現代化企業仰賴資訊系統提升日常營運效率,所產生的各種財務報表、合約書、技術文件與品質管理文件等,皆需訂定文件等級,規範其存取程序與辦法,以便進行標準化管理,讓高機密性的文件得以落實安全控管不致外流。
對此,一般企業常見採用檔案伺服器來集中保管,並依據部門別配置分享資料夾存取權限。至於較敏感的文件或研發資料,則是予以加密存放在特定的電腦中,只有少數人才擁有存取權限。
儘管依資料夾權限配置或直接加密,皆可限制機密檔案存取行為,但其實並不足夠,精品科技資安顧問許祐福指出,要達到有效管理,不單只是限制存取,還必須掌握這些文件到底被誰存取過,及其流向。而數位版權管理(Digital Rights Management,DRM)方案具備的加密、認證、授權、稽核等機制,即可協助達到文件安全管控。
營業秘密法加重責任
過去企業之所以會導入DRM解決方案來協助文件控管,許祐福觀察,多數是為了因應營業秘密法規範,而今年初開始實施的營業秘密法修正案,更加重洩密者的刑責,相對也考驗企業控管與舉證能力。
由於近年來機密資料外洩至對岸的事件頻傳,為了嚇阻此狀況持續發生,政府能協助國內企業的方式,就是制定更嚴格的法律,甚至加重資料外洩至國外的刑責,最高可處十年有期徒刑併科五千萬罰鍰,刑度相當於刑法中的重傷害罪,堪稱不輕。也因此,許祐福指出,「除非企業有能力證明遭洩資料符合營業秘密法的三要件——秘密性、經濟性或價值性、已採取合理保密措施,皆提出強而有力的舉證,法官才敢依法判定。」
此三要件中,秘密性的認定是該外洩資料並非同業皆知,也就是具有非公知性。接下來就是企業必須為此提出其經濟性或價值性的證明,例如下一代的手機設計圖,具非公知性,且萬一遺失將會影響企業該年度營收。然而,最有爭議性的部分,當屬「是否已採取合理保密措施」的認定。
其實不管紙本或電子檔,企業若認為文件至關重要,勢必會制定保密措施,不致任何人皆可傳閱,甚至謹慎控制文件流向,也就是掌握擁有權限存取者的行為紀錄,並且明確告知違反資安政策的行為。例如智慧型手機皆有拍照功能,公司若沒有明文規定機密文件不得拍照,在法律上等於公司接受、默認、允許這個動作發生,所以必須在公司管理規章中明文禁止可能會有資料外洩疑慮的行為。
至於協助控管的工具,主要作用是在提醒員工存取行為,例如浮水印的機制,不僅在開啟機密資料時會自動加註版權宣告,列印成紙本時也會有浮水印提醒。即使採取合理保密措施,企業仍無法完全防堵資料外洩事件的發生,至少要告知員工或上下游廠商哪些行為不被允許,若未善盡告知責任,則可能會被法官認定為默許,最終敗訴。「不只仰賴新修訂的營業秘密法嚇阻非法行為,同時須搭配企業的管理責任才得以生效。」許祐福強調。
明密文混合彈性開啟
除了法規遵循外,以柔資訊經理許瑞愷觀察導入文件控管方案的客戶,則多數是擁有研發、製程或管理技術能力,一旦外洩恐會影響企業長期競爭力,才會願意投入資源建置控管機制。
就市場上可提供的文件控管方案來看,中華數位產品策略處產品經理吳毅勛亦指出,大致會區分成以辦公室文件或以工程圖檔為標的。之所以會有此區隔,主要是兩者採用不同實作技術,由於工程圖檔開啟檔案的同時,底層會再呼叫其他檔案,擔心掛一漏萬之下,乾脆直接從系統驅動層(Kernel mode)執行加密機制,因此通常形成整台電腦中的辦公室文件與工程圖檔全數加密,且權限無法區分;至於較著重辦公室文件且可賦予檔案獨立權限的加密方式,則是在應用層(User mode)執行控管,像是優碩資訊(TrustView)、精品科技、中華數位所自主研發的DRM皆屬此類。
儘管針對工程圖檔做「強加密」,嚴謹程度較高,相對卻犧牲文件流通的便利性;而辦公室文件經常需要流通,必須要兼顧便利性,因此較難滿足工程圖檔的管控需求。對此許瑞愷表示,以柔資訊原以驅動層技術為主的D-Security版本,去年更新版已具備跨足至應用層控管的能力。
他進一步提到,由於近年來客戶時常反應,保護特定工程圖檔的解決方案,都是整機加密,即使是收到來自客戶提供的明文圖檔,開啟後關閉亦自動上鎖。如此雖可確保安全無虞,但研發人員平日需匯出工程圖檔,提供Word格式的產品規格檔供業務部參考以便報價,因此業務部也需要安裝加解密程式才得以開啟。但是在整機加密下,業務人員開立的報價單勢必也會被加密,必須先行解密再發送郵件給客戶,如此不具彈性的文件控管模式,實務上IT人員會面臨使用者反彈的壓力。
因此D-Security持續研發應用層的技術,如今更新版已可提供業務人員可開啟加密文件,但無法進行複製、貼上、修改等額外動作,同時直接新增明文報價單,也就是具備明文與密文同時開啟的能力。「從底層去攔截I/O,又要同時辨識檔案來源並不容易,除非擴及應用層,兩者搭配下,才能夠達到彈性控管的目的。」許瑞愷強調。
雲端與行動化挑戰
行動裝置的普及與Dropbox等雲端應用模式為多數人所接受,對文件控管方案廠商而言,既是挑戰,也是商機。吳毅勛即指出,以往文件控管都是做在桌面端,如今透過Dropbox,把文件帶到雲端,且同步到各種行動裝置上,文件控管將會變得很複雜,新需求相對就會帶來新商機。
優碩資訊技術行銷部資深經理解忠翰亦認為,不論文件控管機制實作的技術為何,對於經常必須跟合作夥伴或廠商之間交換檔案的企業而言,重點在於文件即使離開安全管轄區域以外,仍舊要具有安全機制。對此,優碩資訊甫推出的TrustBox 2.0,將文件經過裝箱、打包、上鎖,三個步驟即可在安全無虞之下對外流通。
文件控管解決方案,本就以檔案安全為主要發展核心,以往著重於檔案伺服器中所存放的文件安全,更進一步將擴展到行動裝置、雲端儲存環境,才得以跟得上現代企業應用環境。