企業資料保護大哉問

說起來，「因為DLP無法完全滿足企業需求而有了DRM市場商機」的說法，也不完全正確。就國內市場來說，相較於DLP產品，DRM其實是更早開始發展的解決方案，顧名思義，DRM主要是用來管理各式數位文件的存取與使用權限，不僅只是針對資料進行加解密與存取權限管理，還包括像是文件存取次數等更細部的控管功能，可以實現文件付費閱讀授權等應用，作為防止資料外洩的解決方案，算是功能衍生出來的市場商機。

既然DRM能夠把資料完全鎖住，以加密的方式控管機密文件，就算資料外洩，也不用怕資料被讀取，聽起來是很完美，哪裡還有問題？

其實，和DLP一樣，同樣有產品本身先天性的限制。即使是DRM廠商也不諱言地表示，採用DRM會遇到安全與便利這種天秤兩端的老問題，當企業採用DRM保護重要資料時，便可能會有使用不便的問題。此外，DRM必須與應用程式深度結合，才能對該應用程式的資料進行加密與控管，換句話說，若企業想要保護的是客製化系統所產出的特殊格式檔案，便難以透過DRM預設功能進行管控。

不過另一方面，DRM廠商也強調，企業應該破除的迷思在於，到底有沒有這麼多不同應用程式的檔案需要受到如此嚴密的保護？由於DRM解決方案發展時間已久，對於大多數企業常見的資料格式皆已可支援，想採用DRM的企業其實大可不必對於應用程式與檔案支援限制過於焦慮。

硬碟加密、網路傳輸加密，又如何呢？

就算防堵了資料外洩可能的管道以及將資料進行加密保護，若有心人士要想將硬碟直接拔走、或商務人士的筆記型電腦遺失，又或者在「符合權限」的前提下傳送資料的過程中被竊取，這些漏洞該怎麼防？於是，開始有廠商以硬碟加密、網路傳輸加密等角度切入保護資料與防止外洩的需求。

以硬碟加密的機制來說，廠商標榜其與DRM不同之處在於，DRM提供文件多種控管功能，包括建立、使用、修改、備份、刪除、讀取次數等等，對於使用者來說，使用上的確是較為不便並缺乏彈性，而硬碟加密的方式則是僅防止遺失遭竊的情況發生，對於使用者而言，並不會影響使用行為。

然而，以國內企業市場來說，企業的習慣是防外部入侵也想防內賊外洩資料，因此相較於國外市場，台灣在硬碟加密機制的接受度相對較低。

網路傳輸加密則又是另外一個領域了，像是透過較為普遍可見的SSL VPN等網路傳輸管道加密，或者是當資料封包通過網路時須經過加密設備以進行資料加密的動作，都算是網路傳輸加密的保護方式。

不過，像這種網路傳輸加密的方式，與網路型DLP面臨相同的挑戰，即是當資料繞過企業網路而行，同樣有資料外洩的可能。

釐清資料分類、確認使用管道以訂定政策

當然，不僅只有這些解決方案可做為資料保護用途，像是資料庫加密與稽核、網路流量側錄、郵件過濾、網站過濾、防火牆、端點防護與防毒等等，廣義來說也都是與資料安全防護相關的解決方案，同樣也都具有不同的產品特性以及優缺點。

發現問題癥結了嗎？說到底，市場上並沒有一套解決方案可以完全替企業把關所有重要資料，廠商們也認清保護資料的困難與複雜性，不再像過去那樣強調單一產品的獨佔性，反而開始透過合作與併購的方式，希望能夠提供企業越多層面相互搭配的解決方案，越可在市場上佔得先機。

業者建議，與其汲汲於選購產品來因應企業保護資料與因應法規的需求，更重要的準備工作是將企業內部所有資料進行釐清與分類，區分資料重要性，並確認資料使用管道與形式之後，再來針對所須進行重點保護，例如需要常常與外部互通資料的企業，可能就不能只用DRM解決方案；較無普遍性資料保護需求，僅需針對部門或少數機密資料進行嚴密保護者，單靠DLP則可能無法符合需求；企業行動商務人士較多者，或許硬碟加密會是資料保護的好選擇。

另外，更重要的是，各家廠商都認同，企業必須訂定出資料安全相關政策，針對內部員工進行教育訓練以建立正確觀念與資料使用行為，如果沒有一套良好的安全政策讓員工依循配合，即使斥資大筆預算購入多套解決方案進行防堵保護，也難防有心人的竊取行為。（完整精彩文章詳見網管人第63期）