面對新版個資法 如何選擇適當安全維護措施的資安解決方案

作者/簡順堂

前言 針對新版個資法中,明確指出公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,必需採取技術上及組織上之必要措施,並且在施行細則修正草案中列出適當安全維護措施應該包括的十一項必要措施(請參閱第172期電腦科技電子報《如何看懂新版個人資料保護法施行細則》文),以下筆者特別針對這些必要措施中的「資料安全管理」、「設備安全管理」、「資料安全稽核機制」、「必要之使用紀錄」、「軌跡資料」及「證據之保存」等,介紹說明市面上相關產品,以供讀者在研究解決方案時參考運用: 資料安全管理

《圖一》
資料安全管理其實是很大很大的題目,如上圖,筆者依據實務中經常接觸到的諸多產品內容,將資料區分為資料庫的資料、網頁的資料、端點的資料分述如下,這部分的產品應該是近來最常看到資訊業界在大力推廣,相關的產品非常多,筆者在此謹就相關功能進行簡單說明,希望能迅速提供讀者概念: 一、資料庫防護工具: 包含有資料庫稽核(Database Activity Management, DAM),係將使用者對資料庫的操作行為記錄下來;資料庫防火牆(DataBase Firewall, DBF),係防護資料庫被不當存取的防火牆;資料庫加密或遮罩,則是對資料庫加密或對資料進行遮罩,使非法的資料庫存取者取得無法解析的資料。 二、網頁防護工具: 包含有網頁應用程式防火牆(Web Application Firewall, WAF),係防護網頁資料避免被不當存取的防火牆;程式碼檢測工具則是提供網頁應用程式碼的弱點或防駭檢測,讓我們的網頁程式保持健康;網頁掛馬偵測則是協助我們時時注意我們的網站是否有被駭客入侵掛馬;上網防護則是內對外的,保護內部員工避免連線到外部有害的網頁,而把有害的東西帶回公司內部。 三、端點防護工具: 包含Client端的PC及Server端的File Server、Mail Server及SharePoint Server等,要防護這些地方的資料不被非法存取,可以使用的工具包含:數位板權管理(Digital Right Management, DRM)係透過對於檔案存取權限的控管,防止非法存取;加密軟體是將要保護的資料加密,也許就是最正本清源的方法,可以使非法獲得資料者無法讀取利用這些資料,其實DRM的管制技術大部分亦是利用加密方式,讓非法者無法讀取檔案,而做到資料的權限管制;資料外洩防護(Data Loss Prevention, DLP)則是透過對於重要資料進行認知學習或是以關鍵字、檔案類型等等方式,對於重要檔案進行傳輸管制與防護,以避免外洩,其中並包含有端點型與網路型兩種防護模式;雙重認證係指對於使用者身分的辨識,避免僅有使用者ID與密碼就登入系統這樣的防護過於薄弱,可利用生物特徵如指紋、指靜脈、虹膜等,或是利用Smart Card、Token等輔助設備,增加多一道的確認身分措施,這在越來越講究網路證據的現在,顯得特別重要,可以避免違法者盜用或掩飾身分;備份及備援系統則是防護資料毀損與避免資料無法存取的重要手段,個資法中除了要防護資料被盜取外,在保護資料避免毀損亦是重要的議題。 四、其他防護工具: 圖形最下方則是我們熟知的UTM防火牆,傳輸加密的(Ethernet Encryption,EE)硬體式加密及PGP(Pretty Good Privacy)資料傳輸加密;網路管理(IP & MAC綁定,甚至加上AD帳號或Hostname的綁定),則是防止非法設備上到公司的網路內;網路認可控制(Network Access Control, NAC)則是讓有正常更新系統、有安裝防毒軟體的健康電腦才可以上網的檢測防護設備。 設備安全管理 資訊相關設備筆者分為非線上系統,及線上系統來分別說明: 一、非線上系統: 包含紙本文件,像是有沒有上鎖的櫃子,列印、傳真、報表等的管理等;也包含靜態儲存媒體的管理,例如光碟、磁片、磁帶、磁碟的保存、借用、送修及報廢處理等。 二、線上系統: 包含機房安全管理與資訊設備資產管理,其中機房安全管理包括像我們熟知的機房門禁、監視錄影、環境監控、電力系統、空調系統、資訊設備攜出入管理、不斷電系統UPS、消防設備、漏水監控等。

《圖二》
《圖三》
三、設備安全管理: 設備安全管理我們比較容易想到的資訊設備資產管理,在市面上就有很多產品可以協助我們執行這個工作,例如上面兩個圖就是資產管理模組的相關功能介紹,這可以協助我們管理軟硬體資產,並且協助我們Patch或軟體的大量派送安裝,檢查安全漏洞與系統更新。 四、設備管控模組: 下面兩個圖是設備管控模組,包含控制各種外接的儲存設備,例如燒錄機、移動式硬碟、USB等,控制通訊網路設備,例如藍芽、紅外線、數據機、無線網卡等,並且可以禁止新增任何設備或是依時間作控管,這一部分在前面介紹的DLP系統中,也常見包含這樣的功能,甚至可以做到訂定離線控管的策略,離線後在設備中植入的Agent會繼續執行相關的策略,並記錄擁有者執行的項目,在連線後便將相關紀錄傳送到管理伺服器。

《圖四》
《圖五》
資料安全稽核機制、必要之使用紀錄、軌跡資料及證據之保存 有關稽核、使用紀錄、軌跡資料及證據的保存,以下介紹兩種常見的工具: 一、安全資訊與事件管理器(Security Information and Event Management, SIEM) SIEM就是可以從數以千計的設備中,包括各種伺服器、防火牆和路由器來收集日誌(Log),它為組織提供了一個單一的、整合的日誌管理解決方案,透過對所有的日誌進行自動的收集、分析、警示、稽核、報告和安全地儲存,它可以簡化為了符合法規要求的工作複雜性,加強安全和減輕風險,同時最佳化 IT 和網路的運作。下圖就是筆者推薦的SIEM連續七年的世界領導品牌RSA enVision。

《圖六》
RSA enVision 可以收集網路中所有IP 設備所產生的事件日誌,並將資料永久的歸檔儲存,它可以即時地對日誌進行處理,並在發現可疑的行為模式時產生警示,而且無需日誌收集代理程式(Agent),這可以確保所有的資料總是在連續不斷地收集。 RSA enVision 的基準線(baseline),趨勢分析和報告功能,為 IT 和網路系統管理員以圖形化的方式提供了效能和安全事件,這不僅提高了規劃的效率,同時還減少工作量。管理員可以透過一個直覺的儀表板 (Dashboard) 對所有儲存的資料進行完整地檢視,同時先進的分析軟體把複雜的、非結構化的大量原始資料轉換成結構化的資訊,這為管理人在以下的三個應用,提供了非常有價值的資訊:
  • 簡化合規性: 管理人員可以自動收集網路,檔案,應用程式和使用者活動的日誌資料,這大大簡化了法規遵循的流程。超過 1100 份內建的報表專門針對現今的法規要求而量身定做。在今後幾年內不管推出什麼樣的法規規範,這個解決方案都可以使合規性大為簡化,因為它儲存了所有未經過濾和標準化的日誌資料,且所有保存的資料皆不可更改,從而提供了一個可稽核驗證的可信資料來源。
  • 加強安全和減輕風險: 利用即時安全事件警示,監控和鑑識功能,這個平臺為管理人員提供了一個重要資訊的清晰視圖。因為他們能夠看到和理解威脅和風險,於是他們就可以採取更有效的行動來消除這些風險。
  • 最佳化 IT 和網路運作: 管理的日誌資料是基礎設備效能和使用者行為最好的資訊來源。IT 支援人員可以利用 RSA enVision 追蹤和管理伺服器,網路設備和儲存平臺的活動日誌,同時還可以監控網路資產、人員、硬體和業務應用程式的可用性和狀態。它為解決基礎設備問題和保護基礎設施的資源提供了一個智慧的鑑識工具。
二、側錄監視 側錄監視產品,包含螢幕側錄監視與封包側錄監視兩種:下面兩個圖是螢幕側錄監視產品的功能介紹,這系統可以即時監看與記錄使用者螢幕畫面,並可以依時間設定螢幕紀錄時段。

《圖七》
《圖八》
另一種則是封包側錄監視產品,亦即針對網路行為進行側錄,針對即時通、電子郵件與Internet瀏覽進行側錄,可用於事後稽核,確保資料傳遞過程中軌跡資料及證據的保存。下面四個圖就是相關產品的功能說明,這是RSA NetWitness這套產品,其中包含封包側錄(Investigator)與實況還原(Visualize)兩種模組,收容的資訊說明如下:
  • Internet使用資訊備份: 紀錄包含往來進出的電子郵件(包含Web Mail)、IM中與客戶的溝通訊息。
  • Internet使用稽核: 公司人員使用網路的狀況可留下紀錄以供日後審查與追蹤,判斷是否有人違反公司的資訊安全政策等,以執行事後稽核。
  • 網路使用分析及統計: 有利於了解公司Internet使用狀況。
  • 資訊安全問題追查鑑識: 洩密事件、駭客攻擊等鑑識追查及機敏檔案進出監控、告警等。
  • 側錄歷史資料: 可以製作索引快速查找,並提供條件式、關鍵字及檔案比對等搜尋功能。

《圖九》
《圖十》
《圖十一》
《圖十二》
上述兩個模組之外,RSA NetWitness還包含有中控台與報表管理平台模組Informer,請參考下面兩個圖,Informer可以提供一個完整的中央控制平台,利用自動化的分析技術,產生各種容易檢視的圖形化統計圖表及報表,並可以在管理平台上訂定各種規則、設定警示訊息,以方便管理作業的執行。

《圖十三》
《圖十四》
結語 上述是筆者針對個資法施行細則修正草案所提出的適當安全維護措施,相關項目可以找到的一些資安解決方案介紹,當然,一個企業或組織想要做好個資安全保護的工作,當然不是要把所有的產品都採購與架設,而是可以參考上述的產品特性,依照自己的需求去進行規劃設計,然後,在很難使用人工處理或是很重要關鍵的部分,可以考慮採用資安產品,來協助自己更好的執行工作。 資安的工作沒辦法百分之百完善,因為它牽涉的界面太多了,資訊也太繁雜了。筆者介紹了許多可以協助我們執行的工具,也就是希望幫助大家可以在安全資訊的茫茫大海中找出有用的訊息,試著去把複雜的資訊系統用這些工具來管理,讓我們可以更充分的掌握我們的資訊系統,這樣才可以盡可能地完成個資保護與機敏資料保護的任務,以上謹提供各位資訊業界先進與朋友們參考。 參考資料 1.個人資料保護法施行細則修正草案(2011年10月27日) 2.思訊電腦IP-Guard產品DM 3.EMC/RSA enVision產品DM 4.EMC/RSA NetWitness產品DM