在網路下載、上傳大容量檔案時間越來越短、行動設備儲存容量越來越大,企業的經營者務必要意識到『機密敏感的文件是否容易外流』,尤其是高科技業者對於此項議題應該早有防範及準備,但是對於尚未意識到的企業面對如此迅速變遷的科技該如何因應,我想大部分沒有經驗或不了解的企業可以透過系統經銷商的介紹,或者自行上網查詢應該都可以查到相關的產品,在我們常對客戶進行產品介紹時,往往發現客戶無法分辨『DLP』與『DRM』的差異,因此特別針對此議題解釋說明,DLP全名為資料外洩防護(Data Loss Prevention)DLP產品又分為多種,比如閘道型DLP、內容感知型DLP、端點型DLP,本文將以端點型DLP為主要說明對象。
端點型DLP的選擇
端點型DLP顧名思義就是每台要保護的電腦都要安裝一個防護程式,受保護的電腦透過政策設定防止機敏文件透過電腦的各種管道外洩出去,若是文件合法寫出也需要有詳細的記錄來佐證,下列項目將會是DLP主要的工作:
- 電腦本機文件寫出管道防護
使用者可透過隨身碟、印表機、外接硬碟、藍芽設備、讀卡機、智慧手機…等多種可以把檔案寫出的方式把文件帶出,此項功能可防止資料被任意寫出,需要有寫出權限的使用者才可寫出檔案。
- 詳實的文件寫出、操作記錄
當使用者有合法權限寫出檔案到隨身碟,DLP系統會同步記錄寫出檔案的細節,所謂詳細的記錄必須包括人、事、時、地、物五種必須資訊,例如:A使用者【人】在某台電腦IP為"192.168.1.169"【地】把檔案"規格書.doc"【物】從D碟寫出到【事】隨身碟E:\時間為"2019/5/3 10:47"【時】,有了詳實記錄除了可供日後稽核,有些DLP甚至可提供檔案寫出時同時備份被寫出的實體檔案【物】,以利達到最詳盡的記錄內容。
- 網路防護
企業網路一定分為兩種,對外網路採用防火牆等設備協助防護,對內網路除了防毒軟體外,DLP亦提供相當的防護,除了傳統的Email、FTP、網頁上傳外,大容量儲存網路空間或軟體、各種IM、雲端硬碟、IG、FB等都會是文件外洩的管道,如何在不影響使用者工作,又可達到防止透過網際網路把機敏文件上傳外洩,DLP透過控管政策可禁止上傳、禁止進入特定雲端空間,記錄上傳檔案…等,對內網路以台灣目前Windows市占率為86%來看,大部分企業內部網路都採用網路芳鄰功能在內部傳輸檔案,防止文件透過網路芳鄰外洩也是DLP的重點功能之一,除了能夠防堵檔案外洩外,也需要有詳實的網路芳鄰資料軌跡記錄。
以上只是端點DLP基本功能,整合型的DLP甚至還擁有更多防護項目可選擇,若選擇端點DLP來當成防堵內部洩密的工具,就必須每台端點電腦都安裝此DLP程式,除了可以防止機密資料外洩也可了解員工電腦使用狀況透過報表可得知員工檔案寫出頻繁程度、員工上網時間統計、軟體使用時間統計…等多種記錄,透過這些輔助記錄可當作內部管理的參考依據。
DRM的選擇
DRM 是Digital Rights Management的縮寫,中文名稱為數位版權管理是目前市面上常見的資料保護技術之一,目的是保護數位資料不被任何人任意使用,白話說明就是把數位資料(例如電腦裡的檔案)透過加密演算法給加密起來,只有擁有檔案權限的人或設備才能開啟閱讀或修改,沒有權限的人或設備則無法開啟該數位資料,不同屬性企業想要保護的機密文件不盡相同,有的機密文件只有研發單位使用,有的機密文件是報價單,有的是客戶資料,對比『端點DLP』所有電腦都需要安裝程式控管,DRM則可針對想要防護的部門進行DRM系統導入即可,不需全部部門都導入,可達到節省金錢、時間讓保護機密文件的任務可以快速達成。
DRM特性
目前市面上常見的企業用DRM主要以Client-Server架構為主,與端點DLP一樣都需要在受保護電腦安裝DRM,專用控管程式透過管理員下達控管指令,達到防護效果,DRM相關特性如下:
- 賦予防護的數位資料權限,依據使用者的身分不同拿到同樣一份文件可以使用的結果也不同,例如A使用者拿到該文件可以編輯存檔,B使用者拿到該文件只能唯讀,C使用者拿到該文件無法開啟文件,好處就是即使檔案外洩也無法開啟。
- 賦予防護的數位資料進階功能,例如:列印是否加浮水印、開啟文件是否顯示螢幕浮水印、加密文件可否複製內容貼到未加密文件裡,這些都是在基本功能之上衍生出的方便性。
結論
DLP:
- 主要在防止資料透過電腦各管道外洩,並提供詳細資料流軌跡及使用者電腦行為記錄。
- 導入DLP建議全面性導入可達到全面性的防護。
DRM:
- 主要把檔案直接加密,沒有權限就無法開啟,即使檔案外洩也無法被開啟
- 導入DRM可只針對單一部門或人員,導入範圍較DLP彈性。
無論選擇何種產品還是要先知道公司的防護目標為何,若能在一開始就知道要防護的部門、單位在評估產品時才有方向可以依循。