編輯部
加密與 DRM 都是威力強大的預防性控制機制,但是在企業環境中,真實的情況卻讓這些機制難以掌控。另一方面,DLP 主要是針對完整部署需求所設計,可用於評估風險並判斷是否可採行其他矯正措施。大部分企業都發現,使用 DLP 可省下許多成本,對於保護機密資訊方面也成效卓著。此外,DLP 能夠強化現有的加密與 DRM 部署並擴大其範圍與提高其有效性。
DLP 適用於任何希望根據集中的政策來搜尋、分類及保護網路、儲存伺服器及端點上機密內容的組織。藉由瞭解機密資訊的儲存位置與被使用的方式,幾乎所有的組織均可使用 DLP 來降低不做資料管理的安全風險,比起其他的安全控管措施,例如加密或 DRM 來說更具效率。以下讓我們了解一些這些防止資料外洩的技術、其利用時機及需注意之處。
本文目錄
金鑰加/解密
檔案與資料夾加密指的是在某些資料上進行處理,使其變成無法讀取;使用者必須擁有正確的金鑰才能解密讀取。電子加密相當於堅不可摧的保險箱,一旦將資料放在裡面,就必須透過正確的密碼才能解開防護。與保險箱不同的是,使用者可以針對加密過的資料與金鑰進行無限量的複製。加密機制能夠在資料移動時提供絕佳的保護(實體或虛擬環境皆然),而且能預防管理員窺視其中的資料;一旦使用者將資料解密,所有的防護都會一併消失。但是使用者必須針對儲存設備中的資料進行手動加密,其適用範圍包括媒體、檔案/資料夾、資料庫,或是應用程式層級。
但是如果授權使用者存取該檔案,則加密機制便形同失效。如果將內容複製並貼上另一個文件中,並以電子郵件方式寄送,則該內容會完全公開出來。檔案與資料夾加密也需要手動處理。由於加密工具無法瞭解內容,因此使用者需要手動加密資料,或是依據儲存內容自動加密。如果將資料儲存在桌上型電腦,而不是受保護的目錄中,則該檔案會完全公開。因為這些限制的緣故,只有少部分企業組織會在所有筆記型電腦或是少量的電子郵件之外部署加密機制。此時可以採用 DLP 自動化的針對內容防護來擴充加密範圍及提昇安全性。
數位權限管理 (DRM)
DRM 結合了加密與詮釋資料 (metadata),詮釋資料定義了存取資料以及允許/不允許怎麼使用這些資料。它就像一個跟隨著資料移動的保鏢,能夠準確的決定資料的存取與使用方式。這些權限包括讀取、變更、剪貼、以電子郵件寄送、複製、移動、儲存至可攜式/外接式儲存裝置,以及列印等動作。雖然 DRM 功能非常強大,但是卻不容易大規模的部署實施。
DRM 需要與企業應用程式進行緊密的整合(所有會使用這些檔案的任何程式如文字處理程式都需要加以擴充,以便這些程式瞭解 DRM 並存取檔案。管理者必須瞭解那些權限適用於何種內容的使用者)這樣的複雜程度常使得員工忽略 DRM,並導致專案失敗而未能改善安全性。如同加密一樣,企業在套用權限時必須依賴人為的判斷,因為 DRM 工具並沒有瞭解內容的功能。通常只有受過高度訓練的小型工作群組使用者才能成功部署 DRM 。由於存在此種複雜性,大型企業一般並不適合部署 DRM 。但如同加密一般,企業同樣可以透過 DLP 管控,並讓 DRM 運用於其適用的特定群組,以消除 DRM 不易廣泛部署及需要手動流程的阻礙。
……未完(更多內容請參閱網路資訊雜誌 2009 年 5 月號 210 期)