3招作好紙本個資外洩追蹤與舉證
因應個資法,企業有3種更進階的作法,強化紙本追蹤的管控,像是用影像備存、特殊浮水印和RFID做好紙本文件管控,以做到更深入的個資防護
除了紙本個資外洩的事前預防,事後的追蹤、舉證,將是企業可以進一步去做到設備使用的安全稽核。在紙本個資防護上,如果企業需要更進一步的追蹤、舉證、管控之用,以證明企業有善盡管理之責,降低企業的過失責任,同時為了追蹤紙本外洩來源,釐清責任歸屬,做好列印文件的數位影像記錄,透過特殊浮水印的內嵌資訊追蹤文件來源,甚至是用RFID來管控紙本,防止文件被攜出的可能性。
進階作法1- 保留列印事件資訊,並留下數位影像記錄
要追蹤紙本文件,簡單的作法,企業可以在列印時設定強制浮水印的輸出,配合機密等級畫分,提醒文件使用者做好相對應的措施,或是在文件上添加使用者名稱、時間等資訊,讓拿到文件的人可以迅速知道文件來源,不慎遺落時,撿到的人也能夠立即歸還。
在數位記錄方面,保留列印事件記錄也是較基本的作法,透過設備、系統、列印管理,都可以記錄使用者名稱、列印時間、列印張數、檔案名稱與相關使用狀況,但從檔案名稱上並無法了解確切的文件內容,證據效力明顯不足。
針對列印行為的副本留存,影像側錄、備分,其實都是指同一件事,將列印資料完整數位保存,並且能夠再次預覽該文件,其影像Log的證據效力,比起一般Log資訊有用的多。
軟體或複合機廠商已提供列印留存工具
從列印側錄方式來看,由於列印封包是從個人電腦傳送到印表機輸出,經由區域網路時便能夠藉由外掛軟體側錄列印封包內容。側錄每筆列印資料時,除了可以記錄每筆列印資訊記錄,只要軟體系統能夠支援不同廠商的列印語言格式,也能夠將使用者所傳送的列印資料自動留存副本。像是星耀提供的Print Security、華美PrintUsage,而複合機廠商也有這樣的方案,像是Kyocera複合機內建列印副本留存功能,但多數設備廠商都會將這類功能列入選配的加值項目。
因為,要做到列印文件影像備存並不難,透過列印伺服器、列印管理軟體都可以做到,但是複合機上還有許多經由複合機直接執行的行為,沒有經由網路傳遞,就很難透過軟體系統記錄下來,尤其是影印。目前Canon的ImageWare Secure Audit Manager (IWSAM)、富士全錄的ApeosWare Images Log Service、Ricoh Document Solution都能側錄所有影印、列印、傳真與掃描工作。而HP也有配合Kofax、Lexmark配合Uniprint,做到這些行為的側錄。
讓影印、傳真與掃描等與紙本文件直接相關的使用行為,都可以記錄下完整的影像備分。一旦文件外洩時,便可以調閱影像留存副本與相關資訊,以追查外洩來源,甚至在第一時間發現狀況。
此外,針對影像備存的稽核與監控,也應設定權限控管機制,像是讓每個部門主管近來只能看到這個部門的相關文件,而IT人員只能做系統網路的控管。只是影像備存功能都是選購而非內建,且效益與目的都是目前企業會再三考量的問題。
影像備存時,同時將記錄結果OCR,並設定關鍵字偵測,便可以做到主動的列印防護
除了影像備存以外,還有一些較為積極防護資訊外洩可能性的方法。臺灣富士全錄公司產品行銷經理郭家瑋表示,他們的ApeosWare Images Log Service還提供關鍵字搜尋的功能,可以將備存的影像搭配OCR(光學字元辨識)功能,使影像轉換成可搜尋文字的PDF檔,而管理者可以從系統設定100組關鍵字,在發現使用者列印機密、敏感個資時,便能夠主動透過寄送電子郵件等方式,通知給管理者,以第一時間發出警示訊息給管理人員,提醒可能有問題的狀況。或是企業管理者可以搭配DLP(Data Loss Prevention)工具,針對影像備存檔案進行個資盤點,讓整體管控更加完善。
比較特別的是,也有錄影監控廠商表示,透過高畫質HP的攝影鏡頭,也可以達到同樣的目的,監控使用者在設備前的一舉一動,作為企業追蹤、舉證之用。
進階作法2- 讓紙本文件內容無法被影印,同時也能追蹤文件來源
不讓人輕易使用複合機就可以將重要文件影印拷貝,並確保文件的真實性,也是文件防護上的一環,就像是在高個資風險的單位中,有些企業也會管控員工手機的攜入重要區域,或者是要求員工將手機置放於座位前方的高處,接手機時需要站著接聽,避免手機照相功能的使用,搭配監視器設備,以盡到個資防護的責任。
同樣的,管制區域中的列印設備,除了設定功能使用權限,也可以透過部分列印設備廠商提供的進階浮水印功能,防止複印的問題,目前Canon、富士全錄、Ricoh都有這樣的浮水印機制,可以在列印文件的印出淡淡的網底,但不影響文件閱讀。特別的是,此網底已嵌入隱藏識別碼,具有防止複印與偵測來源的作用,如此一來,當使用者拿著該份文件至同系列的複合機前影印文件時,就會出現無法影印的情況,並警告使用者這是沒有授權的使用方式,因此,使用者便無法針對該份文件執行影印、掃描、傳真功能。
透過影像備存機制,檢視、追蹤文件來源
透過完善的影像備存機制,追查洩漏的機密與個資文件時相當便利,可以快速調閱文件副本與相關資訊,以追查外洩來源。在富士全錄的方案中,每份文件還可添加每份文件專屬的識別碼,方面管理人員迅速追蹤該份文件的來源。(圖為富士全錄影像備份系統ApeosWare Image Log Service解決方案)
|
由於文件已嵌入隱藏識別碼,若是撿到這類文件,管理者也可以將完整或撕碎的文件拿至複合機上掃描,利用解析軟體來檢視這份文件當初是誰印的,以追蹤文件的來源。
另一種作法是採用內嵌特殊的浮水印紙張,也可以達到相同的防止影印效果,讓可辨識網底識別碼的設備無法進行影印,在不同影印設備上也會讓背景浮水印加深顯示出。舉例來說,該浮水印紙張的隱藏識別碼可供Ricoh複合機辨識,在Ricoh MP4002SP上,將以此紙張列印的文件放置設備上影印時,影印結果會是全黑的頁面,在其他廠牌複合機影印時,背景的浮水印則會在副本上顯現,可清楚辨識正本與副本的差別。
透過內嵌浮水印資訊的紙張,強化影印防護
我們試著以內崁特殊浮水印為列印紙,在列印文件後(1),再拿去複合機上影印,在Ricoh複合機上影印時,影印的副本則會是全黑的頁面(2),拿至其他複合機上影印時,背景的浮水印則會在副本上顯現(3),可清楚辨識正本與副本的差別。 |
還有其他種做法也有人建議,HP影像列印暨個人系統事業群資深經理魏麒峯表示,利用防篡改的墨水與碳粉、磁性碳粉,利用光折射的原理,也可防止文件被拷貝利用;同時,複合機上的安全紙匣設計是一般人容易忽略的,目前HP有提供可以上鎖的進紙匣,讓未使用的紙張也能管控到,這是在多數複合機上較少看到的設計。
進階作法3- 搭配RFID使用,強化紙本的追蹤與識別
隨著RFID的應用成熟,針對高機密防護的環境,也有更主動式的管控方法,也就是在列印設備上透過客製化設計,將RFID轉印黏在列印文件上,讓管理者可以利用RFID感應文件的位置,並且文件也無法備攜出管控區域,只要在門禁搭配感應設備,便能夠立即警示有人攜走重要文件。
達友科技副總經理林皇興表示,這種應用同樣需要搭配各種防護的措施,像是門禁管制、視訊監控設備管制、以及列印設備管制,使紙本文件的管控,能夠完全在企業掌握之中,重要的機密文件無法被員工任意攜出,目前這種需求在高科技產業中比較容易見到。
RFID晶片也可印於紙本文件,協助追蹤
RFID的應用相當廣泛,由於特性適合用來作為人或物品的管控追蹤及識別,除了門禁控制、流程管控以及電子票券等方面,因此,機密紙本文件也可用RFID來追蹤與識別,只要在印出文件時,將RFID同時轉印於紙上,之後,只要在門禁旁配置RFID感應器,便能夠追蹤文件是否被攜出。 |
轉載自《iThome》
沒有留言:
張貼留言