3(Evaluation Assurance Level)認證,截至今年六月,這些系統更是業內唯一全部通過以下屬於EAL3認證的保安功能測試的七項性能要求:
§ 文件數據及安全稽核紀錄在儲存到系統硬碟前可預先被加密;
§ 暫存或儲存的檔案數據,可被新檔案重寫覆蓋;
§ 安全稽核紀錄提供設備故障、配置更改,以至用戶操作等資料,以便跟進事故;
§ 系統只會讓獲授權的系統管理員登入,設定安全功能;
§ 系統可設定個別用戶權限;
§ 系統支援多種加密通訊協定,例如SSL/TLS、IPSec、SNMP及S/MIME;
§ 系統可防止黑客經由公共電話線,再透過多功能系統而進入用戶的內部網絡,也不許進入多功能系統的硬碟以存取數據。
與此同時,負責監控整個多功能系統保安的關鍵軟件操控程式,亦已全面通過ISO 15408認證,確保安全可靠。
「企業可按個別保安政策需求,在暫存或儲存的檔案數據上,重寫覆蓋原來的內容一至三次,以確保即使文件被撮取複印,文件內容亦無法辨認,以保資訊安全。因為跟個人電腦及伺服器的硬碟一樣,多功能文件管理系統硬碟上的已刪除檔案,經專業人員進行低溫處理,仍可完整修復,故覆寫檔案內容的做法較為安全。此外,富士施樂亦會針對客戶的保安需求,為回收的多功能系統硬碟組件提供『3D程序』,即消磁(Degauss)、壓碎(Destroy)及棄置(Disposal)。」
事實上,向來支持環保的富士施樂,對於多功能系統硬碟的組件回收及保安處理,一直採取嚴謹的運作流程,為客戶提供硬碟回收處理服務,將無法再用的多功能系統,回收到泰國的富士施樂環保再造有限公司,進行打碎及循環再造。郭學偉透露,近年多了企業關注硬多功能系統碟資訊保安,尤其經CBS News報道後,更多企業在回收時查詢硬碟銷毀流程。有見及此,富士施樂將於本月底推出另外兩項升級服務,包括即場拆卸並把多功能系統硬碟歸還客戶處理;以及參照國際及業界的「3D程序」標準運作方式,即場為硬碟進行消磁、壓碎及棄置。
沒有留言:
發佈留言