精誠資訊 Protegrity Secure.Data

根據2002年美國聯邦調查局電腦研究所（FBI CSI）「電腦犯罪與安全」研究報告指出，約有85%受訪企業在過去一年間，曾遭受病毒、阻斷服務攻擊（DoS）或系統入侵等惡意攻擊，這些攻擊行為有71%是來自企業內部。企業內部對公司不滿的員工（在職或離職者），不但熟悉公司內部環境，如果內部督導控管不善，將成為企業資訊安全的重大威脅。

9月16日，國內爆發財金公司員工外洩信用卡資料，只是讓一般人注意到資訊安全的問題，但如何防範才是重點。精誠公司總經理林隆奮表示，資訊安全的最後一道防線是資料庫安全，為了防止企業內部員工非法取得機密資料，發生類似財金公司的洩密事件，根本的解決方法是導入資料庫分權控管機制，將系統管理和資料存取的權責畫分清楚，若未經許可，即使權限最高的系統管理員也不能存取機密資料。
三大模組分權管控，支援主流資料庫

精誠資訊代理資料庫加密軟體Protegrity Secure.Data，支援市面上的主流資料庫，包括Oracle、微軟SQL Server、Sybase、Informix及IBM DB2，提供資料庫分權控管、資料加解密、密鑰自動管理、資料安全等級區分、角色存取機制及稽核報表等功能，保護企業資料庫安全。

Protegrity Secure.Data分成Secure.Data Manager、Secure.Data Server及Secure.Data SQLDirector三大模組，支援Unix與Windows作業平臺。Secure.Data Manager主要用來設定安全政策，Secure.Data Server則擔任仲裁者，傳輸過程採非對稱性加解密，只允許經過授權的使用者存取機密資料，配合Secure.Data SQLDirector自動產生SQL Script，讓系統落實安全政策。精誠會協助企業評估安裝環境、訂定安全政策、系統安裝上線及相教育訓練等工作。

隔行如隔山，即使企業高層知道要對資料庫加密，還是要由資料庫管理員（Database Administrator）執行，做了等於沒做。透過Secure.Data分權控管資料庫，資料安全控管人員（Security Officer）負責資料庫權限設定，可以看到所有的機密機料，但無法變動資料庫架構；資料庫管理員負責管理維護資料庫，新增或刪除使用者，但不能存取未經授權的資料，預防機密資料外洩。
角色、時間及部門存取機制

在資料庫權限設定上，可分為Role Base、Time Base及Row Base存取控制。依角色為基準的存取機制（Role Based Access）是Secure.Data的核心功能，管理者可以定義每位使用者所扮演的「角色」，系統依此判斷使用者的存取權限。以Oracle資料庫為例，兩位使用者查詢同一個表格，沒有權限的使用者將看不到SAL這個欄位。

以時間為基準的存取機制（Time Based Access），則是規定使用者的權限時間，上班時間（例如9時～18時）可以使用，超過這個範圍系統將提示無法連結。

同一個表格，每個部門只能查看所屬部門的資料，這時就適合使用Row Base存取機制，內建的兩個不同部門查詢同一份表格，系統只會顯示該部門的資料。

除了上述的三種方式，Secure.Data Manager可以設定關鍵性資料的存取等級（access level），只允許管理者存取的資料，程式設計師或一般使用者就無法存取，達到資料安全等級區分。當管理者完成設定後，系統會自動產生SQL script，執行後就能完成設定。管理者可以依據實際的需求加密不同的表格或欄位。
3DES加密演算，搭配多重金鑰管理

企業要保護資料庫機密資料時，往往費時費力撰寫相關程式，不僅影響系統效能，而且令人懷疑真的安全嗎？Secure.Data的資料保護機制是以嵌入式元件（plug-in middleware component）建構在資料庫中，具備高度的應用程式通透性（application transparency），應用軟體不須加入其他函式就可以對關鍵資料加解密。但是，系統進行加解密時，仍會耗用部分資源，廠商建議加密20%以下的資料量，會有較佳的效能。

單一加密法只要被破解一次，其他資料就可以如法炮製。在Secure.Data上就沒那麼簡單。管理者可以針對不同的資料欄位，選擇DES、3DES或AES加密技術，每個資料欄位設定不同的密鑰，可以達到最大的保護效果。系統提供自動管理及備分密鑰功能，可集中控管不同資料欄位的不同密鑰。

所有與機密資料相關的資料庫操作與事件，包括新增、修改、刪除及查詢資料，都會被加密儲存在Secure.Data Server中，以供稽核及報表查詢。

在產品定位上，精誠會以軍方、政府及金融業為主要目標客戶，再推廣到製造、電信、醫療、零售、流通及電子商務等領域。企業導入資料庫保密工具時，除了考慮支援的資料庫種類，產品的整合性及後續維護費用也需注意。

Secure.Data採用分離系架構，由Manager、Server及SQLDirector分別控管，增加系統的安全性與穩定性，而且維護費用也較一般資料庫工具（Database Toolkit）或應用程式便宜。

財金事件之後，許多人忙著改密碼、忙著對帳單，我們可以怪財金公司督導不周、管控不嚴，但我們自已有做到預防的工作嗎？有人會定期更換密碼嗎？有真正做好資料安全防護嗎？資料安全就如核電廠安全一般，沒事就輕鬆愉快，一旦事情爆發就可能危及整個企業，要找漏洞、捉內賊，先從資料庫安全做起吧！文⊙陳世煌