文/精品科技 技術服務部 資深資安系統工程師 黃粮皓
企業有內部資訊安全需求,想要導入防止內部機密資料外洩的工具,在導入內部資訊安全產品所遇到的問題有很多,其中反應最多的問題是下列兩項:
- 要購買哪一種產品才適合公司的需求?
- 產品購買以後要如何導入呢?
Point 1:確認控管範圍,才能找到合用產品
首先企業需要先瞭解公司要保護的資料有哪些?範圍在哪裡?我們必需將要保護的資料的範圍給確定出來,比如公司內要保護的資料有營業部裡的『會員個人資料』;因為營業部門的『會員個人資料』只允許相關人員或業務等相關部門可以查看或修改,所以我們需要的是將『會員個人資料』的檔案給加密起來讓其它不相干部門的人員,拿不到這份資料,或拿到這些文件也無法開啟?是否這樣就可以做到防止資料外洩的保護了呢?
因此公司普遍針對要保護的文件有以下需求:
- 公司要防範的就是人員『無心或有意』將『會員個人資料』以Mail寄出、隨身碟攜出、上傳到網路硬碟…等,各種方法都會因為檔案被加密而無法開啟。
- 顧慮到『會員個人資料』還是會有給外部廠商,如印刷廠製做廣告型錄的需求,又不希望將原始『會員個人資料』給廠商(怕廠商外流)。
- 不希望改變使用者的操作習慣,最好可以不改變現在的使用狀況,透明式加解密文件。
- 要有詳細的文件使用記錄。
- 可以強制將文件加密保護。
- 加密的內容,無權限者無法開啟或使用。
- 文件可以集中統一控管。
精品科技用這樣的想法設計出X-DoRM這套DRM 產品的主要功能,也因此當我們將要保護的文件範圍定義出來後,該使用哪種工具來保護其實就很清楚了。
當選定X-DoRM 為保護企業『機密資料』的工具時,又會產生一個疑問,這套產品是否適用於我們公司的網路環境?
Point 2:良好的網路架構整合AD更方便
X-DoRM是一套Client-Server架構的產品,用戶端必需安裝一X-DoRM Agent於用戶端電腦中,X-DoRM Server與X-DoRM Client只要隸屬於同一區域網路底下即可讓功能正常運作,至於有分公司的企業,只要總公司與分公司之間有VPN專線,總公司與分公司將會被視為同一區域網路,管理人員在總公司即可對分公司的電腦做控管。
當然導入X-DoRM我們最建議的身份認證方式就是使用Active Directory(AD)與X-DoRM進行整合達到身份認證的目的。X-DoRM是以使用者是否對X-DoRM 的加密文件有權限,當一份被X-DoRM加密的文件,其文件權限內容是:【User A:唯讀】、【User B:列印】、【User C:修改】,當User A拿到該文件打開後發現只能唯讀,其實後面的運作原理即是使用AD帳號來辯識使用者的身份,當Agent偵測到登入Windows的使用者身份是『User A』,對這份加密的文件即會給予該給的權限,所以也就是User A拿到該文件只能打開唯讀而已。
X-DoRM與AD整合的好處不僅是身份認證而已,當公司內部有人員部門調動,X-DoRM也可以很方便快速的讓異動的人員檢視或修改異動後的部門文件。舉個例子:小強屬於業務部,小明屬於營業部,基本上兩個部門的文件無法互相閱讀或修改,當IT人員在AD裡將小強調到營業部,小明調到業務部,X-DoRM可以馬上和AD同步,本來小強只能開啟業務部的文件,部門調動後變成小強無法開啟業務部的文件,但是可以開啟營業部的文件。
Point 3:資安產品的導入步驟
在導入資安產品之前,IT人員通常都會先試用看看,產品的操作介面友不友善、細項功能有沒有符合需求等等,等找到符合企業所需的產品後接下來就是導入該產品的時候了。導入資安產品可以用以下步驟來執行,以下用X-DoRM舉例:
- Plan (規劃)
– 制定文件使用政策、管理辦法
要保護的文件範圍定訂出來後,接下來要制定文件使用政策,比如,
營業部的文件政策:
-
- 所有人員Word、Excel存檔時,就強制加密。
- 加密的文件只有營業部門所屬的人員可以修改,業務部門的人員可以唯讀。
- 營業部門人員對文件加密的同時,X-DoRM 會自動將這份文件複製到File Server 做備份。
類似上述的文件使用政策制定出來後,我們還要制定管理辦法,舉例來說,一、選出「文件稽核人員」,被加密的文件需要有一位稽核人員做定期文件使用稽核。接著要選出「文件管理員」(可由部門主管擔當,避免MIS人員可存取機密資料)來管理這些加密文件,若有使用者要將加密的文件解密,也可以透過文件管理員來幫忙審核解密,X-DoRM系統針對文件管理員這個功能提供了:文件管理員可只管理自己部門的人員文件,當然也可以設定管理員可管理多個部門的文件,達到靈活彈性的管理。
- Do (實施)
– 導入工具、訓練人員,依政策進行保護
導入X-DoRM來做為保護公司機密文件的工具,首先就是要對所選出來的文件管理人員進行教育訓練,教導他們如何操作這一套工具,可先準備一個測試環境讓其熟悉進而再進入正式的管理文件環境。
當然一般文件的使用者也需要做少許的教育訓練,雖然X-DoRM的加密方式是採用透明式加解密,並不會改變使用者的習慣,但還是需要教導使用者如何查看自己對被加密的文件權限屬於哪一個等級,所以教育訓練是讓整個導入計畫可否成功的關鍵。
- Check (檢討)
– 觀察分析成效,稽核作業
X-DoRM一開始導入多少會遇到使用者不習慣的問題,或是使用上的問題,此時可以從使用者反應的問題來找出是否有需要改進的地方,是否控管政策不合理?文件管理員對於文件的管理是否不周嚴?這些都是我們需要檢討改進的。
- Action (處置)
– 修正改進,再次循環
有需要改進的政策再檢討,經過修正,讓整個運作繼續下去,其實資安產品導入的困難點,有時不是產品的問題而是使用者是否配合的問題,因此好的、理想的管理政策讓管理者及使用者能夠用的方便又顧慮到文件的安全就考驗著規劃制定者的能力了。
成功的導入資安系統,需要公司高階主管的推動,整合各個部門的工作習慣,並規劃流程;建立完整企業資安,必須全員動起來才能。