解除企業資料外洩危機

關於資料外洩的案件在資訊化的今日可說是層出不窮，更不用提當各種智慧型裝置越來越普及之後，所帶來的安全漏洞將可能引發多大的資料外洩危機。

對企業而言，隨著資訊化與數位化的普及，資料外洩風險也與日俱增，除了將導致實質上的營利損失之外，也可能面臨法規約束與罰款賠償。如何保護企業資料，進而避免資料外洩，成了企業IT的重要課題。因應無孔不入的外洩管道，市場上多元的資料保護方案無不想方設法強化企業資料安全性，此次我們將探訪業界專家，從不同角度切入，談談企業資料保護，應該從何做起。

對於企業而言，針對機密資料進行保護以及防止資料外洩，是一門大學問，無論是為求防止因資料外流而洩漏商業機密、損害商譽，或者是為了符合法令規範以避免觸法遭罰，保護資料都是企業勢在必行的舉措，尤其當個人資料保護新法實行之際，企業將面臨的是更全面性的資料保護需求，而不再像過去僅需保護與企業營運相關的重要資料。

▲針對資料內容與外洩管道、外部與內部使用者的不同屬性，市場上因應資料防護的解決方案也有諸多選擇。（資料提供：Websense）

話雖如此，由於資料的存放方式與種類繁多，可能外洩的管道就像防堵漏水一樣，這邊堵住了，卻在那邊的角落冒出一個小缺口，數位化的資料要顧，實體文件也要防。曾經發生過一家企業的業務，居然在競爭同業的公司看見自家機密報價出現在對方員工手裡，原因是自家同事使用回收紙張不慎，竟將背面印有機密文件的紙張重複列印後送出去給對方，像這樣嚴重影響企業營運的烏龍事件比比皆是，還不包括刻意行為例如離職員工挾怨報復竊走機密資料的諸多案件。

如此說來，企業到底該怎麼保護資料？目前市場上提供防止資料外洩與資料保護的解決方案多如繁星，企業該如何選擇？在思考這個問題之前，讓我們先從破除解決方案的迷思開始。

採用DLP應該就夠了吧？

談到防止資料外洩，許多人首先想到的解決方案就是DLP（Data Loss Prevention，資料外洩防護），依照各家廠商不同區分方式如監控網路傳輸資料的網路型DLP、控管終端資料使用行為的終端型DLP、電子郵件DLP等，主要功能包括針對資料內容關鍵字進行偵測、學習、分析、控管與紀錄等；再搭配裝置控管（Device Control）機制，確保如USB、印表機等裝置使用行為，至少已經能夠防堵大部分企業內資料使用與傳輸行為所可能發生的資料外洩事件。

不過，DLP也有其產品先天性的限制。舉例來說，採用網路型DLP，即無法控管到離開企業內網後的資料使用行為，就算搭配使用終端型DLP，能夠控管企業內部終端裝置資料使用行為，對於像是越來越多商務人士所使用的行動裝置如iPad或智慧型手機，也難以有效控管，畢竟，當商務人士透過行動裝置存取資料或將機密文件以郵件傳送出去，同樣可能造成有心或無意的資料外洩危機。

此外，當系統已設定列管的重要資料經過改變資料型態與內容（例如避開關鍵字重製內容）、或者是重要資料但企業疏忽並未設定防堵等情況，同樣是DLP難以抵擋的外洩漏洞。也因為防堵管道難以全面性控管機密資料，也就讓直接針對資料本身下手的DRM（Digital Rights Management，數位版權管理）有了不同於DLP的市場立足點。（完整精彩文章詳見網管人第63期）