Blueimp 論壇首頁
  首頁  | 討論區  | 最新話題  | 搜尋  | XML  |  登入
博客來購書 | 《主管這樣帶人就對了!》
貝殼鯨魚兒童程式啟蒙教育課程(點我去報名)

此話題中所有文章數: 1 [ 話題狀態: 一般 ]
上一話題 此文章已經觀看 1768 次 而且有 篇回應 下一話題
會員大頭照
男寶寶 jieh
《騎士團團長》
文章: 6689

企業防止資料外洩(Data Loss Prevention, DLP):五個步驟



新版個資法直接衝擊的對象,是企業主以及企業內部的IT人員。對企業而言,防止資料外洩(Data Loss Prevention, DLP)的目的,不只是單純的預防重要的數位資訊外洩、避免財務損失,更是為了保有市場競爭力和維護寶貴的企業聲譽。

唯資料外洩的管道很多,是有心或無意的外部或內部威脅,都是企業要防範的重點。有心的不外乎有種種的網路威脅、內部員工洩露重要資訊,更有甚者,是離職員工將重要資訊透過個人電子郵件或如USB等行動裝置,將企業重要或機密資訊攜出。無意的則是如終端行動裝置使用不當,或資訊未能妥善保管遭致遺失或失竊等。因此,企業在因應個資法與檢視自身環境時最重要的3大關鍵要素包括了:資料在端點使用情形是否夠透明化;是否有確保資料防護標準的法規;以及防資料外洩涵蓋的範圍是否足夠。

而所謂的防資料外洩,又並非單純的導入相關解決方案,而是應該從檢視整體基礎架構、機密資料定義開始。以資訊安全的角度分析,企業可採取以下5個步驟,自行或與專業資安顧問討論,如何部署既符合法規又可滿足企業所需的防資料外洩方案,此5個步驟為:

1.) 定義屬於公司的機密資料為何,包括營運和公司資料、客戶以及屬公司智慧財產權的資料等

2.) 管理可使用、檢視和審查機密資料的單位、人員;定義出機密資料的負責人或單位,並依據實際的狀況,監控資料管理者使用資料的行為

3.) 找出機密資料的流向,以及高風險的外洩管道-針對此加強控管。針對每一種高風險的管道需提供相對應的控制措施。

4.) 從系統日誌及管理平台來檢視,目前的防護機制與措施是否足夠。如有不足之處,則需在進行管控或調整

5.) 訂定出個別政策發生機密資料外洩時的應對機制及處理方法。 而這5個步驟應透過內部組織,以自動化的流程進行管理,參與的人員應包含有:法務、稽核以及IT人員的參與,針對公司資訊保管及使用政策、審核評鑑、IT實務等環節交互確認是否皆能滿足法規標準及企業需求。

另一方面,完整的防資料外洩解決方案,應可針對非結構性及結構性兩種型式資料,進行正確偵測、辨視,以及妥善保管。透過智慧鑑識、防資料外洩、端點管理和智慧儲存等先進技術,精密且審慎地檢視每一筆資料流通及使用的情形。而DLP解決方案除了可以協助企業控管資料外,更可透過各項檢查、告知以及通報機制協助修正人為疏失,降低因人為疏失造成的敏感性資料外洩事件,同時藉由搜索方式,查出曝露在不安全的地方且未受保護的資料,找到無人管理或可以被刪除的多餘資料,進而協助改善靜置資料的安全及使用效率。

此外,因應網際網路而起便利的新型溝管道,如電子郵件、即時通訊及社群網路等新世代的溝通模式和工具,更已成為防止資料外洩的潛在威脅。企業必需兼顧客戶對資訊的需求,以及如何在資訊公開透明化、社群網路應用,以及資訊共享服務的趨勢中,維護來自四面八方的資料之安全性,並讓資訊安全隨著科技應用的變遷,隨時保持高安全狀態的挑戰。

導入技術並非難事,面對新版個資法防止資料外洩與資訊公開議題,企業必要先站穩腳步,確實的檢視企業資訊安全及IT基礎建設藍圖,並定義機密及敏感性資料的層級及使用權限、設定各項機制和做好人員訓練,必能從容面對個資法所帶來的衝擊及變化。

關於作者:

任職於資安產業資深技術顧問,主要負責端點安全防護、訊息安全管理及資料外洩的管控等相關技術。更早之前,曾負責網路應用與資訊安全整合之服務,在資訊安全相關領域有多年之經驗。

引用自 ZDNet

----------------------------------------
支持小惡魔
BTC : 19tn3RnCuwZVukXAwyhDWZD4uBgUZoGJPx
LTC : LTFa17pSvvoe3aU5jbmfcmEpo1xuGa9XeA
知識跟八卦一樣,越多人知道越有價值;知識最好的備份方法,散播!
藍色小惡魔(林永傑): 臉書
----------------------------------------
[編輯文章 1 次, 最後修改: jieh 於 2010/9/21 上午 12:12:37]

[2010/9/20 下午 11:57:09] 友善列印   [返迴此篇文章頂端 ]  回到頂端 
[顯示可以列印的版本]