Micro Focus三大方案 助企業滿足GDPR需求

Micro Focus 安全與風險管理： 能確保資料、應用程式與存取的安全性，推動安全作業及治理，以降低風險並遵循法規，且能管控 DevOps 安全實作規範的能力，以實踐端對端風險管理。

號稱有史以來舉世最嚴格的資料保護令—歐盟一般資料保護規定(General Data Protection Regulation；GDPR)，預定在2018年5月25日施行，距今已迫在眉睫；深究此法最讓企業畏懼之處，在於罰鍰相當重，最高可處以2,000萬歐元、或年度全球總營業額的4%金額，且取兩者當中較高值，足見違規的代價十分慘重。

儘管對GDPR有所顧忌，但不少台灣企業仍存疑惑，甚至認定此事與自身未必相關。對此一向專注發展企業基礎架構軟體解決方案的Micro Focus，其資深技術顧問李柏厚分析，企業究竟是否適用GDPR，可從境內、境外不同角度檢視，所謂境內，意謂企業在歐洲地區設有營運據點，涉及當地顧客資料的蒐集運用，勢必受到GDPR規範。 至於境外，意指雖未在歐洲地區設點，但基於業務拓展，因而與當地經銷商建立合作關係者，一樣受到GDPR制約。舉例來說，論及GDPR法遵的入門條件，首先需在內部成立個資管理的權責單位，因應個資料的蒐集、處理、使用、傳輸及銷毀等生命週期環節，制定相關作業流程與表單，其次則更重要，任何蒐集到資料欲挪作他用，都必須取得當事人同意，假設某公司A產品部門擬將銷售商資料提供予B產品部門，即視同為用途變更，若未事先獲取經銷商首肯，便等於違反GDPR。

Micro Focus業務總監黃成弘補充，導入GDPR猶如早先導入個資法，企業皆需盡力防止個資遭到竊取、竄改或銷毀，為達此目標，都會設立必要的管理制度、人員組織與作業流程，此外亦須部署對應的技術工具，藉融合人(People)、流程(Process)與產品(Product)等3P元素，確保箇中所有環節彼此緊扣，避免出現讓內外賊趁虛而入的破口。

為此Micro Focus三管齊下，從資訊安全、身分認證及識別、資料歸檔及還原等不同角度提出完整方案，使個資不論流動轉換到哪個環節，皆持續保有安全性，若出現外洩疑慮，也將即時通知管理單位介入處理。

原碼檢測加滲透測試，主動挖掘程式漏洞

資深技術顧問李柏厚指出，針對資訊安全，該公司提供諸多偏向應用系統面的保護方案，用戶可利用Fortify執行原始碼掃描，確認程式面是否涉及個資處理，若有，則進一步檢測其間是否存在安全漏洞，以利開發者及早修正；爾後進入網站架設過程，Fortify還可發揮滲透測試功能，檢測各個資料攔位上，是否出現可能遭致SQL Injection等各類網站攻擊的弱點。另值得一提，應用程式往往需要透過電子郵件管道，將發送重要訊息給個人，信中亦可能夾帶個資，同樣存在機密洩露風險；惟只要利用Micro Focus SecureMail，便能針對此類郵件進行端對端加密，即使有不肖人士從中攔截，也無法看出信件內容。

資訊安全的另一重點，即是資料存取的稽核機制。Micro Focus資安產品資深技術經理邱裕翔表示，該公司的ArcSight，在資安事件平台業界向來位居翹楚，其強項之一即是完整蒐集資料使用的軌跡紀錄，便於企業管理者作為查詢調閱、事後追蹤及呈堂證供之用；依據GDPR規定，企業只要得知有個資外洩情事產生，必需要在72小時內通報資料保護主管機關，並提出處置方法，遵循壓力甚大，一經善用ArcSight平台，輔以啟動ESM(Enterprise Security Manager)關聯性基礎架構，便可即時分析整起事件的來龍去脈，快速取得相關跡證，不致延誤72小時黃金週期。

此外ArcSight亦支援大數據安全分析功能，協助用戶提升威脅偵測的速度。具體來說，ArcSight可協助將蒐集到的軌跡資料透過分散式訊息通道系統(ArcSight Event Broker) 傳遞到第三方分析系統應用，據以營造一個開放式分析環境，裨益用戶運用ArcSight或第三方分析工具，加速鑑別是否出現個資外洩事件、以及事件影響範圍；相關應用情境包含有工業4.0網路服務產業(The Internet of Services in Industry 4.0)的威脅分析與即時事件告警，用戶可借助ArcSight ESM當中Investigate工具，結合底層的Vertica叢集運算技術，大幅提升提高事件分析效率，讓企業更篤定能在72小時內提出完整調查報告。

身分認證方案如守門員，嚴防宵小覬覦個資

至於Micro Focus身分認證及識別方案，黃成弘表示，係以Identity Manager為基礎元素，旨在針對所有帳號產生、調整、權限設定、銷毀(如離職員工)的完整生命週期進行治理，確保任何帳號與密碼，皆是在符合既定管理制度、作業流程的前提下，才准予放行登入系統；接著下一步由Access Manager登場，針對各個帳號的實際存取行為，完整加以側錄與日誌保存，以利稽核管理之用，確使任何合法使用者都僅利用最小權限，存取足夠資訊，避免出現異常的逾矩行徑。

黃成弘坦言，近年來隨著駭客技能不斷提升，導致原有密碼保護機制出現鬆動，即使長達16位數的密碼，據聞駭客已有能力在4小時內破解；因應這般風險，Micro Focus另提供兩大保護方案，一是Advanced Authentication，藉以滿足多因素認證需求，另一則是Privileged Account Manager，意在嚴加管控特權帳號，慎防特權帳號旁落駭客之手，釀成重大危害。

某種程度上，Micro Focus身分認證及識別方案的角色猶如守門員，任何人想存取應用系統或資料，都必須拿到合法的鑰匙並通過守門員查核，否則都不得其門而入。

論及資料歸檔及備份還原部分，Micro Focus IM&G資深業務經理鍾仁傑指出，該部門分為資料歸檔及備份還原兩大部分，資料歸檔主力產品為Secure Content Management Suite ，內含ControlPoint、Structured Data Manager(SDM)、Content Manager等三大關鍵元件，總體來說，不論結構性或非結構性等任何形式的資料被創建、訪問讀取、保存的資料生命週期，已領先業界的archiving技術，提供跨品牌、跨平台的歸檔需求及符合法規的資料管理與治理，尤其可借助IDOL核心引擎，從大量郵件、文字、語音等非結構化資料中識別涉及個資的關鍵字或這些資料可能違反那些法律，完整的report工具能讓法務人員充分掌握資料的合法性；此外針對機敏個資，在被讀取、歸檔的過程中，任何應該實施加密或遮罩保護的環節，都能確保徹底執行。

鍾仁傑接著說，針對備份還原部分，Micro Focus提供Adaptive Backup and Recovery Suite，整合了Data Protector、Storage Optimizer、Backup Navigator等三大關鍵元件，Data Protector提供全面性的資料保護，建立自適應備份與復原環境。搭配Storage Optimizer可減少儲存及管理大量非結構化資料的成本，不會影響終端使用者的日常使用習慣，並能識別冗餘、過時或瑣碎資料並予適當清除及歸檔，由Tier1主儲存設備移轉至Tier2儲存設備，大幅減少資料總量，提升線上儲存設備效能，加速備份時間。再由Backup Navigator提供即時的互動式儀表板和report、儲存資源預測及衝突發生時的根本原因分析能力。

總體而論，企業邁向GDPR合規過程，舉凡應用面、稽核面、資料保護面，乃至資料存取的權限控管，一直到備份與還原議題，每一段落都可能存在個資外洩的罩門，端看企業如何盤點己身最脆弱環節，從而著手補強；而Micro Focus已備齊完整方案，隨時為用戶提供奧援。