善用专业厂商 快速建构数据防护堡垒
新版个资法上路至今,机敏个资外泄事件时有所闻,导致企业面临莫大冲击;迫使企业必须改变以往被动做法,积极主动提升自身网安意识,并加强网安产品采购需求,方能转危为安,值此时刻,对于相关专业厂商的倚赖度自然提高。
事实上,不管论及数据外泄防护(DLP)、个资盘点、数据库安全稽核等攸关企业个资机敏防护的产品,综观各领域的供应源头,皆不乏深具国际知名度的大厂,由于品牌名气响亮,产品规格也看似漂漂亮亮,遂使得不少企业用户乐于买单。
但企业几经评估测试、甚至导入使用后,竟赫然发现,外国月亮似乎没有想像中的圆!有些时候,碍于中文为特殊语言,外来工具未必能精确扫描姓名、地址…等个资项目,导致漏报与误报情况层出不穷;有些时候,用户也发现若干数据库稽核系统,或许当初是因应沙宾法案而诞生,颇擅长控管财务数据,相对疏于探索前端使用者身份,故而在「事、时、地、物」外独缺「人」重要一角,导致稽核轨迹有欠完善,明显不符个资法所需。
持平而论,环顾数据外泄防护相关工具,内容识别为个中重要程序,因此系统能否熟识中文档案,的确相当重要;所以若干本土自有产品,能够在外商厂牌环伺下,犹可在市场占有一席之地,其道理便在于此。但已有网安专业服务厂商,特别结合学研机构的中文语意分析技术,针对涉及内容识别的外来产品,予以改良加值,降低语言隔阂之疑虑,从而大幅提升扫描过滤的精准度。
至于部分外商产品功能,不全然契合个资法需求一事,如同上述情节,补强之道同样有二,一是采用本土业者研发之自有产品,以求恰如其分融入台湾个资法情境,另一则是持续使用高知名外商产品,但借助专业服务厂商系统整合功力,结合其他工具,巧妙填补既有系统功能的若干缺憾。
好产品加专业服务 为数据防护致胜法门
综上所述,企业意欲建构机密数据之防护堡垒,固然需要仰赖优质产品,但姑且不论产品来源究竟是本土或海外,可以肯定,都需要专业厂商从旁提供建置规划、系统整合、网安健检等服务助力,方能与产品相得益彰,协助用户蓄积足够防护能量,从而尽速远离数据外泄阴霾。
要想成为专业厂商,其实不必像是大杂货店一般,毋需洋洋洒洒端出一缸子产品阵仗,只因为数据外泄防护重点在于精、而不在广,在于能透过深度的产品布局与整合,拳拳到位力克网安威胁,而非花拳绣腿中看不中用;在此前提下,对于一些富含长期实战历练,且深具技术含量的业者,不管其规模是大或小,也无论是否为用户印象中的大型网安SI,只要端出的解决方案确实精练紮实,处理问题的反应确实明快有效,就值得企业投以信任票。
例如有一家不到20人的小型服务厂商,向来不碰防火墙或防毒等大宗产品,却眼光独到,及早朝向个资盘点、数据库稽核、WAF,甚至是APT防御等领域布局,每一步棋都明确指向数据外泄防护,甚至不时援引代理产品中的独特技术,替不少用户提供健诊服务;诸如此类业者,即使人力规模不大,名气也不若大型SI响亮,但却不失为协助企业战胜网安挑战的好帮手。
另一家本土业者,其主要组成分子,早年皆从事数据库业务,在长期为企业提供数据库建置规划、维护升级、效能调校或灾难复原等服务之余,亦不时收到用户的求助信号,要求设法解决数据外泄难题,因此早在个资法尚未施行前,便已对于数据库稽核、特权存取管理等领域多所涉猎,研发推出相较外商毫不逊色、且更贴近本土应用情境的一系列工具;在企业亟思遵循个资法、打造对应防护机制的同时,此类厂商亦可被列为重要谘询对象。
中华电信DLP方案 助企业善尽个资防护
至于早有高知名度,且拥有可观研发人力资源的中华电信,则是另一种典型,只因在多数用户印象中,该公司久踞电信业龙头,在于网安系统整合的形象相对不鲜明,然而细究其过往为企业用户提供「企业除骇大师」、「企业上网内容过滤服务」、「HiNet入侵防护服务」、「HiNet网站安全健检服务」、「安全评估服务」、「UTM租赁服务」…之种种历程,便不难发现,中华电信对于专业网安服务的着墨,确实相当深厚。
如今,中华电信为协助企业妥善因应新版个资法,全力遏阻个资及机敏数据外泄事件,因而自行研发并推出相关解决方案,并不忘为企业提出中肯建议;该公司认为,企业除透过技术层面防范数据外泄外,也应从策略层面施行网安策略控管,但最有效的方式,则务先找出企业个资存放位置,才有利于规划、控管及执行数据外泄防护,在此前提下,企业不妨重新检视与规划「个资盘点扫描」、「集中控管企业个资存放」、「改善现行个资存取流程」、「规范与控管使用者之权限」及「整体保管机制」,继而搭配DLP产品,以期加强数据防护实力。
因个资法议题而备受瞩目的DLP产品,一般可分为端点(Endpoint)、网络(Network)、及针对数据库及档案服务器之主动式防护(Discovery)等三种型态,可分别提供企业对于重要数据之不同程度保护。企业欲导入不同类型DLP,所需准备工作也不尽相同,举凡企业本身规模架构、需求、可采购的预算上限、维运及管理人力的安排,皆是必须详加考量的关键因素。
倘若用户考量安装端点型产品,中华电信则提供SecuWizard/DLP信息安全监控管理系统,一方面借此协助建立资产、网安、资源及维运支持等监控与管理机制,确保电脑设备符合企业网安规范,二方面则搭配DLP数据外泄防护功能,严格监控网络与端点装置,以防止机敏数据外泄,避免客户机密及个资外流滋生法律纷扰,终至保障企业数码资产之安全。
如果客户倾向不改变现有运作架构,中华电信则建议部署网络型DLP Gateway防护系统,借此分析、过滤及监控内部所有连接至网络的封包,避免企业机敏数据外流,以保护企业商业利益及形象,并减少维运管理的人力负担。
总括而论,中华电信综整资产管理、网安管理、资源管理、数据外泄防护、个资盘点等多个面向,辅以个资法相关安全议题,对于不知如何因应个资法规范的用户,贴心归纳出五大具体方向,包括了制定个资防护网安政策、解决终端安全疑虑、进行个资盘点(藉以厘清个资存放位置,消弭数据外泄风险)、针对终端与网络端提供不同类型DLP监控,最终则透过各项稽核数据,力求持续精进调整数据外泄防护政策。
中华电信强调,其拥有多年ISP营运及软硬件网安产品销售经验,因而可规划整合各项资源,推出符合市场需求之「企业个资防护解决方案」,帮助用户藉由不同面向建立「事前预防」、「事中监控」、「事后举证」等能量,以符合新版个资法规范,并强化数据外泄防护能力。