在個資法11項安全維護措施中,有一項是設備安全管理,而對一般使用者的個人電腦操作環境來說,切身相關的部分,主要是在端點安全的保護需求上。

當然,讓員工自帶設備上班(Bring Your Own Device,BYOD)這股風潮下,企業所需要確保使用者端的設備安全,不再只是針對傳統的桌上型電腦和筆記型電腦,可能連智慧型手機、平板電腦都需要納入控管,而隨著這些裝置進入企業環境的部分,不只是硬體本身,還包括上面所採用的作業系統、應用程式(例如Mac筆電、Apple iOS與Android智慧型手機與平板電腦,以及其應用軟體)。

由於端點設備應用型態的改變已日益明顯,因此,這讓控管使用者端設備的方式變得更複雜而困難。

防毒軟體

在端點安全的措施中,防毒軟體是最普遍應用的,在iThome個資法大調查中,幾乎所有產業的採用率都在90%以上,而在醫療業、政府機關與學校,已經或預計採用的比例甚至是100%。

這樣的結果並不奇怪,基本上,大部分使用者都已認知到個人電腦必須安裝防毒軟體,以防範各種可能的資安威脅,並且知道不小心開啟夾帶惡意程式的檔案、電子郵件,有可能會導致系統無法正常運作。

由於這類產品發展得相當成熟,即使是個人版的防毒軟體,所包括的控管功能也是非常廣泛,不只是傳統的防毒、防木馬、防蠕蟲、防間諜軟體、防垃圾郵件,以及內建個人防火牆,往往還包括主機型入侵防禦系統、網頁過濾或上網行為管理,甚至有些連企業版防毒軟體才有的周邊裝置控管和應用程式控管都內建,等於這些延伸功能也一應俱全。

可以說,現在個人版與企業版防毒軟體本身的防護功能,差異越來越小,而只能在大量、集中管理的機制上有明顯不同。

端點控管

要控管端點的安全性,除了需有效防範惡意程式或網路攻擊來襲,對於個人電腦本身的使用方式,也必須要有所限制,才能進一步降低被威脅傷害的機率。像上述的周邊裝置控管和應用程式控管,就是端點控管措施的一部分。

除此之外,IT人員還要管理使用者作業系統與應用程式的弱點,該安裝的修補程式都不能遺漏,否則有可能會因此受到所謂的零時差攻擊。

針對這些對於端點防護的需求,更進階的作法,是整合所謂的網路存取控制(Network Access Control)解決方案,若個人電腦的安全狀態不符合企業要求,就隔離它的網路連線,自動限制這臺電腦,使其不能連入企業內部網路或連至網際網路。

桌面虛擬化

另一種強化個人電腦安全性的方式,是將這些使用者端作業環境虛擬化後,統統集中到由伺服器端來執行,使用者需透過遠端連線的方式登入自己的桌面環境,而不再是一人擁有一臺實體電腦的配置。

對IT人員來說,可集中控管使用者電腦環境,若要備份、還原,或者是重新建置使用者端系統,可以很快速地達到目的。若搭配精簡型電腦,還可同時限制使用者不能外接其他的USB儲存裝置。

不過,桌面虛擬化實際導入時可能會花上一筆不小的開支,例如需採購幾臺高性能的伺服器,來支撐所有使用者的系統執行,此外,伺服器虛擬化軟體與桌面虛擬化軟體的授權也不便宜。

 

相關報導請參考「防範資料外洩,IT總動員」


Advertisement

更多 iThome相關內容