全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
你保存的Log有證據力嗎?
文/黃彥棻 (記者) 2012-11-21
臺灣勤業眾信分享協助企業做數位鑑識的經驗,除了保存完整可用的Log檔案,定期更新IT系統架構圖,企業還可以按照鑑識程序,確保數位證據的證據力

個資法施行後,當個資當事人提出訴訟時,企業必須提出各種證據,證明自身已經落實各種個資保護作為,並善盡管理之責,最終的目的在於減輕甚至減免過失責任。

要企業提出證據證明自己的清白,紙本個資的留存還算容易,只需要妥善的保管紙本資料即可,但是,現在企業營運高度依賴各種IT系統提供各種資訊服務,如何將這些IT系統的運作過程和使用者的行為全數保留起來,並可以作為企業在法庭上的證據,其困難度比起紙本資料保存,相對難上許多。

名偵探柯南卡通影集有句名言:「真相,只有一個」,但在現在的數位化社會中,許多的電磁記錄稍縱即逝的情況下,逝去的數位證據如何保存?如何重現?又該如何還原當時景象呢?

臺灣勤業眾信企業風險管理協理曾?表示,對於許多企業而言,因應個資法保留各種應該保留的紙本和數位記錄,光是個資法施行細則第12條規定的11款安全維護措施中,企業應該應明定保留各種「使用紀錄、軌跡資料及證據保存」,如何有效的保存,就是一大工程。

曾韵指出,由於臺灣勤業眾信已經有多次協助企業進行個資外洩調查時的數位鑑識經驗,從過往的實務經驗中也發現,不少企業保存數位證據的觀念有誤,不僅導致個資外洩事件調查功虧一簣外,也無法提供足夠的證據,證明企業本身已經善盡管理之責。她說,當個資法正式施行後,能否提供具有證據能力和證據力的數位證據,不僅是每人賠償500元或2萬元之間的差異,更是企業商譽的保護關鍵。

因此,勤業眾信從過往協助企業調查個資外洩的經驗,提出了4項建議可供企業落實數位證據保存的作法參考,確保數位證據具有證據能力和證據力,足以作為法庭呈堂證供之用。

IT證據力1 先盤點,保留關鍵系統的Log
曾韵指出,以往企業保留各種Log資訊,是為了進行系統的除錯(Debug),找出系統設計有問題的地方,以便進一步調校,例如,企業會留下駭客進行各種Port Scan的失敗記錄。

但是在個資法施行之後,曾韵認為,企業對於各種Log保留的想法和態度,都應該要重新調整,相關的數位資料留存,都是為了證明企業已經善盡管理之責,最終希望能夠做到減輕甚至減免企業的過失責任。因此,究竟應該要保留哪些重要的Log,就顯得非常重要。

她表示,和進行個資盤點一樣,企業第一步就得先評估,究竟要保留哪些系統的Log資訊。就顧問的角度而言,所有的資料能夠保留最好都全數保留,但這又涉及企業所需花費的成本,因此,以個資法的規範來看,哪些系統包含重要個資或者是個資含量比較高的,都應該列為應該留存Log檔的系統之一。

許多商業設備和作業系統已有內建完整的Log機制,企業用戶往往只要啟動Log記錄功能即可,保存難度不高。臺灣勤業眾信企業風險管理副理陳威棋說:「問題往往來自企業內自行開發的各種應用系統的Log留存。」

他指出,企業自行開發的各種應用系統,往往是為了配合企業營運流程所設計的系統,只要功能面能夠滿足需求,多數開發人員並不會意識到,必須建立完整的Log機制;或者是開發人員雖有設計Log機制,但只是為了除錯之用,有效的Log應該具備的人、事、時、地、物等相關資訊經常付之闕如。協助企業自行開發的應用系統落實Log資訊的保存,並具備應該有的訊息,才能成為對企業有幫助的數位證據。

IT證據力2 設定合理Log存放和管理原則
今年某月,曾韵帶領勤業眾信數位鑑識團隊到某電子商務業者公司,協助調查個資外洩事宜。她表示,該公司從今年某個時間點之後,就一直有消費者投訴,持續接到各種詐騙電話,不堪其擾。該電子商務業者為了挽救商譽,並且找出個資外洩的原因,便請勤業眾信協助進行調查。

到了該電子商務業者的公司時,勤業眾信企業風險管理副理宋子莉請IT部門同仁協助,提供各種的IT系統與設備的Log檔,包括網路、資料庫甚至是各種應用系統的存取記錄等。但是,宋子莉發現,IT部門提供的Log檔,卻只有片段的記錄,資訊並不完整。

她進一步調查發現,原來很多系統雖有啟用Log記錄功能,但是許多關鍵主機因為存取量大,加上儲存Log的硬碟沒有設定空間將滿的警示訊息,一旦Log能使用的儲存空間用滿了,新的Log檔案就會重新覆寫到過去的舊Log檔,像是存取頻繁的AD伺服器,Log保留的時間甚至只有一小時而已。

此外,宋子莉也發現,資料庫稽核機制設計不良,導致資料庫負載過重、效能緩慢,許多實際運作時的SQL存取語法回應記錄沒有妥善保留,加上整體Log檔缺乏集中存放、管理和歸檔機制,Log檔實際可保留的天數過短,導致該電子商務業者提供的數位資訊,不利於鑑識團隊進行分析。

因為個資外洩事件在鑑識團隊進駐後,仍持續發生,因此,曾韵便帶領勤業眾信鑑識團隊協助該公司的IT部門,重新設定並調整各種IT系統的Log機制,並重新規畫各種Log的存放和管理機制,來匯集可供分析的有用資訊。

IT證據力3 Log檔應提供人事時地物完整資訊
個資法規定企業應留存各種證據,最終是為了要能夠在法庭上證明,企業在各種可以防範個資外洩的關鍵點上,都已經落實應該盡的管理責任,而所有的管理流程,也都有明確的記錄,有跡可循。希望透過相關證據的完整呈現,可以減少甚至減免企業的過失責任。

為了提高Log記錄的證據能力,陳威棋建議,企業應該從具備人事時地物等類的Log資訊著手,人的資訊包括使用者帳號和來源IP,事的資訊則有各種資料存取的詳細記錄,時間則可包括系統登入、存取和登出時間,地的資訊則可以確認目標主機或者是所存取的檔案名稱,物的資訊則包括各種資料和系統存取成功或失敗的訊息等。他認為,當這些Log檔案的留存都可以提供足夠的分析資訊,也有助於作各種的異常分析。

IT證據力4 企業應定期更新系統架構圖
曾韵指出,鑑識團隊協助業者調整系統,蒐集了大約一個月的Log資料後,就可以開始定位出可疑的系統。她指出,第一個定義可疑系統的方式就是,從外洩的資料中回推,企業內有哪些系統擁有外洩的資料類型。例如,如果外洩的個資包括客戶姓名、地址、聯絡方式和購買品名的話,企業就應該回頭檢視,就目前企業的流程中,在哪些系統中有這些外洩的個資。

除此之外,由於鑑識團隊是外來的專業團隊,不了解企業內的系統,往往必須依賴IT部門,協助告知相關的IT架構與系統設計流程,鑑識團隊才能在可能外洩個資的關鍵系統中,設計查核的機制,來蒐集所需要的資訊。

但是,曾韵表示,業者IT部門提供的IT架構,往往只有原始的系統設計架構,對於企業後續因應營運狀況所做的各種IT系統調整的部分,IT部門並沒有提供正確的資訊,讓鑑識團隊白白浪費了許多時間。

陳威棋建議,企業應該要定期更新IT系統架構圖,包括各種網路拓樸,不只是作為內部控管之用,一旦有外部團隊進駐時,就可以有完整的IT架構資訊可供參考。

各種IT設備的Log和相關的系統內容及電子文件資料,都是企業證明是否以善盡管理之責的關鍵,曾韵說,從盤點並保留關鍵系統的Log,並提供完整的Log資訊,邁出企業保留正確Log第一步;搭配合理Log存放和管理原則、定期更新系統架構圖,一旦有異常,就比較容易找出外洩個資的關鍵點。她認為,只要所有鑑識過程都符合程序,所保留的數位證據都具有證據能力和證據力。



其他文章
數位證據的證據能力與證據力
師法調查局鑑識經驗,掌握數位蒐證關鍵

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome