陳宛綺談到資料外洩防護,很多企業主多會點點頭同意:「嗯,這是很重要的問題。」但同時也會皺起眉頭、搖搖頭:「這也是很困擾、很複雜的問題。」
大多數有責任的企業都認同資料保護這件事情的重要性,因為絕對沒有人想要當法規通過後的第一個受罰者;然而,在面對複雜的資料流、龐大的資料量,加上市面過多、令人眼花撩亂的解決方案時,過多的產品資訊,讓企業不得不被迫放慢腳步,在法規尚未通過前偷偷喘息一下。
本專題將依照不同公司的需求,將市面上眾多的資料保護、防止資料外洩的相關產品進行分類,提供企業在選擇相關解決方案時的參考。
態度的建立
不過,要選擇資訊保護與管控的相關解決方案前,有一些觀念與前置工作是必須要先建立與瞭解的,不論是小型企業或是大型企業:
1. 先評估瞭解「資料外洩」、「資料保護」對於貴單位的價值在哪裡。
2. 一旦確定了資料保護是必須做的事情之後,應該要整合各部門人力,共同評估資料外洩的範圍。
賽門鐵克資深技術顧問張士龍表示,導入資料外洩防護解決方案的工作,需要跨部門間的溝通協調與高層的支持。目前在關心此議題的多半是 IT 部門的人,但是所要防護的資料又大多在研發單位、財務部門,所以跨部門的協調相當重要。
3. 在跨部門的通力合作下找出受保護的對象,決定哪些內部資料需要受到保護,包括財務資料、客戶名單等。此外,找出公司內部的資料流,藉此找出資料外洩的漏洞可能來自何處、何人,並界定出哪些資料屬於機密等級,且位於何處。
SOPHOS 臺灣技術顧問許力仁表示,很多企業以為只要把資料放在一起集中管理,就是做好資料保護,但是卻忽略了資料與人的關係。
許力仁指出,唯有瞭解兩者間的互動的關係,才能瞭解資料被應用的重要性,才能真正知道要如何因應,所以應該要先進行訪查,不能夠將資料一視同仁。
4. 評估是否需要採購防止資料外洩的解決方案;若需要,應該採用何種解決方案。
精品科技技術總監賴頌傑表示,由於企業資源有限,所以如何以最少的代價,取得最大的報酬多為企業所盼。如果有經費,可以選擇一些資訊安全的工具,賴頌傑提供以下方式協助企業選購:(1) 功能面含蓋範圍廣;(2) 工具能適當地防止使用者的任意移除;(3) 銷售相關產品的廠商,是否能夠提供完整的技術支援與售後服務;(4) 產品在市場的佔有率,以及同行如何使用;(5) 能否提供定期的完整分析報告。
5. 制訂相關配套的資安政策,或是調整既有的資安政策。 SOPHOS 臺灣技術顧問許力仁表示,資料外洩的管道太多了,要 100% 防堵資料外流,根本就是不可能的事情,因此單單靠資料外洩防護解決方案,無疑是不可能的任務,需要搭配相關管道的資訊安全政策,將資料防護納入企業管理制度中的一環。
趨勢科技資深技術顧問戴燊:雖然資料外洩管道過多,產品種類龐雜,但「不做就等於零」,因此不論是從哪一個角度,也不論是小企業或是大型企業都應該開始動手做了。
選其所需
在具備了基本的觀念以及做好相關的前置作業之後,即可以開始依照公司的實際狀況,選擇相關的解決方案。
許多微型或是小型公司,反覆思考之後總覺得公司真的沒有什麼機密資料可以外洩,又或是老闆身兼會計,所有機密文件都掌握在一人之手。精品科技技術總監賴頌傑建議,在經費不足,且在公司可忍受範圍的情況下,企業可以自行制定一些資訊安全政策,再依政策進行管理。
賴頌傑表示,一般企業都會建置防火牆等設備管理網路,所以可以進一步對非必要的埠 (Port) 進行控管,例如禁止員工使用 MSN,或是社群網站,又或是導入像是 Active Directory(AD) 身份識別及存取權限解決方案,或對檔案伺服器 (File Server) 進行權限控管,例如不讓使用者具備管理者的權限。賴頌傑指出,透過這些做法,可以「限縮」資訊外洩的風險。
奕瑞科技總經理張義淵表示,中小企業在資安設備的佈署上,大多只能夠負擔防火牆、防毒軟體,以及 UTM 等採購,通常已經沒有額外的經費再採購資料防護的軟體或是設備。正因如此,目前市面上有一些防火牆、 UTM,又或是在防毒軟體當中,加入了防止資料外洩的功能,希望能夠在既有功能上,又再加入資料保護的能力,以增加賣點。舉例來說,防毒軟體廠商 Sophos 即在其端點防護產品中加入的 DLP 功能;防火牆廠商 Check Point 在其閘道端的解決方案,預計於今年上半年推出 DLP 的 Blade 。
Sophos 臺灣技術顧問許力仁表示,Sophos 端點安全與資料防護 (Endpoint Security and Data Protection) 第 9 版中加入了資料外洩防護 (DLP) 功能,其做法透過正面表列的關鍵字作法,以進行文件內容的偵測,監控機密資料是否從端點流出。不過,許力仁也坦言,透過關鍵字的技術,在端點進行資料外洩防護僅能達到 50%-80% 的效果,畢竟關鍵字技術的誤判率仍然偏高。
優碩資訊產品經理陳品翰表示,不論是防毒軟體或是 UTM 加上 DLP 模組的做法,對於中小企業來說確實是可用的防資料外洩的工澃 具,不過中小企業應要考量的是,延續性與擴充性的問題,例如未來若公司擴張,決定要建置資料庫之後,要如何進行資料保護工作等。
而許多企業都會希望透過在網路閘道端的佈署,藉由過濾比對的技術,達到防護資料外洩的效果。 Check Point 臺灣區技術顧問陳建宏表示,一般來說,在閘道端上進行 DLP 防護,大多是透過特徵碼、關鍵字設定,或是特定檔案格式掃描的做法,當文件傳送出去時,經過閘道端的比對,內容含有某些關鍵字的文件將會被阻擋。
McAfee 臺灣區技術經理沈志明表示,這類解決方案的好處在於,企業不需要安裝 Agent 在 Client 端中,降低佈署的麻煩;但是卻無法防範一旦機密文件或是行動設備離開了企業環境之後的管理。
陳建宏也認為,僅僅透過閘道端進行防護是不足的,例如透過 P2P 、 IM 等的資料傳輸,仍然是在網路環境當中資料外洩的漏洞。
(…未完,更多精采內容請參閱網路資訊雜誌 220 期 3 月號)