繼「Green IT」之後,「Green Security」是一項更新的議題,許多企業已經藉由建置綠色機房來降低營運成本,並且贏得環保的好名聲。事實上,資安工作同樣也能幫助環境綠化,也能為環保盡一份心力。
電影「不願面對的真相」中,美國前副總統高爾用他的熱忱,不斷在世界各地到處奔走,希望透過最簡單易懂的演講,提醒世人注意今日全球暖化的現象,已經是一個不亞於恐怖行動的全球性危機,如果沒有及早因應,將會帶來一連串的災難,更會威脅地球所有生物的生存。他更提醒各國政府必須要有所作為,同時強調「這是道德問題,而不是政治議題」。
過去,許多人對於環境保護的議題,往往都視而不見,可能的原因是環境惡化是長期性的累積並沒有立即性的危害,人們體會不到,自然就不會想要重視它。但是現在隨著冬天不冷、夏天超熱,全球的平均氣溫正以有史以來最快的速度不斷升高,暴風雨和颶風的威力也變得愈來愈強,大自然已經用它的種種現象,不斷向人類來反映,如果再不珍惜地球這個共有的環境,人類最終將會自取滅亡。
正視全球暖化危機
根據科學家的預測,如果沒有降低溫室氣體的排放量,全球暖化的程度仍會繼續惡化,在本世紀末平均氣溫將會再上升三到九度,一旦溫度上升造成冰山融解,許多臨海的國家恐怕會遭到海水吞噬,而台灣正是處於這種處境的高危險群。
在英國和歐洲,已經有許多商品會在上面標示它在製造、生產及運送過程中,所產生的溫室氣體數量,稱之為碳足跡(Carbon footprint)。碳足跡的多寡,可以用來計算人類在日常生活之中,各項活動對於環境所造成的影響,所以具有環保意識的政府和企業會鼓勵民眾,盡量選購低碳足跡的商品,以減少二氧化碳氣體的排放量。
另外,歐盟委員會也要求各成員國須制定「限用有害物質(RoHS)」的法規,來限制在電子產品中使用鉛或其他有害物質,以維護環境的安全與人類的健康,同時更促進報廢電子產品的回收處理,也要讓它合乎環保的要求。
或許我們並不是所謂的環保人士,但身為資訊人員,還是可以有些行動與作為,來協助拯救共有的地球。像是近來熱門的「Green IT」,就是透過省電型的伺服器、刀鋒伺服器、虛擬化主機、電源和空調管理,來打造出一個節能的「綠色機房」,盡可能的降低運作時的能源消耗。
打造企業綠色資安
而資安工作呢?有沒有可能在落實資安的同時,也能為綠色環保盡一些心力?事實上,在國外已有一些資安專家,提出了所謂「Green Security」的概念,提醒企業在執行資安工作時,也能同時做好環保的工作。
目前,資訊安全已是現今企業重要的工作之一,為了確保內部重要資訊像是商業機密、客戶資料、財務報告等,不會遭到未經授權的存取與洩露,企業往往建置了資訊控管的辦法,從一開始的資料分級分類、資料的存取流程,到資料的歸檔和最後的廢棄銷毀,這一連串的資訊處理過程,又可稱之為資訊生命週期(Information lifecycle)。
無論資訊存在的形式是紙本或電子檔,不同的資料類別皆有不同的處置方式,如果是事涉敏感的資料,一旦走到最後一步需要銷毀時,就一定要採取安全的方法來加以處理,以免洩露了不當訊息。
如果想要為環保盡一分心力,則可以融合資安與環保的做法來執行,例如可以透過網路加密通道,進行遠端系統的維護,並且建置安全的視訊會議,以減少人員的出差,節省交通工具的油耗與廢氣排放。另外,以下還有結合資安概念的一些應用,可提供給有心執行的企業作為參考。
正確使用列印設備─目的:減少紙張浪費,避免資料外洩
企業對於廢棄紙本資料的處理,一般都會使用碎紙機,碎完之後的紙屑,可採取外包處理,藉由合格的廠商與安全的作業流程,將機密資料予以銷毀。不過,為了環保,應盡可能減少列印量,例如可透過列印程序的管控,要求人員必須輸入密碼後才可列印,將可避免不小心列印出來之後,未經銷毀程序而導致資料外洩。
另外,企業若是導入了資訊安全管理制度,將會增加許多政策、作業程序與工作表單,如果還是採取傳統紙本方式控管,將會消耗大量的紙張,建議企業可以進行文件的電子化管理,以節省紙張的無謂浪費。
下班後要求電腦關機─目的:減少電力損耗,避免駭客入侵
桌上型電腦的耗電量較高,如果使用者貪圖一時方便在下班之後仍開著,將造成無謂的電力損耗,目前,透過一些工具軟體的幫助,可以偵測出在下班之後依舊開著的電腦。
事實上,除了省電之外,許多企業為了資安的理由,都會強制要求使用者的電腦進行系統更新,一般的做法是透過登入Windows網域時,以Script方式彈跳訊息來通知使用者,或是透過群組原則的設定,讓使用者登入之後,就立即進行系統更新。如果使用者的電腦一直開著,很可能因為長期沒有登入,系統未更新修補程式,而產生資安上面的漏洞,很容易就會成為駭客或惡意程式入侵的對象。
資訊設備回收再利用─目的:減少環境污染,兼顧資料安全
在電腦零組件中,含有一些重金屬物質,若隨意棄置將會造成環境上的污染,因此企業應經過適當的報廢程序,將舊電腦回收再利用。但是基於資安的理由,在儲存媒體上的處理應注意小心,像是曾經存放過敏感資料的硬碟,應予以重複抹寫或消磁處理,或者也可針對硬碟進行實體破壞之後,再予以回收。
採購符合環保節能的設備─目的:降低能源消耗,易於風險管理
從資安的觀點而言,在企業中有一些服務是需要全天候運作的,像是垃圾郵件過濾系統、防火牆、防毒牆、入侵偵測系統等。如果在效能上可以符合企業需求的話,以虛擬伺服器來替代實體的伺服器,改為採取虛擬化方式來運作,將可大幅減少能源的消耗。
另外,建議企業應採購符合環保標章的設備,以電腦螢幕來說,應選擇具有環保標章或符合TCO、能源之星的產品,而網路設備,也應採購符合RoHS標準的產品。
至於這些設備的採購,可以併入一般資安法規的符合性稽查之中,藉由審查硬體設備是否合乎環保法規的標準,可確保只有環保產品才會受到企業採用,而且一旦所有設備都經過了審查,並且留下了文件化的記錄,將可確保企業不會使用一些具有潛在弱點的設備,進而導致資安上的風險。
結論
藉由以上方法的運用,除了可讓企業降低日常營運可能面臨的資安風險之外,更可同時達到環保的功效,透過將環保要求與企業政策及作業流程相結合,將可減少不必要的能源損失,並且減輕對地球的危害。在不影響企業營運效能之前提下,能夠多為環保盡一份心,事實上也是盡到了社會責任,所以,建議企業仔細思考應該如何做好「綠色資安」工作,為後代子孫保留更多自然資源與美好環境。