1. 從資料外洩談DLP解決方案
主講人：傑克小花
2009/2/24
1

2. 2
數字會說話
99％ 表示資料外洩議題非常值得關心
44％ 認為最重要的企業資產是智慧財產權
63％ 受訪者表示，外接式儲存裝置、Email、
Webmail為最易發生資料外洩的管道
38％ 受訪者指出企業資料外洩的最大威脅為
內部員工惡意竊取或是無意外流所造成
49％ 受訪者認為資料外洩事件發生時，應負
起最終責任為企業管理階層
資料來源：Websense
資料外洩意見調查報告

3. 3
層出不窮的資料外洩事件

4. 4
IDC預測
資料來源：iTHome

5. 5
RSA資安趨勢
資料來源：iTHome

6. 6
大綱
1. 資料外洩案例討論
2. 認識DLP的基本架構
3. 導入DLP的注意事項
4. 資料外洩相關法規說明

7. 7
Q.到底什麼叫做資料外洩？

8. 8
內部資料未經許可流到外部

9. 9
資料被未經授權者取得、瀏覽、複製

10. 10
防止資料外洩的方法
 禁止列印
 禁止複製、貼上
 禁止螢幕捉圖
 禁用USB隨身碟
 禁用P2P分享軟體
 郵件過濾
 檔案權限控管、加密
 文件加浮水印 等

11. 11
資訊安全個案討論

12. 12
先備知識
能夠鑑別出資安風險
風險 = 資產 x 威脅 x 弱點
選擇適當的控制措施
決定可接受的剩餘風險

13. 13
虛擬案例 - 某傢俱設計公司
背景說明：
 經營型態是設計各種傢俱，再由業務人員去找適當的
買家，除了國內之外，甚至也會外銷到國外去。
 平時主要透過email和客戶往來，但是email並沒有備
份，也沒有留下任何記錄。
 MIS架設了一台檔案伺服器，採取檔案分享方式，讓
每個員工都可以自由的存取資料。
 業務人員經常需要攜帶筆記型電腦出去，並且展示產
品圖給客戶看。
 員工可使用USB裝置、MSN或是上網瀏覽任何網頁。
 員工直接使用管理者帳號與密碼，透過FTP來更新公
司的網頁內容。

14. 14
Q.你發現了哪些
資安威脅和弱點？

15. 15
Q.我們要怎麼協助這家公司
來防止資料外洩？

16. 16
DLP解決方案簡介

17. 17
什麼是DLP？
Data Loss Prevention/Protection
Data Leak Prevention/Protection
Information Loss Prevention/Protection
Information Leak Prevention/Protection
Content Monitoring and Filtering
Content Monitoring and Protection

18. 18
DLP的定義
“某項產品基於中央控管的政策，
透過深層的內容分析，
能夠識別、監控，並且保護在
儲存、端點、網路中的資料。”
資料來源：SANS

19. 19
DLP的目的
保護有價值的資料，
包括：
機密資料 (R&D、IP)
管理資料 (HR)
財務資料 (Financial)
客戶資料 (Customer)

20. 20
DLP的基本架構
Data at Rest (儲存)
Data in Motion (網路)
Data in Use (端點)

21. 21
Data at Rest (儲存)
功能：
掃瞄所有的儲存設備或含有資料的伺服器，
識別出有哪些地方儲存了敏感資料
例如：
資料庫、
檔案伺服器、
磁帶

22. 22
Data in Motion (網路)
功能：
偵測網路上的流量，識別出資料可以被傳送
出去的管道
例如：
HTTP、SMTP、
FTP、Print、IM

23. 23
Data in Use (端點)
功能：
監控資料在使用者端的互動傳遞
例如：
USB隨身碟、
CD/DVD裝置、
智慧型手機和PDA

24. 24
導入DLP前，必須思考的二三事
思考一：
導入單一產品就可完全
達到防範資料外洩的目的嗎？

25. 25
導入DLP前，必須思考的二三事
思考二：
面對來自不同單位、不同部門的資訊傳
遞，當違反政策時到底是要先予以阻斷？
記錄？還是要通報權責單位？

26. 26
導入DLP前，必須思考的二三事
思考三：
如何去選擇部署的安全技術，以及進行
成本效益評估？

27. 27
導入DLP時的三部曲
識別Who：
資料擁有者(Owners)
資料保護者(Protectors)
相關的營運單位(BU)
利害關係人(Stakeholders)
建議：
組成一個跨部門資料保護小組

28. 28
導入DLP時的三部曲
定義What：
你想要保護的是什麼？
建議：
進行資料分類─
可分為個人資料、財務資料和智慧財產，
設定流程和優先順序，最好有文件化

29. 29
導入DLP時的三部曲
決定How：
如何去保護它？
你預期的執行方式是什麼？
建議：
首先決定哪些是資料可傳遞交換的管道
然後決定要實行哪些強制措施
最後是設定短、中、長期的評估

30. 30
法規對於資料保護的要求

31. 31
台灣 電腦處理個人資料保護法
‣ 公布時間：民國八十四年
‣ 保護範圍：保護的只限於經電腦處理之個人資
料」，僅限於「公務機關和徵信業、醫院、學
校、電信業、金融業、證券業、保險業及大眾
傳播業等八大行業」，屬於「告訴乃論」罪。
‣ 損害賠償總額，以每人每一事件新臺幣二萬元
以上十萬元以下計算。但能證明其所受之損害
額高於該金額者，不在此限。
‣ 基於同一原因事實應對當事人負損害賠償責任
者，其合計最高總額以新臺幣二千萬元為限。

32. 32
美國 沙賓法案
Sarbanes-Oxley Act (SOX)
要求美國公開上市公司
必須做好內稽內控的資安工作

33. 33
美國 GLBA 法案
Gramm Leach Bliley Act (GLBA)
要求金融產業必須保障個人資訊隱私

34. 34
美國 CA SB 1386 法案
California Senate Bill 1386
要求一旦發生資料外洩事件
必須立刻通知受害的當事人

35. 35
美國 HIPPA 法案
Healthcare Information Portability
and Accountability Act (HIPPA)
要求醫療業必須確保個人醫療資訊安全

36. 36
國際 PCI-DSS資料安全標準
Payment Card Industry
Data Security Standard
要求銀行與使用信用卡商店
必須保護持卡人的資料安全

37. 37
總結
 資料外洩事件很容易發生
 預先做好資料外洩風險管理
 從技術面與管理面共同防範

38. Contact：jackforsec@gmail.com
38
問題與討論