目前,由於購物所造成的資料外洩事件仍不斷發生,個人推測可能的原因有二,一是業者本身抱著不負責任的心態,在事件發生時只是一味想要掩飾問題,或是乾脆將問題推給第三方的合作廠商,並沒有進行處理,使得民眾仍持續接到利用購物資料來進行詐騙的電話;二是有些業者內部缺少資安專責人員,不知該如何處理應對,或者只是採取頭痛醫頭、腳痛醫腳的方式,找不到資料外洩的真正源頭來對症下藥。
DLP解決方案簡介
針對有心想要加強資料保護的企業而言,資料外洩防範 (Data Loss Prevention;DLP)解決方案的出現,可說是協助企業防範資料外洩的一大福音,因為透過部署DLP的協助,可以同時從政策面與技術面來防堵資訊的不當外洩。
至今,DLP仍然是一項很新的資安解決方案,根據安全機構SANS Institute的定義,「DLP是指某些產品基於中央控管的政策(Policy),透過深層的內容分析,能夠識別、監控,並且保護在儲存、端點、網路中的資料。」因此,導入DLP解決方案的目的即是為了保護企業組織中有價值的資料,包括:機密資料(R&D)、管理資料(HR)、財務資料(Financial)和客戶資料(Customer)等。
基本上,一個完整的DLP解決方案,必須具備三項主要特徵,分別是:「能夠以政策制定方式集中管理、能夠進行深度內容檢測,以及同時防範經由儲存設備、端點裝置和網路的資料外洩事件。」所以從定義上而言,目前許多的資安方案,例如郵件過濾、上網行為控管、端點安全等,仍只能算是具有某些DLP功能的產品,並不是一個非常完整的DLP解決方案。
DLP方案的基本架構
在評估DLP解決方案時,管理人員必須要理解,事實上很難只依靠導入單一產品,即可完全達到防範資料外洩的目的,更何況防範資料外洩這件事對企業而言,已是管理制度裡的其中一環,也因為資料防護在企業中需要全面性的展開,所以在部署時可能會面臨到的難題,通常並不是技術面的,而是高階管理人員缺乏足夠的決心與協調能力。
但是,管理人員仍必須要先了解DLP的技術架構,以決定要採取何種保護資料的政策與方法,現今DLP解決方案在架構上主要包含了三個要素,分別是:
- Data at Rest (儲存資料) - DLP能夠掃瞄所有的儲存設備或含有資料的伺服器,識別出到底有哪些地方儲存了敏感資料,再依據事前制訂的政策來處理,舉例來說,管理人員可以掃瞄所有的檔案伺服器,識別出包含有「機密」註記的文件,如果伺服器上存有這一類型的資料,那麼就可以針對檔案進行加密或移除,或者是通知檔案的擁有者。
- Data in Motion (網路資料) - DLP能檢查經由網路傳輸的資料,監控各個傳送的管道,例如HTTP、SMTP、FTP、Print、IM等,並且搭配設定政策來執行阻擋,並且限制資料被允許傳送的管道與方式。例如管理人員可以在政策上制訂凡是含有信用卡號的文件資料,一律只能透過E-mail(SMTP)並以加密方式傳送。
- Data in Use (端點資料) - DLP可針對使用者端的裝置,監控資料在各個介面的交換傳遞,包括USB隨身碟、CD/DVD裝置、行動裝置如智慧型手機和PDA等,一旦發現有違反政策的行為,像是資料被執行複製/貼上的動作,或是想使用不允許的應用程式來加密,企圖躲避資料傳遞的監視,都會予以即時的警告、阻擋。
目前,針對明顯易見的威脅,許多企業已有足夠的意識去預防或控制,但是對於資料的傳輸與交換,往往很容易就會掉以輕心。尤其是管理人員面對來自不同單位、不同部門的資訊傳遞,當違反政策時到底是要先予以阻斷?記錄?還是要通報權責單位?在管理上的考量本身就已是一項難題,更不用說還要考慮部署時的技術與成本。
因此,給予有心導入的企業,在建置前需要先思考以下幾件事:
1. Who:必須要去識別誰是資料擁有者(Owner)、誰是資料的保護者(Protector)或利害關係人(Stakeholder)。企業資料的擁有者可能屬於各個營業單位,而資料保護者可能會是IT資安部門、法務單位或人力資源部等。因此,實務上的做法可能是先組成一個跨部門的資料保護小組,來明確分派資料防護的任務,才能釐清各項責任與義務。
2. What:必須要定義您想要保護的到底是什麼?企業內部包含各式各樣的資料,所以最好的方法是先進行資料分類,設定資料處理流程和優先順序,並以文件化方式加以記錄,在設定重要性時,法規所要求需保護的資料,可能就是要優先進行的。
3. How:必須要決定如何去保護資料?明白所要保護的資料之後,就要針對各個交換資料的管道,決定如何去監視保護,並且要實行哪些控制措施。如果要進行全面性的防護,那就必須把所有網路協定、儲存設備和端點裝置明列出來,一一說明要如何進行監控與處理,這些也有助於管理政策的制定。
修訂隱私法規是當務之急
一旦個人資料透過詐騙行為,轉變成一種有價值的物品,即可預期會有惡意人士,想藉由各種管道企圖取得這些資料,再利用它從事違法的犯罪行為。因此,資料外洩事件會不斷發生,其實也突顯了另一項迫切的議題,那就是政府應當修訂更有效的個人隱私保護法規,以保障所有民眾的個人資料安全。
在國外,企業必須遵循相關的資訊安全法規,例如HIPPA (針對醫療隱私)、GLBA (針對金融交易資訊)、SOX沙賓法案(針對財務報表)、PCI-DSS (針對信用卡資料安全)等。但是反觀國內,目前保障個人資料的法規為84年公布的「電腦處理個人資料保護法」,保護的對象只限於「經電腦處理之個人資料」,範圍也僅限於公務機關和徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等「八大行業」,而且屬於「告訴乃論」,所以並無法保障所有受害民眾的權益。
因此,除了期許政府盡速修法之外,更呼籲存有個人資料的企業,務必要善盡保管之責,一旦有資料外洩的疑慮,可尋求專家或資安業者的協助,適時地將可能的漏洞填補起來,相信只要有積極的作為,勢必可化危機為轉機,進一步提升企業的聲譽並獲得消費者的信任。(本文刊載於2008年7月號網管人雜誌)
沒有留言:
張貼留言