- 資源
- 技術專欄
技術專欄
DLP
Data Loss Prevention最常見的應用為,針對網路上或電腦上即將外傳的資料,作立即性的檢驗。當被檢驗的資料如有符合敏感資料的特徵,則可以在資料尚未外傳時做出警示,阻擋等效果。DLP也可以安裝於Gateway端,監控企業外寄的郵件。如果需要更進階的阻絕,DLP可利用Agent安裝於終端電腦上,針對各類IM(MSN,Skype),USB等方式的資料傳輸做過濾。一旦符合過濾規則之資料,可立即的警示,阻絕甚至加密敏感資料。DLP可說是資料離開企業的最後一道防線。
DRM
Digital Rights Management重點在於未經授權的使用者是無法開啟檔案。因此盜取內部機密資料的人,將因無法連線到授權伺服器取得授權開啟資料。此外,即使敏感資料流動於企業外,資料本身也有保護機制,可讓資料免於被不符合權限的人讀取。
資料庫個資清冊
在將個人資料管理制度付諸實施前,除了訂定管理目標及藍圖,必須先將企業內部的法制與個資做全面性的清查,以建立個資清冊。建立個資清冊的程序包含從部門別、作業流或各式檔案下手,但為了能更有效率清查企業內部的個資,透過自動化的清查工具將更有效清查數位內容中的個人資料,在所有數位內容中,資料庫包含最大宗個人資料,以下介紹如何透過自動化工具清查資料庫中的個人資料,資料庫個資清查可以依內容型態分為兩種方式: 1. 比對資料內容; 2. 比對欄位名稱。
資料庫稽核系統
在個人資料保護的聲浪及資安防護的需求下,各種資料庫稽核產品也紛紛出爐,資料庫稽核系統主要用作監控使用者的資料庫活動,即時蒐集使用者於不同資料庫平台執行的SQL 語句,並透過告警機制即時通知使用者是否有事件違反資安規則,目前稽核系統的技術依資料蒐集方法分為以下幾類:1. 網路側錄(Network Sniffer) ;2. 資料庫代理服務(Local Agent) 3. 混合式 (Hybrid);以下針對這三類做完整的簡述。
資料庫連線阻斷
進行資安防護,系統管理員者最關心的莫過於當惡意存取行為發生時,資安系統能即時阻斷惡意行為,防止損失不斷擴大,同樣在使用稽核系統時,除了希望系統不斷蒐集稽核證據外,當稽核到惡意行為時,能由稽核系統扮演阻斷惡意行為的那道防火牆,防止個資持續外洩。 目前市面上常見的阻斷行為可以依反應的時間分為同步性的連線阻斷(Synchronize):或非同步性(Asynchronize) 連線阻斷。
辨認資料庫活動的真實使用者身份
為了能滿足稽核需求的可歸責性(Accountability),系統管理員必須能辨認資料庫活動的真實使用者身份,但在N-tier 網路架構下,使用者的連線通常是經由連線池(connection pool)管理,因此當使用者要與資料庫進行互動時,使用者可以取用連線池中已存在的連線,而非重新建立連線,以加速存取資料庫的速度,而連線池中的連線通常會共用同一個資料庫使用者登入資料庫,因此單純透過稽核系統監控資料庫活動,只會取得同一個資料庫使用者所做的不同資料庫活動,無法將這些活動歸責於真正的網路使用者。
