PCZONE 討論區 - 觀看單一文章 - 【求助】受管理軟體
主題: 【求助】受管理軟體
觀看單一文章
tw2005
會員
有關 [受管理軟體], 這報導應更貼切些 (有示意圖哦),
http://www.dsc.com.tw/newspaper/67/67-1.htm

機密文件資料控管的新發展


資訊安全的新潮流-內容安全

  網際網路成為資訊的基本架構之後,資訊系統建置以及網路系統的使用成為各單位運作之必要條件。然而資訊系統及網路系統的開放性,也造成安全威脅的風險大量增加,資訊安全的議題,成為最新的顯學。然而,在面對層出不窮的網路安全的事件、以及日益增多的解決方案之後,企業漸漸地將現在焦點往未來集中,注意到另一隱憂和新焦點,那就是內容安全。

  內容安全與網路安全的最大差異,在網路安全注重於解決網路層的安全威脅,目標在隔絕非法使用者取得合法使用權限,以達系統營運作業正常﹔而內容安全則在於應用程式層的控管稽核,目標在確保數位資產之保全。此兩者,皆為達成遂行資訊管理策略落實、確保系統營運正常和資訊保全。簡言之,網路安全著重非法使用者的控管,而內容安全著重合法使用者的控管。

  那麼合法使用者的控管目標為何?基本目標應是讓合法使用者做合法、正確的事,比如:不在上班時間濫收發廣告信件、不上不適當網站、不使用不合法或未經授權的軟體 …等,更重要的目標是防止內部洩密事件,確保數位資產不外洩,避免造成企業的傷害。

  因此為確保內部機密和重要資料不外洩,進行資料控管成為首要目標。重要機密資料在確保內部讀取權限後,尚需控管內部合法資料使用者不能進行非法行為而將資料外洩。從數年來洩密事件分析,洩密者皆是合法資料取得,而將資料外洩,造成傷害,其最大根源,在於企業不曾控管合法使用者的非法行為。

發行後的文件控管 IRM、DRM

  目前談到內容安全,數位資產保全,則有 IRM(Intelligent Right Management)與DRM(Digital Right Management)兩系統,其目標皆在保護內部數位資產防止洩密。基本上,由於檔案格式眾多,而IRM、DRM系統,僅針對特殊檔案格式進行保護,例如PDF、Office…等,控管使用者是否可以進行閱讀、複製、列印、螢幕擷取等權限,以避免使用者進行資料擷取與外洩行為。

  然而,由於格式的限制及管控目標的遂行, IRM、DRM系統,限制使用者的讀取權限,但若使用者開啟這些PDF、Office檔案後,仍擁有修改、複製的權限,則仍無法進行規範保護,使用者仍可將複製後的資料,以另外檔案存放進行外洩動作。

  由於這樣的侷限,因此 IRM、DRM的特性,最適合文件管理中的「發行後文件」,亦即文件一但發行,文件使用者只能進行讀取動作,並無需修改。IRM、DRM系統大力針對各單位文件管控中心(DCC, Document Controlling Center)以及DCC系統,進行導入及整合。

發行中、發行前文件控管的困難處

  既有「發行後文件控管」,則應該也要進行「發行中、發行前的文件控管」,方能完成更完整的管控措施與風險管理。然而,「發行中、發行前的文件」,使用者對資料的處理,是需要對文件進行編輯、修改、甚至轉換格式,譬如,將純文字檔案,匯至 Excel中,或是使用VB開啟純文字程式原始碼…,使用者將資料進行轉換的動作,而讓資料脫離原來文件控管的標的物 -- 原資料檔案。

  這也就是目前文件控管的困難處,使用者使用資料,必須具有最大權限及使用資料各種模式,此時又希望同時進行管控,此兩個目標是互相矛盾的。因為既然控管資料使用,就要改變使用資料的權限或使用行為,若不改變,就沒有控管的可能性。

  這樣的議題,一直困擾著各單位,譬如,研發資料,若不進行控管,則研發人員在將資料送到 DCC文管中心前,就有可能把資料帶走。又如,資料庫管理員DBA,需要管理資料庫,但若不進行管控,則資料庫內容,可能會被DBA匯出後帶走。然而如果為了防止,則一經管控,使用者就無法使用這些資料,就無法完成工作所需,導致工作無法順利進行。

新的解決方向

  國內外已有廠商、學者試圖在 IRM、DRM等發行後文件控管角度外,使用別的方式或技術,進行發行中、發行前文件控管目標的達成。

  資料編輯管理使用者由於對資料的絕對權限,而進行外洩動作,才會導致洩密事件發生。若能把資料使用場所,侷限或集中在某個地方,使用者無法將資料帶走,雖其仍具資料絕對處理權限,而防洩的目標就已達到,同時也不會對資料使用權限,有任何妨害或改變。



  如此集中控管的策略,國外已有廠商推廣類似 RCM(Remote Connection Management)的產品,而國內相關產品卻少之又少。而此集中控管策略的基本架構,是使用Thin-Client架構,以達到資料使用者不改變資料權限及使用模式,加上對Thin-Client前後端的客製化,達到使用者集中侷限在主機上,無法將資料攜出洩密。以這樣的方式,進行管控動作,同時RCM廠商還提供不同模組,以便快速導入企業或整合到各種DCC、KM、EIP、WorkFlow系統中,以便保護這些系統中需要讀取或編輯檔案的行為。

結語

  既然發行中、發行前的文件控管, RCM廠商是使用Thin-Client架構進行技術上實做,原有Thin-Client的產品可不可以做得到呢?根據我們實際比較,原有Thin-Client的產品是可以達到部分功能,但RCM產品能夠管控及防止的事項更多,同時也依照客戶需求,提供整合模組以及各種客製化,更符合各種需求滿足。

  目前尚無一種最好的方法或手段,能一次解決各種洩密問題。唯有了解、確認內部需求,訂定優先管控的檔案、資料、流程或系統,才能得到立竿見影的效果。畢竟,資訊系統的使用以及各種未知的問題,仍會層出不窮,產品只是工具之一,只有落實資訊管理及內部管理,才是較好的解決之道!

回覆