儲存加密，內神外鬼都防

資訊安全被吵得沸沸揚揚，不論是個人或企業，都無所不用其極的進行「防範」。不過，在臺灣資訊安全的環境中，關注的不外乎是網路安全、防止駭客入侵，抑或是預防網路病毒等。對於「個人或企業資訊安全的確保」，雖然隨著政府個人資料保護法的擴大適用，針對金融業者也有SB7799的法令強制規範，但在一切漫不經心的過程中，不肖MIS員工可以趁其職務之便竊取或販售客戶相關資料牟利，不當管理者也可利用許多資安漏洞偽造許多假資訊流通市面。凡此種種，都讓資訊安全蒙上一層陰影。

根據2004年7月Enterprise Strategy Group（ESG）的研究報告，其針對388位認為他們公司在儲存安全上有漏洞的專家們進行訪問。其中有42％認為公司的資安漏洞是其MIS雇員的蓄意攻擊，33％是人為疏失，11％是技術瑕疵，剩下的4％才是來自公司外部的攻擊。從這份報告顯而易見，MIS人員的管理，將與企業資訊安全的保障產生連帶關係。

為了杜絕人在資訊安全上產生的管理盲點，對於企業重要資訊進行「加密」，運用不同的管理層級，讓人謀不臧的因素降至最低。國內許多資訊產品供應商也引進儲存安全設備（Security Storage Appliances），針對企業內部的資訊進行加密動作以確保資訊安全。

目前臺灣有零壹科技代理的Neoscale CryptoStor，以及精業公司代理的Decru DataFort。不論是 CS-FC及SAN VPN，或是Decru Data Fort，都屬於硬體加密的產品，運作方式皆是透過這樣的產品，將資料內容加密，並透過FC或是IP進行檔案傳輸，兩者產品都是目前最高ASE-256位元加密等級。

零壹科技網路電信部產品經理周子傑表示，NeoScale是從磁帶安全加密產品做起，並陸續將產品線拓展到FC以及現在專注在SAN VPN的加密。精業科技產品整合業務部主任許宏彬則解釋，由於Decru針對NAS（Network Attached Storage）提供相當完善的產品線與解決方案，雖然也有涉足其他儲存媒體，但外界普遍認為Decru專注在NAS市場上。

美國恩隆案後，美國證期會通過SEC 17a-4、SEC 17a-3法案，要求對交易資料讀寫正確以及時間點都需予以證據保存；通過沙賓法案（Sarbanes-Oxley Act），對上市公司進行會計改革且保護投資人；HIPPA則對病人病歷與影像資料予以加密保存；其他各國也陸續有關於資料加密的法案通過。臺灣則有政府單位、製造業與金融業全力配合的SB7799法案，且個人資料保護法也擴大適用。

除法令規範外，對加密市場的重視仍在於廠商承受損失，據統計，在2002年因為資料外洩造成的損失高達24.2億美元。更可預期加密市場的蓬勃。

援引McData去年調查顯示，有高達84％～91％的用戶，並無任何關於儲存安全的政策；其中有53％受訪者指出，他們並沒有預算去做儲存安全措施。雖然整體市場看來需求仍不高，但只要有高度資料外洩的風險存在，甚而造成損失，加密市場就不可能萎縮。

雖然加密方式千百種，產品多樣化，但在臺灣針對加密市場的推廣，許宏彬認為目前仍是「教育訓練推廣期」，因為對資料保護的不重視，資料加密的政策便不可能落實。周子傑則指出，臺灣廠商針對資料保護仍抱有僥倖心態，卻也擔心萬一資料外洩必須賠償高額賠款的矛盾心理。隨著這樣心態的轉折，他認為，未來資料儲存加密將會像現在大家對於防病毒、敵駭客一樣普遍。

許宏彬、周子傑都同意，針對資料儲存加密進行立法，不僅會使得臺灣加密市場蓬勃發展，也可以順利和國際社會重要資訊安全法案接軌，臺灣人民、政府以及廠商，都會是最後的受益者。