資安端點防護(DLP/DRM/ITAM)解決方案 - 精品科技股份有限公司 FineArt Technology Co., Ltd.

文／精品科技資安顧問許祐福

個資法在10月1日已正式上路，不管您的企業有沒有收集大量個資，面對只要有一筆個資就適用，未制定管理辦法而發生外洩事件，就可懲處2萬~20萬的行政罰鍰，您勢必要有一些具體的因應措施。所幸，個資法施行細則已明確指示善良管理人可進行以下措施，包含：

配置管理之人員及相當資源。
界定個人資料之範圍。
個人資料之風險評估及管理機制。
事故之預防、通報及應變機制。
個人資料蒐集、處理及利用之內部管理程序。
資料安全管理及人員管理。
認知宣導及教育訓練。
設備安全管理。
資料安全稽核機制。
使用紀錄、軌跡資料及證據保存。
個人資料安全維護之整體持續改善。

這11條對企業來說，可能與營收沒有直接相關，屬於額外增加的企業經營負擔。但個資法不只是管理要求，更是法律議題，未來企業面臨到的是訴訟時如何舉出有效證據，證明企業符合法律要求，有盡善良個資保管人之義務。做的徹不徹底是一回事，有沒有做卻很容易辨別的出來。所以如何與現有的管理制度整合，用已有的資源因應，並減少對業務流程的影響，才是因應個資法的技巧所在。本文要教您活用機密文件的保護方案X-FORT，將個資視為有價值的機密資料作保護，並因應施行細則的要求，提升企業的訴訟舉證能力。

當企業決定因應個資法，並指派專責的個資管理人員後，個資管理人員就要與各部門代表協商盤點個資。可能面臨到的困境是，部門代表知道有哪些個資，知道由誰保管，也知道有哪些部門的人在使用。但不一定知道這些個資是散落在這些人電腦的哪些資料夾裡面。

此時可善用X-FORT的遠端尋檔功能，依據個資清冊的檔案特徵，設定多種搜尋條件去掃描部門中所有電腦，協助部門代表找出散落於各處的個資檔案。這樣能夠在個資盤點後，進一步收斂在業務流程中衍生且散落於各處的個資檔案，避免潛在的外洩風險。在達到界定個資範圍之餘，還能有效的降低外洩風險。

另外，也可以進行跨部門的電腦盤點，藉由跨部門的掃描結果，更能找出流程上的漏洞，或是發現未列管的跨部門個資使用者。

盤點出部門內擁有的個資後，下一步就是描繪出個資的使用流程了。此時個資管理人員與部門代表又會面臨到，描繪出的個資使用流程可能不夠詳細，或是跟實際流程有出入，如果部門代表本身沒有意識到，個資管理人員也很難發現流程不夠確實的問題。此時X-FORT的Log分析功能，能依據檔名特徵，串出使用者實際操作個資檔案的歷程。包含檔案的建立、開啟、列印、搬移、更名、刪除、網芳上下傳、即時通上傳、網頁資料上傳、Email寄送等。Log分析結果可用來跟部門代表提出的流程作比對，一來可強化個資流程的正確性，二來可協助部門代表進一步掌握業務流程的細節。

個資使用流程描繪的愈徹底，愈能掌握可能的風險，作為評估個資風險的計算依據。並針對具有高風險的環節(例如有可能造成大量個資外洩的操作)，增加控制措施來降低風險。控制措施可以依照風險的程度、存取的形式，採用不同層級的控制手法。包含：

存取個資時提醒員工須依法使用個資
紀錄存取個資的行為
限縮非必要的存取權限
以個資存取紀錄建立有效稽核點
端點防護(DLP)控管外洩管道
存取個資行為全程錄影
外洩行為主動警示

由於企業內部一般使用者存取個資的形式非常多元，可能包含紙本、電子檔案、網頁或是應用程式。而紙本的列印不但要有記錄，且要能看到實際列印的檔案內容，並要在列印的文件上留下可識別使用者的浮水印，未來在追查紙本個資外洩時才有跡可循。且應減少用紙本的形式來流通個資，因為紙本難以達到個資法要求的記錄、預防和警示。建議紙本的個資盡量電子化後，將原稿上鎖保護，減少流通、外洩的機會。轉為電子檔案後，就能用X-FORT的各種行為記錄，串起完整建立、開啟、搬移、複製、列印、寄送、更名、刪除等等使用記錄。未來在追查外洩事件時，就可以用以物追人的方式查出外洩途徑，進行舉證。

若紙本的個資經由網頁或軟體介面儲存進資料庫，也可針對指定的網頁路徑或軟體進行錄影，將處理、利用個資的歷程自動全程記錄下來。藉由精確的觸發條件，不但可避免產生過於大量且無用的錄影記錄，降低儲存空間的成本。未來在舉證時，還可快速地依照觸發條件，篩選出個資的處理、利用畫面。員工知道全程錄影，在操作個資時也會更加謹慎、小心。而且更重要的是，個資法保障當事人對於個資的權利行使，當事人可要求禁止利用，甚至刪除企業所保有的個資。當企業依當事人要求刪除個資，但三個月後當事人又因個資外洩而蒙受損害時，此時企業該如何舉證已在三個月前刪除當事人個資，證明自己的清白。此時之前保留的錄影就是最直接的證據。

另外也建議藉由個資盤點的成果，將個資納入現有機密資料保護流程。也就是將個資視為內部機密資料，加上存取控管的概念，適度的限縮不必要的使用權限，並限制個資檔案的流通。建議可將個資檔案集中存放在伺服器，只供有權限的人員存取檔案。對於管理個資的人員，不限制其操作，只記錄行為。而對只有查詢目的的個資使用人員，建議用X-FORT的文件防駭功能，限制只能開啟檔案，但不能編輯內容，也無法下載到自己的電腦去作其他目的的利用。

X-FORT 因應個資法對照表

1. 配置管理之人員及相當資源	導入X-FORT
2. 界定個人資料之範圍	遠端尋檔 + Log分析
3. 個人資料之風險評估及管理機制
4. 事故之預防、通報及應變機制	外洩行為主動警示
5. 個人資料蒐集、處理及利用之內部管理程序	存取權限控制存取個資行為記錄端點防護控管外洩管道
6. 資料安全管理及人員管理	端點防護控管外洩管道
7. 認知宣導及教育訓練存取	個資時跳出提醒訊息
8. 設備安全管理	端點防護控管外洩管道
9. 資料安全稽核機制	建立有效稽核點
10. 使用紀錄、軌跡資料及證據保存	存取個資行為記錄、錄影
11. 個人資料安全維護之整體持續改善

進一步降低大量個資外洩的機會，也可以減少個資盤點的成本。另外，當使用者存取個資時，也要跳出提醒使用者謹慎使用個資的宣示訊息。惟有將資安的政策，提示在使用者的每一次存取行為中，才能讓每年進行1~2次的資安教育訓練，內化為存在每位同仁心中的企業文化，進而達成個資零外洩的目標。F

文/精品科技研發一部蔡宜霖經理

此次X-FORT特別結合了JustLogIt模組，而這個模組跳脫出以往X-FORT的框架，可用Web介面瀏覽，讓主管者可以更輕鬆的來閱讀「人」的記錄報表。

以人為單位閱讀記錄好方便

X-FORT的記錄查詢及報表功能，主要是以「事件」為對象，且查詢結果分散在各人員及電腦，不容易看出經歷過程；無法對單一人員作整體記錄的分析，造成管理者很大困擾。

X-FORT外加JustLogIt模組，其瀏覽記錄功能的特色，是設計針對以「人」操作電腦的每日記錄，整合於時間軸，作為檢視面向，配合搜尋、篩選、集結…等功能，讓瀏覽者更能迅速分析、清晰察覺人員操作的軌跡記錄；這樣的瀏覽方式，亦提昇作為數位鑑識佐證的利器。

以Web操作介面的稽核管理控制台，讓老闆也能輕易上手

JustLogIt Web Console主要功能在於瀏覽及查詢員工於電腦操作的記錄；結合X-FORT及JustLogIt Agent針對各員工電腦操作記錄的收集，並將資料上傳到資料中心，瀏覽者即可透過Web Console選擇對象及時間範圍，依時間排序檢視員工的記錄。

在以下將說明JustLogIt Web Console可瀏覽的各類型記錄，其中Office文件操作、Chrome及Firefox的網頁瀏覽記錄，以及螢幕操作畫面擷取，是由JustLogIt Agent記錄，其餘資料則整合自X-FORT已有的記錄。

檔案操作使用記錄
- Office文件的開啟、存檔、另存新檔；使用者即使將原始文件，另存其他檔名或其他文件格式，亦無所遁形，皆被記錄追蹤。
- 檔案總管執行複製、刪除、更名、新增、移動檔案；記錄可再分類操作行為是針對外接裝置、網路芳鄰、網路上傳、燒錄到光碟。
- 文件列印的檔案名稱、頁數及使用的印表機。
網路使用相關記錄
- 網頁瀏覽：記錄網頁標題及網址(URL)，可涵蓋常用的瀏覽器軟體，如Microsoft IE、Google Chrome、Mozilla Firefox。
- 線上交談記錄：使用者帳號、交談對象、交談內容以及常用的即時通訊軟體(Skype、MSN、Yahoo、QQ)，透過獨步設計的集結整合功能，讓瀏覽者可清晰檢視對談訊息內容。
- 針對Outlook寄送E-mail，包括主旨、內文、寄件者、收件者、附件名稱，皆加以記錄。
軟體使用記錄
- 記錄軟體執行的啟始、結束時間；對被須記錄的軟體對象，可做彈性設定。
- 使用者電腦開關機時間點，以及電腦閒置的時間。
- 發現違規使用「禁用軟體」時，寄送警示信件給管理者，並特別標示於記錄中
螢幕畫面記錄
- 在關鍵操作點擷取螢幕畫面存入記錄，例如軟體啟動、Active操作視窗切換時。
- 針對特定清單的軟體或網頁執行時，開啟定時記錄畫面的功能。

管理人員操作方式：

中央控管Web Console
- 管理人員使用管理分析中心，可檢視內部員工是否有資安洩密風險
- JustLogIt可透過遠端安裝、反安裝方式，佈署於員工電腦，被指定安裝電腦，立即啟動記錄功能。
- 被安裝JustLogIt的員工安裝，無法私自移除JustLogIt軟體或刪除記錄檔案，以達到精確監視電腦操作的功能。
- 對被安裝JustLogIt的電腦，可透過連線狀態管理介面，了解使用情況，掌握是否有異常電腦。
角色分層管理
- 區分管理者、瀏覽者身份，可設定IT人員管理系統，稽核人員瀏覽及分析記錄，主管只能瀏覽自己部門的記錄
- 針對管理者、瀏覽者的操作進行管理記錄，防止管理者不當作業，稽核者可進一步檢視管理者記錄。
瀏覽電腦記錄
- 可以選擇對象員工、時間範圍，依時間排序檢視，瀏覽其電腦操作記錄
- 提供強大及多樣化的篩選、集結、排序功能，讓資料呈現多樣的面貌，瀏覽者可輕鬆掌握龐大的資料
- 彈性化的查詢與漸進化搜尋功能設計，讓管理者迅速、精確查詢到想要的資訊
異常分析
- 提供直覺式的資料與時間的分佈圖，可立即查覺資料異常，做進一步的分析
- 對違規的操作行為，例如禁用軟體、禁用網頁的使用，除了記錄、標示異常外，亦會發出警示email給指定主管
- 統計各類記錄資料，針對異常的內容可再分析，例如特定清單內的網頁，若有異常次數使用，可再作追蹤注意該人員。
套用記錄政策的管理
- 對人員電腦須記錄的操作類型，可透過政策內容的設定，作為範本，以套用到指定人員；例如，螢幕畫面資料，因為比較資料量龐大，只須應用於特定的異常員工，加以套用並記錄。

貼心小設計，馬賽克記錄，避免瀏覽人員看到重要隱私記錄

JustLogIt可記錄人員電腦操作的行為，但同時顧及可能也記錄到個人隱私的資訊，所以精心設計，如何兼顧可讓主管瀏覽時，掌握到員工是否有違反資安規範，而不會看到重要隱私資訊。

JustLogIt於管理者設定中，可針對具瀏覽者權限的主管，設定安全性等級，等級由0~9級；在瀏覽時，檢視的記錄資訊，呈現文字掩蔽的不同層次的效果，對螢幕畫面的檢視，也可有不同馬賽克效果的糢糊度顯示。

例如，人名原內容是”汪大同”，設定檢視安全等級為3時，瀏覽者就只看到”汪○同”。

最高權限的管理者，可設定等級為0，即表示可檢視完整的記錄內容，安全性等級設定越高，表示資料遮蔽效果越多。

人員操作軌跡記錄，包含文字及螢幕截圖，皆可匯出Excel

JustLogIt不僅保有數位鑑識的記錄於資料庫，更能提供實體檔案或印出結果的記錄報表。

如前面已有說明，JustLogIt的Web Console能夠提供方便、清晰的瀏覽記錄功能，更能精確掌握資安狀況；另為提升高度證據力，JustLogIt可將目前檢視到的關鍵資料記錄，立即匯出成Excel的檔案，除文字記錄外，對螢幕畫面的影像資料，亦可依時間軸順序，一一排序匯入於Excel檔中；這對提供資安事件鑑識的過程，大大提昇作為證據力的承供物件。

編號	針對網址	說明
1	application/x-www-form-urlencoded	http：//www.facebook.com/ajax/ufi/modify	FaceBook-控管留言
2	application/x-www-form-urlencoded	http：//www.facebook.com/ajax/chat/	FaceBook-控管聊天室
3	application/x-www-form-urlencoded	http：//www.facebook.com/editnote.php	FaceBook-控管網誌發表
4	application/x-www-form-urlencoded	http：//www.facebook.com/ajax/gigaboxx/endpoint/	FaceBook-控管訊息
5	application/x-www-form-urlencoded	http：//www.facebook.com/ajax/composer/attachment/link/	FaceBook-動態消息（轉貼連結）
6	multipart/form-data	vupload.facebook.com/video	FaceBook-影片上傳
7	multipart/form-data	upload.facebook.com	FaceBook-動態消息（控管相片、影片上傳）
8	application/x-www-form-urlencoded	www.facebook.com/ajax/updatestatus	FaceBook-動態消息（個人近況）

以人為單位閱讀記錄好方便

以Web操作介面的稽核管理控制台，讓老闆也能輕易上手

貼心小設計，馬賽克記錄，避免瀏覽人員看到重要隱私記錄

人員操作軌跡記錄，包含文字及螢幕截圖，皆可匯出Excel

【隨身碟控管篇】

大部分的企業都想有效控管USB隨身碟，而使用X-FORT的企業經統計都是這樣控管：

【網頁控管篇】

如何產生可開機的USB (NTFS for DOS).doc