亞利安祭出關鍵方案　助企業阻絕個資機密外洩

不可諱言，企業要避免個資外洩，就須倚靠完善的個資安全保護機制，但多數企業即使有此認知，執行成效卻不彰；只因用戶多在缺乏縝密規劃下貿然引進資安設備，徒增IT人員負擔，甚至由於管理不善，衍生新的資安漏洞。

有鑑於此，亞利安科技(CipherTech)結合安資捷、希比思系統(CPS Systems)、iMPERVA等合作夥伴，共同舉辦「2013個資安全研討會」。亞利安總經理范梓芳指出，儘管新版個資法上路迄今已半年，但多數企業機構仍感焦頭爛額，苦思如何利用有限預算建構防護能量，因此該公司期望透過個資盤點、特權管理、資料庫安全等解決方案之集結，幫助企業做好自動化防護，降低個資防護設備的導入負擔。

採取適當安控措施　落實個資三部曲
安資捷資深顧問陳勇君表示，放眼不同垂直領域，多充斥著違反個資法的「現行犯」，因此企業首要的第一部曲是「先求不違法」，就個資的蒐集、處理及利用等流程進行差距分析，補足差距後再循序實作第二部曲(再求盡職責)、及第三部曲(後求低刑責)。

談到個資適法性，IT部門的確責無旁貸，但單憑IT技術並不足以解決所有問題，所以必須設法說服老闆，願意挹注資源建立「人人有責」環境；在此前提下，IT部門務先藉由盤點知悉個資的歸屬與價值，判斷個資風險，方可帶動公司全員建立安全意識，啟動正確的防護策略。

亞利安技術支援部經理王添龍認為，因應個資法施行細則，企業必須做好「事前降低訴訟」、「事中縮小損害」與「事後舉證降責」三件事；因此IT部門必須剖析個資風險，針對使用者、存取管道、資料等不同層面的漏洞，建立對應的防護機制。

就資料庫而言，主要防護措施含括加密、遮罩與稽核。針對資料庫加密，應考量重點包括金鑰管理及備份機制、查詢回應時間及容錯機制；針對資料庫遮罩，應考量重點有遮罩／去識別化之設定彈性、效能影響與容錯機制；至於資料庫稽核，則應考量資料庫環境及狀況的理解能力、機敏資料搜尋效率、存取記錄的完整性、政策設定／調整與管理介面操作的彈性與方便性、非法存取檢查機制、報表功能、更新機制。另須建立特權管理機制，基於核心資源存取展開稽核行為。

盤點、特權管理與稽核　聯袂悍衛個資安全
面對個資法遵循，最能立竿見影的關鍵方案，無疑就是個資盤點、特權管理、網站應用程式暨資料庫之監控與稽核。

安資捷顧問暨業務處長江嘉帆指出，「界定個資範圍」是企業善盡個資保護職責的第一步，以便於完整解瞭個資機敏的儲存現況，作為制定內部政策的依據，才利於推動正確的成本應用，驗證處理政策落實與否。

著眼於此，安資捷提供Privacy ID自動清查工具，當用戶設定個資盤點任務，並經由前端使用者下載Agent後，Privacy ID即執行自動盤點，先是扒取資料，再透過內容解析與Pattern比對，藉以分析資料，繼而產製詳細報告，便於企業便於推動後續重複驗證。

希比思總經理侯善耀表示，論及個資的風險控制，企業必須通盤考量接觸機敏資料的前端使用者、IT管理者、駭客等不同角色，力求解決箇中所有潛在風險，尤其是管理複雜(含帳密共用問題、人員流動問題)、過程不透明、維運委外服務帶的管理風險，及APT攻擊威脅等多項難題。

基於風險控制需求，希比思推出Ultimate Auditor維運稽核與風險控制系統，其支援靈活部署方式，集合統一的身份認證與帳戶授權管理，並支援多種命令或圖形化操作協定，具備即時監控與歷史查詢功能，不僅能「完整、正確、清楚」記錄最關鍵機敏的核心系統與資料庫訪問行為，亦針對重要的操作管理者善設第二道驗證機制，確保其使用該帳號的唯一性，可避免因帳密被盜用而產生的資安威脅。

iMPERVA北亞區技術總監周達偉以貓、老鼠與乳酪的故事做比喻，個資好比乳酪，傳統資安方案就像是窮追老鼠的貓，無法全面防範新式進階攻擊，也無法防範內部濫權使用資訊之問題；該公司提供的SecureSphere系列產品，則猶如乳酪外圍的金鐘罩，從網站應用程式、資料庫、檔案等面向分進合擊，阻止各項威脅進逼。

論及SecureSphere重要功能，一舉涵蓋了檔案分類管理、個資風險評估及管理、資料庫使用的風險管理、資料庫弱點掃瞄、使用者權限管理、應用服務多層架構下的使用者追蹤，以及使用紀錄、軌跡資料與證據之完整保存；同時提供Virtual Patching專利技術，以解決資安空窗期。

總括而論，個資防護是一項複雜工程，從個資的盤點、分類、管理乃至於風險評估，都是大哉問，難怪多數企業備感手足無措；現在，只要透過亞利安科技之專業管道與協助，合縱連橫，提供企業個資盤點、特權管理、資料庫安全等陣容齊備的解決方案，藉以形塑完整防護拼圖，助企業安然度過嚴峻的個資法風暴。