對於前些日子偷情網站Ashley Madison爆發資料外洩事件,只要是在這個星球上的企業組織應該都要有所警惕,對於自己的資料保護問題必須嚴肅看待。在你把某人的詳細資料放到公司資料庫裡的那一刻,就有責任確保這些資料的隱私與機密。在大多數國家裡,這不只是企業責任問題而已,而是合不合法的問題。也就是說,如果公司被駭而讓資料被竊,你可能會遭起訴,另外公司還可能因此而上報紙頭條。
然而,需要保護的不只是這些個人資料而已。任何機密或私有的智慧財產,例如提案、客戶關係管理報告、策略規畫等等,這些資料或許未必受相關隱私法條的規範,但也理應要有適當的控管。而且,這裡還有更為錯綜複雜的問題:一旦你開始將資料儲存在雲端或者是第三方的資料中心,也就失去了對自己資料的直接掌控權,因此你的責任從那裡開始又從那裡結束,恐怕是剪不斷理還亂。
在保護資料庫的防線上,最重要的第一步可能是將它們做好分類。
並不是所有的資料對你的企業組織都具有同等的價值,有些資料需要高度的保護,例如財務、客戶與人事資料。其他的一些檔案可能就不是如此敏感,例如內部溝通、行銷文件等等的。所以,一視同仁的對待全部所有的資料是沒有必要的。這樣的資料層級分類也會影響到資料的儲存,有些資料的儲存必須能夠以「記憶體內」(In Memory)的方式快速存取,有些則是可以儲存在歸檔用的磁帶裡。
這其中的關鍵就在於「元資料」,也就是metadata,或稱「中繼資料」。元資料就是「關於資訊的資訊」(information about information),如果元資料的「描述元」(Descriptors)設計良好並維護得當,對於資料安全將有很大的正面影響。元資料可能包含了隱私與敏感度的相關欄位(Fields),也就是關於公開、私密、保密、高度敏感等等描述。另外還有資料擷取日期、資料履歷(也就是資料曾經經過什麼樣的處理),存取權限(公司內不同角色的人能夠存取或修改資料),以及很重要的,資料何時能夠安全地將它刪除。
隨著「數量級」(Order-of-magnitude)資料庫儲存的成長,企業組織也努力在確保資料庫安全,資料稽核的重要性也在與日俱增。商業智慧(BI)、資料市集,以及大數據(Big Data)時代的來臨,對企業來說也意謂著一旦擷取之後資料就會在系統裡傳播開來。而資料的儲存與安全成本是很昂貴的,最佳的實作方式會如此建議:安全與儲存的支出必須符合資料對企業的價值。元資料就是在整個資料稽核上發揮最佳成本效益的關鍵之所在。
(本文作者現任Fortinet台灣區技術總監)