您怎麼落實資料外洩防護？

2則回應

當我們拜訪新竹科學園區的公司、或軍方單位時，常常被要求不能攜帶照明手機，或者得在筆記型電腦的USB連接埠上貼上封條等，之所以會有這些防護機制，是因為重大資料外洩事件不斷發生，公司只好使出各種方式防護研發、業務、財務等機密文件。

不過，這與我現在要討論的DLP有何關聯性？事實上，無論是上述的「硬體式」防護，或者是我接下來要談論的「檔案管理(File Protection)、周邊管理(I/O Protection)、網路管理(LAN Protection)」，皆屬於DLP的範疇。

就我的觀察，截至今日，DLP的技術發展雖然有不少的進展與突破，但仍不出以下三種類型：

第一，檔案控管（File Protection）：透過控管檔案本身避免資料外洩，如將機密文件加密。

第二，周邊控管（I/O Protection）：控管周邊硬體，這指限制或紀錄輸出入與儲存裝置等的使用狀況，以防範機密文件透過USB等周邊硬體外洩。

第三，網路控管（Lan Protection）：控管網路，透過限制、側錄，或記錄藉由網路傳佈的email、MSN、Skype、http、ftp等作業，防範機密文件透過網路而外洩。

這三者有何不同，且待我道來。

檔案控管（File Protection）的發展趨勢

當前的檔案控管模式有二，一種是僅能用來防護文件使用者外洩機密文件的「數位版權管理（Digital Rights Management，DRM）」機制，另外一種是可以同時防護文件作者與文件使用者的「即時讀寫加解密」機制。

1、數位版權管理

無論是前幾年較常被市場討論的數位版權管理（DRM）、或企業版的數位版權管理（Enterprise Digital Rights Management，E-DRM），皆起源於微軟在2004年大力炒作該議題（那些未引進台灣市場的外商產品先不看）。

微軟為炒做該市場，除針對終端應用軟體與伺服器作業系統推出相對應的產品，如Office IRM（Information Rights Management）與Windows RMS（Rights Management Services）等，鑑於協同工作日趨普及，微軟亦於其的企業入口網站產品上，整合上述的DRM產品，讓企業員工可以加密透過該企業入口網站上下載的文件。

DRM的賣點是，即使企業員工不慎將受到DRM機制保護的機密文件轉給他人時，其亦無法開啟。

理由是，開啟該文件時，「必須連線到授權伺服器取得授權，才可以開啟文件」，基於此，企業無須擔心機密文件會因有心人士的不法手段而外洩。

不過，自微軟推出RMS以來，僅只有微軟的文書系統（Office System）架構在RMS上，其他應用軟體業者都未支援RMS。

企業如欲將其他種應用軟體的文件整合至DRM機制中，代表該企業的資訊人員必須透過外掛程式將每一個應用軟體（每一個版本）及欲限制的功能整合至DRM機制中，其間過程相當費時費力，事實上，即使做得出來，也可能出現未控制到的安全漏洞。

因此，我認為DRM僅適用於以Microsoft Office與Arobat PDF呈現的文件檔案。

另外值得一提的是，DRM技術防範的對象是文件檔案的使用者，而非作者，如文件的作者可以將開啟的機密文件的畫面複製到email或其他檔案等，因此，需要一套可以防護作者外洩機密資料的防護工具，在這個狀況下，出現所謂的即時讀寫加解密產品。（未完，請按下一頁繼續）