[活動] 個資法上路後，非常熱門的DLP系統

看板MIS (IT資訊人員)作者coflame (吾養吾浩然之氣)時間11年前 (2013/11/29 00:20)推噓9(9推 0噓 7→)

留言16則, 11人參與討論串1/1

================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= 小弟不才來簡單貢獻一下，希望對MIS版有助益。 DLP為Data Loss Prevention/Data Leakage Protection的縮寫，當然以市面上來說Prevention/Protection都有人講，但都是歸類為DLP系統。而中譯的名稱應該以 "資料外洩防護" 來解釋是我個人認為最適合陳述這類系統的名稱。事實上，DLP系統並非什麼新潮的產品，在國外早行之有年，而最近是因為個資法公告施行，由各家資安廠商藉著這個機會，大肆推廣DLP產品。許多既有的資安產品，也開始號稱自己有DLP的功能。舉個例，如一般企業使用的Web Proxy，會發現新推出的近幾年版本，都或多或少有加入DLP功能，雖說Proxy升格為Web Security Appliance後，本來就已經具備Content Filter(內容過濾)的功能了，DLP要實現也不是難事，但我下面針對外洩防護的議題來說明，可以了解要做DLP，並不只是僅具Content Filter功效的設備/系統，就可以輕易滿足的。就拿最近熱門的個資法來說，個人資料的定義為：一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。因此在法規中點到的幾項，一定就是DLP必須要滿足的項目。如身分證字號，一般來說以若系統能以正規表達式(Regular Expression) 來做內容過濾，大致上這點應該可以做管控，但缺點是缺乏檢查運算機制的情況下，非常容易誤判的。這點便是非專業DLP系統無法滿足的功能點之一。身份證字號規則：http://tinyurl.com/mnpktja (清大某網站對於身分證字號檢查規則的說明) 而目前來說，幾家DLP的大廠如： CA DataMinder Websense Data Security Symantec Data Loss Prevention Trend Micro Data Loss Prevention McAfee Data Loss Prevention 市面上都不難見到，推廣強度也依產業性質不同而有所區分。這點可能看SI業者跟資安原廠們的市場策略，總之做久了就知道，產品都各有優缺，挑選"適合"的產品往往比迷信廠牌要來的重要。適合乃指，功能適用性/預算負擔等面向，譬如說某廠牌可能在 Agent-base的架構下有著市面上最強的防護能力，但用戶的電腦老舊，資源根本負擔不了，再強的防護程式，電腦跑不動也無效，此時當然去考量Network-Base的DLP系統來評估。另外導入系統的困難點在於管制政策的制定，如甚麼樣的資料要擋(身分證幾筆要擋? 生日幾筆要擋? 電話幾筆要擋? ...) 審閱時的權責劃分(舉個例，總不能叫IT去審查人資單位觸發的事件吧) 畢竟牽扯的範圍可不單只有IT人員，而是整個企業而且要管甚麼樣的內容、要偵測哪些項目，其實已經到了IT部門無法自己作主的情形，會有需要報送到總部會議進行全單位討論的需要。事實上我認為推廣DLP最大的障礙便是於此，而非系統功能強弱，因此通常DLP系統的導入建議要搭配顧問服務，也較能於企業內部洽談管制政策時，由顧問提出建議然後引導討論，得出結論。是較實際可行的方式，系統施作的難度其實不算非常高，定義DLP管制政策的議題才是這類系統成功與否的關鍵。 ================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 175.182.115.168 ※ 編輯: coflame 來自: 175.182.115.168 (11/29 00:23)