2012年8月29日 星期三

完整資料管控 牢牢呵護寶貴個資

完整資料管控 牢牢呵護寶貴個資

來自世達先進科技的軟體部經理詹復匡,首先將新版個資法當中值得留意的條文挑出。其中第18條部分,公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏;其次,第29條規定,非公務機關違反本法規定,侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限

詹復匡表示,從這些條文可以看出,企業機構不僅應防範個資洩漏,亦需在洩漏過後,負有將之復原的責任。

不過就他的觀察,每逢個資法條文陳述的場合,總是可看到有人聽到睡著,他們最後也往往直接了當地詢問,有沒有1份清清楚楚的Check List,把最值得關注的10個要點鋪排出來,再各自對應到相對應的解決方案?之所以產生這類問題,其實也不足為奇,因為絕大多數企業主對於IT部門的要求,總是期望運用最省錢的方式來因應個資法,不需在枝微末節處打轉。


世達先進 軟體部經理 詹復匡

但持平而論,現今應無任何1家解決方案供應商,可以把繁複的個資法條文,濃縮成為少數Check List要點,一來是因為各行各業所需重視的環節,其實並不相同,再者,可別以為個資法上路時程已經逼近,就不會出現變數,譬如日前就有媒體報導,法務部擬自歐盟取經,將慎重考慮把歐盟今年新增的「被遺忘權」及「刪除權」,列為下階段修法參考。

技術防護角度,可分4大要點

雖然一切都還未塵埃落定,但企業總不能老是坐壁上觀,尤其針對個資法當中11項適當安全維護措施,其中第6條的「資料安全管理」、第8條「設備安全管理」,都是企業IT部門現階段就可開始施行的項目

詹復匡指出,根據研究單位分析報告,資料安全威脅的主要管道,不外有4個,分別是駭客或惡意程式入侵、員工意外資料遺失、訪客或廠商資料外洩,以及最為棘手的內部人員進行外洩資料

正所謂打蛇必須打七寸,意欲追求個資防護的立竿見影之效,企業必須優先鎖定「內賊」建構管控機制,至於與之相關的技術防護角度,主要包括了4個面向,分別是網路存取管控、資料外洩、主機安全防護、安全加密,只要把這4件事情做好,即可望營造完整資料管控機制,消弭大部分的觸法疑慮。

藉由高速備份暨復原,提供個資防護基礎功能

如前所述,企業呼應個資法規,不僅應避免外洩個資,更重要的,就算發生最壞的情況,也必須設法進行快速復原。值此時刻,譬如STORAGECRAFT所推出的ShadowProtect高速備份/高速復原解決方案,即可派上用場。

詹復匡表示,ShadowProtect解決方案下,有1項名為ShadowStream的高效能傳輸工具,可讓企業傳送備份影像檔案至目的地系統,且速度遠遠高於傳統FTP,主因在於,該工具可大幅縮短在多雜訊或高延遲(>150~200ms)的網路中複寫資料的所需時間,即使是傳送完整備份影像至遠端站台,亦同樣有效。

另值得一提,ShadowStream Server的設定與維護作業,也比傳統FTP更加簡單。再者,該工具也支援權限管控功能,舉例來說,不論Boss、Sales、Design、Share 或MIS等不同資料存取角色,都各自擁有不同的存取或復原權,有的可以在檔案作業中進行清單、讀取、複寫,但卻被限制無法寫入或刪除,有的在目錄作業,可以進行清單、瀏覽等動作,卻不能建立、重新命名或移除。

此外,ShadowProtect亦具備「免轉換直接掛載」功能,其操作步驟是,利用ShadowProtect備份並產生映像檔,接在映像檔點選右鍵並選擇VirtualBoot,系統便會立即在VirtualBox平台上啟動,絲毫不麻煩。

封包內容過濾,打造安全環境

要想善盡個資防護之責,詹復匡認為,其前提就是盡可能營造良善的網路安全環境,因此舉凡封包內容過濾、Dos攻擊預防、60 PPTP 200 IPSec VPN通道、IPv6/IPv4雙重堆疊、智能Qos,乃至於Multi-WAN負載平衡等一干功能項目,全都相當重要。

以普萊德(PLANET)的CS-5800閘道設備為例,即同時具備前述功能,俾使企業在成本效益最適化的前提下,快速提升個資防護能量。

所謂封包過濾技術,乃是分析封包內容(不管是傳進或傳出),來達成封鎖或允許使用之目的,而非利用來源端或其他標準,最適用於電子郵件(含附檔)、網頁存取、P2P軟體、IM軟體等應用場域,至可指定副檔稱譬如.exe或.pdf予以封鎖;由此可見,倘若不肖員工妄想藉由這些途徑洩漏個資,肯定無法得償所願。

轉載自《DIGITIMES中文網》

沒有留言:

張貼留言