GSS資安電子報0071期【如何符合個資法? 嚴防五關卡 叡揚資安層層防護】
2012-08-20 11:09
撰稿: 叡揚資訊 資訊安全事業處
資訊科技已廣泛地應用於我們的生活中,今天不論我們做什麼,似乎都少不了資訊科技。這樣廣泛被應用的結果,也產生了資訊作業的安全問題,從國外實施個人資料保護法的經驗看來:從人工作業洩漏個資的次數較多,但洩漏個資的筆數相對較小;而從資訊作業洩漏的個資資料量大,且影響面深遠。
如何避免個資洩漏的資安事件?
依據資訊技術層面來看,我們可以將防止發生資料洩漏的資安事件分為五個層次(資料、系統、裝置、使用者、紀錄保存)討論。
【防止資料洩漏之五層次】
資料
最核心的當然就是我們想保護的資料,針對資料本體,我們需要知道,欲保護的資料在哪裡。作業資訊化已有多年歷史,個人電腦、筆記型電腦,隨身碟等都可能存在著我們想保護的資料。如何做好資料盤點的工作,勢必再次依靠資訊作業。各單位可訂出該單位欲保護的資料格式,甚至可以藉由資料盤點系統自學的功能,建立該單位欲保護之資料的特徵,再配合搜尋軟體,於各個資訊設備搜尋欲保護的資料。
找出了欲保護之資料,後續要考慮的就是如何保護該資料,保護資料的方法包括:
(1) 對資料實施加密作業,如此未經授權的使用者,僅能存取加密過之資料。
(2) 對資料進行變造工程,如此未經授權之使用者,僅能存取變造後的資料。
(3) 對資料之存取訂定嚴密的授權管理機制,藉由授權管理,限制使用者存取權限,達成資料保護的目的。此種保護方式亦可與加密作業整合使用。
系統
防止資料洩漏資安事件發生的第二層,為應用系統層。合法/非法使用者皆可經由應用系統層存取資料,因此我們可以依是否擁有應用系統原始碼,採取必要的防護措施:
- 使用者擁有應用系統原始碼:使用者應注意應用系統資料安全漏洞之防堵,特別是處理個人資料之應用系統,應執行應用系統白/黑箱檢測,並確實修改應用系統之原始碼,以保護應用系統可存取之個資。
- 使用者不擁有原始碼:則應監控應用系統使用狀況,於必要時,由監控系統提供攔截、置換、防護等作業。
裝置
使用者要經由裝置使用應用系統;各類資訊作業之裝置亦為資料大量外洩之出口。有效防堵裝置之輸出埠,可降低資料外洩之機會,但是封鎖使用者之資訊設備,勢必引來使用者的不便利性,如果能採用內容認知(Contents Awareness)式的裝置保護系統,應可避免使用者使用上的不便。
使用者
使用者經由裝置使用應用系統,如何確認該使用者即為「真正」的使用者,為本層次要考慮的要項。我們可藉由使用智慧卡、或一次性密碼裝置,防止冒用他人身份情況發生。
紀錄保存
對資料本體的保護最後一項為資料存取軌跡紀錄保存。為提供足夠的證據,我們需要將使用者存取資料軌跡完整保存。同時為滿足稽核及法律的要求,應將各類資訊設備之紀錄集中保存,並將相關事件做關連性分析,提前預防資安事件之發生。
叡揚資訊以完整的資安工具加上優良的軟體整合服務,能將資料層、應用系統層、裝置層、使用者層及紀錄保存層之解決方案整合,提供您一個安全的資訊作業環境。