漫談資料外洩防護趨勢-01

當我們拜訪新竹科學園區的公司、或軍方單位時，常常被要求不能攜帶照明手機，或者得在筆記型電腦的USB連接埠上貼上封條等，之所以會有這些防護機制，是因為重大資料外洩事件不斷發生，公司只好使出各種方式防護研發、業務、財務等機密文件。

不過，這與我現在要討論的DLP有何關聯性？事實上，無論是上述的「硬體式」防護，或者是我接下來要談論的「檔案管理(File Protection)、周邊管理(I/O Protection)、網路管理(LAN Protection)」，皆屬於DLP的範疇。

就我的觀察，截至今日，DLP的技術發展雖然有不少的進展與突破，但仍不出以下三種類型：

第一，檔案控管（File Protection）：透過控管檔案本身避免資料外洩，如將機密文件加密。

第二，周邊控管（I/O Protection）：控管周邊硬體，這指限制或紀錄輸出入與儲存裝置等的使用狀況，以防範機密文件透過USB等周邊硬體外洩。

第三，網路控管（Lan Protection）：控管網路，透過限制、側錄，或記錄藉由網路傳佈的email、MSN、Skype、http、ftp等作業，防範機密文件透過網路而外洩。

這三者有何不同，且待我道來。

檔案控管（File Protection）的發展趨勢

當前的檔案控管模式有二，一種是僅能用來防護文件使用者外洩機密文件的「數位版權管理（Digital Rights Management，DRM）」機制，另外一種是可以同時防護文件作者與文件使用者的「即時讀寫加解密」機制。

1、數位版權管理

無論是前幾年較常被市場討論的數位版權管理（DRM）、或企業版的數位版權管理（Enterprise Digital Rights Management，E-DRM），皆起源於微軟在2004年大力炒作該議題（那些未引進台灣市場的外商產品先不看）。

微軟為炒做該市場，除針對終端應用軟體與伺服器作業系統推出相對應的產品，如Office IRM（Information Rights Management）與Windows RMS（Rights Management Services）等，鑑於協同工作日趨普及，微軟亦於其的企業入口網站產品上，整合上述的DRM產品，讓企業員工可以加密透過該企業入口網站上下