第二章 文獻探討
2.3 通訊監測管理技術
2.3.8 光碟機燒錄管制
光碟機現在已經變成個人電腦以及筆記型電腦的標準配備,而燒錄的速度 越來越快速以及可燒錄的空間容量也越來越大,對於燒錄的行為也越來越難管 制,若企業對於光碟機燒錄的行為未加以管制,則可能造成員工將資訊設備內的 所有重要資料,利用光碟燒錄的方式,將所有的檔案透過燒錄的方式,燒錄成光 碟片,而光碟片的輕薄特性,讓有心人士更能輕易的將資料攜出企業,而造成企 業重大的損失,所以對於光碟燒錄的管制作業,必須更加嚴謹的看待與管理。
透過網路可以使用遠端管理的方式,於不同的資訊設備上安裝代理程式
(agent),使用這樣的方式,系統管理者可以透過網路遠端的管制每台資訊設備 上所有光碟的燒錄或是讀取權限,以達到減少資訊外洩的風險。
2.4 相關研究論文
關於資訊安全與以角色為基礎的存取控制(RBAC)相關的議題,有多位學 者也提出不少研究與方法,有使用身分識別技術[15][16],也有使用網路金鑰的 方式[3],更多學者則是使用以角色為基礎的存取控制(RBAC)來作為資訊安全 措施的方法也不少,但是使用以角色為基礎的存取控制(RBAC)結合資訊安全 政策並以資訊監控設備技術作為管制企業內部員工的研究,就較少有學者提出與 討論。
對於使用以角色為基礎的存取控制(RBAC)作為企業資訊安全識別技術的 研究,劉學者等人於 1999 年提出企業網路中整合使用者身分確認與執行權管制 的資訊安全管理使用於一個系統設計的構想。[16]在該研究中,劉學者說明網際 網路在日益發展的情況下,企業所面臨的挑戰,企業必須透過網際網路來建立商 業模式,但是網路安全卻是最主要的考量因素,因此劉學者提出的目標是希望能 夠讓企業經營者制定的企業內部安全控管政策落實於系統實際運作流程之中,在 作法上,劉學者利用以角色為基礎的存取控制(RBAC)作為執行權管制的設計 理論,並且設計出員工的職務屬性憑證,作為結合身分確認與執行權管制的證明。
在劉學者提出的研究中,將網際網路的資訊安全作為主要考量,並且結合使 用者身分認證的識別技術以提升資訊安全認證的安全等級,但是對於資訊技術日 新月異的現在,資訊安全已不能只防範來自於網際網路上的威脅,許多資訊安全 的威脅可能來自於網際網路以外的環境,所以必須要對於所有可能對於資訊安全 洩漏的管道做更深入的研究,除了網際網路外,還必須防止像是外接式儲存裝置 (USB)、光碟機燒錄以及雲端軟體…等資訊技術,作為企業資訊外洩的管道,避 免使用者透過上述的管道洩漏企業重要資訊。
林學者在 2003 年提出可攜性 RBAC 資訊系統架構之研究[3],在林學者的研 究中,在企業電子化應用趨勢下,企業員工隨時隨地可以藉由網路存取公司資訊 與資源,且在網路的開放性架構下,企業內部的資訊更容易遭受到非法入侵與不 當的擷取,因此,林學者提出為企業制定安全有效的資訊存取管理機制是重要的 研究議題,林學者一樣運用以角色為基礎的存取控制(RBAC)的概念以資訊系
統存取的安全控管與金鑰管理機制作為主要研究主題。運用以角色為基礎的存取 控制(RBAC)來維護使用者與角色之間的關係,讓使用者與存取的權限之間以 間接的互動關係運作,讓資訊系統能提供合理的資訊給使用者。林學者的研究為 企業規劃設計了以角色為基礎的存取控制(RBAC)資訊系統架構,透過授權憑 證及具有權限控管之角色金鑰提示來控管資訊的存取,並透過加密金鑰交換
(Encrypted Key Exchange, EKE)這樣的機制,能提供具有可攜性及可追蹤性的 線上下載機制,強化企業內資訊資源的有效控管及兼具個人金鑰管理之安全性與 可攜性。
林學者提出的研究[3]比劉學者等人的研究[16]更多了可攜性金鑰的概念,對 於使用者身分識別的資訊安全控管更加嚴謹,但是對於企業內部的有心人士而 言,只要取得擁有權限的金鑰以及使用者帳號密碼,即代表該名使用者可任意下 載重要資訊與資源,如何防止使用者就算通過身分識別後,系統也必須提供其他 管控機制,讓所有需要被管制的使用者或職務,能夠有更嚴謹的稽核或控管措 施,就算有心人士取得金鑰或是帳號密碼後,所有的行為依然會留下系統紀錄,
將來就算因為資訊洩密,導致公司承受莫大的損失,而必須訴諸法律,亦可作為 企業提出有力證據的依據。
國外的 Andrea Omicini 學者(以下簡稱 A 學者)等人,於 2005 年提出以角色 為基礎的存取控制(RBAC)用於組織安全在代理協調的基礎建設研究中,提到 越來越複雜的基於代理程式的系統,要求支援管理與服務兩者互相結合的協調與 資訊安全的議題,A 學者在該研究中,指出以代理程式為基礎 TuCSoN(Tuple Centres Spread over the Network,)系統作為支援組織的資訊安全。[20]
A 學者提出的以角色為基礎的存取控制(RBAC)作為以代理程式為基礎做為 組織資訊安全的基礎建設,對於企業內部稽核的機制以及企業內部洩密的研究部 份較少提出,若能加強企業的資訊安全政策與內控機制,則可有效的減少資訊安 全事件的威脅。