Saturday, September 04, 2010

 * 數位版權管理 (DRM) 產品 * 數位版權管理 (DRM) 導入經驗分享
  搜尋 
Open | Close
  數位版權管理 (DRM) 導入經驗分享 

五年來,洽談了近百家的客戶,我們解決了企業對於數位版權管理(DRM)的許多需求,與您分享導入的經驗,如下:

需求:集中管理的機密文件,企業需要有自動加密的功能:譬如將機密文件放置到檔案伺服器(File Server)、企業入口網站(SharePoint)時,自動加密保護文件。
當我們接到這個需求時,原本以為不會太困難,方法為當要加密時,只要使用程式開啟 Word、Excel、PowerPoint 檔案,呼叫 Office 物件模型(Object Model),即可達成。但是經過幾個客戶的導入後,結果怨聲不斷,原因為加密時於伺服器不斷地開啟 Microsoft Office 軟體,造成不穩定的大問題。為了解決這個問題,我們研究了 Office 2003/2007/2010 IRM 保護的格式,不需要開啟 Office 軟體,即可完成加解密的動作,客戶導入後,滿意度大幅度地提升。

需求:於企業入口網站(SharePoint),企業需要更彈性的的文件保護功能。
當企業導入微軟公司的 SharePoint 產品 WSS 2.0/3.0、SPS 2003 / MOSS 2007 / MOSS 2010 時,企業需要更彈性的的文件保護功能,譬如:

- 可設定公司內部的權限政策(Policy):譬如機密、極機密等,解決之道為整合 RMS 的「權限原則範本」功能,讓權限管理者可以挑選資料夾所套用的權限政策。

- 可以保護其他的檔案格式:除了 Microsoft Office 外,也可以保護 PDF、Text、JPG 等檔案格式。

- SharePoint 下載的加密文件可以傳給其他有權限的使用者:雖然 WSS 3.0、MOSS 2007/2010 於下載文件時會依照此使用者於ACL的權限自動加密,但是只會加上此使用者的權限,因此無法傳給別人,其他使用者必須到 SharePoint 下載加上其權限的文件。

需求:企業需要更安全的文件保護功能。
安全性方面,企業需要照相保護、抓圖保護等功能:

- 抓圖保護:可以保護所有應用軟體的內容不會透過螢幕截取(包括 print screen 鍵)的方式外洩出去,需要防止多種螢幕截取影像、圖片的軟體截取受保護檔案的螢幕內容。

- 照相、列印保護:自動加上螢幕、列印動態浮水印以嚇阻與稽核,「自動加上螢幕浮水印」的保護功能,可以針對透過照相方式外洩機密文件的行為達到稽核與嚇阻的目的。開啟文件時,於應用軟體動態地於螢幕自動加上開啟者的 Email、電腦與開啟日期時間之浮水印。

為了安全考量,當 Office 2003、Office 2007、Office 2010 於僅具讀取權限時,整個文件是鎖住的,無法加上動態的浮水印,我們曾經吃儘了苦頭,最後使用獨特 Hook 技術提供了浮水印的功能,還申請了發明專利。

需求:企業需要將「系統管理」與「權限管理」兩個角色分離:譬如資訊部門則負責系統的建置維護,而各部門自行管理設定機密文件的權限。
這個需求十分重要,因為資訊部門並不需要負責變動頻繁的權限設定,大幅度降低工作負荷,而各部門於新增加資料夾、變更資料夾權限等的時候,也可以快速地變更成所需要的設定,不需要等待資訊部門。

需求:將機密文件給外部使用者,企業需也有保護功能。
外部使用者不需連線到公司伺服器,即可開啟文件,譬如限制過期日、開啟次數、開啟幾次後自動刪除,並加上浮水印、密碼保護等。
  微軟的數位版權管理(DRM)相關產品 
微軟公司於 2003 年 11 月,推出數位版權管理所需要的「微軟 DRM 平台」,包括Office IRM(Information Rights Management)、與 Windows RMS(Rights Management Services)(授權伺服器)等產品與技術:


應用軟體方面,微軟公司的 Office 2003、Office 2007、Office 2010 整合了 Office IRM 技術,其中 Word、Excel、PowerPoint 檔案讓作者可以設定是否可以讀取、列印、複製、到期日、程式存取、需要每次連線等權限;而 Outlook 則提供讓作者可以設定郵件是否不可轉寄的功能。

企業入口網站方面,微軟公司的 SharePoint 產品 WSS 3.0、MOSS 2007、MOSS 2010 整合了 DRM 的功能,根據資料夾的 Access Control List(ACL)權限設定,於下載 Word、Excel、PowerPoint 檔案時自動加密,僅提供是否可以讀取、列印、複製等權限。

作業系統方面,微軟公司的 Windows XP 需要安裝 RMS Client 1.0 SP2,Windows 7 則內建 RMS Client;而授權伺服器方面,Windows Server 2003 需要另外安裝RMS Server 1.0 SP2,Windows Server 2008 則內建了 RMS Server 2.0。
  數位版權管理(DRM)的動作原理 
今年熱門話題的「資料外洩防護」簡稱「DLP」,DLP為 Data Loss Prevention 的縮寫,也有人稱為 Data Leakage Prevention。

資料外洩防護(DLP)解決方案之一為「數位版權管理」(Digital Rights Management,簡稱 DRM),企業用的數位版權管理叫做 E-DRM(Enterprise Digital Rights Management),2004 年起開始由微軟公司炒熱。

將具有數位版權管理(DRM)保護的文件轉給別人,別人也無法開啟,其主要關鍵點在於:「開啟文件必須連線到授權伺服器先取得授權」,因此,盜取內部機密資料的人,將因無法連線到授權伺服器取得授權,而無法開啟文件。

DRM 的動作原理,為有權限的使用者,當開啟具有 DRM 保護的加密文件時,第一次需要連線到授權伺服器取得授權,若有權限則會產生一個使用者授權(End User License,簡稱 EUL)。

如此一來,第二次起就不需要再連線到授權伺服器,即每一個 DRM 保護的文件於每一次開啟連線到授權伺服器取得 EUL 後,以後都不需要連線(即可離線使用)。

EUL 的格式,包括一個加密此文件的對稱式 content key、與有效期間。

EUL 放置在那裡呢?EUL 會加到此文件的表頭,或以檔案型式將 EUL 儲存於其電腦的個人資料夾。

EUL雖然存放於此文件的表頭或一個檔案當中,一個使用者於一個文件有一個專用的 EUL,因使用此使用者之非對稱式 public key 加密 content key,即使傳給別人亦無法使用,安全上無疑慮。

每一個開啟的加密文件都會產生一個個別的 EUL,這個 EUL 是依照文件、電腦、與使用者而異的,即:

- 開啟另外一個加密文件時,則需要再連線到授權伺服器取得授權。

- 同一個使用者更換另一個電腦,開啟同一個加密文件時,則也需要再連線到授權伺服器取得授權。

- 同一台電腦若更換另一個使用者登入,開啟同一個加密文件時,則需要再連線到授權伺服器取得授權。

即換一個文件、電腦、或使用者,就需要再連線到授權伺服器取得授權。

因此,將加密保護的文件外洩給別人,別人將無法取得授權伺服器的使用者授權,而無法開啟文件。
  數位版權管理(DRM)的適用範圍 
根據我們多年來的導入經驗,並沒有一種資料外洩防護(DLP)產品就能夠滿足企業對機密文件保護的所有需求,數位版權管理(DRM)當然也有其適用的範圍,譬如:

需求:企業需要防範作者盜取公司機密文件。
數位版權管理(DRM)技術,主要防範的對象是一般使用者,而非作者。

對僅具讀取權限的一般使用者而言,因限制應用軟體的複製、列印、抓錄畫面等功能,可以防範一般使用者盜取企業的機密文件。

為什麼 DRM 無法防範「作者」呢?因為當開啟文件時,文件的作者、或擁有編輯權限者,可以將畫面資料複製到 email 或其他檔案,仍可外洩盜取機密文件,因此無法防範作者、編輯者盜取企業的機密文件。

我們曾經為客戶提供於存檔自動加密保護的功能,其目的主要是為了防範作者「忘記設定權限」,並不是防範作者外洩機密文件的行為。

若要防範「作者」盜取公司機密文件,我們發現「即時讀寫加解密」技術為最好的解決辦法,文件儲存時自動加密保護,開啟時自動解密。

為了達到保護但是不犧牲好用的複製功能,提供「單向複製」的功能,即利用複製或拖曳的方式,受保護的檔案無法將內容複製至未受保護的檔案,但是未受保護的檔案可複製至受保護的檔案。

需求:企業需要保護更多的檔案格式。
數位版權管理(DRM)產品,無法保護許多的檔案格式。

為什麼 DRM 無法保護許多的檔案格式呢?

因為,數位版權管理(DRM)產品,必須於開啟文件後控制複製、編輯、列印、程式存取的功能,包括選單、工具列按鈕、快速鍵等。

但是,其他應用軟體的原廠都未支援微軟公司的 RMS,自從微軟公司的 RMS 推出以來,只有微軟公司自家的 Word、Excel、PowerPoint、Outlook 2003/2007/2010 應用軟體架構於其 RMS。

因此,若應用軟體原未提供 DRM 的功能,則必須於每一個應用軟體(與每一個版本)都提供一個特定的外掛(plug-in)程式,來控制待限制複製、編輯、列印、程式存取的功能,需要使用Hook技術控制其選單、工具列按鈕、快速鍵的動作。

譬如,若要控制 AutoCAD 應用軟體,則需要於 AutoCAD 2000、2002、2004、2005、2006、2007、2008、2009 等的每一個版本各提供一個外掛程式,即使做得出來,很可能仍有未控制到的安全漏洞。

我們成功地開發出 Arobat Reader 的 PDF 外掛程式,將 PDF 加入支援微軟公司RMS的行列。

根據我們的經驗,對數位版權管理(DRM)而言,由於微軟 Office 2003/2007/2010、Windows 7、MOSS 2007/2010、Windows Server 2003/2008 等產品整合了 DRM 的功能,建議僅使用於 Microsoft Office、Arobat PDF 檔案的保護。

Microsoft Office 保護則建議直接採用 Office 2003/2007/2010 內建的 IRM 功能較安全,因為 IRM/RMS 保護的 Office 檔案迄今還尚未被破解,而 Office 外掛程式則容易有安全漏洞的疑慮。

要解決保護更多檔案格式的需求,比較合適的是「即時讀寫加解密」產品,可以保護所有的檔案格式。
  數位版權管理(DRM)? 即時讀寫加解密產品 ? 
數位版權管理(DRM)產品,適用於保護 Word、Excel、PowerPoint、Outlook 2003/2007/2010、PDF 文件,以及會放置於資訊分享、資訊管理系統的機密文件。DRM 適合防範一般使用者,但是不適合防範作者盜取機密文件。

即時讀寫加解密產品,則適合於保護 CAD/CAM 繪圖軟體、程式設計、Video/Audio 檔案,適合防範「作者」盜取機密文件。
  博格科技 資料外洩防護 (DLP) 產品 
數位版權管理(DRM)產品:BorG DRM(博格企業資訊保全系統)
即時讀寫加解密產品:BorG DLP(博格資料外洩防護系統)