不少企業,從2010年一路關注新版個人資料保護法迄今,已足足超過兩年時間;但隨著該法正式施行後,光是關注仍不夠,還得實際付諸行動才行。特別是為了應付日後對簿公堂之場景,要想站得住腳,就必須將證據保全做到最好。
一提到證據保全,大多數企業IT人員皆能隨即連結到日誌管理(Log Management)議題,且如釋重負地認為,此事早已進行,並無沒有大礙。只不過,倘若根據個資法來錙銖必較一番,現今所能提供的日誌管理品質是否足以應付法令嚴苛要求?答案恐怕是否定的!
持平而論,在個資法議題尚未發燒之前,許多企業即有蒐集日誌的習慣,但範圍侷限在與IT相關的層面,主要是為了錯誤排除或稽核報告的備查用途。然而個資法定義的證據相當嚴謹,它的涵蓋範圍更為完整,且需要保留一定年限,能被快速查詢,最重要的,必須是「原始資料」,絕對不能經過任何加工竄改,如不會經由第三方管道洩漏出去,或因系統出現漏洞,而遭外力入侵強制修改。
而究竟該如何滿足這些要求?首先,過往淪於分權的日誌管理模式,必須予以破除,不能繼續任由網路團隊、OA團隊、資料庫團隊各司其職,必須全都得納入集中式管理機制;更重要的,個資法非常講求使用者行為軌跡,這些記錄,恐怕不是網路設備、主機可以完整提供,因此有關應用程式的日誌檔案,亦應被統整到日誌管理的框架。
其次,在擴大日誌蒐集範圍的同時,也應當認真檢視日誌管理系統本身有無漏洞?有沒有人可以從別的管道拿走資料?緊接著,企業亦需確認,其所選用的系統,究竟有無唯一性?如果有,許多事情便將落在可控制的範疇內,足以大幅增強證據效力。具備唯一性的日誌管理系統,要嘛,外人無從修改資料;要嘛,資料遭到竄改便將立即失效;又或者,即使資料遭竊,竊賊亦無法讀取內容。
另外,部分企業多以UDP的Port 514監聽方式,以利蒐集Syslog作為證據,但此方式有一項罩門,只要網路流量大,就很容易遺失封包,倘若想要舉證的內容,正是落在遺失的範圍內,此時無異是叫天不應、叫地不靈。
在逐一實踐日誌完整性、正確性等目標後,一套完善的日誌管理系統,另需滿足資料的長期儲存需求,而無論資料數量多麼龐大,也必須能被快速搜尋,否則萬一法院只給兩天時間,企業若仍未完成資料調閱,那可就大事不妙。
唯一之計,理應選用能夠蒐集與查詢非正規化日誌的管理系統,而企業在推動日誌正規化之餘,也保留了原始日誌檔案,如此一來,意欲從龐大儲存個體中快速找尋資料,就不再是艱難任務。
(本文作者現任HP惠普科技北亞區資訊安全事業部技術顧問經理)