|
|
個人/機敏資料自動化盤點方法概述(上)作者/林信忠 前言 喧騰一時的個資法除有疑義的第六條與第五十四條外,其餘部分已於101年10月1日起正式實施,各企業組織,特別是擁有大量個資的組織主事者面對個資法的心態也從觀望遲疑逐步調整為主動面對,特別是在施行細則公布之後,總算讓業界有一些可以依循的個資保護措施標準。 施行細則第十二條提到了十一項防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上的保護措施,這些措施相當程度參考了ISO 27001標準,其中界定個人資料範圍一項為其他措施的基礎,也就是說當組織知道了它所要保護的標的物在哪裡之後,才能遂行風險評估、事故預防等後續控制活動。既然識別出個資標的物範圍/位置那麼的重要,是否有一些能夠快速的找出這些可以識別出個人的資料在哪裡?它的範圍多廣的方法?筆者預定將本系列文章分為兩部分,第一篇針對資源較不足的組織,如中小企業等做介紹;第二篇針對資源相對充足的組織,如金融、電信業者分別提出方法或工具的解決方案。當然前者因花費較少,人為的介入與其技術能力的要求就高於後者,不過方法無所謂的好或壞,端看對組織合不合適,接下來先就對克難式個人/機敏資盤點方法做一介紹。 依作業系統找出個人或機敏資料的存放位置 因中小企業大都資源較為受到侷限,故可能無經費採購同一套工具或產品而能查找出不同作業系統個資或機敏資料的存放位置,此時可採行個別擊破的方法來解決這個問題。 一、Windows系統 在原開放源碼網路弱點檢測工具Nessus中,有一個Windows File Contents Compliance Check外掛(plug-in)程式,可以將其客製化來查找個人或機敏性資料。Nessus並針對如信用卡號等一般(common)類型的機敏資料提供了其對應的audit file,唯部分audit file針對美國的環境所設計,在台灣等華人環境中不一定適用,需針對Nessus所沒有的audit file客製化來調整。如社會安全碼(Social Security Number)號碼用處類似台灣的身分證號,但其編碼規則不同,程式設計師可參考其原有的過濾規則與audit file來做修改。 Nessus在做網域內資料查找時需給予相當的權限(通常為domain admin),Nessus會識別出哪些資料違反了Compliance check?也就是說這些資料與個資或機敏資料的patten吻合(即找到了個資或機敏資料),並可設定顯示出資料的存放路徑。 特別注意的是使用這些功能每年需支付一筆$1,200的費用(包含Nessus全功能的弱點檢測功能與audit files),對於經費不多的中小型企業實可一魚兩吃,既可查找個主機的弱點又可因應法律的要求。這個方法不需要在每台主機植入代理程式(Agent),但是因為透過網路做檢測,網段大小切割好壞等因素對檢測效能的影響就十分重要。 二、非Windows系統(例:Unix,Linux and Mac) 與Windows系統不同,Unix等系統需利用一些內建的command-line tool,如grep來做資料檢查。在grep 參數位置設定如[0-9]{4}\-[0-9]{3}\-[0-9]{3}手機號碼等正規化表示式patten的判斷條件來查找目錄中是否有符合個資或機敏資料的檔案?其語法類似如下: grep -cEHilrs -f patterns /directory/to/search grep常和pipe(|)做搭配,可將檢查的結果導入檔案來作後續的分析使用。讀者可利用網路上許多現成的正規化表示式patten做參考,唯若想做更精確的判斷,建議可閱讀相關專業書籍以對該表示式有透徹的了解,另外這個方法無法判別二進位檔(binary files)的內容。下面將判別是否屬個人資料常用的類似正規化表示式摘要如下: ‧身分證號:[a-zA-Z]\d{9} ‧電話號碼:0\d{1,2}-\d{6,8} ‧中文姓名: [\u4e00-\u9fa5]([\s]?[\u4e00-\u9fa5]){1,5} ‧電子郵件: /^([a-zA-Z0-9._%-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4})*$/ ‧信用卡號: ([^0-9-]|^)(4[0-9]{3}( |-|)([0-9]{4})( |-|)([0-9]{4})( |-|)([0-9]{4}))([^0-9-]|$) ‧中文住址:^\d{5}|^\d{3})?)(? 《圖一》 |