觀點

個資法倒置舉證責任 DAM廠商看好台灣市場

2012 / 11 / 19
廖珮君
個資法倒置舉證責任  DAM廠商看好台灣市場

新版個資法倒置舉證責任,帶動企業對具備留存Log能力的解決方案的需求,包括DLPDAMLM…等皆屬此類,其中DAM因為可以監控資料庫存取行為,又能留存記錄,並產出相關報表,引起許多企業關注。

 

IBM軟體事業處工程師張寅健指出,海外有很多企業因為資料外洩的問題與慘痛經驗,而決定導入DAM,但台灣的市場需求以個資法為最大驅動力,產業別則以銀行、保險、證券、線上購物等為主,不過今年有部份製造業者也開始詢問並導入DAM,他們是從資料安全面向切入而引發需求。IBM大中華區信息管理軟件部甘佳凌則表示,DAM在大陸的應用需求比較多元化,例如:有線上交易業者用來保護進貨成本資料,避免同業掌握喪失競爭力,醫療業者則用來保護醫師的用藥記錄,避免被任意竄改。

 

關於資料保護流程,IBM全球軟體事業群首席技術長暨Guardium共同創辦人Ron Ben Natan認為,首先必須進行DiscoveryClassified,找到並區分資料的風險等級,再制定相對應的監控與稽核機制。不過,以個人資料為例,中文姓名、中文地址等都是屬於在地化資料,亦即只有台灣或是使用中文的國家才會有,DAM該如何做到精確判讀?

 

對此,張寅健表示,中文姓名的確不好判讀,系統很難知道哪3個中文字連在一起就是或不是中文姓名,即便台灣本土廠商研發出的產品,其判讀精確度也未必能達到100%,建議企業在盤點資料庫個資時,可以先設一個比較unique的類別去搜尋,如:銀行存款戶頭帳號,由此帶出來該名客戶的個人資料,再去判讀風險等級。

 

IBM這次推出的新版資料庫監控工具Guardium 9.0中,除了擴大支援範圍到Hadoop環境的非結構化資料,並強調產品架構為在DB Server安裝代理人程式,可以避免丟失網路封包,或是無法辨別是否為本地存取(Local Access)的風險,不過資安專家也指出,在選購這種架構的DAM產品時要注意:1.如何降低代理人程式在執行對資料庫效能的影響;2.如何避免具有權限的主機管理者球員兼裁判、自行關閉代理人程式的風險。

 

關於DAM產品的評估與選用,還可參考以下兩篇《資安人》雜誌文章:

1. 88期「個資保護Opensource工具系列三:資料庫監控  GreenSQL管理資料庫:監控、遮罩與稽核」。

2. 89期「資料庫行為監控評估的15個提醒」。