產業觀察

面對新版個資法，如何有效管理資料及連線的安全？

作者/蘇家正

[發表日期：2013/1/5]
前言

新版個資法已於2011年10月1號正式上路，其適用對象包括了自然人、法人（企業）或其他任何3人以上的團體。對公司企業及經營管理者而言，如果洩露個資，天價的損害賠償金額以及刑責會影響甚鉅。

除了對付外部的非法入侵，對於組織內擁有最大資料存取能力，或是可直接存取的技術及管理人員，例如資料庫管理人員與系統開發人員，稽核與安全控管部門如何管理與監控這些擁有接觸大量機敏資料的人，能確實依照組織內部規定，在其授權的範圍內，只存取其所授權的資料呢?

在傳統封閉式的專屬系統中，對於上述系統人員合法地存取管制與稽核，一般均有相對應的安控軟體以確保資訊的安全性； 但在一般Windows開放平台的環境中，一旦取得合法身分進入，就可以進行存取伺服器或資料，而作業系統本身並無相關的適當機制能協助稽核或安控人員，以稽查合法人員是否嘗試去做一些非其授權範圍之動作，或是記錄做為事後之稽查。面對越來越廣泛依賴Windows平台做為企業運算的平台，以及越來越要求資訊安全的今日，更有效管理的架構便因應此等需求而生。

網路安全與資訊內容安全亮紅燈！面臨問題及應用範疇概述

機房連線及主機存取管理：

• 您可知廠商、DBA或管理人員存取主機時都做了什麼事嗎？他們有沒有把資料複製出去呢？他們有沒有連線進公司內部竊取資料或破壞系統?
• 莫名的網路中斷、資料毀損，找得到是誰設定錯誤嗎?
• 有無更簡單的管理機制，可以一次讓管理人員存取各種不作業系統、資料庫、應用服務、網路設備？並且避免資料被存取至外部的方法?

機敏資料保護：

• 機敏資料種類格式複雜，有無更簡單的保護方法?
• 可以不用使用複雜且無法全面性的加解密方法嗎?
• 可以不用改變使用者操作資料的方式嗎?
• 可以一次管理各種種類格式機敏資料嗎?
• 可以讓使用者輕易使用資料、但無法把資料複製出去嗎?

私有雲服務轉換：

• 要提供行動業務、行動醫療等機制，管理各種Pad存取，該如何存取原有資訊系統，而不須再修改、不需要寫APP版本，即可直接把服務雲端化呢?

應用系統之使用者存取軌跡資料產製：

• 誰查過XXX的銀行帳戶資料？誰調過XXX的病歷資料？誰看過XXX的廠商客戶資料?
• 原有資訊系統，可否不需原始程式碼？可否不須再修改，即可產製使用者存取軌跡資料?

如何解決面臨的問題

面對上述問題，應運而生的『 遠端連線稽核安控管理系統』，提供透過伺服器本機登入或使用端可高速拍照方式詳細側錄主機操作畫面、文字檔記錄、登入帳號、存取軟體、檔案、鍵盤；並需要鍵盤文字敲打稽核紀錄之功能及製作成報表，或文字輸入之目標軟體或軟體元件等等資料。主機的效能越好，每秒拍照的能力會越強。即使錄製Windows作業系統，也加強各項通訊協定連線存取其他主機操作之內容，使各種連線都能有效控管。

此外，為了防止登入者使用二次跳板至其他主機，亦需能透過指定使用者存取軟體、檔案及IP。阻絕使用者取得檔案及螢幕擷取，也增加資料攜出、傳入申請功能，經主管審核、系統備份後，方可下載、上傳使用，另外針對使用手機拍照，螢幕畫面亦提供浮水印機制，浮現IP、使用者、時間等等資訊，拍照時亦會拍下電子資產宣告、日期時間、使用者等資訊，便於日後稽核追查，增加安全性的管理。

若使用個人化桌面，則需能顯示各使用者可使用之軟體資源及檔案資源。而軟體開啟也需存取稽核紀錄之功能及報表，並錄製使用者開啟使用中之軟體，和使用者正在操作中視窗最上層之軟體。

面對資料交換，管理者也需可限定使用者資料存入及取出，透過管理者或其代理者之審核同意後方能進行。並提供資料存入及取出之記錄稽核及含備份該資料之原始檔案。



結語

為使企業資料內容安全的防護，避免洩密的根本之道，就是透過層層管制，讓使用者無法取得資料，即可防止帶走資料，防止洩密！經由內容安全管理平台提供的保護功能，不僅能將客戶的檔案資料或系統內容，完整的保護在主機上，而電子資料經由流程控管，不會輕易被攜出帶走。同時藉由整合加值，控管使用者的權限，除了帳號、密碼外，更加入了應用程式的控管及客戶端剪貼簿的抑制，避免資料及畫面被複製。客戶還可不更動原來的資訊系統架構、僅小幅改變使用者的操作習慣，不用學習新的程式操作，管理者無需額外負擔，即可管理保護系統，對於遠端連線的公司同仁及廠商，透過增加安全性的防護，防止藉由登入主機後，再登入其他的主機後所造成的風險，也不用擔心被駭客入侵或木馬程式的影響，妥善保護系統的資料。迎接新版個資法，導入《遠端連線稽核安控管理系統》可望成為IT用戶另一項不可或缺的好幫手。