iThome

我們這次一共測試6家廠商提供的產品。其中,博格BorG DRM、數位商業EZ Lock、EMC IRM、優碩TrustView DRM for UDP,及精品X-DoRM是DRM產品,至於思訊的IP-guard V+,則是具備多種功能的資安產品,但由於它本身也可以加密檔案,限制他人不能隨意使用,同時能整合Windows AD,及電腦群組等多種方式做驗證,因此也納入這次的測試範圍。

需評估加密方式是否符合使用需求

這次我們測試的大部分產品,像是博格BorG DRM、數位商業EZ Lock、優碩TrustView DRM for UDP、精品X-DoRM,及IP-guard V+等數款,都是採用透明加、解密的方式管理使用者所產出的檔案,其好處在於當產品偵測到檔案本身有寫入的動作後,即自動做加密,過程當中完全不需要任何的手動操作,以便於減少資訊部門教導使用者操作產品所造成的負擔。

對於多數的企業來說,在DRM導入之前,內部即會存在大量的現有檔案需要透過產品提供保護,因此單純監控使用者後續產出檔案的做法,勢必會有所漏洞,許多DRM對此都有提供資料夾自動加密的功能,以便於保護存放在檔案伺服器的重要資料。

而在採行這項措施之前,企業就應該先行清查重要檔案的流向,了解是否有集中存放在檔案伺服器,還是已經散落於使用者電腦,對於放置在電腦上的副本,則應由使用者提出申請,透過DRM個別加密,否則就應該刪除,避免企業當中,仍有不受DRM保護的重要資料存在。

另外,由於DRM是根據資料夾內檔案的格式,來決定加密與否,而不會就當中內容進行判別,所以對於放置在檔案伺服器的資料,就應該分類,區別出那些檔案的重要性較高,必須透過DRM提供保護,分開存放的其他檔案,則是重要性較低,或者完全不含任何機密,所以不需要加密,只要是有權限存取該資料夾的使用者,都可以自由存取。

對於重要性較低的檔案,也有像是精品X-DoRM產品,是開發專用的加密檔案類型做管理,可以僅讓電腦上裝有用戶端軟體的使用者皆擁有完全的使用權限,或者提供唯讀權限。

支援軟體種類與控管效果息息相關

軟體的支援種類,決定了DRM的適用範圍。針對微軟的Office、Adobe的PDF,及Autodesk的AutoCAD等幾套在企業內部極為常見的軟體,這次的送測產品皆能對其所產生的專屬格式提供加密;至於不支援的格式,多數產品則是需要透過客製化等由廠商修改套件的動作,才能納入支援,或者先將檔案轉成可以支援的格式後,再行加密。

不過在轉檔的過程中,原有的內容可能會因此而遭受破壞,使得內容有所改變,因此對於有意導入DRM的企業來說,建議能選購原本就有提供支援的產品,如果不能,則需視採購預算的充裕程度,決定是否以客製化的方式,來解決此一問題。

很特別的是,數位商業的EZ Lock可利用內建的工具,讓企業將原本未支援的軟體自行列入軟體的控管清單,使得軟體客製化的機率降到很低,提高了產品使用的便利性。

有鑒於在企業內部,具有權限的使用者,如部門主管,可能會利用DRM的控管盲點,也就是將原本控管中的檔案,轉檔成為不受保護的格式,就算內容可能因此而減損,但只要能夠流動出去,仍然有一定程度的價值,即使後續可以根據系統所收集的操作記錄去追蹤使用者的非法行為,但仍然緩不濟急。要強化這方面的防護,像是思訊這次所送測的IP-guard V+在功能上就做得頗仔細,就可以加密控管軟體所產生的所有檔案,讓使用者無法透過轉檔的方式外洩機密資料,而對於想要填補此一漏洞的企業來說,DLP是另外一個可行的解決方式,它可以透過過濾檔案內容的做法,阻擋使用者傳送機密資料的行為,讓重要檔案無法流出企業內部。

需注意企業網路架構能否搭配產品部署

網路架構是企業採購DRM時,另外一個需要考慮的重點。以我們這次的測試需求來說,是希望整合Windows AD的資料,提供不同的使用授權,而在同一部門,僅有加密檔案的建立者,及主管等階級較高的使用者才有存取權限,而其他人則僅有唯讀權限。

像是博格的BorG DRM,由於本身是一款運作在微軟RMS、AD RMS架構上的產品,因此和Windows AD這類的微軟服務自然有比較緊密的整合,設定加密時,可以先對部門內的所有人給予基本的唯讀權限,再以例外清單的方式,讓特定的其他網域使用者有較高等級的權限。另外,精品的X-DoRM和Windows AD間,也有很不錯的整合度,當它的管理伺服器和Windows AD建立連線後,就可以直接同步資料,除了使用者帳號外,也包含原有的群組,及組織元件,基本上不需要其他的手動設定,後續的管理方式也很簡單。

以一般企業建立Windows AD的做法來說,透過網路傳送帳號、密碼的方式,是有可能從中側錄的,所以像是EMC的IRM在FIPS規範的要求下,限定管理伺服器僅能透過TLS的加密通道連接Windows AD,或者其他型式的LDAP伺服器。不僅如此,它還可以整合RSA的SecurID這類型的一次性密碼裝置,做第2層的身分認證機制,完整確認使用者的真實身分後,才會提供權限,而優碩的DRM產品也具備類似功能,除了一次性密碼裝置這類的PKI設施外,也能整合指紋辨識,做為驗證來源。

由於DRM是一種主從式架構的資安產品,安裝在電腦的用戶端程式需透過網路與管理伺服器連線,對於協力廠商這類的外部使用者來說,可能必須安裝專用的用戶端軟體,或者包裝成含檔案、閱讀器,及授權憑證在內的執行檔,才能開啟DRM加密過後的檔案。而部分產品在設計上,並沒有另外區分專用的用戶端程式,這時就必須透過VPN,或者修改防火牆的NAT設定,使得在外部環境的電腦可以穿透進來,連接內部網路的管理伺服器,需視企業的需求,及實際環境來決定採用何者。

除了網路架構的安全性,這次大多數測試的產品都具備檔案備份的功能,目的是在管理伺服器,或者是檔案毀損時,仍然擁有一份可以使用的早期版本,使得進行中的工作不致完全中斷。以精品的X-DoRM來說,產品本身的備份設定相當彈性,除了可以僅備份最初版本的密文檔案外,也可以隨著檔案的修改而做覆蓋,或者另存成不同版本的檔案。另外,像是思訊的IP-guard V+也具備類似功能,不過它是將檔案備份在資料庫當中,而非管理伺服器本機,或者是某個共享資料夾,廠商認為,這樣的設計可以預防具備檔案伺服器存取權限的人直接盜取檔案,而且備份起來的檔案是解密前的版本,可以更進一步對機密資料做保護。

應留意產品的備援機制

備援機制是我們這次對於DRM的評估重點。以我們這次測試的產品來說,主要的做法有2種,一種是Active/Standby,另外一種則是整合L4交換器,或者是負載平衡器的網路設備,讓多臺管理伺服器可以同時提供服務。

許多DRM將權限範本,或者是金鑰等重要資料儲存在資料庫裡,因此資料庫伺服器的架構,也是備援的重點之一。大多數的產品皆可以支援MSDE、SQL Server 2005/2008 Express一類的免費資料庫,好處是可以減少企業建置環境的所需費用,但它們在資料庫檔案大小,及伺服器規格等項目皆有所限制,同時也不提供多機同步資料的功能,因此對於採購預算許可的企業來說,當系統正式上線後,仍應以付費版本的資料庫搭配產品運作。

 

我們如何測試DRM

我們在一臺雙路2.8GHz Xeon處理器、4GB記憶體的伺服器,以VMware虛擬機器的型式架設了Windows Server 2003主機2臺,分別做為Windows AD,及DRM產品的管理伺服器,另外,還有一臺Windows XP SP3版本的虛擬機器,用來做為DRM的用戶端。

用來測試加密的軟體為微軟的Office 2003,藉由加、解密的過程,測試產品的功能。

對於各家的送測產品,我們設計了3個共通的評測項目,首先是用戶端軟體的支援平臺與功能;其次是在整合Windows AD的環境下,如何在同一個部門內,對於一份加密檔案做出不同權限的管理;最後一點,則是測試產品的備援機制。

 


相關報導請參考「6款DRM產品採購大特輯」

熱門新聞

Advertisement