【第168期 September 5, 2011】
 

資安前哨站

新個資法下的網站資安防護

作者/簡順堂

[發表日期:2011/9/1]


前言

新版個人資料保護法已於99年4月27日經立法院三讀通過, 5月26日總統明令公布,目前法務部正徵集各方對於不確定法律概念意見,並編訂施行細則草案中,草案完成將送行政院核定,再律定施行時間。該法共計五十六條,檢視其內涵主要可從個資的生命流程來剖析,包含對個資的蒐集、處理、利用、儲存、傳輸、銷毀有諸多的規定;公務機關與非公務機關均需依其要求行事,否則將面臨可觀的罰款或刑責。

網站是Internet中提供訊息與服務的平臺,為服務與管理網站會員,通常擁有數量可觀的會員個人資料。面對新的個人資料保護法,本文希望可以針對相關的法條來分析對網站影響的重點,並介紹業界常用的網站防護工具,以期符合新個資法的作業規範,降低新個資法施行帶給網站的風險衝擊。

新版個資法帶來的影響

一、相關法條與影響說明

以下節錄個人資料保護法相關條款,並說明對網站之各種影響如下:

    【第二條】
    本法用詞,定義如下:個人資料指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、……、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

    《影響說明》:
    新版個資法個人資料的定義包含很廣,並且也不只是電子檔,紙本資料亦是要保護的客體。因此,網站除了注意數位個資外,如果於活動中或為核對會員資料而擁有實體紙本個資,亦應注意保護與管理。

    【第四條】
    受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。

    【第廿八條】
    公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。……,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。

    對於同一原因事實造成多數當事人權利受侵害之事件,……,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。

    【第廿九條】
    非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。

    【第四十一條】
    違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。

    意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。

    【第四十二條】
    意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。

    【第五十條】
    非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。

    《影響說明》:
    個資法第四、廿八、四十一、四十二等四條,係說明權責與罰則,其中第四條對於委託處理的權責關係,係主張委託辦理業務未涉及公權力移轉行使,受託者亦應依本法規定處理個人資料(適用罰則),委託者為權責歸屬單位(當事人提告的對象),因此即使委託出去,亦應負監督管理的責任。

    第廿九及第五十條,則說明可能免責的條件,重點便是:「能證明其無故意或過失者」及「除能證明已盡防止義務者外」。

    面對日益猖獗的網路攻擊事件,我們很難保證資料絕對不會外洩,但是網站擁有者一定要對於會員個資進行保護作為,並針對所有作為留下可資稽核的證據,做為已完成了良善管理責任的證明。

    【第三條】
    當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:

    1.查詢或請求閱覽。
    2.請求製給複製本。
    3.請求補充或更正。
    4.請求停止蒐集、處理或利用。
    5.請求刪除。

    【第八條】
    公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:

    1.公務機關或非公務機關名稱。
    2.蒐集之目的。
    3.個人資料之類別。
    4.個人資料利用之期間、地區、對象及方式。
    5.當事人依第三條規定得行使之權利及方式。
    6.當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

    【第十條】
    公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。

    【第十一條】
    公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。

    個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。

    【第十六條】
    公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。

    【第十七條】
    公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:

    1.個人資料檔案名稱。
    2.保有機關名稱及聯絡方式。
    3.個人資料檔案保有之依據及特定目的。
    4.個人資料之類別。

    《影響說明》:
    依據上述新版個資法第三、八、十、十一、十六、十七等六個法條的規定,網站針對會員除原有可能已有提供會員資料修改介面之外,應增加之功能包含:

    1.會員個人資料列印功能(製給複製本)。
    2.可要求停止利用(不提供給其他單位與不再寄發任何通知信)。
    3.可要求刪除(應明確告知刪除後無法再使用會員相關權益)。
    4.明確告知蒐集機關名稱、蒐集目的、利用期間、地區、對象及方式。
    5.明確告知當事人權利及行使方式。
    6.當事人得自由選擇提供個人資料時,不提供將對其權益之影響說明。
    7.會員資料蒐集之特定目的消失或期限屆滿時,應主動或依當會員之請求,刪除、停止處理或利用該個人資料。
    8.在網站上公告會員個資保有機關名稱、聯絡方式、保有之依據及特定目的、個資類別等資訊。

    【第十四條】
    查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。

    《影響說明》:
    網站針對會員個資瀏覽或設計列印功能,僅有一次性建置成本,建議不收費;但如果會員要求閱覽個資書面資料或針對這些書面資料要求製給複製本,則將有成本問題,可考量收費。

    【第十二條】
    公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。

    《影響說明》
    網站經營者應預先規劃發生個資問題時之處置步驟與對策,並律定通知當事人之適當方式,亦應考量針對後續當事人反應之應對策略。

    【第十八條】
    公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

    《影響說明》:
    公務網站應指定專人辦理個資安全維護事項,此專人宜以任務編組方式,納編相關人員分工執行。

    【第二十二條】
    中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。

    《影響說明》:
    網站經營者應針對個資保護相關措施準備證明文件,包含個資防護執行計畫、執行紀錄(盤點清單、會議或稽核紀錄等)、當事人同意利用的證明,並預先任命陪檢人員等作業。

    【第五十四條】
    本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。

    《影響說明》:
    網站擁有的個人資料如果非會員自行輸入者,例如由其他網站轉入,而該員尚未於本網站申請會員資料者,建議應刪除之。

二、風險說明

依據前面的分析,新個資法的施行將對網站經營者造成很大的風險,除了因為我們擁有極大量的個資,也因為相關的罰則包含了國家賠償法、民法、刑法等,如果有不符合相關作業規定,或是沒有做好個資防護,將會造成很嚴重的風險,謹述如後:

1.非法蒐集的風險:非經過當事人同意所蒐集的個資,即屬於非法蒐集,網站即不應擁有,如要擁有必須補告知當事人處理與利用的說明,並獲得其同意,作業成本相當高,建議刪除以解除風險。

2.處理與利用的風險:個資處理與利用如果沒有合法性,將遭到當事人的提告,因此,獲得當事人的同意後再進行個資處理與利用是解決這個風險的唯一方法。因此,在會員服務條款與隱私權保護政策,對於個人資料處理或利用的說明,要進行修訂明確告知。而且,後續要執行任何有關個資處理與利用之前,一定要特別注意是否已獲得當事人的同意。

3.管理面的風險:個資管理面對的風險有二,其一,須滿足當事人的權利,因此,必須在網站中提供方便當事人管理其個人資料的各種介面;其二,必須面對主管機關稽核的風險,因此,必須律定個資管理計畫,並確實執行,針對個資流出的第三方亦必須盡到監督的義務,這些都必須留下管理紀錄,以證明盡到良善管理責任。

4.個資洩漏的風險:個資洩漏將面對金錢與刑法的責任,是最關鍵的風險,因此,在個資盤點後,針對這些個資應設計規畫保護措施。保護的方法,應針對我們的網站特性,參考現有資安界防護機制,來設計我們的縱深防禦。

網站防護工具(WAF)

一、為何需要WAF (Web Application Firewall )

2006年FBI的調查即顯示,網路應用程式是攻擊的最主要目標,企業的網站弱點會造成網站中斷、網頁入侵、資料庫內容被竊、造成直接或間接的財務損失、企業形象損失等等。

但是在層出不窮的網站資安實例中,有誰可以告訴我們,到底發生什麼事?如果如某些當事者所言,是駭客惹的禍,那麼是否能提出證據? 又為何擁有防火牆,IPS,UTM 等網路安全設備的單位,仍然會被駭客入侵,無法阻擋?

這是因為傳統防火牆只能偵測網路層的攻擊,也就是只檢查IP位置,網路服務埠號 (TCP/UDP service port)等;IPS 設備則只檢查已知的攻擊特徵,無法解讀應用程式內容,易造成高度的誤判及漏判,而且無法追蹤使用者及連線資訊,無法保護SSL加密的流量。

只有 Web Application Firewall (WAF)能阻止應用程式層的攻擊,WAF可說是完全針對SQL Injection、XSS等Web攻擊所「量身打造」的安全方案。儘管在L7上,WAF與IPS有相同的防護功能,但卻擁有後者所沒有的SSL封包防護、使用者Session追蹤、正向表列(白名單)等功能。尤其在網頁程式開發上的人為疏忽漏洞上,具備一定的學習防護能力,更是關鍵的防護能力。


《圖一》


二、Imperva Securesphere Web應用程式防火牆

以下為各位介紹的是領先業界的Web應用程式安全方案:

Imperva 的SecureSphere WAF網路應用程式防火牆,能夠有效保護網路應用程式和敏感資料,可以保護Web應用程式免受複雜的攻擊,阻止線上身份竊取,並防止資料經由應用程式洩露。包括Layer2 Bridge、Proxy和Non-Inline方式在內的多種設定選頂使部署變的非常簡單,而且不需要對現有應用程式或網路進行任何更改。此外,也具有簡易插入式的部署設計、自動化、可隨環境需求而自動調整的安全防護與低廉的經營成本等多重特色。產品相關特色詳述如下:

1.動態正面列表安全防護
  • Dynamic Profiling : 動態建模自動學習,不需人為介入。
  • 看得懂應用程式:學習 URL、Cookies、Parameter、User、Session 及 HTTP Method。
  • 判斷什麼是預期的行為、什麼是可疑的行為及應用程式中的攻擊。例如:參數長度及型態、是否為必要參數、是否唯讀,cookie是否被竄改。


《圖二》

2.負面列表安全防護
  • 7,400 個以上的入侵防禦系統(IPS)特徵碼(signature)。
  • 作業系統、應用程式平台的防護。
  • 違反HTTP 通訊協定防護。
  • 網頁服務攻擊防護。

3.應用程式使用者追蹤
  • 動態學習網頁登入URL,以及使用者名稱與密碼欄位。
  • 追蹤成功的登入使用者,因此可以依據使用者設定政策,例如稽核、阻擋,違反政策或攻擊行為的告警記錄將包含使用者名稱,而不是只有IP位址。
  • Zero-Day Web Worm 攻擊防護。
  • 網路層防火牆 (Network Firewall)。


《圖三》

4.關聯式攻擊防禦(Correlated Attack Validation)
  • 複雜的攻擊需要有精細的解決方案:Imperva提供多重的防禦層次,例如:通訊協定異常、應用程式正面列表、資料洩漏防禦、攻擊特徵碼、Web Worm 偵測等等。
  • 關聯性分析引擎分析不同防禦層次的多重元件,正確的判斷出該阻擋的攻擊。


《圖四》

5.Imperva Application Defense Center (ADC)
  • 調查研究於全球被發現、報告的最新安全威脅。
  • 提供每週定時,或依需求的安全及特徵碼更新。


《圖五》

6.XML Firewall
  • Dynamic XML Profile:學習XML URL、SOAP action 及 XML 元件。
  • 可以解析多層次的XML (Nested XML Parsing)。
  • 防止違反 Profile的SOAP 及XML元件。
  • 防止違反XML 協定的攻擊。

7.完整強大的告警分析功能
  • 告警整合功能 (aggregation),避免列出太多相同的告警,造成管理負擔。
  • 告警整合仍然可以顯示各別攻擊的詳細資訊,並可統計相同類別告警中不同的參數,例如來源IP、使用者、Session、URL等資訊。
  • 告警包含詳細資訊:事件描述、時間標記、來源 IP、應用程式使用者、嚴重程度、完整的網頁瀏覽要求、網站伺服器的回應碼、違反的安全政策等資訊。
  • 提供精細過濾及自動email傳送功能,管理者可以取得切中要點的有用資訊。


《圖六》


《圖七》

8.報表:提供內建報表及客製化報表產生器
  • 客製化報表內容:
    • 查詢關鍵字
    • Followed Action: 多個 email List
    • 資料來源範圍: 安全告警、系統事件、Profile
    • 每一種資料來源的詳細條件
    • 顯示的表格欄位
    • 5個自動圖表: X/Y/Grouping
    • 柱狀/圓餅/堆疊圖
    • 可設定排程執行報表,自動寄送 E-mail


《圖八》

9.建置架構
  • 透通模式 - Inline Bridge (支援 Fail-Open)
  • Router/NAT 模式
  • Reverse Proxy 及 Transparent Proxy
  • 旁接式的佈署 (Non-inline Sniffing Mode)

參考文件

1.總統府公報 中華民國99年5月26日(星期三)發行,第6923號。
2.Imperva WAF產品DM及簡報。