Varonis 系統與信用卡產業資訊安全標準 (PCI DSS)─Varonis 白皮書

概要說明

本檔案概要說明信用卡產業資訊安全標準 (PCI DSS) ，並概述Varonis資料控管解決方案有助於企業組織遵守信用卡產業資訊安全標準(PCI DSS)部分規 定。

背景

Master Card Worldwide, Visa International, American Express, Discover Financial Services 與 JCB合作開發信用卡產業資訊安全標準 (PCI DSS)，並共同致力於最終制定準則， 有助企業組織處理信用卡資訊於最終制定準則， 防止誤用信卡資料。

何人需要遵守 

全部儲存、處理與傳輸信用卡資訊的商家與服務供應商，必須由合格掃描供應商 (ASV)依據信用卡產業資訊安全標準(PCI DSS)的掃描程序 (掃描檢查破壞情況)，透過網際路每季自我評估與稽核。

每年必須由 每年必須由 PCI DSS合格的安全評估廠商(QSA)稽核 大型廠商 (也就是 包含電子商務在內的全部銷路，每年 交易金額超過6百萬美元 )與服務供應商 (也就是每年交易金額超過 1 百萬美元 )。稽核作業包含全部系統、應用裝置與技術量測、儲存處理傳輸持卡人信用卡資訊有關政策與程序。

哪些資料被視為敏感哪些資料

 依標準，以下資訊可被視為敏感料：

• 持卡人主帳號(PAN)
• 持卡人名稱
• 服務代碼
• 到期日
• 個人辨識碼證基碼 (PVV)
• 安全代碼 (數字 3或 4位)

依據作業準則，廠商或服務供應不儲存個人辨識碼驗證基碼(PVV)或唯一在交易時能辨識持卡人的塑膠卡之安全代碼。不過，卻能儲存持人主帳號(PAN)、持卡人名稱、服務代碼與到期日。

若不遵守作業準則，代價與風險為何？ 

每年盜用與誤信卡損失金額達數十億美，然而次事故成本可能不同端視廠商或服務供應規模而定，損失包括：

• 盜用交易收入損失 
• 重新發卡成本
• 調查與可能的訴訟成本
• 金融卡 /信用卡發行公司罰款
• 公司聲譽、客戶信心與營業損失 
• 接受信用卡付款能力的潛在損失 

VARONIS 如何協助遵守信用卡付款業界準則

Varonis代理商提供綜合系統用於可視、存取控制與稽核非結構化資 料，並將這些料儲存於資庫外部。事實上，Varonis是唯一能自動化整體稽核非結構資料的系統供應商。相 對 PCI 而言 ， 不僅保護資料庫相當重要，保護共用檔案亦然。當含有任何 PCI 認定的敏感資料時，企業組織必須稽核存取使用這些網路共用資源，藉以遵守信卡付款準則。 

許多企業組織本能致力於保護資料庫內部持卡人訊，為眾的技術解決方案帶來挑戰。然而美國花旗銀行與輝瑞集團有關的違約案件，顯示企業正面臨挑戰─如何控制存取使用傳送可能含持卡人資訊的電子試算表與檔案。從資料庫內部傳送持卡人資訊乃司空見慣，因此繞這些資料可能被使用於市場調查，或被傳送至其他應用程式。依據Ventana 研究顯示， 42 ％企業組織所擁有的客戶資料，理當然地儲 ％企業組織所擁有的客戶資料，理所當然地儲存於電子試算表中，而這些數量並不包含輸出資料以供自行進企業分析或其他目的之個人使用者。

因此，當提及執行遵守信用卡付款準則的技術時，讓企業不能輕易忽視其共用檔案便極為重要。 

綜合數據控管與權限管理

挑戰

你的商業資料大多數都處在危險中。在電子表格上的敏感資訊、商業表單、簡報、多媒體檔案等，都能被沒有業務需求的人存取。而IT管理人員，卻甚至連以下的基本問題都很難回答：「誰擁有這些資料？」、「誰有權限存取這些資料？」、「誰正在存取這些資料？」、「誰的存取應該被拒絕？」
問題在於，因為IT管理組織無法有效的做到下列動作，令資料的存取權限與你的業務變動達到同步。

•  與資料同步：在大部分的組織中，非結構數據佔業務數據中的80％，且每12~18個月便會增量一倍。

•  管理資料權限：隨著使用者存取資料的需求轉變，存取許可經常被拒絕，導致隨著時間經過，使用者累積越來越多的使用權限。

• 存取審核：本地的審核經常讓伺服器變慢，並產生大量難以破譯的數據。組織通常選擇維持關閉審核，直到發生不樂見的事故

• 尋找資料擁有者：檔案/資料夾的名字與位置，甚至是有關建立檔案/資料夾者的元數據，都無法有效地提供有用的線索。而使用手動方式來連結每個有存取權限的人，以檢視他們是否是該資料擁有者，則並非具拓展性的流程。

• 尋找並分類敏感數據：逐筆搜尋每筆檔案是相當費時的，即便鎖定了敏感數據，當中是否出現問題或需要修復也不容易被察覺。此外，重新掃描數據亦需花去相當長的時間。

解決之道

Varonis提供了框架與產品套件以完整控管檔案系統中的非結構數據與  SharePoint 上的半結構數據。本套件透過 上的半結構數據。本套件透過 Varonis DatAdvantage, 、Varonis DataPrivilege  與 Varonis 數據分類框架等軟體，可供應IT與資料擁有者用 管理人員與資料擁有者用 以控管業務敏感資料存取所需之重要情報，提供即時 的時間生成價值。

DatAdvantage 靠著辨識可能的資料用有者、監測資料存取 與建議何人的存取權限應被撤銷，幫助 IT 人員處理存取控管。 DataPrivilege則靠著將資料使用者連接至擁有者，生成授權管理的 工作流程，並靠著對行為審核追蹤，來提供資 料擁有者管控何人以存取他們的料。 Varonis  數據分類框架，則可加速辨識業務資料中的敏 感情報，且產生可執行的結果讓你以快速修復問題。

權限管理轉換

透過傳遞 IT 人員所需的細節情報， Varonis軟體解決方案能轉換你的權限管理與資料掌控。只要在 DatAdvantage上 辨識過資料用有者， DataPrivilege便會自動地替那些資料擁有者建立權限管理工作流程政策。當資料使用做出存取請求 時， DataPrivilege 便會將那些請求引導給資料擁有者以進行審 查。資 料擁有者同時也會收到獨特的視野關誰存取他們資料、誰正在使用它以及的存取應被拒等。

DatAdvantage─全面性的視野、審核與建議

DatAdvantage  提供單一介面，透過它管理員可以監視與 管理 Windows檔案系統、SharePoint 網站、 UNIX 、Linux 檔案系統與 NAS資料。此統一的視野讓 IT 人員能清楚看到誰有透過組織存取資料 的權限、他們的權限為何 (例：讀 取、寫入執行等 ) 以及該權限是否被分配或繼承。DatAdvantage 同時也能在檔案名稱下準確展現出誰存取了該資料、如何 ( 例：生成、開啟刪除等 )且何時存取。 且何時存取。 DatAdvantage  能自動分析那些存 取模式以建議何人之取應被撤銷。

DataPrivilege─控管、效率與自動化

DataPrivilege靠著聯繫資料擁有者與資料使用者於同一個請求與授權資料存取的討論上，以提供權限管理工作流程。

 DataPrivilege可強制定期資料擁有者資料擁有者定期審查何人存取了他們的資料(即「認證」或「資格審查」)，並能在業務組織中強制執行「道德牆」以確保資料隔離。DataPrivilege在誰請求存取和像資料、該請求被如何處置上建立了全面的審核追蹤，因此IT人員可確保最佳處置方式與資料擁有者所遵循之企業政策。

數據分類框架─快速、可操作的數據分類結果

數據分類框架是個便敏感的超高效方案 。它利用Varonis創造的獨特元數據檢視資料存取、所有權與存取權限，以加速尋找敏感數據的程序。它製造可動結果的速度較一般邊準資料分類產品快90%，使得修復與存取敏感數據有關的問題能更快獲得解決。

快速實現時間生成價值與投資回報率

Varonis軟體解決方案，藉著能產生保護關鍵資料的獨特商業智能與自動建立權限管理工作流程政策，提供快速的時間生成價值。靠著使這些關鍵資料的保護機制成立於常見的資源與程序的組成上， Varonis在節省營運成本上提供了相當大的貢獻。

DatAdvantageVaronis ®適用於Microsoft Exchange

1.介紹

近幾十年來，將資訊數據化的能力已改變了商業世界運作方式。以往一名員工所寫的信件可能需花費數日才送達目地，但今同一位員 工用書寫的方式 聯係商業夥伴已經能即時到 達。隨著儲存方式及頻寬的價錢變得越來低，在眾多 的機構中，郵件迅速變成了最主要通訊方式。

在商業世界中， Microsoft Exchange是種被廣泛使用的通訊系統與協同軟體。 是種被廣泛使用的通訊系統與協同軟體。 它的 功能尤其是包括電子郵件服務器和客戶端；管理日曆、聯繫人工作提供團體共享之「公共」資件夾；記錄電子郵去處與檔案相關的連繫者功能。

因為Exchange提供了友善的使用介面，即便僅具有低階電腦能力員工也 會發現詳細組織和處理他們每天的工作並非難事。然而，這也代表將產生大量的數據 。因為電子郵件的發送和接收、附開啓把檔案保存在不同文夾以 保證安全、建立和存儲聯絡人資訊發送或接收會議邀請等都造成數據的產生。

Exchange是一個名副其實的 關鍵資訊礦藏，也是每家機構IT 部門最易受攻擊之 處。當使用者自由地通訊時， IT 的專家們必須同時確保數位郵件信箱安全無虞。

Exchange的本質，為資料管理提出了重大挑戰。因每天所產生量電子郵 件事項 (隨著每個新增的郵件 CC 列表成指數增加的量 列表成指數增加的量 )，讓與訊息間保持有意義連 繫的工作變得極度困難。

 Varonis 的解決方案

使用 Varonis  IDU 套件，機構可以在 Exchange的平台上將可操作訊息 加入信駐留。而 IDU 套件中的旗艦產品「 DatAdvantage」，則提供了 」，則提供了 Exchange Servers 完整的可視度以便於：
■ 實際且有效率的權限管理
■ 審核電子郵件信箱事項
■ 提供建議與 sandbox防護機制
■ 檢測與 分配 所有權
■ 委任管理
■ 法則式管理
■ 建立道德牆
■ 權力審查
■ 資料分類
■ 其他功能

2. DatAdvantage for Exchange

工作區域 工作區域

目錄窗格

執行Exchange所使用的邏輯儲存概念，稱為群組。在單一區域中 ，該儲存群 組或可由許多 Exchange服務器 /伺服器所組成。

在目錄窗格中， Exchange的實體表達如下：

■ 儲存群組用「資源」來表示
■ 電子郵件信箱儲存與公共檔案夾等群組成員，則用「量」來表示
■ 獨立的使用者電子郵件信箱「檔案夾」來表示
■ 特殊的電子郵件信箱檔案夾，如：日曆、聯絡人收匣等用「子檔案」來表示

由於位 於不同的區域儲存群組可擁有相名稱 ，目錄窗格在旁，打上括號然後注名稱。
單一的 儲存資源（個群組），在不同單一的 儲存資源（個群組），在不同Exchange 服務器 /伺服器上面，可以 伺服器上面，可以 容納成千上萬的檔案夾。而對於 DatAdvantage來說，這是一項挑戰，因為一次開啟許多在目錄窗格的記錄，或許會造成性能吃緊。為了解決這項挑戰，DatAdvantage提供了一項特別的分組機制，好讓使用者能控管同時間內開啟的紀錄數量。

記錄可以下列方式分組：

■ 按字母順序分類：檔案夾以單一或群來建立，且電子郵件信箱則被配到相應的檔案夾中。

■ 動態分類：提供了允 許訪問、刪除與不不許訪問 ，三個檔案夾。 根據所選的使用 根據所選的使用 者或群組的授權分類，將電子郵件信箱配到其中一個檔案夾。在動態中，電子郵件信箱仍然按字母順序進行分類。

■ 完全不分類：所有的電子郵件信箱呈現在一個平面表單中。

使用者＆群組窗格 

若是所選的資源位於 Exchange，則可設置使用者 ，則可設置使用者 ，則可設置使用者 & 群組的 窗格來顯示使用者電子郵件地址。

因為 Exchange使用者所擁有的電子郵件信箱並非一般檔案系統夾，因此 當使用者選 取時，電子郵件信箱便會顯示於目錄窗格中。因此在使用者＆群組 取時，電子郵件信箱便會顯示於目錄窗格中。包含了一個新項 ─本地郵箱。

在作業區的權限可視度

 DatAdvantage 通常顯示 通常顯示Exchange權限的方式，跟顯示 權限的方式，跟顯示 SharePoint 的方式大致 相同 (意指呈現出一個 friendly name)「友好名稱」。

然而，以下這幾項重點需僅記在心：

■ 存在於每個電子郵件信箱並自稱為特殊實體者，代表的是該擁有者。
■ Exchange提供了一個 ACL( 存取控制 安全機制 )稱為 none ，藉以否決其他使用者 ， 存取特定的電子郵件信箱。該留意是，無視於其名稱此 ACL允許人們 (例： 電子郵件擁有者 )存取此電子郵件信箱。

編輯、建議與防護 

在 Exchange的電子郵件信箱中，權限被編輯為兩個等級：
■ 電子郵件信箱權限：該被設置在 Active Directory或 Exchange服務器 /伺服 器上，並僅被設置於電子郵件信箱本身。這些權限包含了 Full Control(完整權限)、 Send As(代理發送)以及Send on Behalf(代表發送)。

■ 共享權限：在電子郵箱裏每個實體上都能使用，由 使用者由Outlook客戶端自己 設定這些權限。相較於電子郵件信箱的權限，這些權限更加精準。

查看日誌

出現在一個特定電子郵 件上之動作，便是與相關的事。每項發生發生在電子郵件訊息上的事件，必須引用該訊息。此屬性包括 郵件源 (發件人 )、郵件的 目的地 (收件人 )、時間 戳訊息建立的、時間 戳訊息建立的)和附件。

此外 ，日誌同時也包含了新 的欄位 以及支援 Exchange的過濾器，並且完全與日誌結合，期望能提供無暇使用經驗。

Varonis DATA GOVERNANCE SUITE(中文)

特色與效益

全面整合的解決方案

• Varonis DatAdvantage for Windows

• Varonis DatAdvantage for SharePoint

• Varonis DatAdvantage for Exchange

• Varonis DatAdvantage for Directory Services

• Varonis DatAdvantage for UNIX/Linux

• Varonis DataPrivilege

• Varonis IDU Classification Framework

可據以行動的情資

• 完全掌握檔案系統、SharePoint 和 Exchange 的使用者、群組與資料夾權限。

• 針對每一個存取事件，提供詳細的稽核記錄。

• 建議應該移除的過高權限，並可在不影響作業的情況下模擬變更。

• 快速且準確地識別敏感與企業關鍵資料。

實用的工作流程

• 自動化權限檢視與授權流程。

• 對整個資料基礎結構實作企業政策，並確保法規遵循性。

• 授權使用者與資料擁有者可控制其資料存取行為。

減輕 IT 負擔

• 減輕 IT 資源管理資料的負擔，立刻實現投資回報。

• 自動識別資料擁有者並將其納入資料管理流程。

• 資料存取之核准／撤銷可自動交付給檔案系統，使權限生效。

全方位資料管理

非結構化以及半結構化的資料在組織內激增，但卻無法加以管控。在大多數組織中，非結構化的資料佔企業資料的 80%，而且這些資料量每經過 12-18 個月便成長一倍。其中包括儲存在伺服器、NAS裝置以及半結構化儲存庫（如：SharePoint 和 Exchange）內的各種檔案─文件、影像、試算表、電子郵件、視訊以及音訊檔案。以資料為導向的現代化組織不斷成立能夠存取流動數位資源的跨功能團隊，但是隨著團隊人數增加，加上額外的管理與資訊安全要求，導致資料容器（共用資料夾、Exchange 公共資料夾以及 SharePoint站台）的數量呈現驚人的快速成長─甚至遠遠超越我們儲存資料的速度。每一個資料集都需要受到管理及保護，而實際且有效率的管理與保護則需要透過自動化實現。

解決方案

Varonis Data Governance Suite 為組織提供隨資料成長的管理能力，以實際、高效的方式管理存取、稽核每一個檔案及電子郵件的存取行為、識別並納入資料擁有者，以及找出敏感及企業關鍵資料並加以歸類。Varonis 使用可擴充及可延伸的 Metadata Framework，提供了一個資料管理的全方位高效解決方案。Varonis 可提供：

• 與貴公司資料相關的可行動情資。

• 直接納入企業使用者與資料擁有者的工作流程。

• 減少組織 IT 資源負擔的自動化功能

Varonis 提供完整的 Metadata Framework™ 及整合式產品套件來管理非結構及半結構化的資料。部署 Varonis DatAdvantage for Windows、Exchange、Directory Services、SharePoint、UNIX/

Linux、DataPrivilege 和 Varonis IDU Classification Framework 之後，IT 系統管理員與資料擁有者便可獲得可據以行動的商業智慧、有效的自動化流程以及根據企業政策實施工作流程的能力。

DatAdvantage 為 IT 員工提供關鍵情資，顯示可存取資料者、正在存取資料者、擁有資料者，以及可輕鬆降低資料存取而不影響業務程序的方法。DataPrivilege為資料擁有者、企業使用者以及 IT 系統管理員提供可自動化的權限檢視、存取以及強制執行資料政策（包括隔離牆）的可設定網頁式介面，並對所有管理活動提供完整的稽核記錄。

全方位可見度

Varonis 能為貴公司的檔案系統權限提供完整的雙向可見度，進而改變公司的權限管理作業，可以顯示、組織和彙總 NTFS 及共用權限。使用 Varonis® 之後，IT 系統管理員可以迅速查看任何使用者或群組可存取的資料，以及有權限存取任何資料夾、信箱、公共資料夾或 harePoint 網站的使用者及群組，還可以對檔案、資料夾以及網站加上旗標、標記和註解，以便追蹤、分析和回報使用者、群組及資料。

完整、即時的稽核資料

開啟、建立、移動、修改與刪除每一個檔案、每一個存取控制和群組成員的權限變更以及每一封傳送、接收與開啟的電子郵件，皆會擷取快照並記錄於高效率的標準化資料庫中，並可排序和搜尋。此外可以輕鬆建立以資料為導向的詳細報告，並自動提供予資料擁有者及 IT 系統管理員。

自動化的資料存取控制工作流程

DataPrivilege 提供可將使用者和資料擁有者直接納入存取檢視與授權工作流程的架構，以達成自動化的資料管理。資料擁有者也可建立受管理的子資料夾，達到更快速、更安全的協同作業。資料擁有者、企業使用者以及 IT 系統管理員可取得一個可設定的網頁式介面，能自動處理資料存取要求、擁有者及 IT 權限授權、群組變更（包括通訊群組）、自動化權限檢視以及資料政策實施（如隔離牆）。完整的稽核記錄則可確保資料管理政策的效力與遵循性。

VARONIS METADATA FRAMEWORK

Varonis代理商 收集各種來源資料─包括目錄服務的使用者及群組、檔案/資料夾/公共資料夾/信箱的權限、檔案和電子郵件的存取活動，以及檢測內容和 Metadata 時獲得的敏感內容指標。

Varonis Metadata Framework™ 以非侵入式的方式收集上述關鍵 metadata，並在缺少時產生metadata，然後預先處理、標準化、分析、儲存之後，再將其顯示於可靈活互動的介面上供 IT 系統管理員查看。Varonis Data Governance Suite 可使用標準電腦運算基礎結構隨目前與未來的需求擴充，即使 metadata項目間的關係數量呈現指數化成長也可應付。

Varonis IDU CLASSIFICATION FRAMEWORK(中文)

特色與效益

可行動的商業智慧

• 分類資訊讓您從 Varonis IDU 清楚掌握企業關鍵內容。
• 組織可確認最重要的敏感資料是否過度暴露，還可取得如何降低該存取權限的可行建議。

可延伸的架構

• 搭載的資料分類引擎透過規則運算式以及字典搜尋，提供強大且具彈性的敏感資料分類法。
• 架構也可整合第三方分類與 DLP 產品的內容分類資料，延伸兩者的能力。智慧、迅速
• 以 DatAdvantage 對所有檔案建立與修改的即時掌握，達到真正的漸進式掃描─只對新增的資料進行分類。
• 較傳統方法更快產生結果。
• 結果可透過 DatAdvantage 介面檢查。

運用既有基礎結構

• 可使用其內建的分類引擎或已經部署的分類引擎。
• 使用由 Varonis Metadata Framework™ 建立的唯一 metadata 層。
• 以 Varonis IDU Framework 為基礎建立，不需要額外新增伺服器或儲存裝置。

簡單、強大的分類規則

• 規則符合內容與 metadata 條件的組合。
• 根據 Varonis metadata 排定優先順序。
• 適用關鍵字、檔案層級 metadata、詞組及／或規則運算式的檔案搜尋。
• 主動自動更新字典相符功能。
• 採用如 IBAN、Luhn 及 Verhoeff 等演算法驗證，可協助確保準確的分類結果。

可行動的分類商業智慧

組織需要決定在廣泛的非結構化資料中，哪些儲存資料是企業關鍵資料、敏感資料或受管制的資料，以便有效管理及進行保護。1TB 的資料通常包含約 50,000 個資料夾，而且其中許多資料夾中可能包含敏感檔案。雖然資料分類科技能夠協助找出敏感檔案，但找出這些
檔案還只是第一步。找到可能具敏感性的檔案後，接下來的問題是：這些檔案屬於誰？ 誰曾經存取這些檔案？ 誰正在使用這些檔案？我的敏感資料在哪裡外洩，有危險嗎？企業必須有能力回答這些問題，才能獲得可行動的商業智慧，並決定適當的資料管理及保護程序。

解決方法

Varonis IDU Classification Framework 讓組織能夠清楚掌握資料內
容，提供敏感資料在檔案系統中的保存位置資訊。將檔案分類資
訊─不論從內建的分類引擎或從協力廠商分類產品─整合至 Varonis
Metadata Framework™，並顯示於 DatAdvantage 介面後，Varonis
IDU Classification Framework 便能夠針對資料管理提供可行動的商
業智慧，包括按照外洩嚴重性排列的權限資料夾，以及含最敏感資
料的公共資料夾報告；此外，還有所有 Active Directory 活動的稽核
記錄，包括 OU 群組、群組政策以及登入／登出事件之變更。

VARONIS METADATAFRAMEWORK™

Intelligent Data Use (IDU) 平台是Varonis Data Governance Suite資料管理套件的核心，主要功能是收集和使用者（環境中的使用者與群組）、權限（可存取資料者）以及活動（正在存取資料
者）相關的 metadata。 VaronisMetadata Framework 以非侵入式的方式收集關鍵 metadata，並
在缺乏現有 metadata 時加以產生（如利用檔案系統篩選器以及內容檢查科技），然後處理、標準化、分析、儲存之後，再顯示於可靈活互動的介面上供 IT 管理員查看。

VARONIS IDU CLASSIFICATIONFRAMEWORK

Varonis IDU ClassificationFramework 是 IDU Framework的延伸，整合 Varonis 內容分類引擎或協力廠商來源的分類metadata（如：RSA DLP）所產生的內容分類資訊。分類metadata會指出檔案可能包含組織想瞭解的關鍵字、詞組與模式（即規則運算式）。

可行動、智慧、快速

由於 Varonis IDU ClassificationFramework 隸屬於更強大的Varonis Metadata Framework，因此能夠運用 metadata 層執行更迅速、更明智的檔案分類。結果可透過 DatAdvantage 介面檢查（使用者需擁有適當憑證）。例如，在 DatAdvantage 存取稽核資訊中，IDU Classification Framework 會迅速分類新的和經過修改的資料，以達真正的漸進式掃描。
它還可根據權限的暴露程度、活動頻率，以及其他組織可調整的metadata 參數，排定掃描優先順序。此外，由於 DatAdvantage已經識別出資料擁有者，因此您可使用此一資料，根據實際使用率以及 DatAdvantage 的建議，決定擁有敏感資料存取權限者。最終，可以在不影響業務程序情況下，利用可行動的商業智慧了解企業關鍵資料可能過度暴露和可降低存取權限之處。

可延伸的架構

內建的分類引擎使用 metadata、以模式為基礎的內容核對，以及與動態自動更新字典的字典
式內容核對，提供強大且具彈性的資料分類法。 Varonis IDU Classification Framework 也可以使用企業已部署協力廠商分類產品所產生的分類 metadata，除了 Varonis metadata 以外，也將其標示為已判定為敏感的檔案，進而提供可行動的資料保護與管理。分類資訊可透過 csv 檔案，
以自動排程的方式匯入 Varonis IDU Classification Framework。

Varonis DATADVANTAGE for Windows(中文)

特色與效益

全面掌握
• Windows 伺服器權限結構的完整雙向可見度。
• 顯示任何使用者或群組可存取的資料，以及具備任何資料夾權限的使用者與群組。
• 識別最可能需要資料擁有者的資料夾。

完整的稽核記錄

• 針對受監控的伺服器，提供每一個檔案操作的可用稽核記錄。
• 以可搜尋與排序的標準化資料庫，提供每一個檔案事件的詳細資訊。
• 以最不影響檔案伺服器以及不需藉由原始 Windows 稽核的方式收集資料。

建議、建立模型與交付

• 在不影響業務程序的情況下，提供可行動的商業智慧，安全地移除過高的檔案權限與群組成員權限。
• 在不影響生產環境的情況下，進行模型權限變更。
• 透過單一介面對 AD 物件與 ACL 進行變更。

資料擁有權識別與納入

• 利用使用者活動的統計數據分析，找出資料的企業擁有者。
• 自動建立可設定的報告，在資料管理流程中納入資料擁有者。
• 透過 DataPrivelege 加速反覆納入資料擁有者的動作。

可延展的架構

• 可使用 IDU Classification Framework 取得資料分類資訊。
• 使用 DataPrivilege 直接納入資料擁有者與企業使用者。
• 針對 Exchange、SharePoint 及 UNIX 推出 DatAdvantage forExchange、DatAdvantage for SharePoint 以及 DatAdvantage for UNIX。
• 識別群組成員及權限的變更。

全方位資料管理

非結構化以及半結構化的資料在組織內激增，但卻無法加以管控。在大多數組織中，非結構化的資料佔企業資料的八成以上，而且這些資料量每經過 12-18 個月便成長一倍。此外，當使用者資料存取權限需要變更時，卻鮮少撤銷存取的權限；長時間下來，使用者累積越來越多的存取授權，組織無法查看誰正在存取資料和哪些是被存取的資料，以及識別過高的權限及資料擁有者。

解決方法

Varonis 提供能夠實現資料管理的結構。 Varonis DatAdvantage 軟體解決方案
能夠從目錄與檔案伺服器彙總使用者、權限、資料以及存取事件資訊，精密的分
析功能會處理收集到的資訊，顯示詳細的資料使用率，並根據企業需求決定適合的存取權限。

Varonis DatAdvantage 提供：

• 檔案系統權限的雙向可見度。
• 電子郵件與權限事件的完整稽核記錄。
• 檔案事件的完整稽核記錄。
• 針對移除過高權限以及模型變更提出建議。
• 透過使用者活動分析識別資料擁有權。
• 納入其他 metadata 與平台的可延展架構（如透過 IDU ClassificationFramework、SharePoint、UNIX 等取得分類資訊）。

清楚掌握權限

DatAdvantage 結合直接取自 Active Directory、LDAP、NIS 或其他目錄服務的使用者及群組資訊以及檔案系統的完整可見度，能讓組織掌握權限結構。其能顯示邏輯與實體權限並加以排列，NTFS 及共用權限會以反白顯示，並可選擇彙總這些權限。此外並可對檔案與資料夾加上旗標、標記和註解，可便於追蹤、分析和報告使用者、群組及資料。Varonis DatAdvantage 也會顯示可存取資料的每一名使用者及群組，以及可由任一使用者或群組存取的每一個資料夾。

完整的稽核記錄

DatAdvantage 能夠監控檔案系統上每一個檔案的操作，並將其儲存在可排序與搜尋的標準化資料庫中。其可提供每一個檔案事件的詳細資訊，能回報並提供給資料擁有者；收集資料時不需要對 Windows 原始物件進行稽核。

建議與建立模型

結合可存取資料者、詳細說明正在存取資料者的稽核記錄，以及精密的雙向叢集分析等資訊後，Varonis DatAdvantage 提供可行動的商業智慧，在不影響正常業務流程情況下，安全移除過高檔案權限與群組成員權限。 DatAdvantage 也提供在沙箱內建立模型與模擬權限變更的能力，以便在不影響生產環境的情況下進行測試。

資料擁有權辨識

由於對每一個檔案存取事件都進行了稽核，DatAdvantage 可執行使用者活動分析，有效地識別資料的企業擁有者。組織也能夠上傳資料擁有者名單，以便指派擁有者給大量的資料夾。資料存取、活動、資料夾與群組變更，以及過時資料的報告，皆會自動提供給資料擁有者，以便在資料管理流程中直接納入這些擁有者。當擁有者改變時，會複製或替換這些資料，以簡化後續的資料擁有權維護。

總結

部署 Varonis DatAdvantage 之後，許多組織皆能夠以具生產力的方式，透過實際且有效率的自動化資料控制，貫徹整個企業的資料管理。Varonis DatAdvantage 可提供正確的資料使用、合適的權限，並協助組織達成法律、財務、智慧財產以及資料隱私需求。