「有家客戶去年已編好預算,打算今年開始做DLP,計畫是導入網路封包側錄的設備??」這不是在開玩笑,而是Websense台灣區技術總監莊添發分享碰到的真實案例,也讓他開始有了重新思考資料外洩防護的念頭。
莊添發指出,個資法對廠商推動DLP而言,是個助力,也是個阻力。因為有些企業反而會抱持觀望態度,要等到施行細則公佈才願意去做,而當細則草案公佈後又打算等到正式上路再說,甚至最後要等到首件判例出來才願意正視個資防護的問題。但他也坦言,就目前施行細則修正草案內所公佈的11項適當安全維護措施來看,沒有任何一家廠商的解決方案能包括所有的項目,但DLP的確是涵蓋範圍最廣且最具經濟效益的投資。
許多廠商都會將有某些資料保護功能的產品稱為DLP,莊添發強調:「具有資料保護作用的產品有很多,DLP是其中的一種,但並非所有的資料防護都能算是
DLP。」
在DLP中針對個資盤點需求所強調的掃描(Discovery),就其偵測技術來看,像是最常見以關鍵字、字典辭庫、檔案屬性、正規表示法等方式進行,但誤判率過高;而DLP採用的則是較先進的政策範本、自然語言處理、指紋比對等技術,來提高精準度。
 |
| ▲Websense台灣區技術總監莊添發認為,機密資料外洩事件每天都在發生,因此資料保護機制應該是企業當下就該做的事,而非等到個資法開罰時才關注。 |
因此企業在評估選擇DLP方案時,莊添發建議可從資料判別比對的方式、部署架構與涵蓋範圍、管理與維護這些方面來看。以Websense來說,能透過資料庫欄位指定,或直接匯入機密文件的方式,經過特徵擷取與雜湊演算後,成為用來辨識的資料指紋(Fingerprint),甚至新增加影像內含文字的光學字元辨識(Optical Character Recognition,OCR)機制,以提供機密圖檔內容更進一步的保護,並以此為基礎訂定不同的個資防護政策。
有了機密資料識別的能力後,管理政策的制定是另一項重要關鍵。對此,Websense的方案能根據產業別、各地遵循法規先訂出相關的實務政策範本,讓企業能夠迅速的套用,以縮短DLP的導入時程;而在部署架構上,他提醒有些解決方案需要搭配其他設備,而當部署裝置愈多其管理工作也就愈複雜,同時也會讓營運成本增加,因此採用整合性較好的解決方案也是企業評估導入的重要考量。
莊添發最後提醒,企業在導入DLP時常有一種迷思,認為要先做好完整的規劃與定義出機密資料才開始做DLP,但他認為,資安本來就難以做到一百分,在DLP機制的導入同時,其實也能有助於發現問題,進而逐步修正以更符合管理上的實際需求。