帳號
密碼




 

 

目前位置:首頁/教育局電子報/資通安全/教育局電子報第125期

資通安全
實體資安更重要
瀏覽數:11
桃園市仁和國小 鄧達鈞 2018-06-05
用LINE傳送

IoT(物聯網)時代日益普及,將來會有越來越多的設備儲存重要的資料,實體設備更需要善加保護與隔離。

  大部分的資訊安全主要討論在系統安全、使用者習慣、個人隱私或軟體操作上,但最貼近你我的資訊安全其實是實體環境,例如身邊的電腦主機、監視系統、手機,甚至是紙本文件。紙本也算?因為根據資訊安全的定義:「不論是有形或無形的,它可以是存在於電腦中的資料,列印或書寫在紙張上的資訊,甚至是存在於通訊中」因此,沒錯!紙本也算!

  身為教育人員手握各式學生基本資料、學習成績數據或個人輔導紀錄等,不論是儲存於電腦硬碟的數位資料或公文櫃中的紙本檔案,都必須列為資訊安全的考量之一。就在五月二十五日這天,號稱歐洲最嚴格的個資法(一般資料保護法規,簡稱GDPR),正式上路了,違反者最高將被處以全球營業額百分之二至四的罰款,若以FaceBook臉書公司為例就得罰39億歐元。當然歐盟的個資保護僅對國際貿易或跨國企業有影響,對你我的影響可能沒有感覺,但這也代表各界對於個人資料的重視程度日益增加,教育單位也應及早準備因應資安世代的來臨。

  實體安全可分為天然與人為威脅兩部分,天然威脅包含火災、颱風、地震或停電等人為因素,這一類災害雖然不是人為可以控制,但卻可以事前做好各項預防措施,例如安裝防火偵煙器、消防預警系統、電力備援措施等。人為威脅主要是內部人員的管控或竊賊的盜取,例如電腦機房或檔案室進出是否有管制?這類威脅可透過門禁管理、安裝監控系統或防竊裝置來因應。因此首先要先評定校園中哪些是屬於敏感資料,例如學校中的電腦機房、註冊組電腦、學籍資料或重要文書檔案儲存區等。接著再依照各區域的重要性分別給予實體資安管控規劃,以下提供四個建議方式供參考。

一、火警災害預防:多數學校均有消防警報系統,總務處每年亦進行消防檢測,這部分可稍微放心,但要注意的是避免易燃物品堆放,在學校曾經親眼見到空拍機的鋰電池在充電時無故自燃,幸好及時發現否則後果將不堪設想。而電腦主機自燃機率雖然極低,但每年安排主機或風扇清潔仍是必要的,如此可避免主機或機櫃灰塵棉絮累積過多易造成危險。

二、颱風災害預防:颱風災害最容易造成淹水與斷電,因此機房或文書儲存資料位置不宜在一樓,且須注意門窗管制,避免漏水造成主機與檔案損毀。而電力中斷除了造成系統無法運作外,也容易造成主機損壞,因此設置不斷電系統(UPS)相當重要,但UPS供電有其時間限制,若能搭配斷電自動關機,復電自動開機的功能會更完整。

三、人員管控:在電腦機房或檔案室進行出入管制,不論是簡易的門鎖或感應磁鎖均可,若人員離職或異動也需收回相關權限,避免不必要風險產生。加以安裝監視系統除了供警衛室即時監看外,更可在事後予以追查與檢討。

四、檔案與機具的管理:已到保存年限的文書資料或汰換的電腦儲存裝置(如硬碟、隨身碟或光碟片等)應謹慎處理,避免遭有心人士盜取竊用,文書紙本可藉由碎紙機進行銷毀,電腦磁碟機不能僅靠刪除資料或格式化進行銷毀,即便刪除也可由特定軟體進行檔案復原,建議可先藉由資料複寫進行數位資料覆蓋,再以外力破壞機板將更為妥適。

  IoT(物聯網)時代日益普及,將來會有越來越多的設備儲存重要的資料,例如門禁系統主機、監視系統主機或是學生感應手環之主機等,除了虛擬資料需要資安防護外,實體設備更需要善加保護與隔離,否則即便購買了昂貴的防火牆設備、設置萬無一失的防火牆規則,結果重要主機硬碟卻遭有心人士隨手便竊取,豈不功虧一簣?



回頂端
發行人:鄭文燦 總編輯:高安邦 主編:陳秀惠 編輯顧問:徐水柯、吳德業
桃園市政府教育局電子報. 系統管理維護/周俊宏、陳炳南