新版個資法要求企業自負舉證責任,這使得Log留存變得企業IT重要課題,先不談Log是否能成為呈堂證物(因為這會牽扯到Log不可否認性,這又是另外一個議題),至少企業可以透過Log抽絲剝繭、還原事發真相。
資策會專案支援處技術總監侯猷珉建議,企業最好能建置記錄伺服器,將Log集中管控,不要存放在與原始AP/系統相同的主機裡,一來可以避免駭客竊取資料時一併取走Log,二來則是有效管控個資接觸者的身份。有些Log會夾帶個人資訊,如果放在原始主機裡,反而會讓一些沒有權限接觸個資的人(如:系統管理員…),可以藉著職務之便檢視客戶個資,因此要將Log集中控管,並刪除原始主機裡的Log資訊,從而限縮個資接觸者的範圍,避免讓沒有權限的人接觸個資。
上述做法的缺點是,原始主機不保留Log資訊,對系統維護人員來說可能比較辛苦,因此還可以考慮另外一種做法,就是在設計AP時,直接將Log依種類區分不同的處理方式,舉例來說,與系統有關的Log(如:系統當機、硬碟故障…等),除了傳送到Log Server之外,在原始主機也可以保留一份,以便系統管理人員日後進行維護作業,至於與個資相關的Log(如:個資更正記錄…等),則要傳送到Log Server統一控管,並避免保留在原始主機裡。
企業在建置記錄伺服器時,可以直接採購相關設備如LM,也可自行建置,目前市場上有很多工具可以使用,但要注意Log Server的模式,主要分成資料庫與Syslog二種,各有不同優缺點,茲分述如下:
一、資料庫模式:倘若企業希望Log能做加值應用,可選擇此模式。
【優點】具備良好Log管控功能,可依據不同記錄來源主機設定不同角色,企業可以設定這些角色只有Insert權限,確保資料只能被新增。
【缺點】倘若權限管控不佳或被有人心士猜到資料庫管理者密碼,可能會有資料遭到竄改或遺失的風險。
二、Syslog模式:只是單純地保存Log,加值應用空間不大,但安全性較高。
【優點】透過網路將Log傳送到Syslog之通訊埠,幾乎沒有修改既有記錄的可能性,安全等級較高
【缺點】Log管控功能差,所有能夠連到Syslog服務通訊埠的系統/AP,都可以傳送資料。惟企業可以配合SSL通道與憑證做權限管控,亦即擁有憑證的主機方可進入通道傳送Log。
最後,侯猷珉強調,記錄伺服器的功能在於接收各個系統/AP的Log,屬於資產的一種,相關的保護措施自然不能少(請見表1),惟有確保Log的機密性、完整性與可用性,才能在發生資安事件時發揮功效。
表1、記錄伺服器的保護機制
|
目標
|
做法
|
機密性
|
禁止未經授權之讀取
|
1. 傳送過程加密保護
2. 記錄保存加密
|
完整性
|
禁止修改記錄內容並確保資料傳輸過程之完整性
|
1. 傳輸過程使用TCP協定
2. 記錄只能累加
3. 記錄伺服器具備識別記錄來源能力
|
可用性
|
確保寫入記錄機制之可用性,避免記錄遺失
|
1. 傳送之記錄需同時寫入2台記錄伺服器
2. 記錄若無法傳送出去,必須發出警示訊息
|
資料來源:資策會,《資安人》整理,2012/1。