Micro Focus三大方案 助企业满足GDPR需求

Micro Focus 安全与风险管理： 能确保数据、应用程序与存取的安全性，推动安全作业及治理，以降低风险并遵循法规，且能管控 DevOps 安全实作规范的能力，以实践端对端风险管理。

号称有史以来举世最严格的数据保护令—欧盟一般数据保护规定(General Data Protection Regulation；GDPR)，预定在2018年5月25日施行，距今已迫在眉睫；深究此法最让企业畏惧之处，在于罚锾相当重，最高可处以2,000万欧元、或年度全球总营业额的4%金额，且取两者当中较高值，足见违规的代价十分惨重。

尽管对GDPR有所顾忌，但不少台湾企业仍存疑惑，甚至认定此事与自身未必相关。对此一向专注发展企业基础架构软件解决方案的Micro Focus，其资深技术顾问李柏厚分析，企业究竟是否适用GDPR，可从境内、境外不同角度检视，所谓境内，意谓企业在欧洲地区设有营运据点，涉及当地顾客数据的蒐集运用，势必受到GDPR规范。 至于境外，意指虽未在欧洲地区设点，但基于业务拓展，因而与当地经销商建立合作关系者，一样受到GDPR制约。举例来说，论及GDPR法遵的入门条件，首先需在内部成立个资管理的权责单位，因应个数据的蒐集、处理、使用、传输及销毁等生命周期环节，制定相关作业流程与表单，其次则更重要，任何蒐集到数据欲挪作他用，都必须取得当事人同意，假设某公司A产品部门拟将销售商数据提供予B产品部门，即视同为用途变更，若未事先获取经销商首肯，便等于违反GDPR。

Micro Focus业务总监黄成弘补充，导入GDPR犹如早先导入个资法，企业皆需尽力防止个资遭到窃取、窜改或销毁，为达此目标，都会设立必要的管理制度、人员组织与作业流程，此外亦须部署对应的技术工具，藉融合人(People)、流程(Process)与产品(Product)等3P元素，确保个中所有环节彼此紧扣，避免出现让内外贼趁虚而入的破口。

为此Micro Focus三管齐下，从信息安全、身份认证及识别、数据归档及还原等不同角度提出完整方案，使个资不论流动转换到哪个环节，皆持续保有安全性，若出现外泄疑虑，也将实时通知管理单位介入处理。

原码检测加渗透测试，主动挖掘程序漏洞

资深技术顾问李柏厚指出，针对信息安全，该公司提供诸多偏向应用系统面的保护方案，用户可利用Fortify执行原始码扫描，确认程序面是否涉及个资处理，若有，则进一步检测其间是否存在安全漏洞，以利开发者及早修正；尔后进入网站架设过程，Fortify还可发挥渗透测试功能，检测各个数据拦位上，是否出现可能遭致SQL Injection等各类网站攻击的弱点。另值得一提，应用程序往往需要透过电子邮件管道，将发送重要信息给个人，信中亦可能夹带个资，同样存在机密泄露风险；惟只要利用Micro Focus SecureMail，便能针对此类邮件进行端对端加密，即使有不肖人士从中拦截，也无法看出信件内容。

信息安全的另一重点，即是数据存取的稽核机制。Micro Focus网安产品资深技术经理邱裕翔表示，该公司的ArcSight，在网安事件平台业界向来位居翘楚，其强项之一即是完整蒐集数据使用的轨迹纪录，便于企业管理者作为查询调阅、事后追踪及呈堂证供之用；依据GDPR规定，企业只要得知有个资外泄情事产生，必需要在72小时内通报数据保护主管机关，并提出处置方法，遵循压力甚大，一经善用ArcSight平台，辅以启动ESM(Enterprise Security Manager)关联性基础架构，便可实时分析整起事件的来龙去脉，快速取得相关迹证，不致延误72小时黄金周期。

此外ArcSight亦支持大数据安全分析功能，协助用户提升威胁侦测的速度。具体来说，ArcSight可协助将蒐集到的轨迹数据透过分散式信息通道系统(ArcSight Event Broker) 传递到第三方分析系统应用，据以营造一个开放式分析环境，裨益用户运用ArcSight或第三方分析工具，加速监别是否出现个资外泄事件、以及事件影响范围；相关应用情境包含有工业4.0网络服务产业(The Internet of Services in Industry 4.0)的威胁分析与实时事件告警，用户可借助ArcSight ESM当中Investigate工具，结合底层的Vertica丛集运算技术，大幅提升提高事件分析效率，让企业更笃定能在72小时内提出完整调查报告。

身份认证方案如守门员，严防宵小觊觎个资

至于Micro Focus身份认证及识别方案，黄成弘表示，系以Identity Manager为基础元素，旨在针对所有帐号产生、调整、权限设定、销毁(如离职员工)的完整生命周期进行治理，确保任何帐号与口令，皆是在符合既定管理制度、作业流程的前提下，才准予放行登入系统；接着下一步由Access Manager登场，针对各个帐号的实际存取行为，完整加以侧录与日志保存，以利稽核管理之用，确使任何合法使用者都仅利用最小权限，存取足够信息，避免出现异常的逾矩行径。

黄成弘坦言，近年来随着黑客技能不断提升，导致原有口令保护机制出现松动，即使长达16位数的口令，据闻黑客已有能力在4小时内破解；因应这般风险，Micro Focus另提供两大保护方案，一是Advanced Authentication，藉以满足多因素认证需求，另一则是Privileged Account Manager，意在严加管控特权帐号，慎防特权帐号旁落黑客之手，酿成重大危害。

某种程度上，Micro Focus身份认证及识别方案的角色犹如守门员，任何人想存取应用系统或数据，都必须拿到合法的钥匙并通过守门员查核，否则都不得其门而入。

论及数据归档及备份还原部分，Micro Focus IM&G资深业务经理锺仁杰指出，该部门分为数据归档及备份还原两大部分，数据归档主力产品为Secure Content Management Suite ，内含ControlPoint、Structured Data Manager(SDM)、Content Manager等三大关键元件，总体来说，不论结构性或非结构性等任何形式的数据被创建、访问读取、保存的数据生命周期，已领先业界的archiving技术，提供跨品牌、跨平台的归档需求及符合法规的数据管理与治理，尤其可借助IDOL核心引擎，从大量邮件、文字、语音等非结构化数据中识别涉及个资的关键字或这些数据可能违反那些法律，完整的report工具能让法务人员充分掌握数据的合法性；此外针对机敏个资，在被读取、归档的过程中，任何应该实施加密或遮罩保护的环节，都能确保彻底执行。

锺仁杰接着说，针对备份还原部分，Micro Focus提供Adaptive Backup and Recovery Suite，整合了Data Protector、Storage Optimizer、Backup Navigator等三大关键元件，Data Protector提供全面性的数据保护，建立自适应备份与复原环境。搭配Storage Optimizer可减少储存及管理大量非结构化数据的成本，不会影响终端使用者的日常使用习惯，并能识别冗余、过时或琐碎数据并予适当清除及归档，由Tier1主储存设备移转至Tier2储存设备，大幅减少数据总量，提升在线储存设备效能，加速备份时间。再由Backup Navigator提供实时的交互式仪表板和report、储存资源预测及冲突发生时的根本原因分析能力。

总体而论，企业迈向GDPR合规过程，举凡应用面、稽核面、数据保护面，乃至数据存取的权限控管，一直到备份与还原议题，每一段落都可能存在个资外泄的罩门，端看企业如何盘点己身最脆弱环节，从而着手补强；而Micro Focus已备齐完整方案，随时为用户提供奥援。