文章來源 - Chalet Tech VP 顏良修
根據四月份法務部對外發佈的最新訊息,新個資法施行細則草案最快今年底將完成草案,呈報行政院公布施行。法務部法律事務司科長黃荷婷表示,根據新版個資法第27條規定,施行細則中將針對非公務機關制定「適當安全維護措施」,包括善良管理人的注意義務,以及12項明訂安全維護事項,藉此防止個人資料被竊取、竄改、毀損、滅失或洩漏。
「新版個資法施行細則」對於各個非公務機關影響最大的,就是12項安全維護事項。1.必要的組織;2.界定個人資料範圍;3.個人資料蒐集、處理或利用的程序;4.當事人行使權利的處理程序;5.資料安全;6.資料稽核;7.人員管理及教育訓練;8.設備管理;9.記錄與證據的保存;10.緊急應變措施及通報;11.改善建議措施;12.其他安全維護事項。
針對第五項「資料安全」和第六項「資料稽核」的安全維護事項,黃荷婷表示,主要是要求非公務機關對於個人資料應該採取何種IT科技與系統作保護,事後也應該對於這些存放個資的IT系統定期做資料稽核。第九項「記錄與證據之保存」是黃荷婷認為企業應該看重的安全維護事項,IT設備或者紙本資料個資存取控制的記錄、日誌檔(Log)等,都必須完整保留,因為這些都是企業舉證的證據力。(以上資料來源為iTHOME新聞稿, 個資法施行細則明訂安全維護事項, 文/黃彥棻, 2011-05-11)
政府單位與企業使用網路與資訊科技,以提供民眾與消費者即時、無遠弗屆的服務。而無論是政府的戶役政、財稅,或是醫療、電子商務,這些服務背後莫不仰賴「資料庫」以統合並保存龐大的民眾個人資料。目前常見的各種資料庫管理系統,例如Oracle, MS SQL, DB2, MySQL, Sybase, Informix,更是因為管理上的方便性、效率性,逐漸取代檔案式管理,成為政府與企業日常營運的核心。這個現象也帶來個人資料風險的集中化,日前爆發的索尼集團七千七百萬筆個資外洩事件就是典型的案例,資料庫嚴然成為政府與企業的個人資料防禦重鎮。
資料庫經常與前方的應用程式系統協同作業,以提供更簡便與快速的資料處理。然而,該資料存取活動實際上牽涉資料庫、應用程式、網路與多種使用者,包含一般使用者、程式開發人員、資料庫管理人員,日益複雜的資料庫環境,使得資料庫管理任務變得雪上加霜,遑論個人資料保護。由於現代開發工具的特色,使得程式開發人員不易掌握應用程式與資料庫間溝通的真正資料庫語法,間接使得資料庫活動失去能見度。加上資料庫中的資訊資產價值迅速增加,民眾保護個人資料意識抬頭,新個資法的法規要求等,這些因素都迫使資料庫管理與安全亟需新的解決方案。
(圖一)
傳統保護資料庫的方法不外:1.實體隔離;2.資料加密;3.資料庫本身的存取控制與稽核功能。然而,在政府與企業持續向雲端服務靠攏的趨勢下,實體隔離無法滿足即時服務的基本要求下,可說已經走入歷史。資料加密如同實體安全中的彌封措施,固然有其一定的效用,然而對於系統的合法使用者根本毫無效用。此外,基於效能的考量也無法對資料庫中所有的資料進行加密。資料庫本身的存取控制係結合在資料庫的帳號管理作業中,沒有資料庫帳號的使用者是無法與資料庫建立連線的。然而帳號分權與管理在實務上,常遷就應用程式開發的便利性,造成高權限帳號的濫用,也是外部攻擊行為常利用的弱點。資料庫內建的稽核功能雖然提供一定的存取行為記錄,然而實務上常因衝擊資料庫效能的顧慮而未啟動。而且,資料庫內建的稽核功能對於高權限的使用者幾乎沒有拘束作用,也造成資料庫管理人員陷入無法提出具有公信力的證據來釐清責任的困境。
(圖二)
第三方的資料庫稽核就是這樣的時空背景下誕生的全新解決方案。資料庫稽核源於電腦稽核,以內部控制程序來防弊,保護資訊資產與系統安全。雖然資訊環境裡面已經有防火牆、防毒與入侵偵測等措施,針對資料本身的安全措施卻非常有限。加上新個資法施行細則中第六項明定「資料稽核」與第九項「記錄與證據之保存」,都使得政府機關與企業必須正視這個新議題。無論是防火牆或是資料加密,都無法提供資料庫存取活動的記錄與證據,只有資料庫稽核工具會留存資料庫存取活動的人、事、時、地、物,也是政府機關與企業在個資資料庫舉證上的唯一手段。
根據資安訓練與認證公司SANS Institute於2008年所公佈的一份報告,資料庫活動監控係「即時地擷取包含資料庫管理人員在內,所有資料庫語法(SQL)活動,並且支援多種資料庫平台,可以針對違反政策的行為發出警示」。以往的某些工具就可以監控不同程度的資料庫活動,因此所謂的資料庫稽核工具必須提供以下五種功能:
1.
可獨立於資料庫外監控與稽核包含資料庫管理人員在內的所有資料庫行為,包含帳戶設立與授權, 資料庫/資料表的定義,控制,新增,修改,刪除等行為 (i.e. Account, DDL, DCL, and DML))。
2.
能在資料庫外部安全地存放資料庫存取活動稽核紀錄。
3.
可以整合多個關聯式資料庫系統的稽核紀錄,並對應多種資料庫將存取紀錄的”人事時地物”與SQL語法標準化。
4.
可實現資料庫管理人員的權責分離 (separation of duties),稽核程序必須涵蓋對資料庫管理人員的行為及資料庫所有的活動,並且有效防止資料庫管理人員更動稽核紀錄的機制。
5.
可針對違反稽核政策或行為模式的資料庫存取發出及時警示,該工具不僅可以完整記錄資料庫活動,而且是即時性的監控,並且有可設定規則的警示機制。【8】
(圖三)
換言之,此種資料庫稽核方法能夠在不影響資料庫效能、不變動網路架構、不需更改應用程式的情況下,從傳遞到資料庫伺服器的網路封包透過 SQL 語法分析,找出是何人從事何種類型的資料庫存取活動。對於防範外部威脅與內控不良,這種解決方案可以在事前導入資料庫的存取管理政策,事中發覺異常行為,在事後進行事件的鑑識分析。
目前常見的獨立資料庫稽核工具大致分為兩種類型,本機型與網路型。本機型是指利用「代理程式」攔截封包或是函式庫,以解析出資料庫存取活動的記錄資訊。網路型資料庫稽核工具常見佈署於最靠近資料庫的交換器,以網路監聽技術,透過封包解析出資料庫存取活動的記錄資訊。最理想的資料庫稽核解決方案是封住本機登入管道,以網路型資料庫稽核工具提供獨立並且高效率的資料庫稽核記錄。因為資料庫高權限的管理人員在實務上,通常也具有作業系統的高權限帳號,在權責不分離的狀況下,本機型的「代理程式」難以維持獨立性。
以本機型「代理程式」為主的資料庫稽核工具,是一種較為近似系統日誌收集器的解決方案,因此受限於資料庫伺服器所能提供的硬體資源,在超高流量的資料庫環境中可能產生資料庫稽核記錄來不及拋出的狀況。此外,將資料庫稽核工具簡化為日誌收集器的結果使得即時分析機能不足,並且需要仰賴高專業的顧問服務才可能產出具有可讀性、符合客戶稽核流程的資料庫稽核報表。
(圖四)
另有以資料庫防火牆為號召的網路型資料庫稽核工具,提倡以Inline的方式來做為資料庫稽核解決方案。資料庫系統本身就有基本的存取控制措施,為了阻絕所謂的外部入侵,而將資料庫稽核工具介入資料庫與應用程式之間的傳輸將使客戶產生服務遲延、中斷的疑慮。此外,這個方案對於合法授權的使用者,例如擁有最高權限的資料庫管理人員而言仍無效用。而防火牆概念的資料庫稽核工具必須仰賴政策設定,做為稽核事件的產生來源,報表種類大受限制,可能無法滿足稽核報表的實際要求。
(圖五)
將資訊系統內的防禦機制比對實體環境對安全問題的處理,實際上都是很類似的。門禁系統對應防火牆與入侵偵測系統,機密彌封對應資料加密,但是實體環境對於人、物、作業流程的控制措施,到了資訊系統中卻消失了。舉倉管的例子來說,掌握貨物的數量與種類,提存貨物必定留下作業記錄可供未來查核,這些都是確保實體安全的基本措施。現今的資料庫在新個資法施行以後,在資訊資產被明確定價為伍佰元到兩萬元的狀況下,動輒數百萬、數千萬價值的資料庫將是常態。如此我們如何能不再關心資料庫中的資訊資產在何時由何人,以何種方式進行存取呢?
(圖六)
然而,無論是導入日誌收集器類型、資料庫防火牆類型的資料庫稽核工具,如果不能以資訊資產為核心,都無法真正將資料庫存取活動納入全面管理。以資訊資產為基礎架構的資料庫稽核工具,將會以資訊資產清冊為基礎,進而建立個別資訊資產的剖繪,使資料庫管理人員、稽核人員與資訊安全人員,可以利用個別資訊資產的生命週期做為觀察基準,不再面對一堆不具可讀性的日誌與稽核記錄。
(圖七)
政府機關與企業面對日益複雜的資料庫環境與新個資法的諸多要求,大部分的高階主管都會有相同的疑問與困境,在有限的預算與資源下,要優先執行何種解決方案。資訊安全講究縱深防禦,個資保護則是應該重視陣地防禦。因為個人資料的核心非常明確,不若資訊安全的防護範圍幾乎無所不包,要掌握所有對個資的存取行為,就要先由資料庫稽核解決方案下手,以建立資料稽核的基礎架構,並且留存將來可能需要的數位證據資料。因應新個資法的最佳戰略是避免訴訟,若是仍不幸產生個資外洩事件,政府機關與企業卻無法提出個人資料不當存取的途徑為何,可想而見法官的心證恐怕將會偏向每筆兩萬元的民事損害賠償。
在8月30日的行政院會決議,預計於今年10月1日正式施行新版個人資料保護法,而且不再有緩衝寬限期。10月開始,任何人只要蒐集或利用個人資料,就必須遵守法律規定,不然即是違法。
