將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2012/12/10

因應個資法強化Log管理與稽核

法規帶動日誌管理需求看漲

洪羿漣
儘管個資法明定的個資範圍已排除軌跡資料,卻不代表這些資料不需要保護,相反的,企業在面臨訴訟案件需要追溯責任或舉證時,IT基礎架構中所產生的日誌記錄檔(Log)絕對不可或缺,亦是平日進行事後稽核、比對或證明的必備資料。
但企業端是否認知到Log管理的重要性?中華數位科技第一事業群計畫推動小組資深經理張莉屏不諱言,其實許多客戶都明白Log的確應該要管理,只是對於IT人員配置不多的中小企業而言,平日工作已相當繁雜,也無餘力再主動去了解,因此多是被動因應。若老闆或主管沒有特別指示需要保存的Log型態,頂多就是留下近一個星期的Log備查,等待事件發生時再尋求解決方案。可是這個現象在10月1日個資法正式上路後即開始產生變化,有些企業主已經開始想要了解,IT基礎架構中的設備與系統皆會產生Log檔,到底哪一些應該先進行管理、又該如何進行等相關議題。

除了管理更要可稽核

Splunk台灣區總經理林岳樺表示,其實依據個資法施行細則中提及十一項安全維護措施,跟IT有直接相關的部分是:第二項界定個人資料之範圍、第四項事故之預防通報及應變機制、第八項設備安全管理、第九項資料安全稽核機制、第十項必要之使用紀錄/軌跡資料及證據之保存。而Splunk即是以這四大項為目標,設計以資料安全為核心,建立預警性的即時監控及證據保存機制。透過個資生命週期的集中紀錄平台,執行Log蒐集、供稽核者或管理者查詢、設定Log類別與錯誤事件、比對事件模式(Pattern)與基準值(Threshold)並發出告警,以及產出分析報表。

而國內郵件安全管理廠商中華數位,則是選擇代理來自日本網屋旗下的ALog ConVerter,張莉屏解釋,早在七年前日本個資法在推動之初,其實跟台灣的現況類似,市場上亦不乏國際知名大廠,像是Novell、Splunk等,皆可用來協助Log管理。但這些解決方案可蒐集的Log範圍雖十分廣泛,但統合在單一平台後搜尋呈現的表格並無法符合日本企業嚴格的稽核規範,例如ISO 27001 A10.10的要求,因此網屋才轉而自行研發推出ALog ConVerter,至今已近七年,產品已相當成熟。

目前在台灣推行的ALog ConVerter中文版,是以Windows與SQL Server系統平台為主,下一步才會提供Linux平台與Oracle資料庫的支援。中華數位客服暨技術支援部副理黃彥儒解釋,多數客戶的伺服器作業系統仍以Windows平台為大宗,資料庫系統多採用SQL Server,因此ALog ConVerter首推中文版即是以最多使用者運用的平台優先支援。


▲ALog ConVerter管理系統運作機制示意圖。(資料來源:中華數位科技)


其技術架構是透過網路芳鄰方式,將Windows作業系統本身產生的事件紀錄檔,利用工作排程定期以SMB/CIFS傳送到ALog ConVerter伺服器,透過其核心演算法技術,從眾多的Log中解析出跟個資法相關的資料,直接儲存到SQL Server的同時,也會在本機產生一份CSV格式檔,來提供稽核與分析之用;而SQL Server則是利用內建的Trace Log機制來傳遞,並非直接進入資料庫中撈取,因為此動作在日本是犯法行為,故在產品設計上皆已加入考量。

合乎用途就是好方案

「我們也發現一些外商品牌的高價產品,的確是大型企業、學校等,有Big Data(巨量資料)分析需求的組織單位會願意投入昂貴建置費用來導入,但一般的中小企業往往難以負擔。這也是ALog ConVerter這類產品可以切入之處,以符合中小企業的需求。」張莉屏說。「不可否認,仍有客戶希望能夠尋求一些不用錢的作法,例如透過免費軟體撈取Log,或利用Windows系統提供的基本稽核工具進行管理,如何取捨就得視企業對Log管理這件事要做到什麼程度而定,我們認為,若真的想要建立稽核流程以達到管理目的,還是得仰賴商用軟體來達成。」

至於商用軟體要如何來協助,又必須得視企業對個資法的認知層次而定。對於沒有稽核主管的企業而言,通常IT人員只是依照老闆指示去撈資料,稽核流程相對較簡單;但若是遇到要依據部門別來區分報表,這就需要有群組概念的功能來協助。她表示,像是坊間多數Log管理並非以法規遵循為設計基礎,因此在稽核流程方面就會顯得比較薄弱,而ALog ConVerter的特色就是在稽核流程的實踐力,並且網屋本身多年來在日本已輔導非常多企業導入,累積許多相關實作經驗,即可複製到台灣企業環境。

須確保不可否認性

想要讓Log紀錄檔成為具有法律效力的證據,就必須確保其獨立性與不可否認性。對此Splunk的作法是採用SSLv3進行資料加密傳輸,以原始資料型態保存,並且所有資料經由數位簽章以保護資料不被竄改,而這些作業歷程同時也會產出一份紀錄,以供事後稽核。

至於ALog ConVerter,張莉屏建議採取雙軌稽核,也就是兩個不同權限管理者,分別管理不同Log伺服器,因為可以具有相互勾稽的效果。而CSV格式檔的備份保存是否一定要加密?黃彥儒認為,這部分法令無明文規範,且又有加密後無法解開的疑慮,其實透過MD5檢驗工具亦可達到類似的功效。

法規遵循只是起點

在某些法規遵循中,合規報表的產出往往是相當重要的一環。但因為個資法不可能有明確定義的稽核報表設定標準,企業就得視如何定義個資及其所在的位置,來設計出監控標的的報表。她表示,此時即可參考ALog ConVerter內建的範本,按照不同的稽核情境去設定條件,即可設計出符合公司管理規範的報表。

張莉屏提醒,在評估管理類的系統平台時,不應單純只是從法規的需求角度,更要納入商務營運的考量。例如個資法常被視為特定產業才會面臨較大的衝擊,亦即擁有最多個資資料量的企業,但如此一來卻很容易輕忽商務營運的風險,像是製造業就會認為公司內部只有員工資料,只要人事部管好即可,可是往往遭受威脅風險最大的不只是來自個資,還包括商業間諜。

「我們就曾遇到過從事貿易商的客戶,專做B2B生意,結果業務部同仁開啟一封偽裝的郵件後,就被詐騙集團盯上,詐騙集團開始偽裝成買家跟他下訂單,最後不僅錢沒收到,貨品也被盜走。」張莉屏說。

其實駭客會攻擊的標的,多數為企業內部重要資產,因此企業必須明白有哪些重要的控制點,例如檔案、資料庫存放的地方,即為基本的控制點,這不只是個資法的角度定義,從商業管理的角度同樣很重要。
這篇文章讓你覺得滿意不滿意
送出
相關文章
何謂適當安全維護措施 個資法無具體規定
GDPR法案風暴來襲 業者資安法遵嚴陣以待
亞太區也有CBPR隱私規範 由「問責機構」驗證昭公信
臉書映出企業個資危機 現況不改必遭GDPR重罰
檢視「告知後同意」 研擬優化機制適用新法
留言
顯示暱稱:
留言內容:
送出