隨著個資法進入三讀、補教業等特定個資法規陸續上路,扮演著資安市場最大驅動力的法規因素,已逐漸成形;另一方面,面對經濟衰退、裁員異動頻繁,企業不僅必須積極避免顧客資料或智慧財產遭竊,更要嚴防內部人員監守自盜的風險。目前最主要的資訊安全問題,幾乎完全圍繞著「資料外洩」,而原本位於技術光譜不同位置的資安業者,也在資料保護的領域產生了交集。
從資料外流的行為模式、傳輸管道、存取權限、管理漏洞等角度來看,型態可說五花八門,迄今仍沒有廠商敢宣稱可以解決任何資料外洩問題。較完整的解決方案,導入所需的成本心力也較高,企業仍可以從機密資料種類與數量分佈、業務型態與資料流向、對存取者可管控深度、資訊網路環境架構等面向,尋找值得優先部署的保護機制。
無論從終端電腦限制週邊傳輸儲存裝置,並阻斷異常資料傳輸;或者在內部網路上管理使用者行為與過濾應用程式,將重要資料留在企業網路內部或以網路記錄器留下稽核證據;又或者直接對文件檔案本身進行自動加密或數位版權管理,只讓可信任的用戶使用,都不失為在特定方向保護資料的成熟技術。而正在蓬勃發展的DLP解決方案,則企圖以更完整的自動化機制,有效解決機密外洩問題。
依需求選擇方案 首先釐清保護對象及存放位置
法規驅動力增強 DLP逐漸加溫
 |
| ▲Websense台灣區技術經理林秉忠表示,企業導入DLP首先應該跨部門通力合作,了解資料存放的位置之後,再決定資料的機密等級,才開始以模組化漸次導入。 |
在大環境不景氣之下,資料外洩的議題反而成為資訊安全廠商強調的重點。資料外洩不只有一種管道,企業需要從不同層面去檢視資料可能會透過何種管道外洩,以及這些管道要如何防範。如果僅需要實體禁止使用USB外接儲存裝置,甚至只需要用熱熔膠將插孔封起就可以了。當然情況很少這麼單純,針對不同管道,會有不同解決方案,有時需要多種方案互補,才能加強資料外洩防護能力。
企業防止資料外洩的解決方案類型多樣,可以是單一產品、機制或是整合型方案。以堪稱多方位防資料外洩的DLP(Data Loss Prevention)而言,所強調的防護涵蓋層面就相當廣泛。而同樣強調資料保護的DRM(Digital Rights Management)數位權限管理機制,則是針對檔案本身做加密及權限管制動作,進而達到加密保護的效果。另外還有端點安全防護機制、上網行為管理、網路使用紀錄等解決方案或產品,無一不是在現在強調防範資料外洩的當下,企業可以考慮導入的機制,端看不同企業組織的需求。
IDC分析 DLP需求上升
台灣企業資訊安全觀念的成熟度,始終比國外要來得慢熱。以DLP而言,去年各大安全廠商提出解決方案後,預期中會感興趣的企業,反而因為金融海嘯、IT預算緊縮等原因,實際導入案例寥寥可數。但是今年初卻看到資訊安全在IT市場哀鴻遍野時,反而能有持平甚至逆勢成長的情況。
全球資訊安全市場原本擁有一些專門做資料保護的廠商,其中某些小型資訊安全廠商,以往甚至並沒有踏入台灣市場,直到這兩年,大型資訊安全業者加以併購之後,開始在台灣推出DLP解決方案,例如賽門鐵克併購了Vontu,EMC併購的RSA等,但是IDC企業應用資深分析師薛如珊指出,DLP解決方案市場詢問度很高,不過目前真正導入的企業組織卻還是偏少數。
然而台灣資訊安全市場相較於日本或是美國,還是成長較為緩慢,企業組織對於資訊安全的意識,也較為不成熟。但是今年個資法即將通過之際,台灣資訊安全市場有持續加溫的現象。以往企業認為資料保護是「沒有發生就沒有必要」的這種消極觀念,已經慢慢被破除,薛如珊表示,尤其將來個資法通過後,初期至少會比較針對大型的企業做法規稽核,因此也強化了企業導入DLP解決方案的意願。
從法規角度來看,企業導入任何安全方案,都是為了證明本身對資料進行妥善保護,因此除了DLP之外,相關的資料保護軟體也會隨著法規因素成長。現在大環境不景氣,薛如珊表示,雖然金融海嘯首當其衝的正是金融業,但其實目前銀行的IT預算相較其他產業還是較充裕的,尤其當前各公營行庫對資訊安全產品的導入更是市場大宗。
跳脫功能迷思 先釐清保護目標
 |
| ▲賽門鐵克資深技術顧問張士龍表示,DLP導入會花較長的時間,原因在企業機密資料分類以及測試評估效益,導入後除了可以防範外洩之外,還可藉機教育使用者,導正不正當的檔案使用行為。 |
Websense台灣區技術經理林秉忠表示,導入防洩密解決方案最怕影響企業營運,改變企業流程,因此在導入DLP時一定要分階段分模組導入。企業在還不了解自身防洩密安全需求時,不建議直接導入整體解決方案。
「企業規劃DLP前應該先了解導入的目的,」林秉忠指出,很多企業IT部門被告知要建置防資料外洩機制後,就開始埋首尋找可用的解決方案,往往直接陷入功能比較的迷思。由於實際上沒有任何安全廠商能夠宣稱提出100%完美防護解決方案,因此當企業不清楚自身應該保護的資料時,就會找不到防護的重點。
此外,針對不同的企業文化及資料流程,需要防護的管道也不同,因此當企業釐清保護目標後,必須確認欲保護的資料,將資料密件等級分類,且藉由跨部門的通力合作,瞭解資料的存放位置,再開始執行DLP的測試階段。林秉忠表示,當企業在測試DLP時,通常很快就會發現其阻擋資料外流的效果。
DLP除了涵蓋主機各種週邊儲存、傳輸以及各種透過網路進行傳送的管道,更可以彈性的政策設定與自動化機制來便利管理。預料個資法通過後,將會有更多企業組織特別挪出預算來部署保護企業資料的解決方案。
政策制定同時 資安再教育
賽門鐵克最大的優勢在於結合多面向的資料保護,賽門鐵克資深技術顧問張士龍表示,DLP市場呈現成長,但是目前看到導入的成功案例還是少數,原因在於,DLP導入的時程會比評估一般資訊安全解決方案還長,因為從政策制定開始,經過實際測試後,當外洩事件達到一定的數量時,才會討論是否需要導入。
「導入DLP可以保護資料外洩之外,還可以做到宣導使用者保護機密資料的資安教育。」張士龍指出,很多企業使用者在傳輸資料時的流程並不適當,公司內使用者在檔案分享時,也無法釐清會造成外洩的原因,因此也可藉由DLP的導入,警告視窗的顯示,導正公司內部使用者不正確的檔案使用行為。
安全政策的制定是企業導入DLP時首要工作之一,現在很多企業內使用者將資料放在公開的儲存空間上,自己都不清楚資料存放的位置,因此需要藉由DLP的掃描機制,發現各種資料的存放所在。此外,針對使用者自行加密檔案進行檔案傳輸,由於DLP無法偵測加密後的檔案內容,所以不能辨別是否內容為敏感性資料,但是DLP政策可以做到隔離加密檔案,當使用者傳輸一份加密檔案時,可以將之隔離。
雖然資安沒有完美的防護,但是DLP確實可以減少無意間洩密的可能性並增加故意洩密的困難度,在不可能有完美解決方案的前提下,企業就必須針對個別方案評估投資報酬率,以及對企業所帶來的價值。