技术文章

2019-05-16三商美邦部署Nopam Themis 严防邮件沦为个资洩露管道

前言:
执着于「一句承诺、一生的朋友」理念的三商美邦人寿,深知悉心守护客户资料之重要性,所以为了因应个资保全需求,近年来积极佈建多项防御机制,其间也包含邮件安全过滤及稽核管理系统。

本文:
才刚届满20年岁三商美邦人寿,一向念兹在兹的,是协助每位客户兑现对家人的「爱」与「责任」,因此始终不惜投注可观人力与物力,全力建构安全的消费环境;三年前由高阶主管领军成立个资法因应小组,一方面邀请外部顾问团队就审计、法律、资安等面向,协助推动个资法的筹建工作,二方面责成作业系统部协理刘灿晖,带领IT团队强化资安基础建设。

三年多来,三商美邦先是将核心网路拆分为网路、Server Farm等二区块,针对后者建立第二道防火牆与入侵防御系统,藉此增加骇客突穿渗透的难度,牢牢守护主机系统,紧接着部署防毒牆、应用程式防火牆(WAF),并大举佈建资料外洩防护(DLP)机制,除相继建置Database DLP与Gateway DLP,并规划设置Endpoint DLP外,也亟思引进邮件内容稽核、邮件备份索引等重要机能,顺势翻新垃圾邮件处理系统,建立稳固可靠的Mail DLP堡垒。

「单凭邮件伺服器,无法过滤寄件内容是否夹带机敏个资,」刘灿晖说,不仅如此,从前每逢同仁反应误删某些信件,若想加以还原,IT部门便需从备援中心调回大批邮件备份,再从中寻觅特定邮件,看似平淡无奇的需求,背后涉及浩大工程,长此以往,当然不利于个资纠纷案件的举证效率;基于这些缘由,该公司遂决定部署相关邮件资安系统,并在2012年期间,积极展开测试作业。

慎选合适的系统 而非便宜的系统

三商美邦作业系统部网路资安科襄理陈保辰,衔命遴选部署标的,有鑑于此事实属个资防护工作的重要一环,自然不敢怠慢;为了避免因个人偏好影响採购意向,他一方面指派吴冠颖专员,针对多家厂牌系统(最终有五家产品受测)严加测试,二方面则援引工业设计业界的品质屋矩阵概念,制定评选规则。

陈保辰将专案目标设定为「安全政策设定的灵活度与细腻度」、「Archive的搜寻速度与精确性」、「操作容易度」、「介面整合度」及「营运成本」,再依个别项目的轻重缓急,分别给予1.5、1.5、1.25、1.25与1分不等的评量权重。其中成本项目被赋予最低权重,与该公司一向秉持「找合适的产品、而非便宜的产品」的原则不谋而合。

为确保系统测试结果的客观中立,吴冠颖在为期半年的测试过程中,并未获知上述评选原则,纯粹从技术面执行专业验证。在Anti-Spam部分,首重各系统的侦测率与误判率;针对邮件内容稽核,观察重点在于是否支援群组式、清单式的巨量资料快速比对,以期符合个资法管理需求;有关Archive的搜寻速度,特别彙集五家厂商不同格式的邮件资料,分别重新索引成为各自的备存格式后,再以相同条件进行搜寻,实测重点包括了查询速度与搜寻结果的精确性。

历经严格评选 Nopam Themis脱颖而出

待完成测试后,吴冠颖才按照评选规则,计算个别产品的加权积分,再根据相关数据绘出雷达图,其中复盖面积最均衡完整者,即为绿色运算提供的Nopam Themis多模组邮件资安系统,显见其E-mail Spam、Audit与Archive等三大功能面面俱到,最吻合本次专案目标,最终雀屏中选。

对照此次评选规则,探究Nopam Themis系统取胜的关键,首先是Policy设定具有一定灵活性与细腻度,让三商美邦得以兼顾政策设定的层次深度,也不会因而拖累系统过滤的速率;其次是当需要追查或举证时,该系统被证明能在大量压缩资料中快速检索特定历史资料;再者,操作介面不致流于繁琐,使三商美邦无需费心推动人员训练,即可让同仁快速接手并运作系统。

第四,综观参与本次专案测试的五家产品,未必都将Spam、Audit与Archive等主要功能,统整于单一管理介面,然而Nopam Themis系统则将介面整合为一,有助于提升管理效率,并降低管理人力的负担。最后,无论导入任何资安系统,三商美邦都不仅侧重初始採购费用的高低,而会连同未来五年系统维运所需之总体成本,一併通盘考量,此次亦不例外,而Nopam Themis系统衍生的营运成本负担,尚落在相对可接受的范围内。

展现捍卫个资决心 赢得消费者信任

陈保辰指出,随着Nopam Themis系统于今年五月上线,无论对于IT管理者、乃至于公司整体,皆已逐步展现成效。针对邮件管理部分,IT同仁可藉由每日及每小时产生之报表,深入瞭解系统运作与公司邮件况,除此之外,假使发生退信现象,无需费心查询系统记录,即可快速找到问题点。

对于三商美邦而言,凭藉Nopam Themis系统的稽核功能,即可有效管理内含敏感个资的信件,纵使若干富含个资的邮件,乃是基于业务交换所需,因而获得单位主管授权放行,仍可针对其运作轨迹,留下完整备份与记录;另可借助备份检索功能,作为重要邮件的备份取用,或是当单一的个资外洩争议事件发生时,提供备份检索之快速查询,藉以善尽保管与举证之责。

刘灿晖补充,此次专案涉及原有Anti-Spam系统的翻新,因此必须留意新旧系统交替之间,能否顺利承袭既有的垃圾邮件过滤政策,好让使用者得以无缝接轨;幸而在三商美邦、绿色运算双方的沟通与调整下,已为信件流做了完善规画,终至实现无痛升级目标,同时也一併靠着稽核、备份检索等功能到位,彰显该公司善尽客户资料保管责任与义务之决心,有助于赢得消费者认同。

Top