新版個資法正式實施在即,發展已趨成熟的DLP(資料外洩防護)市場又掀起一陣討論。過去是針對智慧財產權較重視的企業,擔心萬一苦心研發的核心資料外流,不僅投入研發成本付諸流水,也會使得最新技術跟市場需求產生落差,因此DLP以往是科學園區的IC設計公司等高科技研發製造業的需求較高。
今年再談DLP,卻是因為法務部終於確認個資法即將施行,對於業務性質會取得個資資料的企業而言,成了不得不面對的議題。雖然施行細則草案中明定企業應該實施的安全維護項目多且涉及層面廣泛,即使把DLP所強調的端點、閘道、網路,甚至是資料庫解決方案全數導入,都無法保證可免除個資法風險,但是既然擁有個資,就必須得加緊腳步建置防範機制。有別於以往強調端到端(End-to-End)的完整DLP防護網,為了加速因應個資法上路,可模組化、簡單化導入的DLP產品,便成為資安廠商近期銷售的主力。
廣義來說,趨勢科技台灣暨香港區總經理洪偉淦認為,所有傳統資訊安全的產品,基本上都算是個資法的解決方案,因為個資保護包含主動與被動,幾乎涵蓋所有資訊安全廠商,擁有防止資料外洩能力的DLP自然更受重視。而保護機制仍是以加密與內容辨識為主流,只是過去發展的DLP並非因應現在的個資法而設計,對於欲保護的資料格式相差甚大,除非公司規模夠大或產業特性需要,否則對一般企業而言,建置完整DLP的必要性並不大,只要能掃描偵測到個資法定義的個資範圍,像是姓名、出生年月日、身分證字號、婚姻、教育、職業等,並加以保護即可。因此趨勢科技因應這波需求,而著手進行將防毒軟體中加入DLP機制的整合方案。「既然都屬於對資料進行掃描的動作,把防毒跟DLP兩者結合,不但可省去繁雜的部署步驟,也不需要在終端設備上一再安裝代理程式。」洪偉淦說。
而Websense針對DLP解決方案也做了更加細緻化的發展,Websense台灣區技術總監莊添發說明,在日前所發佈的TRITON新版本中即新增了光學字元辨識(Optical Character Recognition,OCR)機制。主要是針對經過光學掃描存成圖片檔的紙本文件,像是保險業就有很多這類型的檔案,而原本DLP機制僅以對單一份圖片檔做資料指紋(Fingerprint)的方式,來識別其機密等級權限,一旦圖片經過修改,即使只有一個逗點不同,再存檔卻將是一份全新的資料指紋,很難在DLP系統中讓兩者有關連性,因此DLP並不會主動發現新的資料指紋屬於原本該保護的個資資料。新版本增加了光學字元辨識的保護,莊添發不諱言,當然還是有其限制,但能盡量讓含有個資的圖檔獲得更細緻的保護。
IT技術再進步,還是需要懂得善加利用來解決既有的問題,該技術才具價值。而作為輔助個資法合規的DLP能否發揮,則是端賴企業是否決心將公司管理政策加以落實。解決方案無分好與壞,只有適不適合,重點在慎選符合管理政策的方案,才能感受其效益。