技術文章

2019-05-29守護企業個資安全 從郵件稽核管理做起

前言:

隨著法規修訂的腳步,個資法議題與需求在企業網路資安市場的熱度也持續上揚。對於企業而言,若要妥善管理與保護數量龐大且分散的個資,每天收發無數的電子郵件也是不容忽視的一大環節,要想做好個資保護與安全,郵件稽核管理便是第一步。此次我們將探訪幾家郵件稽核管理廠商,談談目前市場現況,以及郵件稽核安全能為企業帶來哪些優勢與幫助。

採訪大綱:

1. 請先談談企業因應個資法的議題之下,佈屬郵件稽核管理方案所代表的意義與重要性為何?

在個資法即將上路之際,法規遵循與訴訟舉證是企業所要面對新的議題與挑戰,企業佈屬郵件稽核,可以有效避免個資因電郵管道不當外洩並可以事後提出舉證資料,就個資法上除了恪盡『善良管理人之則』,並且落實企業端『具備舉證的能力』。

2. 目前企業對於郵件稽核管理的接受度與採用度為何?是否有因為個資法或其他因素讓郵件稽核管理的需求提高?或是否讓郵件稽核管理方案增加其他功能或條件需求?貴公司如何因應此一市場趨勢與產品需求?

這一波個資法早期受衝擊產業為具有大量個資產業如金融,、電信、保險等,但早在個資法推行之前,在竹科或一些高科技產業,如IC設計、手機/面板/主機/高科技製造產業早已蔚為風行. ,整體需求面可以分而兩大類型:

  • Regular compliance(做好法規遵循-企業責任準則),如:
    • 個資法、 PCI、SOX 、Basel 與HIPPA,皆是要求在商業營運中保護、追蹤及控制或事後舉證所有敏感的資訊。
  • 避免機敏資料或智財(Intellectual Property)外洩或因應相關訴訟舉證所需:
    • 監控組織與外部客戶與供應商間[通訊行為]與[機敏內容];
    • 避免機敏資料或智財(Intellectual Property)透過郵件管道外洩;
    • 確保與客戶/供應商/外包商間通訊符合競業條款;
    • 特定通訊對象或內容信件自動加密;
    • 規範組織與單位符合整體通訊行為政策;
    • 避免不當言論外洩;
    • 特定單位或人員監控。

個人資料屬於企業機敏資料一環,亦是企業寶貴資產,綠色運算長期於電郵資安與雲端運算市場長期經營,在電郵稽核技術端除協助高科技產業郵件稽核的解決方案,近幾年亦協助電信業者相關郵件稽核雲端的開發與建置,如近年來協助中華電信建立全台最大的郵件後稽核雲端(Mail Archiving Cloud),提供上萬家企業組織雲端歸檔與稽核的解決方案。

綜觀目前電郵稽核技術,根據輔導經驗發現,有兩大基本問題值得客戶導入實 作切實地評估:

事前稽核機敏資料含個資等,是否能有效偵測攔截
事後稽後機敏資料含個資等,是否能有效探勘舉證

技術的良莠與否,取決於該攔截的機敏資料是否可正確攔截? 有問題的機敏可疑信件是否於是後可以探勘舉證出來? 例如,企業若導入archiving 系統於事後卻無法調閱『含有個資的信件』,『含有程式碼的信件』『[業務部門]外寄郵件含部門敏感關鍵字附件,沒有知會主管,將信件寄往競爭對手們相關網域的信有哪些? 上述問題若非,那導入該系統就在實務上的意義就大大減落效益甚至毫無意義

▲ Journal based Mail archiving 與郵件後稽核引擎

針對上述的客戶實境,綠色運算除了開發regular compliance 的中文化個資掃描引擎,針對郵件流中的中文姓名識別、全國各縣市地址,另外還支援身分證號碼、信用卡號、護照號、市話、手機號碼以及電子郵件位址或其他客製證號的個資偵測,確保各類個資組合都能精確掃描偵測!

個資或機敏資料偵測、支援雜訊、容錯、模糊比對、部分比對等進階比對功能 (如:陳兆寧與陳經理兆寧’陳組長兆寧,馬英九與馬總統英九、馬主席英九)均可以辨別為中文姓名。

可依自定義規格定義相關個資風險資料偵測rule{系統有預設值,ID 可以是身分證、信用卡、護證照、病歷或相關客製證號(保單號)}

  • 姓名+地址 (Found n次,n可指定)
  • 姓名+手機 (Found n次,n可指定)
  • 手機+地址 (Found n次,n可指定)
  • ID+手機 (Found n次,n可指定)
  • ID+市話 (Found n次,n可指定)
  • ID+地址 (Found n次,n可指定)

自訂個資組合或證號pattern (Found n次,n可指定),如 超高風險個資:信件內含姓名、身分證號、信用卡、護照號、市話、手機號碼以及電子郵件出現N種,各出現N筆 中度風險個資:ID證號+另一單一或多重個資(電話、手機、地址、email) 出現 n筆 (各類風險參數可自訂,可類推自定義) 定義後可輸出相關個資掃描與風險分析相關報表以提供糾舉、提報、改善、舉證等相關用途

除個資外,在MDLP (Mail Data Leak Prevention),有別一般廠商關鍵字與正規表示式比對,綠色運算以卓越的大量資料集(辭典檔)比對引擎技術 (MPM-Multi-Pattern-matching)提供優越的偵測探勘引擎比對技術,因篇幅關係.何謂MPM技術,我們舉例一些高科技稽核實際案例說明,這些案例若不具備MPM技術,則很難在實際應用案例上,在稽核政策定義上可能就會抓禁見肘(當然,無法下政策就無法事前偵測或事後探勘)。

如高科技產業一些案例,若一般只提供關鍵字或正規表示式比對的電郵稽核系統,則很難於實務上應用或無法下稽核政策,如以下高科技產業常見稽核管控政策。

收件者只能含單一客戶網域,不能出現其他客戶網域於同一封信
客戶與供應商或外包商To/RCPT不能出現在同一封信
多個專案team(或業務),只能寄信給屬於自己專案的客戶對信(各有自己的公務通訊清單),不可寄給其他非自己專案的客戶,可以寄信給不在上述所有通訊清單的對象.這要做稽核管控與分析 (即各專案組織不能與非自己客戶通信)截
除[處級主管]以上,外送信件一律先做[關鍵字組權重(3分)式辭典檔檢查],有含關鍵內容則攔截.不含關鍵字仍需檢查[是否有附件],附件若cc給[主管]則放行,沒給主管若是通信對象為[公務清單]者放行
常會有專案組織,公務通訊清單,限發清單,拒絕清單,客戶清單,廠商清單,BU客戶清單,部門關鍵字典等Data set 設計
一般compliance偵測 (如個資法SOX,PCI,Basel,Hippa)

3. 郵件稽核管理解決方案能為企業解決哪些問題?可帶來哪些助益?貴公司所提供的解決方案內容為何?與其他同質性產品的差異與優勢為何?

▲ Journal based Mail archiving 與郵件後稽核引擎

綠色運算從Appliance-Package-Project-Cloud,提供一系列的郵件稽核解決方案,就電郵稽核技術上提供best of bread 與先進的偵測與探勘技術。

最後,提供經驗上的分享-如何選擇良好的電郵稽核產品?

只有關鍵字與正規表示式表比對的方法無法滿足稽核實務(一般產品)
資料集(大量關鍵字或多模式樣pattern)如何比對? (如收件者符合公務清單如何比對? 符合部門關鍵字3個以上或分數6)
資料集比對運算-pattern數/權重、出現次數、UNIQUE、LARGE 、SMALL 、關鍵集巨集替代(Keyword Macro)與資料集運算(Data set operation)
是否具有資料集(辭典檔權重)比對引擎技術(MPM-Multi-Pattern-Matching)

***非常重要
實務上,建議使用單位應以實際應用案例(real audit scenario)去定義一些Policy 做稽核結果驗測,而非測試局部產品規格功能,會比較符合企業實務稽核上的需求。

附圖說明:
如何選擇良好郵件稽核產品

目前市面上郵件稽核產品稽核條件比對方法大多只支援[關鍵字]與[正規表示式(regular expression)] ,若只支援此兩種簡易稽核查核比對方式,於大多高科技或設計導向行業的稽核政策則頻頻出現抓禁見肘的情況,甚至無法下稽核條件,當然,更無法適時的事前攔截與需要舉證的時候做事後舉證探勘(如下圖解釋):

Audit Case 1:
What if
1.收件者只能含單一客戶網域,不能出現其他客戶網域於同一封信
2.客戶與供應商不能出現在同一封信,
怎麼下規則條件呢?

▲ [audit_graph1.jpg]       [audit_graph2.jpg] ▲

Audit Case 2
What if
除[處級主管]以上,外送信件一律先做部門[關鍵字組權重(3分)
辭典檔檢查] ,有含關鍵內容則攔截.不含關鍵字仍需檢查
[是否有附件],附件若cc給[主管]則放行,沒給主管若是通信對象
為[公務清單]者放行
怎麼下規則條件呢?

▲ [audit_graph3.jpg]       [audit_graph4.jpg] ▲郵件稽核架構圖1
郵件稽核架構圖2 (前後稽)

原文出處:網管人雜誌第78期 沈欣蓓(採訪編輯)

作者:陳兆寧larry@green-computing.com
任職於綠色運算

Top