2013年9月21日 星期六

IP身分辨識與記錄 個資法規遵循不可輕忽

從網路層著手因應個資法 訴求舉證及控管
IP身分辨識與記錄 個資法規遵循不可輕忽

個資法上路後,的確讓企業開始意識到IP身分識別管理的重要性。目前市場上解決類似問題的方案,常見的有內建於L2交換器的IDM(Identity Manager)功能,以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。

企業因應個資法時,最重要的議題之一,就是該如何對個資實施控管措施以避免資料外洩,並在發生訴訟案件時能夠舉證已善盡保管責任。就舉證的角度來看,最基本必須要有具備「人事時地物」描述的軌跡記錄資料,然而長期以來企業內部網路的Log記錄檔,根本難以辨識每個IP位址究竟屬於哪一個「人」所擁有,直到法規上路後,才凸顯出IP管理的重要性。

台眾電腦總經理李坤榮指出,IP位址不能直接對應到個人,而且很容易被竄改,若沒有妥善管理機制,上了法庭也無法擔保舉證資料的正確性。「其實個資法剛開始研擬時,由法務部提交的版本中,曾明確定義軌跡資料需要記錄IP、存取時間、設備代號、經過的路徑、身分識別等項目,只是在施行細則版本修訂後被取消。但事實上,不論是否有明文規定欄位資料,這些皆屬於必要資訊。像是金管會屬於較嚴謹的事業主管機關,近來也對銀行業者開始要求軌跡資料中必須加入IP的身分識別。」

法規促使正視IP管理

欲落實IP身分識別的作法,在電腦數不多的環境通常只須配置為固定IP,再以Excel表格人工記錄。但是當員工人數逐漸增多後,人工維護表格方式不僅沒效率,且出錯率高,Extreme Networks台灣暨菲律賓總經理錢旭光從客戶端觀察發現,「自個資法上路後,的確讓企業端開始意識到IP管理的重要性。而目前市場上目的性一樣的方案,常見的是像Extreme內建於交換器的IDM(Identity Manager),以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。」

具有ARP專利技術的台眾電腦UPAS ARPScanner,堪稱是台灣唯一自主研發IP身分辨識與控管方案的廠商。「國內廠商自主研發的好處是會依照在地民情習慣以及法規規範來發展產品,」李坤榮說,例如以UPAS ARPScanner而言,產出的報表即是按照人事時地物排列呈現,清楚列出IP位址、MAC、電腦名稱、IP Type、交換器連接埠編號、Active Directory帳號名稱。若Active Directory夠詳盡,甚至可一併帶出姓名、電子郵件、所屬單位、分機號碼等屬性資料。如此一來,才能讓設備所產出那些有字天書般的記錄檔變得有價值。

以基本ARP達成控管 

其實UPAS ARPScanner並非新產品,在市場上已有六年的歷史,只是近年來個資法效益下才逐漸嶄露頭角。「六年前台眾電腦是以NetInsight網管軟體為主,從服務客戶多年的經驗發現,既然網路設備的Log都是以IP為記錄核心,IP的『不可否認性』未來勢必極為重要,否則網路中所有設備產出的記錄都只能僅供參考而已。」李坤榮說。


在這股理念驅動下,台眾電腦投入研發UPAS ARPScanner,從一開始推出市場被認為是可有可無的產品,直到三年前個資法準備研擬,才有大量客戶開始正視IP管理的重要性。「其實技術的選擇也很重要,要達到IP管理的方法有很多,多數外商是直接跟設備做整合,若發現用戶端違反控管政策,就會觸發指令發送到交換器將連接埠關閉,或是送出ACL指令把連線取消,諸如此類方式。但對於以Layer 2居多的台灣企業環境而言並不適用。」

於是李坤榮選用了TCP/IP內建的基本指令ARP為基礎,並且對封包格式方面做了許多研究。例如封包不能太大才不致影響交換器效能,也才不會觸發具有預防ARP Spoofing攻擊的防毒引擎,導致被判斷成惡意封包。「由於ARP Spoofing可說是駭客常見的攻擊手法之一,自然也有客戶詢問台眾電腦採用的ARP技術是否為ARP Spoofing,不可否認概念上的確類似,例如ARP Spoofing會改寫ARP Table,讓連線位址導向特定IP,這點我們當然也可以做到,只是實作上並沒有那麼單純。」

他進一步說明,UPAS ARPScanner主要在聆聽廣播封包(Broadcast),並且跟預設的控管政策加以比對,若發現違反政策,例如非法的設備、IP Type、交換器連接埠,就會自動發送指令將其隔離,讓那台電腦跟其他網路上的電腦無法連線;或者是因應個資法規範,要求員工必須登入Active Directory網域,同時必須是公司登記為合法的設備,兩者條件皆符合下才得以接入內網。「這種作法的好處是必定適用於所有客戶端的網路環境,不須依賴設備指令來執行工作,如此才能無痛導入。而客戶選用的意願高,其實跟技術本身有很大關係。」李坤榮強調。

交換器內建IDM機制

對Extreme而言,其實IDM機制本來就是Layer 2交換器中內建功能之一,只是多數企業不知道可以運用此方式來實作軌跡記錄。」錢旭光說,IDM機制並非是因為個資法才提出,本來就具備,只是因為個資法才變得更有意義。但當初發展的主要目的,其實是為了簡化故障排除(Troubleshooting)的複雜度。


他舉例,以往IT部門一旦接到使用者來電抱怨網路不通,標準動作都是必須到現場查看線路及其連接埠編號,再到管線間查找所屬交換器,以釐清網路問題。而內建於交換器內的IDM機制,會去學習封包內帶有使用者登入Active Directory的相關資訊,取得使用者名稱、電腦名稱等屬性值,再結合IP與MAC記錄,傳送到指定的網管系統集中統合企業內部所有資訊。因此IT人員只要詢問使用者名稱,就可查找出相關網路資訊,進而直接在該使用者連接的交換器上收取連線封包,查看即時的Log狀態。這才是當初設計此機制的目的。

由於IDM是網路層的軌跡資料管理,因此會比較著重在記錄方面。至於執行控制行為,則是以角色為基礎的存取控制(Role-based Access Control List)。「也就是從Active Directory取得使用者名稱及其屬性值後,即可據此分類,以定義控制政策,而且只要制定一套,可同時套用在Extreme的有線與無線環境,不論員工從哪一種設備登入網域,存取權限皆一致。」

雖然IP管理在整個個資法因應項目中只是小細節,其身分辨識與記錄卻是軌跡資料中不可或缺的一環,必要的保存期限同樣不可忽視,才能在萬一面臨訴訟案件時,降低可能帶來的損失。

轉載自《網管人》