由於DRM不適合保護Microsoft Office與Arobat PDF外的文件檔案,也無法防範文件作者盜取該資料,因此,標榜可在機密文件儲存時,自動進行加密、開啟時自動解密的「即時讀寫加解密」技術順勢崛起。
「即時讀寫加解密」技術的門檻很高,必須在驅動層(driver layer)設計kernel-mode driver程式,直接運行於Windows等作業系統的核心(kernel)中,接管檔案系統。
圖為即時讀寫加解密產品的技術門檻極高。
「即時讀寫加解密」技術上的門檻之所以會這麼高,是為了要確保該機制不會造成用戶電腦不穩定,甚至毀損檔案等情況發生。
透過即時讀寫加解密產品,企業不需限制儲存裝置、輸入出裝置、網路、Email與MSN等的使用功能,因為檔案在儲存時,即處於加密狀態,當然,即便該文件檔案外洩了,也無法開啟。
另外,有的即時讀寫加解密產品,會限制保護文件格式的數量,有的產品則無該問題;若企業採購的事後者,那意味著企業資訊人員可以透過「自行增加」等方式,保護「所有」應用軟體的文件檔案,不需額外花金錢與時間找原廠解決。
周邊控管(I/O Protection)的發展趨勢
當企業未採購可加解密機密文件的檔案控管產品時,可以透過圍堵周邊裝置的方式,確保內部機密文件是被妥善且安全的保護,不會透過周邊裝置外洩出去,這種作法,即是我所謂的周邊控管。
做法是,由中央控管所有終端電腦的儲存裝置,以及USB隨身碟、外接硬碟、燒錄機、或印表機等輸出入裝置,限制上述的周邊裝置是禁用、或僅可讀不可寫等狀態;此外,有些產品的作法是,當終端電腦使用者將資料複製到USB隨身碟、或燒錄到光碟機時,系統會自動進行資料加密等保護動作。
使用上述的周邊控管產品時,必須特別注意到,該產品是否可以圍堵到每一種儲存裝置、輸入出裝置,若答案為「非」,那些遭遺漏的周邊裝置即可能成為企業的安全隱憂。
事實上,我認為周邊控管產品是種違反人性的產品,試想,當企業員工因工作所需而得在硬碟空間嚴重不足的終端電腦上外接硬碟以維持作業時,上述的周邊控管產品卻加以阻饒,該名企業員工該怎麼辦?因此,我認為所謂的周邊控管產品,只是DLP技術未成熟時的過渡產物,當DLP技術日趨成熟,周邊控管產品必將慘遭市場淘汰。
網路控管(Lan Protection)的發展趨勢
網路控管產品與周邊控管產品的概念相似,是透過側錄、監控、記錄,或限制藉由網路流通的未加密文件檔案的方式,落實資料外洩防護。
常見的產品功能有二,一種是針對網路或郵件伺服器進行側錄等動作;另外一種做法是,事先分析機密文件的特徵,再限制機密文件可否透過網路、儲存裝置與輸出入裝置進行傳輸分享,或者是記錄存取該機密文件的使用者記錄等。
我個人認為,網路控管產品僅適用於事後稽核,甚難即時防堵機密文件洩密,不過,若是單純用在側錄、監控、記錄那些透過網路傳佈的資料一途,倒是一個不錯的產品。
本次,僅就我的所見所聞,與讀者分享我觀察到的DLP為何,下一次,我將進一步分享,成功導入DLP的關鍵因素,以及幾個常見的DLP迷思。
沒有留言:
張貼留言