https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

百廢待舉 個資法不能等:善用工具保護個資

2009 / 07 / 06
吳依恂
百廢待舉 個資法不能等:善用工具保護個資
除了商業流程的改善有助於防止個資外洩,在個資法通過且實行後,預估資料庫的記錄、稽核、加密以及弱點評估都將會是未來關注的焦點。

  由於過去《資安人》已經談過許多防制資料的議題,因此在此篇便不再贅述,漢昕科技顧問總監李哲祥也提到,在個資法通過且實行後,預估資料庫的記錄、稽核、加密以及弱點評估等功能都將會是未來關注的焦點,因此本篇會多加著墨於資料庫安全工具。資料庫應用在企業當中多為混合式應用,這是由於某些應用程式可能僅支援某類資料庫,又或者有時候可能人資部門需要有自己獨立的資料庫、PDM系統僅能在某類資料庫上運行等,這些也都跟應用程式的開發環境等相關。

  依照產業別來說,金融、電信等產業是對安全監控較為重視的部份,但以資料庫安全產品來看,大部分都沒有導入,多是使用資料庫原廠的工具自行開發應用程式以因應需求,反倒是線上交易業者較為積極,不過優先順序是以抵禦外部入侵為優先,所以會先建置網頁應用程式防火牆,而非針對內部防禦的資料庫防火牆。也由於資料庫的通訊協定與一般的網路通訊協定是不盡相同的,因此即使是一般入侵防禦偵測系統也無法用來保證資料庫進出入的資料安全。

  甲骨文資深資訊經理黃久安認為,應該先從弱點評估開始,找出資料庫的漏洞,接下來便是監控與稽核,最後便是加密。資料庫的安全產品若以功能來大致分類的話,iMPERVA可歸類在防護加稽核,而Sentrigo則是專注在做防護的部份。

資料庫的監控與稽核-

  iMPERVA代理商亞利安科技經理范梓芳提到,它是一款硬體式的閘道端資料庫安全產品,舉例來說,便如同架設在資料庫外的監視器,可以監控進出資料是否異常,且也具有阻擋功能。與同類軟體產品運作方式不盡相同,也各有其優缺點,因此客戶多會視需求選擇之。

  Sentrigo代理商亞太信息總經理劉守元說,它是一款軟體式的資料庫防火牆,主要是稽核加上防禦的功能,強調可以即時阻擋,而原廠無阻擋功能,僅能做事後的稽核,無法達到事前的預防,不過其實這是在企業的需求層面上是不一樣的。此外,資料庫出現漏洞的時候,原廠僅能在資料庫自身修補,而有時候修補漏洞又需要重開,而使用Sentrigo產品是可附加在資料庫之外的修補,無需重開機器,對強調24小時不停機的某些企業來說,是連1次重開都不允許的,因此選購原廠或附加第3方工具,視需求面決定。他認為Sentrigo已經算是建置門檻很低的軟體,可以針對重要的DB Server,用2個CPU來達成,(1個CPU定價15萬左右),目的就是希望預算較不充裕的企業可以一步一步來完成,但即使是這樣,以市場面來看尚不算成熟。所以從個人看法來看,並不特別奢望個資法會帶來什麼影響,只是平常心看待。此外,他認為使用原廠內建的稽核機制,會有球員兼裁判的問題,在國外甚至要求是由第3方公正人來做稽核,這才是稽核的重點,因此,個資法當中提到的舉證問題,就要看檢調單位如何定義其可信度,都需要詳細規範後,企業才會決定建置到何種程度。資料庫原廠過去提供的稽核工具多是免費的,為資料庫服務舊有客對跨平台支援多不熱衷。

加密-
  Protegrity提供了安全稽核及報表技術,可以將傳輸資料加密保護,又有獨立的稽核制度,能確保記錄檔的正確性。該代理商亞利安科技產品經理徐福祥說,一般企業多為採取應用程式來開發資料加密的系統,但多半僅能將整個資料庫內容或整個檔案加密,對效能影響過大,且單一需求的系統開發,功能較無彈性,且在密鑰管理以及加解密安全等級也都較為不足,也較會增加成本,但採委外方式又容易增加潛在之安全問題。但若使用資料庫提供之Tool Kit又僅提供基本的API功能,需自行開發系統實作部分,此外也未提供密鑰管理的機制,另外無法做到分權控管,造成風險仍在。

  另外資料庫原廠如Oracle、微軟等皆提供基礎資料庫安全功能,尤其是在以角色為基礎的存取控制方面,都有進步,關於此論述可參考本期IS嚴選「資料庫安全關鍵在於限制存取權限」,例如Oracle的Database Vault、微軟則透過授予個別權限給使用者、模組簽章等方式;稽核功能Oracle可加購Audit Vault,微軟則有SQL Server Audit,加密方面則也各有透明資料加密(TDE, Transparent Data Encryption)技術的支援。

  黃久安說,他認為使用資料庫原廠安全產品具有穩定度高、整合性強且效能好,他說只有原廠能對自己產生的Log最清楚,加密的時候使用自己的引擎也會較不耗資源。而以他對台灣市場的了解,即使是如金融業、高科技等重視資訊安全且經費較為充足的產業,也多是採取使用資料庫內建工具,自己寫應用程式去滿足監控的需求,甚少購買專業監控軟、硬體,對台灣企業來說,儘管這些應用程式不夠完整,但仍堪稱可用便已足夠。一般來說資料庫原廠擔任的角色在於管理與稽核功能的協助,主要是讓既有客戶能夠符合法規遵循或基礎功能,黃久安提到,這也是商業策略上的考量,如果需要更進階功能的客戶,可以另外選擇Oracle Audit Vault,而第三方軟體則是在資料庫的安全防禦上有更加專業的表現,定位並不相同。

  另外,賽門鐵克在資料庫安全的Symantec Database Security,主要是用作即時檢測與審核,並可透過該設備符合法規要求,不過這條產品線卻悄悄在全球收掉了。另方面,最近整合式威脅管理解決方案供應商Fortinet卻併購了IPLocks資料庫安全的產品線,看準法規市場而推出了FortiDB資料庫安全產品。

IT治理、風險與法規遵循市場(GRC)-

  GRC解決方案是提供一個中央控制中心,以從諸多如資料庫監控、IPS、組態管理等安全工具中,找出因應的風險管理依據。賽門鐵克大中華區資訊科技治理與風險管理資深首席顧問曹如瑋說,GRC解決方案是一種診斷工具,可以替企業做整體風險評估、量化,又可做到技術自動化,遠較傳統人工的手動分析,更能掌握企業風險現況與快速因應,在面對多種法規的遵循時,又能為企業找出其共通性,讓企業不需要作好幾次同樣的事情,花費重複的成本在法規遵循與風險控管上,她認為賽門鐵克在全球GRC解決方案的導入經驗豐富,將能提供企業更加全球化的國際觀。若以導入的產品來看的話,賽門鐵克資深技術顧問莊添發說,GRC解決方案裡面涵蓋的ESM(Enterprise Security Manager)便具有檢查資料庫安全設定的功能,例如說檢查密碼強度或是否有上patch等。