以資訊安全管理的角度來看個資法議題,個資會發生外洩事件大多是內賊或外賊所為,對此趨勢科技有兩大主軸,趨勢科技台灣暨香港區總經理洪偉淦說明,首先是DLP解決方案,提供用戶一個較以往簡單的方式,來簡化部署與建置需耗費的時間,在IT系統可以達到的部分符合個資法的需求;其次則是把APT(Advanced Persistent Threats)這類的新型態攻擊事件風險降低。
洪偉淦表示,過去市場上常見的DLP機制,主要有加密與內容辨識兩種取向,趨勢則是較偏向內容辨識,透過可閱讀到資料內容的能力,進而判斷是否屬於機密資料。至於判斷標準,就需要廠商提供一些比對樣板,讓判斷引擎得以辨識。例如將機密資料建檔,做成一個樣板,當資料要流通前,引擎會自動偵測並跟樣板作比對,來判別是否為機密文件,再決定是要攔阻或僅作記錄。
至於檔案加密機制雖然也可行,但根據洪偉淦在客戶端的觀察,由於加密機制牽涉到整個工作流程的改變,甚至反而更複雜,企業一般未必會接受。趨勢認為提供一種最簡單的方法,才最能滿足客戶的需求,因此另外發展出有別於以往的DLP方案,就是把DLP控管機制納入防毒引擎中。洪偉淦表示,其實防毒跟DLP的性質相似,同樣是針對資料做掃描動作,把防毒跟DLP兩者結合,不但可省去部署的步驟,也不需要在增加代理程式。
 |
| ▲趨勢科技台灣暨香港區總經理洪偉淦表示,會選擇導入趨勢解決方案的客戶,有時並非著重在產品獨特性,反而是因為顧問團隊可以協助因應個資法。 |
他進一步說明,個資法的涵蓋面跟DLP預設的保護範疇是有差異的,DLP可以解決的範圍很細緻,相較之下個資法要求保護的資訊就顯得簡單。舉例而言,假設一家汽車廠,有最新的產品設計原圖,是用專業繪圖軟體製作而成,DLP必須針對這些檔案格式經過學習後嵌入過濾引擎,複雜度相當高;但個資法僅是針對像是姓名、電話、地址等固定格式,因此他認為與其建置一個完整DLP解決方案來因應個資法,不如以簡單方式部署就可立即達到保護的目的。
如果了解個資法的法條,就會瞭解到即使是最完整的DLP也無法涵蓋到全部法規。「出自台灣的趨勢科技,長期耕耘本土市場,累積相當多在地經驗,相較於外商,我們很清楚個資法是甚麼,因為外商會用國外的案例套用在台灣。事實上,過去我們經常協助客戶去設計一些比對樣本,以達到防止資料外流。」洪偉淦說。
此外,對於個資的定義每個產業都不同,洪偉淦建議,當企業要挑選解決方案廠商時,應該考量到該方案本身是否可彈性建置,以及是否可以達到某種程度的客製化,如此才能符合真正控管所需。