產品特寫

DLP 與 DRM 的差異與選擇(上)

朱峯詰 朱峯詰

公司每天都會產生數以萬計且儲存在使用者電腦、檔案伺服器、雲端等不同位置的機敏文件或資訊。針對文件的資安管理,公司需慎防員工離職竊取資訊到第三方,或透過與上下游廠商交換訊息時洩漏機密資訊的內部威脅;也需避免違反個人資料保護法、GDPR 等資訊保密法規的約束。

公司 CIO(Chief Information Officer,資訊長)或資訊單位負責人通常在面對機敏資料的保護會優先考慮 DLP(Data Loss Prevention,資料外洩防護)與 DRM(Digital Right Management,數位版權管理)技術。而資通 ARES PP DRM 文件加密系統從源頭加密,保護機敏文件安全且協助符合法規,防止公司產生重大損失,是文件保護的最佳夥伴。

接下來馬上帶您瞭解一下 DLP 與 DRM 技術是如何防止資料外洩以及它們有什麼差異呢?

什麼是「DLP」?

想像一下,DLP 系統就像是位於網路出口的「警察」,當有人試圖想將資料進行出口時,它會檢查是否違反公司機敏資料與文件的出口規則並進行反制。

DLP 解決方案是在資料儲存或傳輸時透過端點中的程式進行文件掃描,取得上下文的關鍵字,並取得端點伺服器中的規則進行資料與文件的分類,或是控制公司內的使用者是否可以透過網路將機敏資訊或文件複製到行動設備或外接儲存裝置等,防止資料外洩。DLP 是一項非常強大的技術,但它卻有幾項必須面對的重大挑戰。

導入 DLP 系統需面對的挑戰:

  • 要如何有效確定哪些文件能夠離開或不能離開公司?
  • 是否能有效關閉「所有」的出口點並對其進行控制?
  • 是否可以控制所有公司的設備?如:手機、雲…等。
  • 如果有任何資訊或文件離開了公司逃離這個「警察」的控制,該怎麼辦?我可以限制該文件的存取嗎?

傳統的 DLP 解決方案只能檢查「要離開公司的內容並決定是否能夠離開」。這是一個二選一的過程,但公司的日常並非透過二元分類就能解決。對於 IT 人員而言,很難透過定義策略來描述並對資訊進行分類且又不會產生許多「誤報」。

所以 IT 人員的挑戰是必須確定什麼是機密,而什麼不是機密,才能減少系統的誤報,但矛盾的點在於 IT 部門很難確定什麼是機密或什麼不是機密,而機密與否只有該文件的使用者才知道,所以「分類」這件事情對於 IT 部門在導入 DLP 時是首要面對的挑戰之一。

而另一挑戰是無法掌控文件發佈後的行為。一旦文件被 DLP 系統認定是可以離開公司的情況,就無法阻止收件人將該文件進行轉發給未授權的使用者,或將其保存在任何的儲存裝置上。一般而言,導入 DLP 分為兩個階段:「監視」與「阻止」,通常公司會從「監視」階段開始,用以檢測網路的資料類型,然後再進入「阻止」階段進行違規防止,但如果在「阻止」的過程中產生誤報,而造成「不當阻擋」將會在組織中產生反彈。

總而言之,DLP 工具可以對網路中的機敏資訊進行分類、監視、阻止,但必須依賴非常精準的「分類」來避免誤報,這是不可被低估的。

瞭解了 DLP 系統是否覺得還不夠?下一篇將為您帶來更深入的 DRM 系統說明與剖析