iThome
數位版權管理(Digital Rights Management,DRM),是眾多資料保護技術當中的一種,用來保護數位資料不被任何人所隨意使用,對於專門用來保護企業內部檔案的此一類型產品,有些人以企業數位版權管理(Enterprise Digital Rights Management,E-DRM)的新名稱,以便和保護影音資料的DRM技術有所區別,它同樣可以根據使用者身分,對於受到產品所保護的重要資料,給予不同的存取權限,及加上浮水印的版權訊息,就其屬性而言,適合保護具有流動性質的機密檔案。
DRM的產品種類及運作架構
DRM產品的種類相當多樣,除了我們這次所測試,可以單獨建置的產品外,許多知識管理(Knowledge Management,KM)、ERP,及PLM等類型的產品,都和資安廠商合作,加入DRM的功能模組,在日常控制檔案的流向之餘,也能進一步規範檔案的使用權限。
除了第3方資安廠商的產品外,也有許多DRM的方案,是由開發該種檔案格式的原廠所提供的,微軟的Rights Management Services(RMS),就是其中很具代表性的一款。
它需要另外從微軟的網站上下載,安裝在Windows Server 2003的平臺,控管使用者對於Office檔案的存取權限,而隨著Windows Server 2008的推出,RMS也做了改版,成為直接內建在Windows Server 2008的Active Directory Rights Management Services(AD RMS)。
和RMS相比,AD RMS的架設與管理比較簡單,同時,微軟也將它的用戶端程式,內建到Windows Vista、Windows 7等2種版本的作業系統,因此能直接透過Office的Information Rights Management(IRM)功能,連接AD RMS伺服器,保護重要檔案不被任何人所任意讀寫。不僅如此,微軟也將RMS/AD RMS的API提供給協力的資安廠商開發DRM產品,使之能夠保護更多的檔案格式。
就架構而言,DRM是一種主從式的檔案加密產品,因此需要架設管理伺服器,搭配安裝在電腦上的用戶端程式,才能加密檔案,及管理存取權限。
加密方式
DRM的檔案加密方式主要分為2種:一種是針對特定路徑下的檔案做自動加密;其次,則是針對使用者自行建立,或者經過修改的檔案做保護。
多數的DRM都有提供檔案備份的機制,常見的做法是在加密前,即先複製一份明文原檔,到指定的路徑下存放,以防止加密過後的檔案毀損,或者因為管理伺服器故障,而造成重要檔案的無法使用。
解密方式
至於檔案的解密流程,當使用者開啟一份受到DRM保護的加密檔案時,用戶端程式會連線到管理伺服器,要求驗證身分,然後根據結果提供解密所需的授權。而在身分的判別上,絕大多數的DRM可以整合企業現有的Windows AD,或者是屬性相同的LDAP伺服器,所以不需要另外建立使用者的名單,以方便管理。
除了內部員工,協力廠商也有可能因為業務需要,而取得其他企業的機密檔案,因此自然成為DRM的控管對象。例如,當一份設計圖需要交由廠商代為輸出時,企業可以透過DRM將其打包成專用的外部檔案,同時設定僅給予唯讀、修改,或者列印等權限。
以外部檔案的解密方式來說,最常見的做法,是在協力廠商的電腦上也安裝用戶端程式,某些DRM是提供專用的外部用戶端程式,另外,有一些產品則是安裝和內部使用者完全相同的用戶端程式;其次,則是將檔案打包成內含閱讀器、授權資料在內的執行檔,這時外部使用者的電腦上不需事先安裝任何軟體。而值得注意的是,某些DRM產品在設計上可以做到外部檔案的離線授權,也就是開啟檔案時不需要連線到管理伺服器,輸入密碼等基本的驗證資訊,就可以開啟檔案。
許多的DRM對於外部檔案的控管,可以做到僅能開啟一次,或者當權限到期後,即無法再使用,避免機密透過協力廠商的管道而外流。
DRM建置的注意事項
各家DRM的功能特色皆有不同,而根據我們詢問這次送測的幾家廠商,實際建置企業環境的經驗,在採購DRM之前的評估階段,有幾項事情值得注意,以免產品實際導入之後,才發現不敷使用。
操作方式
檔案的加、解密方式,隨著產品不同而有些許差異,而透明加、解密是最為常見的做法,當產品偵測到檔案本身有存檔的寫入動作時,就會套用權限範本,自動完成加密,而解密時,用戶端程式則會向自動向管理伺服器要求驗證,詢問檔案的使用權限,流程中完全不需使用者的手動操作,因此不會影響原有的檔案使用的方式。
對於需要臨時提升權限的使用者,DRM提供了多種做法做為因應,一是由內部使用者透過用戶端軟體提出申請,其次則是將檔案放入指定路徑自動解密,完成之後,管理者將會透過郵件等方式收到使用者解密檔案的訊息,做為日後備查之用。
產品效能
在連線使用者數量較多,或者加密檔案流量較大的環境,DRM管理伺服器的負載會比較重,為了維持檔案加、解密的效能,及防止硬體超過負載,造成服務停擺,因此建置產品時,可以考慮搭配伺服器負載平衡的網路設備,讓多臺管理伺服器可以同時提供服務,或者將產品的伺服器元件分開安裝在不同的主機上,以維持產品的運作效能。
網路架構
由於DRM的用戶端程式會透過網路,向管理伺服器詢問存取檔案的授權,及將檔案備份到指定路徑,因此對於需要保護外部駐點檔案的企業來說,應該避免將檔案透過有限的廣域網路頻寬傳輸,儘可能備份在當地的檔案伺服器,以免網路的傳輸產生壅塞。
平臺相容性
由於64位元系統的日漸普及,企業導入DRM時,最好能將平臺相容性列為考量項目之一,以iThome這次的測試結果來說,仍有一部分產品並未針對64位元的Windows環境提供支援,不過廠商表示,都已納入產品的改版排程,今年以內就會有對應的用戶端程式推出。
雖然廠商已經在型錄當中詳列了產品的相容系統清單,但是實地測試時,仍必須在內部現有的各種作業系統,都安裝DRM的用戶端程式,了解是否有可能因為與其他應用程式(例如防毒軟體)間的衝突,而導致DRM控管無法正常運作。
災難備援
DRM是檔案加密產品的一種,因此當企業在建置產品時,應該考慮是否採用多機備援的架構,以免因為管理伺服器的故障,造成所有受到保護的檔案無法使用。目前的大多數的DRM在功能上,本身就已具備Active/Standby的多機備援架構,不過一部份產品只有支援Active Standby的模式,也就是在原本提供服務的管理伺服器故障時,根據指定的IP位址,向備用的伺服器要求服務。
關於管理伺服器的復原,各家DRM所提供的做法不一,因此採購產品時,最好能針對這點進行了解;導入產品後,也必須實地演練,以便在最短時間內,讓故障的管理伺服器重新上線,提供服務。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29