如何评估与选择一套良好的邮件稽核系统
个人资料属于企业机敏资料一环,亦是企业宝贵资产,绿色运算长期于电邮资安与云端运算市场长期经营,在电邮稽核技术,除协助高科技产业邮件稽核的解决方案,近几年亦协助电信业者相关邮件稽核云端的开发与建置,如近年来协助中华电信建立全台最大的邮件后稽核云端(Mail Archiving Cloud),提供上万家企业组织云端归档与稽核的解决方案。
综观目前电邮稽核技术,根据辅导经验发现,有两大基本问题值得客户导入实作切实地评估
- 事前稽核:机敏资料含个资等,是否能有效侦测拦截
- 事后稽后:机敏资料含个资等,是否能有效探勘举证
技术的良莠与否,取决于该拦截的机敏资料是否可正确拦截? 有问题的机敏可疑信件是否于是后可以探勘举证出来? 例如,企业若导入archiving 系统于事后却无法调阅『含有个资的信件』,『含有程式码的信件』『[业务部们]外寄邮件含部门敏感关键字附件,没有知会主管,将信件寄往竞争对手们相关网域的信有哪些? 上述问题若非,那导入该系统就在实务上的意义就大大减落效益甚至毫无意义
针对上述的客户实境,绿色运算除了开发regular compliance 的中文化个资扫描引擎。
针对邮件流中的中文姓名识别、全国各县市地址,另外还支援身分证号码、信用卡号、护照号、市话、手机号码以及电子邮件位址或其他客制证号的个资侦测,确保各类个资组合都能精确扫描侦测!
个资或机敏资料侦测,支援杂讯、容错、模糊比对、部分比对等进阶比对功能(如,陈兆宁与陈经理兆宁、陈组长兆宁、马英九与马总统英九、马主席英九)均可以辨别为中文姓名。
可依自定义规格定义相关个资风险资料侦测rule{系统有预设值、ID 可以是身分证、信用卡、护证照、病历或相关客制证号(保单号)}。
- 姓名+地址 (Found n次,n可指定)
- 姓名+手机 (Found n次,n可指定)
- 手机+地址 (Found n次,n可指定)
- ID+手机 (Found n次,n可指定)
- ID+市话 (Found n次,n可指定)
- ID+地址 (Found n次,n可指定)
自订个资组合或证号pattern (Found n次,n可指定),如
- 超高风险个资:信件内含姓名、身分证号、信用卡、护照号、市话、手机号码以及电子邮件出现N种,各出现N笔
- 中度风险个资:ID证号+另一单一或多重个资(电话、手机、地址、email) 出现n笔(各类风险参数可自订,可类推自定义)
定义后可输出相关个资扫描与风险分析相关报表以提供纠举,提报,改善,举证等相关用途。
除个资外,在MDLP (Mail Data Leak Prevention),有别一般厂商关键字与正规表示式比对,绿色运算以卓越的大量资料集(辞典档)比对引擎技术(MPM-Multi -Pattern-matching)提供优越的侦测探勘引擎比对技术,因篇幅关系,何谓MPM技术,我们举例一些高科技稽核实际案例说明,这些案例若不具备MPM技术,则很难在实际应用案例上,在稽核政策定义上可能就会抓禁见肘(当然,无法下政策就无法事前侦测或事后探勘)。
如高科技产业一些案例,若一般只提供关键字或正规表示式比对的电邮稽核系统,则很难于实务上应用或无法下稽核政策,如以下高科技产业常见稽核管控政策?:
- 收件者只能含单一客户网域,不能出现其他客户网域于同一封信
- 客户与供应商或外包商To/RCPT不能出现在同一封信
- RD 部门外寄信件到免费信箱网域一律拦截
- 信件外寄所有收信栏位的收信人须都符合公司公务通信清单成员
- 多个专案team(或业务),只能寄信给属于自己专案的客户对信(各有自己的公务通讯清单),不可寄给其他非自己专案的客户,可以寄信给不在上述,所有通讯清单的对象.这要做稽核管控与分析(即各专案组织不能与非自己客户通信)
- 除[处级主管]以上,外送信件一律先做[关键字组权重(3分)式辞典档检查],有含关键内容则拦截.不含关键字仍需检查[是否有附件],附件若cc给[主管]则放行,没给主管若是通信对象为[公务清单]者放行常会有专案组织,公务通讯清单,限发清单,拒绝清单,客户清单,厂商清单,BU客户清单,部门关键字典等Data set 设计
- 一般compliance侦测(如个资法SOX,PCI,Basel,Hippa)
绿色运算从Appliance-Package-Project-Cloud,提供一系列的邮件稽核解决方案,就电邮稽核技术上提供best of bread 与先进的侦测与探勘技术
最后,提供经验上的分享-如何选择良好的电邮稽核产品?
- 只有关键字与正规表示式表比对的方法无法满足稽核实务(一般产品)
- 资料集(大量关键字或多模式样pattern)如何比对? (如收件者符合公务清单如何比对?符合部门关键字3 个以上或分数6)
- 是否具有资料集(辞典档权重)比对引擎技术(MPM-Multi-Pattern-Matching)
- 最简单的方法是直接举稽核的政策(如, RD部门外寄信件到免费信箱网域一律拦截)做实际产品POC验测
- 产品是否提供最佳的稽核比对技术,效率与易于维运的稽核政策管理方式
- 归档产品是否提供自动化稽核或举证探勘的工具或引擎
评选上的建议 :
随着法规修订的脚步,个资法议题与需求在资安市场的热度也持续上扬。对于企业而言,若要妥善管理与保护数量庞大且分散的个资,每天收发无数的电子邮件也是不容忽视的一大环节,要想做好个资保护与安全,邮件稽核管理便是第一步。实务上,建议使用单位应以实际应用案例(real audit scenario)去定义一些Policy 做稽核结果验测而非测试局部产品规格功能会比较符合企业实务稽核上的需求