透過備份、還原的方式來保護個人電腦與伺服器端資料,是企業環境中最普遍的作法,也是目前最多企業在因應資料安全上所採取的作法。

在目前市面上販售的資料安全產品中,我們總共找出13種類型的解決方案來對應,而對照2012 iThome個資法大調查的結果,也可以看出各產業與所有企業對於這些產品的偏好。

在這項調查中顯示,針對資料安全的防護,71.6%企業目前能因應的作法是資料備份,其次是郵件稽核∕備份,有57%的企業已經或預計採用,在各產業應用中,這兩類產品也是絕大多數企業或單位所具備的,使用率幾乎都超過五成。

資料備份

對於重要資料的保護,透過備份的方式來保存內容,是企業IT實務中最普遍的作為,因為沒有這些資料,日常業務和工作流程都無法運作,然而每一家公司或單位在備份工作執行的範圍、資料回復要求上,以及儲存應用架構的設計上,可能有很大的差異。若要滿足個資法要求的安全維護措施,可能還要搭配其他作法才會夠完善。

例如,當前很多企業備份的目標,主要是集中存放在伺服器上的檔案,或應用系統本身的資料,較少涵蓋到個人端電腦的資料保護。

此外,執行備份機制的主要目的,是讓系統或資料回復到原來的樣子,想要尋找其中的特定檔案,目前是做得到,但有可能在實際作業上會很麻煩,例如備份資料分散在不同的磁帶或光碟片上時。針對個資法這樣的法規遵循需求,企業還需要注意所保存的資料不能被竄改,否則就算將資料找出來,仍無法被法庭認同是數位證據。

郵件稽核∕備份

基本上,多數公司或組織都有對外溝通需求,而透過電子郵件互相聯繫是相當普遍的e化應用之一,因此有很多企業、單位在業務往來的過程中,都逐漸建置這樣的系統,以便即時阻擋機密資訊透過郵件外洩,或能快速找出相關的信件內容,以便舉證、求自保。而在iThome個資法大調查中,我們看到醫療業之外的其他行業,都有超過五成的使用率。

以郵件稽核產品來說,大多是整合成專屬設備,供應商目前以臺廠居多,例如碩琦、桓基、網擎、中華數位、Cellopoint、綠色運算,也有外商廠牌可選擇,像是Barracuda、Cisco IronPort、GFI、MiraPoint等。至於郵件備份產品,前述廠商多半也都提供專屬設備。此外,也有軟體式產品是針對各種郵件伺服器平臺來備份,像是一些企業級的備份軟體,如Symantec、CA、Acronis旗下的產品,可以針對微軟Exchange或IBM Lotus Domino等郵件系統,提供保護。

資料庫防火牆

面對個資法的要求,目前有36.9%的企業已經或預計採用資料庫防火牆(Database Firewall)。像一般製造業、服務、金融、醫療、政府機關與學校,都有三到四成的比例在用或打算採用這類產品,需求不小。不過,目前臺灣可提供該類型產品的廠商,有Chakra、Imperva與Oracle。

對於資料庫防護會有這麼大的需求,主要原因是在企業的應用系統中,有很多資料都集中存放資料庫內,即使企業有完善的系統與資料備份機制,然而資料庫系統若受到惡意攻擊而導致運作上有問題,也會連帶影響應用系統的執行。而資料庫防火牆的任務,主要是即時阻擋惡意SQL指令(例如SQL injection)或疑似DDoS、緩衝區溢位的攻擊,設法在資料庫開始接收這些指令之前就先擋下來。

檔案加密

檔案加密在整體企業接受度不低,在金融業和政府機關與學校都有超過五成的比例,已經或預計採用它來針對資料安全的保護。

事實上,內建或提供這種功能的產品很多,目前它們所採用的加密演算法,大多是128位元或256位元長度的AES(Advanced Encryption Standard)。

例如歷來微軟Windows作業系統都提供的加密檔案系統EFS,在Windows Vista/Server 2008之後內建的全磁碟加密BitLocker,可保護整臺磁碟資料的安全性,甚至在文書處理軟體Office,在2003版推出後,也能和Windows Server搭配,整合其中的文件權限控管服務IRM/RMS,達到文件保護效果。我們所熟悉的檔案格式或開啟的應用軟體,本身也有很多內建加密功能,大多用密碼的方式限制檔案內容的開啟,例如PDF 文件檔、RAR和ZIP等壓縮檔。

專門提供檔案加密的產品不勝枚舉,然而在企業環境下使用,一般仍以文件安全控管系統的接受度較高。目前在臺灣常見到的廠牌與產品,像是優碩TrustView、精品X-DoRM、思訊IP-guard V+、以柔D-Security、海威Encryption File Manager(EFM)等。也有一些是整合在文件管理系統下,作為內建功能之一或選購模組,像是新人類WebISO、華苓Docpedia、以柔DMP。

國際大廠也有廠商的產品,可以對應這方面的需求,但搭配方式上有些不同。例如Symantec PGP系列產品下的Command Line和NetShare,是針對檔案加密的產品,前者是將加密功能以指令的方式整合至應用程式的Script執行環境中,後者則是直接加密檔案伺服器上所共享的檔案和資料夾(前述產品中,有些也能提供類似功能),若需要和其他端點、閘道端加密產品集中控管,可搭配另一套PGP Universal Server。

另一個比較知名的品牌是SafeNet,該公司的ProtectFile和ProtectDrive軟體,分別對應檔案與磁碟加密的功能。該公司還有一款產品ProtectV相當特別,針對的是雲端環境的資料安全,以預先設定好的映像檔來建置系統,以保護公有雲廠商代管環境或企業私有雲環境下的虛擬機器,目前支援Amazon EC2(Elastic Compute Cloud)和VPC(Virtual Private Cloud),以及虛擬化平臺VMware vCenter。

在臺灣市場上,還有一家廠商的產品也是針對檔案加密用途,那就是Secward的TotalFileGuard(TFG)。

至於提供單獨檔案加密產品的臺灣本土廠商與產品,目前較知名的有:精品Big Lock、全景Net-Sphinx。

檔案監控

在檔案監控產品的採用上,除醫療業和政府機關與學校之外,也有三到四成比例的企業,表示會用來針對資料安全防護。不過,目前在市面上要找到提供這方面功能的商用等級產品,選擇相當有限,較為人所知的,像是Tripwire Enterprise,這套軟體的相關功能之一,是可以用指紋特徵比對的方式,進一步檢查欲監控檔案的完整性(Integrity),系統若發現檔案內容遭到竄改,會提出警告。

另一種作法則是從DLP(Data Loss Prevention,DLP),這類產品可檔案格式比對、關鍵字過濾,及特徵辨識等方式,檢查檔案本身是否包含需要受到保護的機密內容,並藉以控管使用者傳送機密資料的行為。

若從作業系統的角度來控管,微軟Windows Server在2003 R2之後的版本,強化了檔案服務的應用上,他們在檔案伺服器資源管理員中(File Server Resource Manager,FSRM),提供檔案檢查(Screening Files)或檔案檢查稽核(File Screen Audit)的機制,但該功能的目的是主動預防使用者,使他們不能將企業未認可的檔案類型存放到伺服器上,或是監控使用者擅自儲存特定類型檔案的行為,功能相當陽春,並無法和Tripwire和DLP等產品相提並論。

資料銷毀

在金融業和政府機關與學校,對於資料銷毀的措施使用的意願較高,有四到五成的比例,分別與病患、消費者個人資料相關的醫療業和服務業,僅三成表示會採用。

在企業環境中要進行資料銷毀的目標,主要分成紙本資料和電子資料。

要做到紙本資料的銷毀,一般會採購碎紙機來進行,若是量大,可以委託給外面的專業銷毀廠商來執行,或是派專人將這些紙張送至焚化爐銷毀,或交給紙廠水銷,做成再生紙。

而電子資料銷毀,一般IT人員可能會想到用資料抹除軟體,來消除磁碟上的殘餘資料,但這主要針對的是之後還打算繼續使用的電腦硬碟,對於報廢的電腦硬碟、存放備份資料的磁帶,就必須透過其他方式處理。

為了杜絕這些儲存裝置在棄置後,原本所儲存的資料被修復、取出使用,IT人員必須設法徹底破壞,通常會採用的作法,不外乎執行低階格式化,或用物理的方式破壞,像是用鹽酸等腐蝕性液體,或是用火焚燒、鐵鎚敲擊、浸水、刀割、等方式來破壞碟片的結構,不過這些作法實際執行起來都很花時間,因此市面上也出現硬碟消磁機(Degausser)這樣的設備,以及專業的硬碟銷毀服務來因應。

以消磁機來說,現在臺灣有幾種廠牌的設備可以選擇。先前出現的是Fujitsu的Mag EraSURE系列產品,但後來他們把硬碟部門賣給Toshiba,所以品牌也跟著改變,目前代理商為寶信興。

在臺灣市場上出現的另一個廠牌是Orient,也是來自日本,由潘朵拉科技代理,目前他們銷售4款消磁機、一款物理破壞機,以及兼具前兩種功能的複合機(Combo)。

此外,錢隆科技也銷售相關產品,像是上述Toshiba Mag EraSURE系列,還有販賣同為日本廠牌的ADC MagWiper系列消磁機。

這些代理商中,有些同時提供硬碟銷毀服務,畢竟並不是每個公司和單位一直都會有報廢硬碟需要處理。近來IBM臺灣分公司也開始提供資料銷毀服務,主要也是針對報廢硬碟的處理。

資料庫稽核

資料庫內所存放的資料是企業經營的命脈之一,而目前臺灣企業中針對該環境的稽核作業較為注重的,有金融業和醫療業,有四到五成比例的公司或單位,已經或預計採用這種產品,來因應資料安全的需求。

原本單靠資料庫系統本身的功能,也可以達到稽核的目的,但考量到這種作法對於系統效能的影響,因此大多數企業不會啟用這類功能,再加上這些稽核記錄若是存放在個別資料庫系統內,若實際上要查閱內容也會相當困難,因此透過獨立的專屬設備來達到監控的目的,也有其必要性。

這類產品在監控的架構上,分為Sniffer網路封包側錄分析,以及在資料庫系統內部安裝代理程式。不過現在提供相關功能的產品,大部分都已同時支援兩種建置模式,像是Chalet ADS、庫柏DBAegis、Fortinet FortiDB,以及IBM InfoSphere Guardium的Database Activity Monitor、Imperva SecureSphere的Database Activity Monitoring。

除了上述產品之外,還有一款資料庫稽核產品是來自韓國的WareValley Chakra,它也是支援網路端與主機端等兩種建置模式,不過較特別的是,它還可以依照政策,以針對未授權的資料庫存取加以即時阻斷或發出警告,做到資料庫防火牆的功能。

資料庫加密

在資料庫的安全性考量上,不只是要讓系統正常運作,保護其中存放的資料也是重點,除了透過稽核的方式監督人員或應用程式的存取過程,資料庫系統對於自身所保管的資料也要更加嚴密的保護,而加密的實施,勢在必行。

基本上,目前兩大關聯式資料庫系統都支援加密功能,而且是所謂的透明式資料加密(Transparent Data Encryption,TDE)。

例如微軟SQL Server 2008和2012都內建TDE,至於Oracle Database 10g和11g則需要選購Advanced Security的項目,才能具有TDE的功能。不過Oracle的TDE可以做到欄位層級(Column-level)的加密,並在11g之後開始支援針對表格空間(Tablespace)的加密,等於涵蓋Data File的群組。

在IBM DB2中,則需搭配Database Encryption Expert,或是另一套InfoSphere Guardium Data Encryption,至於Sybase Adaptive Server Enterprise(ASE),從12.5.4版開始支援加密欄位,而15.0版的透明式加密可做到針對個別資料庫欄位,以及綱要等級的加密(Schema-level Encryption)。

除了啟用資料庫本身的加密機制,也可以透過其他資料庫加密產品的協助,來達到保護資料庫的需求。目前可選擇的相關產品有SafeNet的ProtectDB,可支援多種資料庫系統平臺,運作上是先在資料庫伺服器上安裝一支連線程式,將欲加密的欄位資料,傳送到DataSecure平臺來處理,之後,這些受到加密的資料再傳回資料庫伺服器存放。

此外,要做到資料庫加密,也可搭配硬體加密器(Hardware Security Modules,HSM),讓資料庫將加密金鑰存放其中予以保護,而且可以利用設備中的專屬晶片來處理加解密程序。而目前在臺灣可選擇的HSM廠牌,主要有SafeNet、Thales、Ultimaco,而他們所支援的資料庫平臺則為Oracle Database和微軟SQL Server。

列印控管

傳統在控管使用者列印行為時,主要目的是監控與限制其用量,隨著安全意識高漲與個資法的頒布實施,有越來越多企業希望,將紙本文件的機密資料透過這種管道外洩的機會,降至最低。在iThome個資法大調查中,金融業已經或預計採用的比例最高,幾乎逼近一半,醫療業敬陪末座,這讓人想起去年,萬芳醫院曾傳出回收紙背後有病患就醫資料的事件,引起大眾關注,但顯然從今年的個資大調查結果來看,醫療業對這類資料保護措施投入的程度並不夠積極。

想要控管紙本文件的安全性,除了從文件安全控管的角度,自電腦端限制使用者列印檔案內容的權限,現在有許多列印設備廠商,如Canon、富士全錄、HP、Kyocera、Lexmark,都已經能夠提供安全控管的解決方案來對應。

整體而言,目前上述列印控管產品所能提供的安全機制,大致包含下列幾種:身分辨識、功能權限控管、密碼機密列印、安全浮水印、列印資料內容備份和記錄、文件內容自動關鍵字警示。

實體隔離

所謂的實體隔離,主要是是針對負責重要作業的個人電腦與伺服器,透過嚴密管制存取資料的方式,以達到保護需求。

相關的做法有很多種,例如,封鎖USB埠、限制電腦不能隨意外接儲存裝置;或是讓使用者只能透過沒有任何非必要連接埠的精簡型電腦,登入系統;或不能任意打開電腦機殼,更換磁碟機和光碟機;或是將特定電腦使用的網段徹底隔離,使位在這些區域的電腦與伺服器的網路封閉起來,不能擅自存取企業內部或外部網路,而需透過中繼伺服器或用VPN連線的方式來傳遞資料。

在iThome個資法大調查中,只有22.5%的企業表示要採用這種方式,來保護資料安全,其中也是以金融業的意願居冠,有將近一半的比例,其次是醫療業,有3成。

要落實周邊裝置控管,我們可以用很多人工的方法去針對一臺臺電腦執行,像是從BIOS修改設定、移除跳接器(Jumper)、用熱熔膠堵住或易碎貼紙黏在連接埠,或是修改電腦登錄機碼、移除驅動程式。也可以透過群組原則、專用的周邊裝置控管軟體,或資產管理軟體、端點防護軟體與企業版防毒軟體所內建的周邊控管功能,來進行管制。

目前在臺灣可以買到的企業級專屬周邊控管軟體,主要有達友代理的DeviceLock,以及亞太信息安全代理的Lumension Device Control。而連帶提供周邊控管功能的資產管理軟體有很多,像是旭辰SmartIT、精品X-ITasset、思訊IP-guard。至於企業版防毒軟體,也有很高比例的產品可同時提供這類功能,像是Symantec、趨勢、McAfee、Sophos、Kaspersky、ESET、F-Secure。在端點防護軟體,像是LANDesk Security Suite、GFI Endpoint Security也具有周邊裝置控管能力。

郵件加密

我們日常所使用的電子郵件,在寄送過程中沒有任何安全性保護措施,若遭有心人士攔截或側錄,是可以直接擷取或竄改信件內容和標頭。然而,卻很少有企業認真看待電子郵件加密這件事。在iThome個資法大調查中,只有兩成的企業已經或預計採用這樣的方式,來保護資料,其中還是金融業的比例較高,有5成以上的公司重視這種作法。

在作法上,目前郵件加密的產品所針對的位置,分成郵件伺服器、端點、閘道和雲端服務。

郵件伺服器的部份,大多數系統可以做到在傳輸信件時,用SSL或TLS加密通道連線。

在端點的部份,個人端電腦可以透過S/MIME或者用PGP通訊協定,以便安全地收發信件。若想使用這樣的功能,許多郵件管理軟體都支援S/MIME,能夠直接使用其中的數位簽章和郵件加密機制,或者也可以用Symantec PGP Desktop Email。

閘道的部份,像是Cellopoint有獨立的加密閘道設備Encryption Appliance,而碩琦、網擎的郵件稽核設備,則可選購數位簽章與郵件加密模組。外商則有Symantec PGP Universal Gateway Email,以及趨勢的Email Encryption Gateway、SafeNet Email Security Gateway、Proofpoint Enterprise Privacy等產品,提供閘道端的郵件加密機制。

作法較特別的是Sophos的郵件安全設備Email Appliance,它是用SPX(Secure PDF Exchange)的加密方式,將未加密的附件檔轉成具有密碼保護的PDF檔,來保護敏感資料。

而雲端服務的部份,現在有Symantec MessageLabs Email Encryption.cloud,以及McAfee SaaS Email Encryption,可提供郵件加密的軟體即服務(SaaS)。

資訊遮罩∕去識別化

除了透過加密的方式,讓真實的資料內容可以隱藏起來,利用遮罩(Masking)的方式修改資料原本的內容呈現,做到去識別化(Deidentify)。這就像我們現在操作銀行ATM設備時,最後完成交易所印出的單上,往往在使用者帳號欄位上只印出後五碼,而基於這樣的作法,有心人士即使取得這些資料,也無用武之地,因此同樣是有效防止資料外洩的作法之一。

然而,在資訊應用系統上,要做到這件事情並不容易,除非系統重新開發,或在開發時就已考量道這樣的需求。不過,現在已經有產品提供這方面的功能,例如Informatica的Dynamic Data Masking,在使用者存取資料庫中的敏感資料時,透過SQL proxy的方式,自動將這些資料內容套用遮罩或擾亂(Scramble)、隱藏,加以保護。對於資料庫非法存取行為,這套產品也支援阻擋、稽核與警告發出等防禦機制。

其他類型的IT產品中,有些也提供資料遮罩的功能,例如Verdasys Digital Guardian這套DLP系統,就支援這方面的防護。

針對Oracle的資料庫應用程式,Oracle推出Data Masking Pack的資料遮罩套件,與該公司的企業IT管理平臺Enterprise Manager搭配使用,當中總共可提供4種遮罩方式:基於不同情況所套用的遮罩(Condition-based masking)、相關資料欄位複合式遮罩(Compound masking)、資料一致性遮罩(Deterministic masking)、基於金鑰的可逆式遮罩(Key-based reversible masking)。無獨有偶,IBM也有一套InfoSphere Optim Data Masking solution,可涵蓋結構化和非結構化資料,並可支援ETL等資料搬移工具。

根據iThome個資法大調查的結果來看,金融業有7成的比例已經或預計採用,意願相當強烈,其次是政府機關與學校和醫療業,有3成的單位打算使用,但其他產業使用的比率就比較低。

數位版權管理

企業認知的數位版權管理(Digital Right Management,DRM),其實就是所謂的文件安全控管,而不是指多媒體影音檔、電子書防止盜拷的機制。

目前在臺灣可以找到提供這類功能的企業級產品,如同前述,有優碩TrustView、精品X-DoRM、思訊IP-guard V+、以柔D-Security、海威Encryption File Manager (EFM)等,在這些系統中,管理者可以控管使用者對文件檔案的讀取、編輯、列印、複製的存取權限,並且定義文件的有效期間,一旦超過時間,使用者就無法開啟檔案。

對照iThome個資法大調查的結果,對於這類型產品,目前企業打算用來針對資料安全的意願是最低的,除了金融業以外,其他產業只有不到1成的比例已經或預計採用。

許多個資事件外洩,除了遭有心人士竊取,有另一個原因是沒有妥善處理過期或報廢的資料或儲存媒體,而企業所要處理的包含紙本文件和硬碟、SSD。

電腦的周邊裝置控管是實體隔離的作法之一,企業若在重要的設備上,未嚴格管制其存取外接設備的方式,有可能會因此感染病毒。

資料遮罩的用途,現在不只是用在使用者輸入密碼時,將所鍵入的字元以其他方式呈現之外,現在也可用在系統操作介面的資料呈現上,以避免讓使用者直接接觸到敏感個資。


相關報導請參考「防範資料外洩,IT總動員」


Advertisement

更多 iThome相關內容