前言:
随着法规修订的脚步,个资法议题与需求在企业网路资安市场的热度也持续上扬。对于企业而言,若要妥善管理与保护数量庞大且分散的个资,每天收发无数的电子邮件也是不容忽视的一大环节,要想做好个资保护与安全,邮件稽核管理便是第一步。此次我们将探访几家邮件稽核管理厂商,谈谈目前市场现况,以及邮件稽核安全能为企业带来哪些优势与帮助。
採访大纲:
1. 请先谈谈企业因应个资法的议题之下,佈属邮件稽核管理方案所代表的意义与重要性为何?
2. 目前企业对于邮件稽核管理的接受度与採用度为何?是否有因为个资法或其他因素让邮件稽核管理的需求提高?或是否让邮件稽核管理方案增加其他功能或条件需求?贵公司如何因应此一市场趋势与产品需求?
- Regular compliance(做好法规遵循-企业责任准则),如:
- 个资法、 PCI、SOX 、Basel 与HIPPA,皆是要求在商业营运中保护、追踪及控制或事后举证所有敏感的资讯。
- 避免机敏资料或智财(Intellectual Property)外洩或因应相关诉讼举证所需:
- 监控组织与外部客户与供应商间[通讯行为]与[机敏内容];
- 避免机敏资料或智财(Intellectual Property)透过邮件管道外洩;
- 确保与客户/供应商/外包商间通讯符合竞业条款;
- 特定通讯对象或内容信件自动加密;
- 规范组织与单位符合整体通讯行为政策;
- 避免不当言论外洩;
- 特定单位或人员监控。
个人资料属于企业机敏资料一环,亦是企业宝贵资产,绿色运算长期于电邮资安与云端运算市场长期经营,在电邮稽核技术端除协助高科技产业邮件稽核的解决方案,近几年亦协助电信业者相关邮件稽核云端的开发与建置,如近年来协助中华电信建立全台最大的邮件后稽核云端(Mail Archiving Cloud),提供上万家企业组织云端归档与稽核的解决方案。
综观目前电邮稽核技术,根据辅导经验发现,有两大基本问题值得客户导入实 作切实地评估:
| 事前稽核 | 机敏资料含个资等,是否能有效侦测拦截 |
|---|---|
| 事后稽后 | 机敏资料含个资等,是否能有效探勘举证 |
技术的良莠与否,取决于该拦截的机敏资料是否可正确拦截? 有问题的机敏可疑信件是否于是后可以探勘举证出来? 例如,企业若导入archiving 系统于事后却无法调阅『含有个资的信件』,『含有程式码的信件』『[业务部门]外寄邮件含部门敏感关键字附件,没有知会主管,将信件寄往竞争对手们相关网域的信有哪些? 上述问题若非,那导入该系统就在实务上的意义就大大减落效益甚至毫无意义
▲ Journal based Mail archiving 与邮件后稽核引擎针对上述的客户实境,绿色运算除了开发regular compliance 的中文化个资扫描引擎,针对邮件流中的中文姓名识别、全国各县市地址,另外还支援身分证号码、信用卡号、护照号、市话、手机号码以及电子邮件位址或其他客製证号的个资侦测,确保各类个资组合都能精确扫描侦测!
个资或机敏资料侦测、支援杂讯、容错、模煳比对、部分比对等进阶比对功能 (如:陈兆宁与陈经理兆宁’陈组长兆宁,马英九与马总统英九、马主席英九)均可以辨别为中文姓名。
可依自定义规格定义相关个资风险资料侦测rule{系统有预设值,ID 可以是身分证、信用卡、护证照、病历或相关客製证号(保单号)}
- 姓名+地址 (Found n次,n可指定)
- 姓名+手机 (Found n次,n可指定)
- 手机+地址 (Found n次,n可指定)
- ID+手机 (Found n次,n可指定)
- ID+市话 (Found n次,n可指定)
- ID+地址 (Found n次,n可指定)
自订个资组合或证号pattern (Found n次,n可指定),如 超高风险个资:信件内含姓名、身分证号、信用卡、护照号、市话、手机号码以及电子邮件出现N种,各出现N笔 中度风险个资:ID证号+另一单一或多重个资(电话、手机、地址、email) 出现 n笔 (各类风险参数可自订,可类推自定义) 定义后可输出相关个资扫描与风险分析相关报表以提供纠举、提报、改善、举证等相关用途
除个资外,在MDLP (Mail Data Leak Prevention),有别一般厂商关键字与正规表示式比对,绿色运算以卓越的大量资料集(辞典档)比对引擎技术 (MPM-Multi-Pattern-matching)提供优越的侦测探勘引擎比对技术,因篇幅关係.何谓MPM技术,我们举例一些高科技稽核实际案例说明,这些案例若不具备MPM技术,则很难在实际应用案例上,在稽核政策定义上可能就会抓禁见肘(当然,无法下政策就无法事前侦测或事后探勘)。
如高科技产业一些案例,若一般只提供关键字或正规表示式比对的电邮稽核系统,则很难于实务上应用或无法下稽核政策,如以下高科技产业常见稽核管控政策。
| 收件者只能含单一客户网域,不能出现其他客户网域于同一封信 |
| 客户与供应商或外包商To/RCPT不能出现在同一封信 |
| 多个专案team(或业务),只能寄信给属于自己专案的客户对信(各有自己的公务通讯清单),不可寄给其他非自己专案的客户,可以寄信给不在上述所有通讯清单的对象.这要做稽核管控与分析 (即各专案组织不能与非自己客户通信)截 |
| 除[处级主管]以上,外送信件一律先做[关键字组权重(3分)式辞典档检查],有含关键内容则拦截.不含关键字仍需检查[是否有附件],附件若cc给[主管]则放行,没给主管若是通信对象为[公务清单]者放行 |
| 常会有专案组织,公务通讯清单,限发清单,拒绝清单,客户清单,厂商清单,BU客户清单,部门关键字典等Data set 设计 |
| 一般compliance侦测 (如个资法SOX,PCI,Basel,Hippa) |
3. 邮件稽核管理解决方案能为企业解决哪些问题?可带来哪些助益?贵公司所提供的解决方案内容为何?与其他同质性产品的差异与优势为何?
▲ Journal based Mail archiving 与邮件后稽核引擎绿色运算从Appliance-Package-Project-Cloud,提供一系列的邮件稽核解决方案,就电邮稽核技术上提供best of bread 与先进的侦测与探勘技术。
最后,提供经验上的分享-如何选择良好的电邮稽核产品?
| 只有关键字与正规表示式表比对的方法无法满足稽核实务(一般产品) |
| 资料集(大量关键字或多模式样pattern)如何比对? (如收件者符合公务清单如何比对? 符合部门关键字3个以上或分数6) |
| 资料集比对运算-pattern数/权重、出现次数、UNIQUE、LARGE 、SMALL 、关键集巨集替代(Keyword Macro)与资料集运算(Data set operation) |
| 是否具有资料集(辞典档权重)比对引擎技术(MPM-Multi-Pattern-Matching) |
***非常重要
实务上,建议使用单位应以实际应用案例(real audit scenario)去定义一些Policy 做稽核结果验测,而非测试局部产品规格功能,会比较符合企业实务稽核上的需求。
附图说明:
如何选择良好邮件稽核产品
目前市面上邮件稽核产品稽核条件比对方法大多只支援[关键字]与[正规表示式(regular expression)] ,若只支援此两种简易稽核查核比对方式,于大多高科技或设计导向行业的稽核政策则频频出现抓禁见肘的情况,甚至无法下稽核条件,当然,更无法适时的事前拦截与需要举证的时候做事后举证探勘(如下图解释):
Audit Case 1:
What if
1.收件者只能含单一客户网域,不能出现其他客户网域于同一封信
2.客户与供应商不能出现在同一封信,
怎麽下规则条件呢?
▲ [audit_graph1.jpg] [audit_graph2.jpg] ▲Audit Case 2
What if
除[处级主管]以上,外送信件一律先做部门[关键字组权重(3分)
辞典档检查] ,有含关键内容则拦截.不含关键字仍需检查
[是否有附件],附件若cc给[主管]则放行,没给主管若是通信对象
为[公务清单]者放行
怎麽下规则条件呢?
▲ [audit_graph3.jpg] [audit_graph4.jpg] ▲邮件稽核架构图1
邮件稽核架构图2 (前后稽)
原文出处:网管人杂誌第78期 沉欣蓓(採访编辑)
作者:陈兆宁larry@green-computing.com
任职于绿色运算