中華龍網 RAMP 風險評估管理平台

中華龍網 RAMP 風險評估管理平台

資安風險評估管理平台是由中華龍網自主研發的一套全方位資安防護系統,結合了全中文弱點掃描軟體(DragonSoft Vulnerability Management,DVM),找出系統服務潛藏漏洞及分析安全狀況。政府資安組態稽核軟體(Government Configuration Baseline,GCB),檢測與套用端點設備是否符合TW GCB組態設定(如:密碼長度、更新期限等)。端點威脅掃描軟體(Endpoint Detection Response,EDR),偵測防毒軟體無法偵測的APT惡意程式(如隱蔽性木馬及後門等),提供完整檢測、掃描及風險判別的安全管理平台。亦符合政府政策及管理規範要求,能協助政府與企業維持組織整體防護安全。      

符合政策法規及管理規範:

  • 個人資料保護法
  • 資通安全管理法
  • ISO 27001 ISMS 資訊安全管理制度
  • 每年至少一次稽核作業
  • 行政院國家資通安全會報技術服務中心資安服務RFP包含弱點掃描服務、資安健診服務
  • 電子支付機構資訊系統標準及安全控管作業基準辦法
  • 國際標準規範(CVSS/CVE)
  • 政府資安責任分級

  

全中文弱點掃描軟體(DVM),針對不同環境,進行網路安全弱點評估。檢測項目包含安全漏洞偵測、弱點稽核檢測、帳號及設置稽核檢測,並支援風險評估以及統計等功能,同時具備資料庫掃描器,支援資料庫的漏洞檢測及安全風險評估。

 

  • 符合國際標準規範(CVE)
  • 開放式資料庫系統格式
  • 資產設備管理能力
  • 收集系統服務資訊
  • 非暴力式交叉稽核
  • 弱點修補建議與評估前、後

端點威脅掃描軟體(EDR)透過遠端佈署,在不依賴病毒碼之下,偵測是否有APT惡意程式,協助管理者有效且快速地掌握APT惡意程式與駭客行為蹤跡。  

  • 偵測找出潛伏端點內的APT惡意程式
  • 快速掌握各電腦的惡意程式與駭客活動
  • 獨家記憶體分析引擎,找出防毒軟體無法偵測的潛在惡意程式
  • 駭客活動記錄重播及分析,並產生關聯分析報表
  • 免安裝程式(Agentless),透過遠端佈署掃描,可因應部門彈性佈署

透過政府資安組態稽核軟體(GCB) 檢測端點設備是否符合TW GCB組態設定值。稽核項目 :帳戶安全性、個人電腦系統、防火牆、使用者、IE 與Chrome瀏覽器。

  • 軟體自動化稽核、套用,減少人工時間
  • 免安裝程式,透過遠端方式掃描
  • 因應不同環境修改 TW GCB組態設定值,提升管理效率
  • 可視化儀表板與圖示報表整合弱點分析  

Qualys自動化弱點管理及智慧型工作流程整合

Qualys自動化弱點管理及智慧型工作流程整合

弱點管理:適合全球佈署及具備安全風險和安全弱點管理

網頁應用程式弱點掃描:自動化檢測網頁應用程序之安全性

網頁應用程式惡意程式偵測:自動化檢測網頁應用程式是否具備惡意程式或惡意連結

政策合規:定義、審核和記錄IT安全合規性

PCI政策合規:自動化評估檢測是安全政策否合於PCI規範

Qualys 產品簡介下載

QualysGuard資訊安全暨網路漏洞掃描和法規遵循解決方案

CPS Ultimate Auditor Plus 新一代維運稽核與風險控制系統

CPS Ultimate Auditor Plus 新一代維運稽核與風險控制系統

CPS ULTIMATE AUDITOR PLUS 新一代維運稽核與風險控制系統架構在虛擬化系統內。是符合5A的統一安全管理方案,作為進入內部的連線與檢查設備,透過政策、授權與工單系統,針對系統特權帳號及操作行為,進行控制和稽核,防止未經授權的連線行為,並對不合法的指令進行告警或阻斷。

    • 使用者認證與單一登入 Single sign-on (SSO)

      介面採用WEB2.0,採用單一登錄 Single sign-on (SSO),維運人員一次登入,即可訪問所有具有權限的所有目標。使用帳號密碼認證、LDAP認證、AD認證等單因素認證與硬體式動態Token、硬體式USB Token雙因素加強認證。可有效解決維護人員使用共用系統帳號的稽核問題。

    • 應用發佈模組

      可安裝在Windows伺服器上的程式例如:vCenter、Teamviewer、瀏覽器、SQLplus、PCanywhere、Toad…等非標準協定的工具,採用應用發佈模組,可實現密碼代填和操作側錄。

    • 維運工單流程與二次審核

      系統提供維運工單流程管理功能,透過管理員下發工單,授權維運人員在指定時間內訪問有權限的資源,對特殊性的操作與管理流程支援二次審核功能。

    • 自動改密

      系統密碼策略可設定登錄帳號的密碼原則,與支援作業系統自動改密,例如Windows、Linux、Unix。

    • 策略管理、告警與阻斷

      可設定黑白名單與多項指令,並將指令和對象配對為進階政策,根據策略規則,自動檢測越權與違規的操作行為,依據所設定的事件類型、等級進行告警和阻斷處理。

    • 歷史操作回放

      維運人員透過CPS的操作行為都將會被記錄下來,並可提供指令與畫面回播,也可透過下載功能與專屬程式進行回播。

    • 日誌查詢與稽核報表

      管理者可透過關鍵字、IP、時間、使用者、服務、審核動作、狀態、工單編號等查詢條件進行指令與日誌查詢。並使用預設的連線操作與異常報表樣本,手動產或自動週期性產出報表 ,並可以透過新增樣版功能去自訂報表範本,彈性調整報表內容。

    • 支援多種資料庫協定與工具

      支援 Oracle(RAC)、MS SQL、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、Postgre SQL

      本地工具:MSSQL SSMS,SecureCRT,WinSCP,SQLPlus,PLSQLDev,Toad4Oracle,Db2cmd(DB2),TightVNC,pgAdmin3,SqlAdvantage,Sqleditor,mysql,QuestCentral, Xshell,dbvis,Navicat,SSH Secure Shell Client

    • 支援多種協定

      字元協定:SSHv1、SSHv2、TELNET、RLOGIN檔案與圖形協定:RDP、VNC、FTP、SFTP

    • 系統支援高可用性(HA)與負載平衡

PDF 檔案下載

Privacy ID 自動化個資盤點系統

Privacy ID 自動化個資盤點系統

個資法的重要性影響企業層面甚廣,企業因應個資法的方法各有不同,但是所有方法的第一步、也是最重要的一步,就是個資的清查盤點!人工盤點是企業通常使用的方式,然而,要能以最少人力、在最短時間將個資以及其所在的存放位置清查出來,對任何企業而言,都會是非常困難的挑戰。

企業及政府機關因應個資法,最困難的第一步,就是找出散落在內部個資:是誰擁有最多個資?最重要的個資存在於哪些電腦或主機之上?哪個部門內機敏檔案最多…等。以人工進行盤點,不但人力資源耗費龐大,作業時間久,最重要的是盤點結果的正確性及完整度往往不如預期。有鑑於此,為協助企業、政府機關解決人工個資盤點的困擾,持續將內部個資散布情況維持在最新、最即時,安資捷推出了一套簡單、但不簡單的 Privacy ID 個資自動盤點系統 !

Privacy ID 個資自動盤點系統 對於員工個人電腦、光碟、軟碟、USB設備,以及Windows/Unix/Linux主機、SAN/NAS等儲存中心上的個資或機敏檔案,提供了企業及政府機關進行個資盤點所需要的所有功能。盤點同時,背景盤點模式不會影響員工正常的作業,員工也不需進行繁雜的設定; 盤點結果會彙整至盤點中心,由盤點中心進行即時或離線資料分析、觀看,以及PDF、Excel與CSV等格式的報表匯出。

 

 

個資自動盤點模組功能

Privacy ID 個資自動盤點系統的自動盤點設計,是以任務來區分。每間企業或政府機關的盤點負責人,可以同時制定與執行不同的盤點任務,而每一個盤點任務,都會由一個盤點政策來控制,同時,任務內還會包含參與此次盤點的部門與所屬人員。因此,進行一次個資盤點,可依序使用下列功能設定後,即可完成: 

  • 人員與部門管理

    顧名思義,企業或政府機關的盤點負責人可於此輸入內部有哪些部門、單位與人員資訊,每個人員保管的個人電腦台數亦可再此輸入。當企業或政府機關部門及人數較多時,可採用CSV匯入方式節省時間。

  • 盤點政策管理

    盤點政策管理讓盤點負責人設定:要盤點的檔案類型、個資類型,啟用強化模組功能與設定強化模組子功能。除此外,若要設定盤點結果資料是否回傳,回傳是否遮罩,或是對於系統內建的個資權重不滿意,希望修改或自定,也可在盤點政策管理中一併設定。

  • 盤點任務管理

    當部門、人員、盤點政策都已設定完成後。使用盤點任務管理去定義一個最新要進行的自動個資盤點。盤點負責人可在此指定部門、人員、盤點政策設定與本次盤點起迄時間,設定完成後,自動個資盤點任務即開始執行,員工便會收到一封系統發出的自動個資盤點通知E-Mail,並按內容指示進行盤點。

進階模組功能

  • 自定關鍵字(關鍵字白名單)

    本功能可讓盤點負責人於盤點時輸入自定關鍵字,讓Privacy ID Agent於盤點時,比對出這些企業與機關想要找出來的自定關鍵字,本功能對企業與機關希望找到個資以外的關鍵字時,將有極大的助益。
    應用範例企業進行自動盤點時,對於像是某些機密設計圖編號或是零組件號碼,希望能於自動盤點時一併找出,便可在此輸入。

  • 自定規則(正規化表示法)

    本功能可讓盤點負責人對於企業或機關內所獨有的、具備規則性原則的編號、文號、文字或其他檔名…等,輸入正規化原則後,讓Privacy ID Agent於盤點時,比對出這些企業獨特的資料或檔案,本功能大幅提昇本系統使用性,對企業或機關盤點清查機敏資訊時,特別有用。
    應用範例某主管機關對於內部保存之所轄民間企業提交之各式進出口貨品編號歷史紀錄,可依民間企業提供之編碼原則,以正規化方式於此輸入。系統進行自動盤點時,便可輕鬆比對出來。 

  • 機敏檔案學習

    本功能是以檔案找檔案方式,來發現電腦或伺服器上類似的檔案內容,提供企業快速比對並找出機敏性檔案。這也可以節省盤點負責人自定關鍵字的時間!
    應用範例政府機關通常保有大量密或機密等級以上之公文,而其內容格式非常相似,此時便可設定此一機制,迅速比對出相似的機敏檔案。

  • 例外定義(關鍵字黑名單)

    本功能可將Agent在盤點含有個資檔案時,將已知非個資的關鍵字過濾並排除,以增加盤點結果的準確性,以及降低個資檔案數或個資數。
    應用範例企業進行自動盤點時,對像是公司地址、發言人手機、E-Mail等某些公開資訊可視為非個資者,便可在此輸入以排除。 

網路磁碟盤點模組功能

真實情況中,有許多包含個資的檔案是儲存在Linux/Unix主機或是SAN/NAS等Storage之上。此時若要對這些非Windows作業平台的系統,進行個資盤點將是件浩大的工程,因為一般的作法是將檔案先複製一份到某台Windows主機上,再對該主機進行盤點。不過當您Storage上有超過百萬、甚至千萬個檔案時,可能您就不會想要這麼做了。 

Privacy ID個資自動盤點系統獨家支援網路盤點功能!透過網路盤點模組,只要在Windows上掛載其它作業系統與SAN/NAS,便可直接進行盤點,再也不需將檔案從不同主機上複製了。 

報表模組功能

報表,在個資盤點中應該是最重要的產出了,Privacy ID個資自動盤點系統提供了的兩種強大的報表功能!無論是進行中或是已完成的盤點任務,盤點負責人都可隨時進行即時查詢或是歷史查詢; 當然,查詢結果後的匯出報表功能更是不可少,系統提供了PDF、EXCEL與CSV等檔案格式的匯出支援。 

  • 結果查詢

    盤點負責人可以在某一任務中,以部門、人員、主機、檔案、自定條件、機敏檔案、主機歷史與部門歷史等條件,進行即時與歷史查詢。對於查詢得出之資料,僅需在其上以滑鼠點兩下,便可線上瀏覽資料內容。 任何一種過濾條件的查詢,都可將結果以CSV方式匯出,方便客戶觀看或再利用。

  • 盤點報表

    若想看到每一個盤點任務的完整報表,盤點負責人可以在此子功能選項中操作。同樣地,盤點負責人仍可選擇以任務為主要排序別來產出完整報表,或是要以部門、人員或主機為主要的排序方式,來產出PDF或是EXCEL格式的報表。

支援Active Directory

對於人員電腦數眾多的企業與政府機關,大多都有建置AD。Privacy ID個資自動盤點系統可支援AD的自動派送與靜默執行。當人員透過AD登入時,Privacy ID Agent會以msi包裝方式,自動由AD主機派送至員工電腦上,並且自動安裝,安裝後自動執行個資盤點。

使用效益

  • 對員工而言:

    使用上幾乎無感,僅需4個步驟,即可省卻自行檢查電腦內成千上萬個檔案的流程,究竟哪些檔案內存有個資、以及哪些檔案是公司規定的機敏檔案。

  • 對企業主而言:

    一方面要符合個資法法規規範,不讓個資外洩,另一方面編列預算做個資外洩防護時,要在哪些設備或機制上作為重點。因此企業主首先必須了解要保護的對象,也就是內部到底有多少個資,而哪些個資是重要的,外洩一個也不行,哪些個資防護上優先權可較低些。使用Privacy ID個資自動盤點系統,讓企業不但可以對內部個資散布情況瞭若指掌,同時也可讓錢花在刀口上,保護真正重要的個資!

  • 對稽核人員或資訊人員而言:

    當了解個資散布情形後,便可進行評估、制定內部規範,進而落實管理、達到個資不外洩的目標!舉例來說:當使用Privacy ID個資自動盤點系統盤點後,發現多數包含個資的檔案幾乎每個人都非常多,若要進行管理,可能需耗費非常多的人力與費用,這時若能制定適當規範,讓重要檔案集中於伺服器上,如此便可對個資進行集中式的管理,降低人力與費用。而對於員工電腦上可能新增加的個資檔案,便可固定每季進行一次盤點,以得知個資散布的最新狀況! 

人工盤點與Privacy ID自動化盤點的比較

比較項目

人工盤點

Privacy ID 自動化盤點

儲存現況

無法逐一開啟並檢視數以千計的檔案

自動化掃描硬碟內所有檔案及內容

人力負擔

少數IT人員負責企業內所有人員

企業內每位員工自行負責

速度及時間

非常慢,數月以上,甚至更久~

非常快,數小時~ 數天

正確性與完整性

採完全信任原則,難以確定正確性與完整性

採系統比對,正確性與完整性非常高

重複執行性

非常困難

容易

結果報表

手動彙整產出,增加IT人員負擔

系統自動產出,統計詳盡,人員無負擔

 支援的檔案格式共23種:doc、docx、xls、xlsx、ppt、pptx、odp、ods、odt、odg、pdf、rtf、jsp、asp、php、rar、zip、7z、epub、txt、csv、htm/html、xml。

可盤點7大類可識別個資欄位:身分證號、中文姓名、信用卡號、護照號碼、電話手機號碼、電子郵件、台灣地址。

報表可匯出為PDF 及Excel 等檔案格式。

Privacy ID 個資盤點系統 DM 型錄下載