本次電子報探討了不同型態的數位資產保護方式,所以本期將會介紹不同數位資料保護產品。
一、數位版權管理(DRM Digital right management)
文件安控管理系統(Authentica SecureOffice/SecurePDF),是一套建構於其專利的ARM主動式權限控管(Active Rights management)的電子文件權限中央控管系統。其獨特的加密、權限控管系統架構,文件管理者或寄件者,將可完全掌控電子郵件附件、文件檔案被使用的權限無論其是否在內部流通或者已經對外發佈您都能隨時掌握,調整並稽核其使用狀況。OfficeSecure/PageRecall運用Authentica的ARM專利技術來確保數位文件傳遞發行出去後的安全機制。身為數位文件發行者,您可以隨時動態決定每一份數位文件的發行權限。您可以控制如下:誰可以閱讀該數位文件? 可以閱讀哪幾頁?
1. 何時、何地、何段時間區間可以打開該數位文件?
2. 數位文件是否可以被"印表"、"拷貝"、"複製/貼上"、"有效轉寄"?
3. 針對每頁數位文件設定不同的安全存取權限,不同人僅被授權存取不同頁面的內容。
4. 隨時"召回(Recall)"該數位文件所有安全存取權限,無論該電子文件儲存在何種儲存媒介(軟碟/光碟/行動碟/資料庫…)。
5. 完整稽核與紀錄該數位文件被存取的各種被允許的行為與紀錄:誰何時何地看了哪些文件?作了哪些行為?
產品特色:
|
說明
|
禁絕機密文件濫用
|
防止敏感而有價的數位文件內容未經授權的複製與轉寄或列印或者螢幕拷貝(PrintScreen)。
|
集中式權限控管
|
無論文件被複製到何種儲存媒介,均能提供集中式文件存取權限控制。
|
自動化的安控金鑰管理機制
|
所有安控金鑰與權限設定檔均自動化儲存於安控伺服器上,您毋需煩惱一籮筐的後續管理問題,更避免了文件存取金鑰交換等等繁複的連線處理程序。 同時安控伺服器Policy Server 僅儲存加密金鑰,並不需儲存「敏感文件」落實ISMS 責任分離以及異地儲存的資訊安全策略。
|
支援離線存取
|
加密文件雖然一致要求連回安控伺服器以利控管權限,但PageRecall 仍能支援離線存取,以利郵件閱覽者在特殊情況下斷線之後仍能保有正常之存取權限。並可設定離線租用時限(lease),一旦用戶再度連線,使用歷程記錄仍能完整回存安控伺服器中。
|
完備的存取控制能力
|
文件管理者可決定誰可以存取加密文件,以及加密後文件何時可以被閱覽。甚至加密文件能在何處被讀取或列印。也可以進一步設定文件詳細的使用期限,以確保文件內容的時效性。
|
可自由選用身分認證模式
|
OfficeSecure/PageRecall 提供多樣化的身份認證設定方式。包括Guest Access,它可讓文件在不要求閱覽者身份認證下,仍能進行後續安全控管的加密動作。以確保日後隨時修改權限的機會,以保障文件安控範圍的完整性。
|
動態且即時性的權限管理
|
文件管理者可以隨時調整/改變加密文件的權限設定,您完全毋需理會文件複本是否需要更新權限的問題,一旦使用者再度開啟此份加密文件,修訂過的使用權限將立即生效,以決定其是否有權使用以及相關限制。
|
數位文件存取過程稽核追蹤
|
SecureOffice/PageRecall 安控伺服器上提供加密文件完整的記錄(log),包括從文件管理者到最後閱覽者的使用過程都一併涵蓋。甚至連線成功或存取失敗的記錄都一一在列。文件管理者能鉅細靡遺地檢視文件被開啟的過程記錄:包括何時被列印;閱覽等等。有利於文件安控之後的稽核追蹤處理。
|
系統需求:
作業系統(PolicyServer)
|
Windows NT /2000 Server (500 Mhz CPU, 256MB RAM, and 10GB HDD 以上) Sun SPARC Solaris 2.6 or 7 (Ultra SPARC-II with 400 MHz, 512MB RAM, and 10 GB HDD以上)
|
作業系統 (Authentica Client)
|
Windows 95/98/NT/2000/XP
|
SecureOffice and SecurePDF
|
Microsoft Office 2000/XP/2003 Adobe Acrobat Reader 5.0, 6.0 or 7.0
|
資料庫(Database)
|
Microsoft SQL Server Oracle version 8.15 and 8.17 or 9i
|
支援認證方式
|
RSA SecurID version 4.x and 5.x LDAP version 3.0 (MS AD 2000 Server and iPlanet Directory Server 6.x)支援自然人憑證, Netscape Certificate Server , Microsoft Certificate Server 1.0, VeriSign, Entrust ,GTE Cyber trust , Baltimore Technologies, and RSA Security Keon 5.0 等CA機制 Windows NT Domain authentication
|
二、個人端資料保護(IP Guard)
IP-guard是在企業網路內監視和記錄各台電腦的全面使用情況的工具。它具有強大的螢幕快照、網路管理、即時跟蹤、運行統計、歷史歸檔,設備管理及控制等功能。IP-guard 根據需要自動截取工作站的螢幕快照、應用程式運行和瀏覽互連網的情況,記錄用戶在電腦上的各項操作並能對指定的操作進行限制。這樣,IP-guard 可以讓您隨時瞭解您公司電腦用戶的資源利用情況,從而保證企業的資訊安全,提高生產效率。
IP-guard產品特色:
1. 保護您核心業務的知識產權
在IP-guard的幫助下,您可以隨時對區域網絡的各電腦工作站螢幕畫面作全程監控。您更可記錄電腦螢幕畫面,以便日後查看。如下圖所示:
2. 按規定約束用戶使用電腦
按規定阻止各電腦工作站執行指定應用程式和瀏覽指定網站,以確保公司規定被嚴格執行。
3. 記錄檔案操作
記錄各電腦工作站的檔案操作,記錄機密檔案被非法操作的證據。
4. 防止機密資料外洩
禁用電腦工作站移動存儲設備介面,防止員工通過移動存儲設備竊取公司機密資料。
5. 客觀評估員工工作質量
您可以輕易地利用IP-guard追溯並且重播螢幕歷史畫面。這除了有助評估員工服務質量,在出現問題時,更可協助調查並追溯證據。
6. 推動策略性的資源計劃
IP Guard可以提供每台電腦的使用歷史記錄,例如網站瀏覽報告和應用程式執行報告。從而使您可以制訂一項策略性的電腦資源運用計劃,作更有效的資源分配。
7. 提供有效的軟硬體資產管理
有了IP-guard,企業的技術人員不用走到工作站,亦可查看所有各地辦公室的電腦軟硬體配置。
8. 限制使用者之權限
為提供系統安全,每個授權監察之使用者均須以獨立密碼登入系統,而且不同的使用者會被授予不同程度的監察權限。
9. 方便遙控管理跨國辦公室
即使您企業的辦公室分散在全球各地,IP-guard仍能助您有效監督與遙控生產流程,以及資訊交換過程。
10. 備有數據加密程序
IP-guard Agent跟IP-guard Server的數據傳輸,均用64-Bit的資訊加密標準(DES)進行加密,以加強保護企業資訊。
11. 節約成本的解決方案
IP-guard可應用在任何桌面電腦以至網絡系統上,您無須提昇或更換現有之系統設備,從而減低投資成本。
系統要求
作業系統:Microsoft Windows 95 OSR 2/98/ME/NT4/2000/XP
最低配置:處理器 32-bit Pentium 266MHz
硬碟空間:需要10MB的可用硬碟空間
網路卡:10/100 MB 網路介面卡
區域網絡介面: TCP/IP 通訊協定
三、檔案隔離(DOFS)
DOFS(display only file system)提供了一種"顯示存取,實體隔離”的文檔存取專利技術。從而保證即使是具有足夠許可權的內部員工也無法獲得機密檔案內容的任何位元組。不僅如此,DOFS 在防止資訊竊取的同時,既不會影響用戶的工作習慣,也不會要求企業現有的IT 結構做出任何的改變。DOFS 設計上的關鍵技術是應用程式的透明化遠端執行。這種技術將任何對DOFS 上檔案存取請求轉送到DOFS 伺服器上面的應用程式去執行,然後再將執行結果的圖形介面傳送回用戶的電腦,從而保證任何檔案一旦被存入DOFS 檔案伺服器,該文檔內容的任何位元組就再也無法離開DOFS 伺服器。與此同時,用戶仍然可以正常存取保存在DOFS伺服器上的檔案,就如同存取本地端檔案一樣。DOFS整個的架構及所使用的技術,如下圖所示:
產品特色:1. 檔案一旦被存入DOFS 伺服器,該檔案再也無法離開DOFS 伺服器。
2. 經過授權的用戶可以開啟、流覽、複製、剪貼及編輯修改保存在DOFS 伺服器上的檔案,就如同存取用戶端的檔案一樣。
3. DOFS 可以與作業系統提供的用戶身份認證和檔案存取控制協同工作,從而簡化DOFS 自身的操作和配置要求。
4. 為防止機密檔案被用戶以copy & paste 文書編輯功能複製到用戶端的電腦,DOFS只允許單向的剪貼板操作。檔案資料可以從DOFS 用戶端傳到DOFS 伺服器,但反向傳送則被禁止。
5. 每當用戶存取檔案時,用戶端電腦上的螢幕輸出 (screen dump) 功能,及各種螢幕輸出記錄 (screen recording) 軟體都被禁止運行。
6. DOFS 伺服器上檔案的重要存取操作,例如存入,輸出,列印,郵件寄送等等,都被寫入日誌並進行監控。其運作的原理與Terminal server類似但不同的差異如下表所示:
系統需求:
作業系統(伺服器端)
|
MS Windows 2K,Server 或Advanced Server Edition; MS Windows Server 2003,Standard 或 Enterprise Edition
|
應用程式
|
用於存取檔案的應用程式,例如(MS Office,Adobe,等等)。
|
作業系統戰(用戶端)
|
MS Windows NT 4.0/2K/XP/Server 2003
|
四、文件安全控管嚴謹
1. 保護檔案格式範圍
TrsutView DRM for Office、PDF、ProE、AutoCAD。
2. 文件安全控管權限範圍
文件安全控管下列文件使用權限:可防止複製 / 貼上、防止列印、防止修改、防止另存未加密檔、離線閱讀、閱讀期限(天數)、無帳號離線閱讀。
3. 防止抓圖功能程式擷取螢幕畫面資料。
4. 文件政策的制訂方式
TrustView提供有三種文件政策的制定方式,讓文件管理員可以達到保密政策分級 / 分組權限控管的目的。
 個別制訂政策: 可設定對所有帳號使用者個別設定使用權限,也可針對不同群組及個人設定不同權限。
無帳號離線閱讀: 任何人均可開啟文件,不需有登入TrustView的帳號,只需安裝Office Client Agent後即可在被允許的期限內開啟文件,開啟後只能唯讀或列印。
選擇文件政策範本: 選擇以事先定義好的政策範本作為文件的權限,可以根據不同的群組設定不同權限。若政策範本內容日後有所更動,之前套用此範本的所有文件將會適用新的範本權限。
5. 文件動態權限設定(Dynamic Policy Mapping;DPM)
Dynamic Policy Mapping (DPM)技術能動態即時針對每一個文件建立起group-based policy,而不需套用政策範本,在文管流程上可隨時動態修改每份文件的群組權限而無須管理者事先設定範本,真正能夠做到全自動化無人管理的地步。強大的TrustView權限解析引擎能分析同時隸屬於多個群組的使用者權限,讓同時隸屬於多個專案群組的使用者也能順利獲得正確的文件閱讀權限。
6. 文件回收
即使文件已經被拷貝或到他人手上之後,仍可透過線上機制改變文件使用政策或甚至回收該文件。一旦文件管理人員透過系統管理者界面(ACM)使用文件回收功能,即使實體文件仍在,但使用者權限已被回收,仍無法開啟文件。
7. 使用先進RSA 256-bit AES加密技術
TrustView 獲得授權使用業界最先進的RSA 256-bit AES加密引擎。AES加密技術是獲得多項國際認證且最受肯定的世界級加密機制,是新一代的主要加密標準,且AES兼具速度快,消耗運算資源少等多重優勢,其破解困難度在學理上較競爭對手使用的微軟 RC4 或 Triple-DES 加密演算法困難上兆倍 。
8. 文件災難復原機制
TrustView系統的文件加密流程,除了可以保障文件安全之外,更有災難復原的強大功能。rustView的緊急復原金鑰,可分散給不同管理者保管,以降低人員洩密風險。只要妥善保存緊急復原的三組金鑰,即使不幸發生TrustServer及資料庫全毀的情況,TrustView的災難復原機制,仍可以將TrustServer與資料庫重建,讓機密文件不受損毀,仍然可以安全地被閱讀使用AES加密技術。
因此在TrustView系統運作時產生兩組金鑰;公鑰及私鑰,這兩組金鑰都是以檔案格式存放,平時系統管理者應該妥善保存備份這幾組鑰匙,如果不幸發生TrustServer及資料庫全毀的情況,可將存放的公鑰帶回TrustView原廠,原廠將根據客戶所提供的公鑰產生一組災難復原鑰匙,客戶使用這組災難復原鑰匙和私鑰,將可把已加密保護過文件,還原到原本未加密的狀態。
TrsutView系統應用整合多元
1. 帳號系統模組支援Single Sign On功能(選購模組)
TrustView 的LDAP帳號整合模組支援LDAP 3,可以與企業機構內現有的Microsoft AD或Lotus Notes帳號系統整合Single Sign On,達到使用者透通(Transparent)的境界,因為Single Sign On功能在使用者開啟Office 或PDF程式時,TrustView系統自動將使用者帳號連線登錄到系統上,即使閱讀TrustView保護文件,使用者開啟加密文件時不需再登錄一次帳號密碼,原來使用文件習慣不變。
2. Authentication模組支援多家PKI廠商認證機制(選購模組)
採取TrustView UAPI(Universal Authentication Plug-In)介面,可彈性整合各類認證方式,除一般帳號密碼認證,其他如 PKI 方式或者指紋辨識等等認證,亦可輕易地與 TrustView 系統整合。
3. 提供帳號整合、權限整合及流程整合API(選購模組)
企業機構內既有或即將導入各種KM / 文管 / 公文 / Notes / PLM系統,但是考慮到文件管理機制上的安全漏洞,通常都是附件文件控管功能不足,無法針對文件本身做有效的權限控管,因此TrustView提供豐富的API功能整合文件管理機制,尤其在帳號整合、權限整合及流程整合上,全方位的提供客戶及合作夥伴文件安控的最佳解決方案。
4. File Server自動加密模組(選購模組)
針對File Server上的目錄,File Server自動加密模組會根據預先設定,自動針對不同檔案夾套用不同權限,對檔案進行保護,自動加密。並具有作業系統的檔案通知機制,自動地定時檢查是否有尚未加密的檔案,不需毫無效率地固定檢查所有檔案,增加系統效率。若有,則系統會將該檔案自動加密,所有從File Server上拿走文件的人,必須依照此文件的權限來使用該文件。
5. 浮水印功能模組(選購模組)
可提供動態浮水印功能,將特定圖案(例如公司LOGO)、使用者帳號或閱讀時間等資料,以指定的位置,依據不同的使用者資料,使用浮水印方式出現在螢幕畫面和列印資料上。
TrustView Agent系統需求如下表:
TrustView Agent系統需求
|
*Microsoft Windows 2000以上
*Microsoft Office SR-1a, XP SP3, 2003 SP1
*Adobe Acrobat Standard/Professional 5.0-7.0(加密)
*Adobe Acrobat Reader 5.1-7.0(閱讀)
Pro/Engineer版本需求:Wildfire2.0以上
|
TrustServer:
*Microsoft Windows 2000 Server SP2
*Microsoft Windows 2003 Standard Edition
*RedHat Linux v9.0
|
建議硬體配備(100 User)
|
*Intel Pentium 4 at 2GHz or Sun UltraSPARC III at 1.2GHz
*1CPU/1GB of RAM
*Hard Drive 20GB(含系統及資料)
|
Database
|
*Oracle 8i/9i/10g on Windows 2000/2003 Server, Solaris 9 or RedHat 9
*Microsoft SQL Server 2000 SP3 on Windows 2000 SP2/2003 Server
|
| 
沒有留言:
張貼留言