善用數位版權管理 強化文件加密及控管 智慧應用 影音
EVmember
Event

善用數位版權管理 強化文件加密及控管

  • DIGITIMES企劃

企業資料因為包含了大量的業務資料、客戶資訊等商業秘密,如果不慎外洩,不僅可能遭逢個資法的處罰,甚至可能讓企業營運暴露在不確定的風險下。雖然企業會設法防堵各種資料外洩管道,但根據Verizon Business 2009年度資料外洩調查報告可以發現,絕大多數的資料外洩,其實是人為疏失(67%)所造成,其他可能導致資料外洩的因素還包括駭客入侵(64%)、惡意軟體(38%)、特權濫用(22% )及實體攻擊(9%),企業可說是防不勝防。

優碩資訊科技指出,資安目前最重要的課題,不只是在於防堵機密外洩,而是在於如何能有效防堵因為人的管理因素,所產生的機密外洩問題。新世代的防護機制必需要作到保護原始檔案本身(Data centric),以目前多種防止資料外洩DLP(Data Leak Prevention)技術,只有數位版權管理(Digital Rights Management;DRM),才能真正做到直接保護檔案本身,符合新世代防止資料外洩防護機制的目標。

文件加密及控管,要做到讓分享者安心分享 讓使用者便利使用。DIGITIMES攝

文件加密及控管,要做到讓分享者安心分享 讓使用者便利使用。DIGITIMES攝

利用DRM文件加密及控管

DRM過去主要是運用在遏止影音內容盜拷,近年來則被視為保全機密文件的有效解決方案。其原理是對文件與郵件等數位檔案進行統一的版權管理,包括修改、存取、傳遞等權限控管,以防止機密文件遭非法列印、複製、郵件轉寄及螢幕瀏覽等。

優碩資訊科技認為,一套用以DRM為主的電子資料外洩防護系統,除了基本的檔案加解密保護(Autocrypt)外,還必須要有三個管控機制,進行數位資產的防護。

首先是認證(Authentication)。人員的身分認證與文件的使用權限息息相關,為了確保機密文件的使用是在對的人身上,所以必須確認合法使用者的身分。 並可結合PKI、指紋辨識等系統加強認證。

其次是授權(Authorization)。授予機密文件合法使用者開啟文件後的使用行為權限控管,如:複製、列印、修改、另存新檔、及閱讀有效期間。

最後則是稽核(Auditing)。加密文件的使用過程將會留下記錄,包括開檔、存檔、複製、列印、及違規行為等動作,產生報表供稽核人員檢查,協助企業進行內稽內控。

DRM不只要安全 還要有彈性

優碩資訊科技指出,從協助客戶導入DRM系統的經驗中發現,使用者端的需求經常變動,無論是加密文件的政策修訂或是跨部門的文件交換,還有人員異動等,都會讓IT人員疲於應付。系統的穩定性、安全性與可用性,原本對使用者來說,就已經是理所當然的,而在加密文件控管方面,是否具備彈性,更成為使用者所重視的首要條件。

如中華映管在導入DRM解決方案時,考量點就包括系統維運與操作上對於管理者來說是否便利、稽核資訊是否能報表化、是否具備光電同業與其他國內大型企業的成功案例、是否能提供完整的中、英、日語系支援等。

中華映管指出,與過去用PDF的做法相比,DRM能提供更安全且可靠的加密機制,解決管理者擔心新版本Reader對舊文件的安全控制,也讓開發者不必疲於奔命補救安全功能。此外,透過DRM也增加更多使用權限,包括閱讀、列印、修改內容、複製內容、另存為未加密檔、離線閱讀等控管,還提供詳細的文件存取歷程,利於事後稽查。

跨企業分享資料要注意

事實上,只是防止資料外洩,是不夠的。因為,許多企業都會碰到跨企業的文件交換分享需求,機密文件其實很難避免流動性,往往會不斷的被交流、被傳承、被使用、被修正,當知識分享已是無可避免時,如何將文件安控的保護機制,延展到公司外部,已是勢在必行。

由於DRM可以做到,讓正確的人,在正確的時間地點,開啟正確的文件內容,並且對其做正確的行為。並不會因為文件所在的位置而有所改變,因此更是文件分享需求的重要保護機制。

文件分享機制,最主要的挑戰就是認證。企業除了可以為外部的協力廠商建構專用的認證伺服器,以方便廠商在外部開啟加密文件,或是嚴格限制協力廠商能夠開啟文件的地點。

但這種做法,其實與現今的行動裝置潮流背道而馳,因此廠商也應考慮離線保護機制。離線文件的認證,一樣要有雙重保護機制:帳號密碼與硬體憑證。每家DRM廠商針對硬體憑證的做法不盡相同,與指紋辨識、Token、硬體資訊(MAC、硬碟空間資訊)做整合皆是加強安全的方案。

外發出去的機密文件,權限必然會有些許的改變,如列印次數、閱讀次數與可閱讀時段,都可有效控管機密文件的生命週期。此外,為了讓協力廠商在必要時可以打開過期文件,提供延展憑證,讓文件延展期限的功能有其必要,如果對方完全沒有網路可用的情形,甚至可以用一段延展授權碼來達到延展目的。

讓分享者安心分享 讓使用者便利使用

根據Forrester Research 2010 Market Overview的報告指出,DRM未來發展趨勢將朝廣度進行發展,一是以搭配文管、知識管理、EIP、流程簽核等AP系統,加強系統上的機密文件管控,並搭配既有系統上的帳號、權限、流程三方面進行深度結合,在不改變企業內部使用環境下提升機密文件的安全性,進而降低機密文件外洩風險。

另一項趨勢則是結合DLP(資料外洩防護)機制,加強企業內部資料外洩防護機制,讓DRM彈性權限保護機制,保護需要交換分享的文件,而內部機密文件則可使用DLP機制做保護防止資料外洩。由此可知,身處資安防護益顯重要的今日,DRM機密文件防護機制,不管在現在還是未來,都是企業在防治資料外洩舞台上不可缺少的角色。讓分享者安心分享,讓使用者便利使用,更將會是DRM產品未來發展的重點與趨勢。