[觀點] 從資料外洩事件談DLP解決方案

從2007年底八大購物網站的會員交易資料外洩開始，資料外洩事件一直層出不窮，所導致的電話詐騙事件，更是社會關心注目的焦點。根據IDC的分析指出，機密資料的暴露，已成為企業最大的資安威脅之一，尤其是最近的資訊安全事件，主要著重在機密文件的竊取，也讓企業管理階層感受到，資安事件的發生將影響到企業商譽與營運；而不久前在美國舊金山舉辦的RSA資訊安全會議中，也提到在2008年，身份認證管理、網路存取控制和資料外洩防護，將會是企業所關注的重點，更是未來資安發展的趨勢。

目前，由於購物所造成的資料外洩事件仍不斷發生，個人推測可能的原因有二，一是業者本身抱著不負責任的心態，在事件發生時只是一味想要掩飾問題，或是乾脆將問題推給第三方的合作廠商，並沒有進行處理，使得民眾仍持續接到利用購物資料來進行詐騙的電話；二是有些業者內部缺少資安專責人員，不知該如何處理應對，或者只是採取頭痛醫頭、腳痛醫腳的方式，找不到資料外洩的真正源頭來對症下藥。

DLP解決方案簡介

針對有心想要加強資料保護的企業而言，資料外洩防範 (Data Loss Prevention；DLP)解決方案的出現，可說是協助企業防範資料外洩的一大福音，因為透過部署DLP的協助，可以同時從政策面與技術面來防堵資訊的不當外洩。

至今，DLP仍然是一項很新的資安解決方案，根據安全機構SANS Institute的定義，「DLP是指某些產品基於中央控管的政策(Policy)，透過深層的內容分析，能夠識別、監控，並且保護在儲存、端點、網路中的資料。」因此，導入DLP解決方案的目的即是為了保護企業組織中有價值的資料，包括：機密資料(R&D)、管理資料(HR)、財務資料(Financial)和客戶資料(Customer)等。

基本上，一個完整的DLP解決方案，必須具備三項主要特徵，分別是：「能夠以政策制定方式集中管理、能夠進行深度內容檢測，以及同時防範經由儲存設備、端點裝置和網路的資料外洩事件。」所以從定義上而言，目前許多的資安方案，例如郵件過濾、上網行為控管、端點安全等，仍只能算是具有某些DLP功能的產品，並不是一個非常完整的DLP解決方案。

DLP方案的基本架構

在評估DLP解決方案時，管理人員必須要理解，事實上很難只依靠導入單一產品，即可完全達到防範資料外洩的目的，更何況防範資料外洩這件事對企業而言，已是管理制度裡的其中一環，也因為資料防護在企業中需要全面性的展開，所以在部署時可能會面臨到的難題，通常並不是技術面的，而是高階管理人員缺乏足夠的決心與協調能力。

但是，管理人員仍必須要先了解DLP的技術架構，以決定要採取何種保護資料的政策與方法，現今DLP解決方案在架構上主要包含了三個要素，分別是：

• Data at Rest (儲存資料) - DLP能夠掃瞄所有的儲存設備或含有資料的伺服器，識別出到底有哪些地方儲存了敏感資料，再依據事前制訂的政策來處理，舉例來說，管理人員可以掃瞄所有的檔案伺服器，識別出包含有「機密」註記的文件，如果伺服器上存有這一類型的資料，那麼就可以針對檔案進行加密或移除，或者是通知檔案的擁有者。

• Data in Motion (網路資料) - DLP能檢查經由網路傳輸的資料，監控各個傳送的管道，例如HTTP、SMTP、FTP、Print、IM等，並且搭配設定政策來執行阻擋，並且限制資料被允許傳送的管道與方式。例如管理人員可以在政策上制訂凡是含有信用卡號的文件資料，一律只能透過E-mail(SMTP)並以加密方式傳送。

• Data in Use (端點資料) - DLP可針對使用者端的裝置，監控資料在各個介面的交換傳遞，包括USB隨身碟、CD/DVD裝置、行動裝置如智慧型手機和PDA等，一旦發現有違反政策的行為，像是資料被執行複製/貼上的動作，或是想使用不允許的應用程式來加密，企圖躲避資料傳遞的監視，都會予以即時的警告、阻擋。

導入DLP的注意事項

目前，針對明顯易見的威脅，許多企業已有足夠的意識去預防或控制，但是對於資料的傳輸與交換，往往很容易就會掉以輕心。尤其是管理人員面對來自不同單位、不同部門的資訊傳遞，當違反政策時到底是要先予以阻斷？記錄？還是要通報權責單位？在管理上的考量本身就已是一項難題，更不用說還要考慮部署時的技術與成本。

因此，給予有心導入的企業，在建置前需要先思考以下幾件事：

1. Who：必須要去識別誰是資料擁有者(Owner)、誰是資料的保護者(Protector)或利害關係人(Stakeholder)。企業資料的擁有者可能屬於各個營業單位，而資料保護者可能會是IT資安部門、法務單位或人力資源部等。因此，實務上的做法可能是先組成一個跨部門的資料保護小組，來明確分派資料防護的任務，才能釐清各項責任與義務。

2. What：必須要定義您想要保護的到底是什麼？企業內部包含各式各樣的資料，所以最好的方法是先進行資料分類，設定資料處理流程和優先順序，並以文件化方式加以記錄，在設定重要性時，法規所要求需保護的資料，可能就是要優先進行的。

3. How：必須要決定如何去保護資料？明白所要保護的資料之後，就要針對各個交換資料的管道，決定如何去監視保護，並且要實行哪些控制措施。如果要進行全面性的防護，那就必須把所有網路協定、儲存設備和端點裝置明列出來，一一說明要如何進行監控與處理，這些也有助於管理政策的制定。

修訂隱私法規是當務之急

一旦個人資料透過詐騙行為，轉變成一種有價值的物品，即可預期會有惡意人士，想藉由各種管道企圖取得這些資料，再利用它從事違法的犯罪行為。因此，資料外洩事件會不斷發生，其實也突顯了另一項迫切的議題，那就是政府應當修訂更有效的個人隱私保護法規，以保障所有民眾的個人資料安全。

在國外，企業必須遵循相關的資訊安全法規，例如HIPPA (針對醫療隱私)、GLBA (針對金融交易資訊)、SOX沙賓法案(針對財務報表)、PCI-DSS (針對信用卡資料安全)等。但是反觀國內，目前保障個人資料的法規為84年公布的「電腦處理個人資料保護法」，保護的對象只限於「經電腦處理之個人資料」，範圍也僅限於公務機關和徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等「八大行業」，而且屬於「告訴乃論」，所以並無法保障所有受害民眾的權益。

因此，除了期許政府盡速修法之外，更呼籲存有個人資料的企業，務必要善盡保管之責，一旦有資料外洩的疑慮，可尋求專家或資安業者的協助，適時地將可能的漏洞填補起來，相信只要有積極的作為，勢必可化危機為轉機，進一步提升企業的聲譽並獲得消費者的信任。(本文刊載於2008年7月號網管人雜誌)