其他 強烈要求取消提取Excel檔要加密的措施

本文由 天 在 2017-05-31 發表於 "WebSAMS 討論區" 討論區

  1. 55031611

    草草子
    Expand Collapse

    文章:
    21
    讚:
    0
    可不可以讓學校自行選擇使用,而不是強制呢?
     
    #21 草草子, 2017-06-28
  2. 55002979

    Expand Collapse

    文章:
    113
    讚:
    0

    於實際運作層面,沒必要於下載時為資料檔案加密,因下載完後便會立即解密,留在電腦內的檔案仍會是沒有加密的檔案,對避免用戶因檔案留在電腦而讓未經授權人士取得敏感資料是沒有功效的。
      
     
  3. 55000419

    Ck Tse
    Expand Collapse

    文章:
    20
    讚:
    0
    每次出成績表前都要export大量的資料,這措施令工作時間大增,故強烈要求盡速取消這項擾民的措施!!!!
     
  4. 55002979

    Expand Collapse

    文章:
    113
    讚:
    0
    學期尾要用 SQL 出大量的表格,例如為每級每班按成績操行排序等等。 每次抽取下載時都要輸入密碼加密,下載完後便要立即輸入密碼解密,改檔名等。 這些繁瑣的工序做一二個表格還可,但要做很多個表格又要趕時間時便真是做到很忟,因為這些加密動作做了等如冇做一樣但又虛耗了很多的時間及精神。

    再次再次再次要求教育局回應我的問題:

    一個下載時要加密但下載完後便立即要解密回復到沒有保護狀態的措施,如何可以有效地減低資料外洩的風險或加強系統保安?

    請教育局不要再避而不答。

    雖然發聲的同工不多,但請不要不理實際運作情況而置之不理。

    每年學期頭、學期尾、文憑試放榜都需用SQL處理大量的表格。


    再次強烈要求取消提取Excel檔要加密的措施。
     
    #24 天, 2017-07-05
    Last edited: 2017-07-05
  5. 55326055

    Francis
    Expand Collapse

    文章:
    29
    讚:
    0
    正如同工提及到有機會忘記下載的檔案儲存位置, 並可能會令資料外洩, 所以應將檔案加密,新增設的加密檔案功能為保護資料提供多一層保障不會輕易被未經許可的人閱讀.
     
    #25 Francis, 2017-07-07
  6. 55090821

    rockfulam
    Expand Collapse

    文章:
    99
    讚:
    0
    好明顯你無用過....
     
    #26 rockfulam, 2017-07-11
  7. 55090821

    rockfulam
    Expand Collapse

    文章:
    99
    讚:
    0
    推上報?
     
    #27 rockfulam, 2017-07-11
  8. 55002979

    Expand Collapse

    文章:
    113
    讚:
    0
    於實際運作層面,做開下載的同工很少會忘記下載的儲存位置。 若真是忘記了,再次下載亦可追蹤到,不會將敏感檔案置之不理。

    「一來無通知學校如何做,個exe 解密後吾會顯示解壓後文件....同事個個都十萬個問號D 文件去曬邊...」

    可能大家的理解不同,我對這句的理解是問題不在於下載,反而是在解壓方面。

    由於解壓後的檔名不同於壓縮檔,若藏了在文件堆中,很多人便會以為文件不知所蹤,或以為壓縮檔損壞。 他們最終可能只刪除了壓縮檔而留下已解密的資料檔。

    正常人當處理一些敏感資料時都會自動做一些保護措施,但現在卻可能不知解壓資料檔的存在而沒有加以保護,這反而是最容易亦難防的資料外洩成因。

    其實教育局有沒有考慮過這種情況的發生呢?

    想保護資料卻弄巧反拙,理想與實際運作是兩回事。 教育局真是要在沒有效用的資料保護措施及繁瑣的操作之間取得平衡。

    再次再次再次再次要求教育局回應我的問題:

    一個下載時要加密但下載完後便立即要解密回復到沒有保護狀態的措施,如何可以有效地減低資料外洩的風險或加強系統保安?
     
    #28 天, 2017-07-11
    Last edited: 2017-07-11
  9. 55090821

    rockfulam
    Expand Collapse

    文章:
    99
    讚:
    0
    根據現在同事表現
    1.求其入個密碼
    2.唔知下載去左邊,繼續求其按多幾次下載
    3.唔知解壓去左邊...繼續解壓多幾次,唔知有無replace就唔知
    4.多次解壓結果出現好多檔案,原本1次的現在檔案於不同位置(因為唔知下載去邊,又不知解壓去邊),不同名稱
    5.產生好多檔案不知道同事有無順手刪除重複檔案
    6.好多同事詛咒緊你地(事實)
    7.無保安可言
    8.如果局方無回應,不如要求專業團體介入,評估局方此加密行為是否有效
    9.麻煩你地更新左個系統行順D先再搞其他野,同埋搞其他野前是否可以提前通知一聲
     
    #29 rockfulam, 2017-07-11
  10. 57477257

    edb-cycheng
    Expand Collapse

    文章:
    29
    讚:
    0
    由於WebSAMS系統儲存大量敏感資料,教育局有需要於系統設計層面,於用戶下載時為載有敏感資料的檔案加密。我們明白加強系統保安措施,無可避免會增加操作的工序,但為保障敏感資料安全,有需要在保護資料及操作方便之間取得平衡。在六月初,我們已於學生成績模組推出優化功能,讓用戶可一次匯出多班/各班級的學生成績輸入資料檔案。我們會繼續檢視可行的優化方案,包括在資料管理模組新增功能,讓用戶可同時匯出多項資料選取執行結果。有關優化項目預計將於下學年初推出。

    謝謝。
     
    #30 edb-cycheng, 2017-07-13
  11. 55113105

    55113105
    Expand Collapse

    文章:
    1
    讚:
    0
    見到大家的雞同鴨講真是忍不住出句聲。

    websams的優化絕對是幫助到大家,但這同「為保障敏感資料安全,有需要在保護資料及操作方便之間取得平衡」是兩回事來。

    下載exe檔案這個極多問題的做法都不多說,如果是zip/rar加上密碼還算好。但用「學生成績模組」輸出缺席和操行,先要下載exe檔案,再解開exe後才有平時用開的解壓縮,最後再解壓才拿到需要的Excel文件做輸入工作。

    「有需要在保護資料及操作方便之間取得平衡」我認為最理想的加強系統保安措施是Excel加上密碼保護。特別是下載先需要輸入兩次密碼的行為更令人一頭霧水?好像CDS的密碼一早在系統內設定好不是更安全嗎?我當然不認為自己的意見是最理想,用內定密碼也會引起其他問題,但我完全想像吾到複製貼上密碼後下載和即時解壓的現今做法有幾大的保安措施,還是說只有我一個人會一早打定密碼用來連續貼上減低工作時間的做法是不正常嗎?

    最後就是,「敏感資料」不想大家下載後外洩,不如直接刪除下載功能吧,網頁觀看就安全,但下載就不安全這是甚麼神道理。之後請修正返「不敏感資料」下載不需要密碼保護,謝謝。

    (學生的空白成績Excel是「敏感資料」實在是無法理解)
     
    #31 55113105, 2017-07-14
    Last edited: 2017-07-14
  12. 55002979

    Expand Collapse

    文章:
    113
    讚:
    0
    在文憑試放榜的那天,我要在很短的時間內出頗多的表格。 當中是要在班主任向同學發放成績單之前用 SQL 以一張紙的表格形式將每班各同學依學號列印出各科成績的總表,方便班主任拿著一張紙便可了解各同學的成績。 跟著便要出一堆的統計資料給科主任及學校。 其中之一便是要為每科將該科學生在校內三年的成績與文憑試成績做對比,每抽一個表格都要很專注輸入該科校內的代碼及DSE的代碼做配對。 往年只專注這二個科目代碼便可, 今年卻每抽一個表格都要輸入加壓密碼二次,再輸入二個代碼, 抽完便要立即再輸入解壓密碼,改檔名,刪除壓縮檔。 然後再抽另一個表格再要輸入加壓密碼二次,下載後又要輸入解壓密碼...,很煩,亦很驚分神輸入了錯誤的科目配對代碼。

    除此以外,還有其他的表格要抽取。

    每次都是抽取時加密,抽完便立即解密,很煩,每次解密時都不禁問:加密來做什麼?做了等於冇做,為什麼要做?

    我答不出。

    問教育局,教育局的人亦答不出,只是不斷答非所問

    教育局構思時,可能只是想像抽取一個表格的情況,但沒有想像要抽取幾個,十幾個,甚至幾十個時的煩擾。

    本校絕少使用系統預設的SQL,都是使用按本校需要而編寫的SQL,請問若使用自編的SQL出很多的表格,而每個表都需要輸入不同的引數時,教育局如何對此作出優化?
     
  13. 55002979

    Expand Collapse

    文章:
    113
    讚:
    0
    回覆至今,真懷疑教育局員工的接收及理解能力。

    已經不止一位同工指出這項措施出現的問題:

    - 除非資料不用 (若資料不用,留一個沒用的加密檔與沒有抽取過資料沒有分別),否則便要即時解密,解密完最終仍是沒有保護,加密沒有實際意義

    - 加密完即解密,保安功效成疑


    - 解壓後的檔名不同於壓縮檔名,很容易流失於檔案間,增加洩密風險


    - EXE檔不容於防毒及電郵軟件,傳遞困難,最終仍是要解密傳送。


    - 若不用輸出試算表檔,直接用瀏覽器觀看資料亦可不用加密直接存檔,甚至複製到試算表上存檔,若只是做一部分的保安,整個保安措施根本存有很大的漏洞,猶如一座大廈多個出入口,只做大門保安,其他出入口仍可自出自入,這根本是一個擾民而沒有實效的保安措施,若還在不停宣稱做了保安,以為很安全,只是自欺欺人的表現。


    雖然如此,我亦不斷追問問題,但教育局員工都不正面回答,只是不停重覆一樣的說話。

    感覺情景猶如與一個特別類型的學生對話。他為某種目的要做某事,你已經指出他出發點好但方法有問題,是沒有用的,而且很煩擾人,同時亦不停問問題引發他思考,但他沒有回應你的問題,只是口中不停不停地在說一定要做某事。

    對著這類學生,很無奈....


    就上述提出過在實施中出現的問題,請問這項措施如何能有效地保障敏感資料安全?

    請回答!!
     
    #33 天, 2017-07-28
    Last edited: 2017-07-28
  14. 55002979

    Expand Collapse

    文章:
    113
    讚:
    0
    請解答疑問!!

    若最終發現對保障敏感資料沒什麼效用,請取消這煩人的措施。 謝!!
     
  15. 58250238

    petermpchan
    Expand Collapse

    文章:
    7
    讚:
    0
    於用戶下載時為載有敏感資料檔案加密的原因,我們已在早前的回應中說明。在系統設計層面,有需要於用戶從系統下載資料於用戶電腦時加強保安措施,為檔案加密並以密碼保護。下載檔案後,用戶可按操作需要以加密狀態存放檔案或為檔案解密。學校用戶應確保下載後的檔案獲得妥善處理,以防止資料外洩。

    我們正研究於資料管理模組新增功能,暫存多項已執行的資料選取結果,讓用戶於執行所有所需資料選取後整批加密下載。有關功能預計於下學年初推出,屆時老師可參閱更新後的模組用戶手冊,以了解相關操作步驟。

    教育局會繼續優化系統,謝謝。
     
    #35 petermpchan, 2017-08-15
    Last edited: 2017-08-16