個資防護第一線 ─ 有效管制網路存取與身分識別

藉助台眾電腦ARPScanner，以最輕鬆的方式，建立最有效的網路存取稽核與身份識別系統，讓企業善盡監督與管理人之責

民國100年資訊業界最熱的話題之一，就是個人資料保護法的實行細則公告中，關於法條所規範的內容。面對個資法高達2億元的罰則，企業必須主動舉證的能力，並盡到善良管理人責任，以免違法而影響社會秩序。

個資法規範的層面非常多，首當其衝的產業包含政府機構、銀行、醫療、電子商務等，含有大量會員或民眾等個人資料的單位。由企業電腦資訊的部分來看，最主要的工作莫過於加強現有的資訊安全防護。因此身為企業內的專業資訊人員，必須思考目前企業內的資訊安全架構，在面對相關法令要求下的防護是否完善，例如網路存取控制、資料庫安全、日誌管理、網路身分識別……等等。

即便是資訊安全防護，涵蓋的範疇也非常廣，台眾電腦總經理李坤榮指出，絕大多數的資安防護都圍繞在網路存取與應用上，因此加強這方面管控對個資防護來說，無疑是重點改善工程之一。要強化個資防護，企業要補強的部分主要有二：「有效管控網路連線」與「網路身分識別」，前者可以過濾上網使用者，預防資料外洩；後者則能在外洩事件不慎發生後，提供完整的紀錄以供稽核。

管制網路存取，杜絕個資外洩契機
要防止個資外洩，除了在資訊傳遞的作業上要妥善管理外，另一點就是前面提到的，有效控制網路連線。李總經理表示，一般在辦公室內的電腦，要管制其連接網路並不困難，但對於外部使用者來說，例如合作廠商的技術人員、或是來說明產品的業務員，這些人員有時候使用筆記型電腦，連接至公司網路上以利工作進行。

像這樣在平常不過的事情，卻潛藏著資料外洩的疑慮，畢竟外部使用者的電腦並不在企業IT部門的掌握中，加上訪客的電腦也可能已經中了木馬程式卻不自知，當訪客將筆電連接到公司網路上時，就可能會將公司內的一些個人資料外洩出去，也正因如此，企業對於這類外來設備存取網路時，都需要另外審核，確認之後才讓該機器有對外網路連線功能。

要管制外部網路存取並不困難，可透過台眾電腦的ARPScanner管理系統，集中管理網路使用權限，當企業網路內有任何設備欲藉此連外時，都會先審核設備身分，確認無誤後才允許該設備連網，如此一來，就能避免未授權的設備連接網路，也不用擔心因此而有資料外洩。

李總經理指出，能透過企業網路連外的設備很多，並不只有筆電，許多智慧型手機、平板電腦等裝置，也可能在未管制的網路環境中，以無線網路傳輸將資料流出，這些設備透過ARPScanner也能輕鬆掌握。

掌握IP流向，揪出外洩源頭
「網路身分識別」的重要性，是提供事後舉證時有效的依據。一但企業內發生個資外洩事件，最重要的就是找出資料外洩來源，主動提供有效的證據，以善盡企業管理人責任，同時避免外洩災情擴大。

接觸過網路設備的IT人都知道，事實上在網路設備上傳輸資料，都會在存取過程中留下IP位址，而這個L3的數位資料，也是網路世界中非常重要的識別依據。但這裡有個問題，MIS人員知道這個IP位址的使用者是誰嗎？

李總經理表示，雖然所有的網路設備在記錄檔中都能查到IP位址等資訊，但卻沒有辦法證明IP的使用者是哪一位，因為臺灣大多數企業網路，都是使用DHCP架構提供彈性IP，更不用說要辨識出NAT轉址後，連到外部網站的紀錄全是企業的固定IP。「如果IP無法證明使用者是誰，那它的存在價值有多少？」這樣的情況讓IP的參考價值大打折扣，也無法當作個資糾紛時的有用例證。

面對這些棘手的問題，以ARPScanner即可輕鬆改善。ARPScanner可透過帳號識別，並結合AD系統，詳實記錄每個使用者存取網路時，是使用哪個IP上網，同時記錄網路使用狀況，才能在個資不慎外洩時，提供具體且有效的例證，以避免高額罰則，善盡企業管理人的責任。

不需大幅調整網路架構，即可輕鬆掌握IP動向
將IP位址結合帳號管理，並將異動狀態記錄起來的功能，在傳統的網路架構中要達成並非簡單的工作，必須借助802.1X或支援ACL的網路設備，且企業網路內所有設備，包含使用者的個人電腦，都必須支援這些功能，才能達到此功能。這樣的架構成本非常高，不僅僅是硬體設備的單價較高，而且設備維護與管理的成本也非常昂貴，這也間接導致許多企業忽略IP位址的識別機制。

ARPScanner透過通用ARP協定，研發獨特的阻斷及導向技術，不用額外安裝用戶端代理程式，或大幅調整網路架構，就能在現有網路環境中快速建置，讓企業網路環境輕鬆獲得網路存取安全(Network Access Security, NAC)與身分識別管理(Identity and Access Management, IAM)功能，幫助企業強化管控網路連線，同時補強網路身分識別功能，將資料防護更上一層樓，並符合個資法在資料佐證上的訴求。

李總經理表示，相對於其他資訊系統建設，資安管理必須比其他系統來的更慎重，以高標準檢視各種解決方案，確保該產品的品質與售後服務均具有一定水準，才能有效落實個資防護。ARPScanner是台眾電腦秉持10年磨一劍的嚴謹精神，以國際級功能為目標，投入18位專業工程師研發超過5年的系統，並持續關心客戶需求以改善系統功能，主要的原因無二，就是要打造一套讓使用者能真正安心的網路安全系統。

透過ARP Scanner管理者介面，可清楚掌握企業網路內所有IP對應到的使用者及其部門，有效掌握IP動向。