因應市場法規,以及離職員工多會順手牽羊的帶走公司機密資料等多種因素,企業愈來愈重視資料外洩防護(DLP)。只不過,以實體隔離等傳統方式避免機密資料外洩可能還不夠。因為,該種作法極易引起員工反彈,進而導致其罷用該類系統工具。
讓我們先來看看傳統的資料外洩防護是怎麼做的。
講到資料外洩防護,企業多習慣以週邊控管(I/O Protection)與網路控管(Lan Protection)等兩種方式將電腦週邊裝置與網際網路實體隔離起來,常見的狀況如企業隔離內網與外網的連結,並且發放兩台電腦(一台用做內網、一台用做外網)給員工,要求其以外網電腦上網、收發電子郵件,至於研發等機密資料的儲存工作則是在內網電腦執行。而且,為防止企業核心資產外洩,企業多半還會透過各種手法限制員工在內網電腦上使用USB裝置。
確實,實體隔離內網電腦與外網電腦的作法是防堵資料外洩的好方法,但因該種作法導致內網與外網資料不互通,因而產生以下問題:首先是員工因該種作法會改變其的電腦使用習慣,以及犧牲電腦的部分使用功能,因而產生怨聲載道、甚至是開始鑽小漏洞、或者是罷用。
再來是,由於員工無法在內網電腦以外的地方處理工作,且不可能將內網電腦帶回家,因此,其可能會設法透過各種手法將研發等機密資料暫存於內網電腦以外的裝置,而這往往也是導致防護線出現漏洞的關鍵。
資料外洩防護軟體的五大瓶頸
既然以實體隔離的方式防堵資料外洩有著諸多的不變,那為何仍有不少企業選擇該模式?根據筆者的觀察,這與坊間的資料外洩防護軟體有五大瓶頸有關:
第一,無法防範「創作者」外洩機密文件。舉例來說,文件的創作者(或者擁有編輯權限的使用者)可逕自將內容複製到電子郵件裡,並將之轉發出去。
第二,可保護的檔案格式有限。由於該類產品多半僅只能保護以Microsoft Office、Acrobat PDF等檔案格式呈現的憟韝漁e,因此,企業資訊人員必須為每一個應用軟體(每一個版本)開發一個特定的plug-in外掛程式。
第三,需要改變使用者的習慣。譬如文件創作者必需手動設定權限,文件才會受保護。
第四,需要犧牲電腦的使用功能。這指限制儲存裝置、輸入出裝置、網路、Email、MSN等的使用功能,如限制使用者不得透過USB隨身碟與MSN傳送檔案等。
第五,需要改變管理的制度。這指企業得要因應資料防護機制制定對應的權限政策、文件分級,以及將該產品整併至其他資訊系統中。
突破之道
依據筆者的經驗,可以Windows作業系統核心驅動層(Windows kernel-mode driver)的即時讀寫加解密技術解決保護的檔案格式有限這個問題。
由於即時讀寫加解密技術是直接運行於Windows作業系統的核心,因此,其除可接管檔案系統,自動識別所有待保護的檔案格式文件外,還能在使用者讀寫文件時自動進行串流(streaming)即時加解密工作,意即在使用者儲存文件時自動加密,並於開啟時自動解密。
簡言之,機密資料是以密文形式儲存在硬碟機等儲存設備上,當有權限的企業員工需要讀寫該加密文件時,系統會於開啟時進行解密,讓其以明文形式讀取該加密文件的資料。
「即時讀寫加解密」技術讓用戶在操作過程中,不改變對文件的開啟或關閉習慣,不改變檔案名稱,不須額外操作,整個加密與解密的操作過程都是系統自動完成的。
新一代資料外洩防護方式
相對於將週邊裝置、網際網路實體隔離的傳統資料外洩防護機制,筆者以為,新一代資料外洩防護機制是基於「不改變使用者工作習慣」、「不犧牲電腦的使用功能」以及「不需改變管理制度」等三個原則下衍生出來的自動防護機密文件(可支援所有檔案格式」的作法。
新一代資料外洩防護方式之於企業究竟有何意義?答案是可助企業輕鬆解決機密文件創作者在創作過程中無心(或者是有意)的洩漏資料的問題。
以遊戲產業為例,所謂的機密文件創作者是視覺設計師、音效/視訊設計師,以及程式工程師等遊戲研發人員。為避免其於工作之餘不慎外洩機密資料,最好的作法是控制其所使用的設計軟體,並且在其儲存創作資料時加密成密文的檔案格式,而非由其手動操作。
當視覺設計工程師以Adobe Photoshop、Autodesk 3DS Max等動畫繪製軟體創作出設計原型,以及音效與視訊設計工程師以音訊與視訊製作軟體產製出mp3與.avi等檔案格式的創作文件時,資料外洩防護軟體可以自動於其儲存該文件時加密,並且於其開啟時解密。
資料外洩防護軟體光只能做到自動加解密還不夠,還得能對照版本管理工具進行即時加解密工作。理由在於,協同工作是極為平常的應用,是故,為確保企業加解密的機密資料是最即時且正確的,資料外洩防護軟體應能支援版本管理工具。
當程式設計工程師以Microsoft Visual C++、Visual Studio等程式開發軟體設計出可用來控制2D、3D、動畫、音訊、視訊的程式原始碼時,資料外洩防護軟體可於其儲存該程式碼時自動加密,並且於開啟時自動解密。
同樣以遊戲產業的程式設計工程師為例,若該公司採購的資料外洩防護軟體能與控管程式原始碼的版本管理軟體整合在一起,那麼,當程式設計工程師將程式原始碼檔案上傳至版本管理軟體時,資料外洩防護軟體除會依照工程師上傳與下載的版本差異進行比對外,還會自動於檔案上傳時加密,以及檔案下載時解密。
至於2D、3D與動畫等原始設計圖檔以及音訊與視訊等檔案的狀況也一樣,系統會在儲存時自動加密成加密型態的檔案格式,其後,也只能在研發環境才能開啟使用(開啟時自動解密成未加密型態的檔案格式)。
另外,該軟體也可限定工程師不可將開啟的文件資料複製到其他應用軟體裡、或者是列印與儲存成其他檔案格式。事實上,由於該軟體可支援各種檔案格式的加解密工作,因此,就算員工真的不慎(或有心)外洩上述機密資料,其也無法開啟該文件。
還困在實體隔離的資料外洩防護模式嗎?
