前言:
執著於「一句承諾、一生的朋友」理念的三商美邦人壽,深知悉心守護客戶資料之重要性,所以為了因應個資保全需求,近年來積極佈建多項防禦機制,其間也包含郵件安全過濾及稽核管理系統。
本文:
才剛屆滿20年歲三商美邦人壽,一向念茲在茲的,是協助每位客戶兌現對家人的「愛」與「責任」,因此始終不惜投注可觀人力與物力,全力建構安全的消費環境;三年前由高階主管領軍成立個資法因應小組,一方面邀請外部顧問團隊就審計、法律、資安等面向,協助推動個資法的籌建工作,二方面責成作業系統部協理劉燦暉,帶領IT團隊強化資安基礎建設。
三年多來,三商美邦先是將核心網路拆分為網路、Server Farm等二區塊,針對後者建立第二道防火牆與入侵防禦系統,藉此增加駭客突穿滲透的難度,牢牢守護主機系統,緊接著部署防毒牆、應用程式防火牆(WAF),並大舉佈建資料外洩防護(DLP)機制,除相繼建置Database DLP與Gateway DLP,並規劃設置Endpoint DLP外,也亟思引進郵件內容稽核、郵件備份索引等重要機能,順勢翻新垃圾郵件處理系統,建立穩固可靠的Mail DLP堡壘。
「單憑郵件伺服器,無法過濾寄件內容是否夾帶機敏個資,」劉燦暉說,不僅如此,從前每逢同仁反應誤刪某些信件,若想加以還原,IT部門便需從備援中心調回大批郵件備份,再從中尋覓特定郵件,看似平淡無奇的需求,背後涉及浩大工程,長此以往,當然不利於個資糾紛案件的舉證效率;基於這些緣由,該公司遂決定部署相關郵件資安系統,並在2012年期間,積極展開測試作業。
慎選合適的系統 而非便宜的系統
三商美邦作業系統部網路資安科襄理陳保辰,銜命遴選部署標的,有鑑於此事實屬個資防護工作的重要一環,自然不敢怠慢;為了避免因個人偏好影響採購意向,他一方面指派吳冠穎專員,針對多家廠牌系統(最終有五家產品受測)嚴加測試,二方面則援引工業設計業界的品質屋矩陣概念,制定評選規則。
陳保辰將專案目標設定為「安全政策設定的靈活度與細膩度」、「Archive的搜尋速度與精確性」、「操作容易度」、「介面整合度」及「營運成本」,再依個別項目的輕重緩急,分別給予1.5、1.5、1.25、1.25與1分不等的評量權重。其中成本項目被賦予最低權重,與該公司一向秉持「找合適的產品、而非便宜的產品」的原則不謀而合。
為確保系統測試結果的客觀中立,吳冠穎在為期半年的測試過程中,並未獲知上述評選原則,純粹從技術面執行專業驗證。在Anti-Spam部分,首重各系統的偵測率與誤判率;針對郵件內容稽核,觀察重點在於是否支援群組式、清單式的巨量資料快速比對,以期符合個資法管理需求;有關Archive的搜尋速度,特別彙集五家廠商不同格式的郵件資料,分別重新索引成為各自的備存格式後,再以相同條件進行搜尋,實測重點包括了查詢速度與搜尋結果的精確性。
歷經嚴格評選 Nopam Themis脫穎而出
待完成測試後,吳冠穎才按照評選規則,計算個別產品的加權積分,再根據相關數據繪出雷達圖,其中覆蓋面積最均衡完整者,即為綠色運算提供的Nopam Themis多模組郵件資安系統,顯見其E-mail Spam、Audit與Archive等三大功能面面俱到,最吻合本次專案目標,最終雀屏中選。
對照此次評選規則,探究Nopam Themis系統取勝的關鍵,首先是Policy設定具有一定靈活性與細膩度,讓三商美邦得以兼顧政策設定的層次深度,也不會因而拖累系統過濾的速率;其次是當需要追查或舉證時,該系統被證明能在大量壓縮資料中快速檢索特定歷史資料;再者,操作介面不致流於繁瑣,使三商美邦無需費心推動人員訓練,即可讓同仁快速接手並運作系統。
第四,綜觀參與本次專案測試的五家產品,未必都將Spam、Audit與Archive等主要功能,統整於單一管理介面,然而Nopam Themis系統則將介面整合為一,有助於提升管理效率,並降低管理人力的負擔。最後,無論導入任何資安系統,三商美邦都不僅側重初始採購費用的高低,而會連同未來五年系統維運所需之總體成本,一併通盤考量,此次亦不例外,而Nopam Themis系統衍生的營運成本負擔,尚落在相對可接受的範圍內。
展現捍衛個資決心 贏得消費者信任
陳保辰指出,隨著Nopam Themis系統於今年五月上線,無論對於IT管理者、乃至於公司整體,皆已逐步展現成效。針對郵件管理部分,IT同仁可藉由每日及每小時產生之報表,深入瞭解系統運作與公司郵件況,除此之外,假使發生退信現象,無需費心查詢系統記錄,即可快速找到問題點。
對於三商美邦而言,憑藉Nopam Themis系統的稽核功能,即可有效管理內含敏感個資的信件,縱使若干富含個資的郵件,乃是基於業務交換所需,因而獲得單位主管授權放行,仍可針對其運作軌跡,留下完整備份與記錄;另可借助備份檢索功能,作為重要郵件的備份取用,或是當單一的個資外洩爭議事件發生時,提供備份檢索之快速查詢,藉以善盡保管與舉證之責。
劉燦暉補充,此次專案涉及原有Anti-Spam系統的翻新,因此必須留意新舊系統交替之間,能否順利承襲既有的垃圾郵件過濾政策,好讓使用者得以無縫接軌;幸而在三商美邦、綠色運算雙方的溝通與調整下,已為信件流做了完善規畫,終至實現無痛升級目標,同時也一併靠著稽核、備份檢索等功能到位,彰顯該公司善盡客戶資料保管責任與義務之決心,有助於贏得消費者認同。