善用数码版权管理 强化文件加密及控管
企业数据因为包含了大量的业务数据、客户信息等商业秘密,如果不慎外泄,不仅可能遭逢个资法的处罚,甚至可能让企业营运暴露在不确定的风险下。虽然企业会设法防堵各种数据外泄管道,但根据Verizon Business 2009年度数据外泄调查报告可以发现,绝大多数的数据外泄,其实是人为疏失(67%)所造成,其他可能导致数据外泄的因素还包括黑客入侵(64%)、恶意软件(38%)、特权滥用(22% )及实体攻击(9%),企业可说是防不胜防。
优硕信息科技指出,网安目前最重要的课题,不只是在于防堵机密外泄,而是在于如何能有效防堵因为人的管理因素,所产生的机密外泄问题。新时代的防护机制必需要作到保护原始档案本身(Data centric),以目前多种防止数据外泄DLP(Data Leak Prevention)技术,只有数码版权管理(Digital Rights Management;DRM),才能真正做到直接保护档案本身,符合新时代防止数据外泄防护机制的目标。
利用DRM文件加密及控管
DRM过去主要是运用在遏止影音内容盗拷,近年来则被视为保全机密文件的有效解决方案。其原理是对文件与邮件等数码档案进行统一的版权管理,包括修改、存取、传递等权限控管,以防止机密文件遭非法打印、复制、邮件转寄及屏幕浏览等。
优硕信息科技认为,一套用以DRM为主的电子数据外泄防护系统,除了基本的档案加解密保护(Autocrypt)外,还必须要有三个管控机制,进行数码资产的防护。
首先是认证(Authentication)。人员的身份认证与文件的使用权限息息相关,为了确保机密文件的使用是在对的人身上,所以必须确认合法使用者的身份。 并可结合PKI、指纹识别等系统加强认证。
其次是授权(Authorization)。授予机密文件合法使用者开启文件后的使用行为权限控管,如:复制、打印、修改、另存新档、及阅读有效期间。
最后则是稽核(Auditing)。加密文件的使用过程将会留下记录,包括开档、存档、复制、打印、及违规行为等动作,产生报表供稽核人员检查,协助企业进行内稽内控。
DRM不只要安全 还要有弹性
优硕信息科技指出,从协助客户导入DRM系统的经验中发现,使用者端的需求经常变动,无论是加密文件的政策修订或是跨部门的文件交换,还有人员异动等,都会让IT人员疲于应付。系统的稳定性、安全性与可用性,原本对使用者来说,就已经是理所当然的,而在加密文件控管方面,是否具备弹性,更成为使用者所重视的首要条件。
如中华映管在导入DRM解决方案时,考量点就包括系统维运与操作上对于管理者来说是否便利、稽核信息是否能报表化、是否具备光电同业与其他国内大型企业的成功案例、是否能提供完整的中、英、日语系支持等。
中华映管指出,与过去用PDF的做法相比,DRM能提供更安全且可靠的加密机制,解决管理者担心新版本Reader对旧文件的安全控制,也让开发者不必疲于奔命补救安全功能。此外,透过DRM也增加更多使用权限,包括阅读、打印、修改内容、复制内容、另存为未加密档、离线阅读等控管,还提供详细的文件存取历程,利于事后稽查。
跨企业分享数据要注意
事实上,只是防止数据外泄,是不够的。因为,许多企业都会碰到跨企业的文件交换分享需求,机密文件其实很难避免流动性,往往会不断的被交流、被传承、被使用、被修正,当知识分享已是无可避免时,如何将文件安控的保护机制,延展到公司外部,已是势在必行。
由于DRM可以做到,让正确的人,在正确的时间地点,开启正确的文件内容,并且对其做正确的行为。并不会因为文件所在的位置而有所改变,因此更是文件分享需求的重要保护机制。
文件分享机制,最主要的挑战就是认证。企业除了可以为外部的协力厂商建构专用的认证服务器,以方便厂商在外部开启加密文件,或是严格限制协力厂商能够开启文件的地点。
但这种做法,其实与现今的移动设备潮流背道而驰,因此厂商也应考虑离线保护机制。离线文件的认证,一样要有双重保护机制:帐号口令与硬件凭证。每家DRM厂商针对硬件凭证的做法不尽相同,与指纹识别、Token、硬件信息(MAC、硬盘空间信息)做整合皆是加强安全的方案。
外发出去的机密文件,权限必然会有些许的改变,如打印次数、阅读次数与可阅读时段,都可有效控管机密文件的生命周期。此外,为了让协力厂商在必要时可以打开过期文件,提供延展凭证,让文件延展期限的功能有其必要,如果对方完全没有网络可用的情形,甚至可以用一段延展授权码来达到延展目的。
让分享者安心分享 让使用者便利使用
根据Forrester Research 2010 Market Overview的报告指出,DRM未来发展趋势将朝广度进行发展,一是以搭配文管、知识管理、EIP、流程签核等AP系统,加强系统上的机密文件管控,并搭配既有系统上的帐号、权限、流程三方面进行深度结合,在不改变企业内部使用环境下提升机密文件的安全性,进而降低机密文件外泄风险。
另一项趋势则是结合DLP(数据外泄防护)机制,加强企业内部数据外泄防护机制,让DRM弹性权限保护机制,保护需要交换分享的文件,而内部机密文件则可使用DLP机制做保护防止数据外泄。由此可知,身处网安防护益显重要的今日,DRM机密文件防护机制,不管在现在还是未来,都是企业在防治数据外泄舞台上不可缺少的角色。让分享者安心分享,让使用者便利使用,更将会是DRM产品未来发展的重点与趋势。