強化資料安全防護的13種產品

在目前市面上販售的資料安全產品中，我們總共找出13種類型的解決方案來對應，而對照2012 iThome個資法大調查的結果，也可以看出各產業與所有企業對於這些產品的偏好。

在這項調查中顯示，針對資料安全的防護，71.6％企業目前能因應的作法是資料備份，其次是郵件稽核∕備份，有57％的企業已經或預計採用，在各產業應用中，這兩類產品也是絕大多數企業或單位所具備的，使用率幾乎都超過五成。

資料備份

對於重要資料的保護，透過備份的方式來保存內容，是企業IT實務中最普遍的作為，因為沒有這些資料，日常業務和工作流程都無法運作，然而每一家公司或單位在備份工作執行的範圍、資料回復要求上，以及儲存應用架構的設計上，可能有很大的差異。若要滿足個資法要求的安全維護措施，可能還要搭配其他作法才會夠完善。

例如，當前很多企業備份的目標，主要是集中存放在伺服器上的檔案，或應用系統本身的資料，較少涵蓋到個人端電腦的資料保護。

此外，執行備份機制的主要目的，是讓系統或資料回復到原來的樣子，想要尋找其中的特定檔案，目前是做得到，但有可能在實際作業上會很麻煩，例如備份資料分散在不同的磁帶或光碟片上時。針對個資法這樣的法規遵循需求，企業還需要注意所保存的資料不能被竄改，否則就算將資料找出來，仍無法被法庭認同是數位證據。

郵件稽核∕備份

基本上，多數公司或組織都有對外溝通需求，而透過電子郵件互相聯繫是相當普遍的e化應用之一，因此有很多企業、單位在業務往來的過程中，都逐漸建置這樣的系統，以便即時阻擋機密資訊透過郵件外洩，或能快速找出相關的信件內容，以便舉證、求自保。而在iThome個資法大調查中，我們看到醫療業之外的其他行業，都有超過五成的使用率。

以郵件稽核產品來說，大多是整合成專屬設備，供應商目前以臺廠居多，例如碩琦、桓基、網擎、中華數位、Cellopoint、綠色運算，也有外商廠牌可選擇，像是Barracuda、Cisco IronPort、GFI、MiraPoint等。至於郵件備份產品，前述廠商多半也都提供專屬設備。此外，也有軟體式產品是針對各種郵件伺服器平臺來備份，像是一些企業級的備份軟體，如Symantec、CA、Acronis旗下的產品，可以針對微軟Exchange或IBM Lotus Domino等郵件系統，提供保護。

資料庫防火牆

面對個資法的要求，目前有36.9％的企業已經或預計採用資料庫防火牆（Database Firewall）。像一般製造業、服務、金融、醫療、政府機關與學校，都有三到四成的比例在用或打算採用這類產品，需求不小。不過，目前臺灣可提供該類型產品的廠商，有Chakra、Imperva與Oracle。

對於資料庫防護會有這麼大的需求，主要原因是在企業的應用系統中，有很多資料都集中存放資料庫內，即使企業有完善的系統與資料備份機制，然而資料庫系統若受到惡意攻擊而導致運作上有問題，也會連帶影響應用系統的執行。而資料庫防火牆的任務，主要是即時阻擋惡意SQL指令（例如SQL injection）或疑似DDoS、緩衝區溢位的攻擊，設法在資料庫開始接收這些指令之前就先擋下來。

檔案加密

檔案加密在整體企業接受度不低，在金融業和政府機關與學校都有超過五成的比例，已經或預計採用它來針對資料安全的保護。

事實上，內建或提供這種功能的產品很多，目前它們所採用的加密演算法，大多是128位元或256位元長度的AES（Advanced Encryption Standard）。

例如歷來微軟Windows作業系統都提供的加密檔案系統EFS，在Windows Vista/Server 2008之後內建的全磁碟加密BitLocker，可保護整臺磁碟資料的安全性，甚至在文書處理軟體Office，在2003版推出後，也能和Windows Server搭配，整合其中的文件權限控管服務IRM/RMS，達到文件保護效果。我們所熟悉的檔案格式或開啟的應用軟體，本身也有很多內建加密功能，大多用密碼的方式限制檔案內容的開啟，例如PDF 文件檔、RAR和ZIP等壓縮檔。

專門提供檔案加密的產品不勝枚舉，然而在企業環境下使用，一般仍以文件安全控管系統的接受度較高。目前在臺灣常見到的廠牌與產品，像是優碩TrustView、精品X-DoRM、思訊IP-guard V+、以柔D-Security、海威Encryption File Manager（EFM）等。也有一些是整合在文件管理系統下，作為內建功能之一或選購模組，像是新人類WebISO、華苓Docpedia、以柔DMP。

國際大廠也有廠商的產品，可以對應這方面的需求，但搭配方式上有些不同。例如Symantec PGP系列產品下的Command Line和NetShare，是針對檔案加密的產品，前者是將加密功能以指令的方式整合至應用程式的Script執行環境中，後者則是直接加密檔案伺服器上所共享的檔案和資料夾（前述產品中，有些也能提供類似功能），若需要和其他端點、閘道端加密產品集中控管，可搭配另一套PGP Universal Server。

另一個比較知名的品牌是SafeNet，該公司的ProtectFile和ProtectDrive軟體，分別對應檔案與磁碟加密的功能。該公司還有一款產品ProtectV相當特別，針對的是雲端環境的資料安全，以預先設定好的映像檔來建置系統，以保護公有雲廠商代管環境或企業私有雲環境下的虛擬機器，目前支援Amazon EC2（Elastic Compute Cloud）和VPC（Virtual Private Cloud），以及虛擬化平臺VMware vCenter。

在臺灣市場上，還有一家廠商的產品也是針對檔案加密用途，那就是Secward的TotalFileGuard（TFG）。

至於提供單獨檔案加密產品的臺灣本土廠商與產品，目前較知名的有：精品Big Lock、全景Net-Sphinx。

檔案監控

在檔案監控產品的採用上，除醫療業和政府機關與學校之外，也有三到四成比例的企業，表示會用來針對資料安全防護。不過，目前在市面上要找到提供這方面功能的商用等級產品，選擇相當有限，較為人所知的，像是Tripwire Enterprise，這套軟體的相關功能之一，是可以用指紋特徵比對的方式，進一步檢查欲監控檔案的完整性（Integrity），系統若發現檔案內容遭到竄改，會提出警告。

另一種作法則是從DLP（Data Loss Prevention，DLP），這類產品可檔案格式比對、關鍵字過濾，及特徵辨識等方式，檢查檔案本身是否包含需要受到保護的機密內容，並藉以控管使用者傳送機密資料的行為。

若從作業系統的角度來控管，微軟Windows Server在2003 R2之後的版本，強化了檔案服務的應用上，他們在檔案伺服器資源管理員中（File Server Resource Manager，FSRM），提供檔案檢查（Screening Files）或檔案檢查稽核（File Screen Audit）的機制，但該功能的目的是主動預防使用者，使他們不能將企業未認可的檔案類型存放到伺服器上，或是監控使用者擅自儲存特定類型檔案的行為，功能相當陽春，並無法和Tripwire和DLP等產品相提並論。

資料銷毀

在金融業和政府機關與學校，對於資料銷毀的措施使用的意願較高，有四到五成的比例，分別與病患、消費者個人資料相關的醫療業和服務業，僅三成表示會採用。

在企業環境中要進行資料銷毀的目標，主要分成紙本資料和電子資料。

要做到紙本資料的銷毀，一般會採購碎紙機來進行，若是量大，可以委託給外面的專業銷毀廠商來執行，或是派專人將這些紙張送至焚化爐銷毀，或交給紙廠水銷，做成再生紙。

而電子資料銷毀，一般IT人員可能會想到用資料抹除軟體，來消除磁碟上的殘餘資料，但這主要針對的是之後還打算繼續使用的電腦硬碟，對於報廢的電腦硬碟、存放備份資料的磁帶，就必須透過其他方式處理。

為了杜絕這些儲存裝置在棄置後，原本所儲存的資料被修復、取出使用，IT人員必須設法徹底破壞，通常會採用的作法，不外乎執行低階格式化，或用物理的方式破壞，像是用鹽酸等腐蝕性液體，或是用火焚燒、鐵鎚敲擊、浸水、刀割、等方式來破壞碟片的結構，不過這些作法實際執行起來都很花時間，因此市面上也出現硬碟消磁機（Degausser）這樣的設備，以及專業的硬碟銷毀服務來因應。

以消磁機來說，現在臺灣有幾種廠牌的設備可以選擇。先前出現的是Fujitsu的Mag EraSURE系列產品，但後來他們把硬碟部門賣給Toshiba，所以品牌也跟著改變，目前代理商為寶信興。

在臺灣市場上出現的另一個廠牌是Orient，也是來自日本，由潘朵拉科技代理，目前他們銷售4款消磁機、一款物理破壞機，以及兼具前兩種功能的複合機（Combo）。

此外，錢隆科技也銷售相關產品，像是上述Toshiba Mag EraSURE系列，還有販賣同為日本廠牌的ADC MagWiper系列消磁機。

這些代理商中，有些同時提供硬碟銷毀服務，畢竟並不是每個公司和單位一直都會有報廢硬碟需要處理。近來IBM臺灣分公司也開始提供資料銷毀服務，主要也是針對報廢硬碟的處理。

資料庫稽核

資料庫內所存放的資料是企業經營的命脈之一，而目前臺灣企業中針對該環境的稽核作業較為注重的，有金融業和醫療業，有四到五成比例的公司或單位，已經或預計採用這種產品，來因應資料安全的需求。

原本單靠資料庫系統本身的功能，也可以達到稽核的目的，但考量到這種作法對於系統效能的影響，因此大多數企業不會啟用這類功能，再加上這些稽核記錄若是存放在個別資料庫系統內，若實際上要查閱內容也會相當困難，因此透過獨立的專屬設備來達到監控的目的，也有其必要性。

這類產品在監控的架構上，分為Sniffer網路封包側錄分析，以及在資料庫系統內部安裝代理程式。不過現在提供相關功能的產品，大部分都已同時支援兩種建置模式，像是Chalet ADS、庫柏DBAegis、Fortinet FortiDB，以及IBM InfoSphere Guardium的Database Activity Monitor、Imperva SecureSphere的Database Activity Monitoring。

除了上述產品之外，還有一款資料庫稽核產品是來自韓國的WareValley Chakra，它也是支援網路端與主機端等兩種建置模式，不過較特別的是，它還可以依照政策，以針對未授權的資料庫存取加以即時阻斷或發出警告，做到資料庫防火牆的功能。

資料庫加密

在資料庫的安全性考量上，不只是要讓系統正常運作，保護其中存放的資料也是重點，除了透過稽核的方式監督人員或應用程式的存取過程，資料庫系統對於自身所保管的資料也要更加嚴密的保護，而加密的實施，勢在必行。

基本上，目前兩大關聯式資料庫系統都支援加密功能，而且是所謂的透明式資料加密（Transparent Data Encryption，TDE）。

例如微軟SQL Server 2008和2012都內建TDE，至於Oracle Database 10g和11g則需要選購Advanced Security的項目，才能具有TDE的功能。不過Oracle的TDE可以做到欄位層級（Column-level）的加密，並在11g之後開始支援針對表格空間（Tablespace）的加密，等於涵蓋Data File的群組。

在IBM DB2中，則需搭配Database Encryption Expert，或是另一套InfoSphere Guardium Data Encryption，至於Sybase Adaptive Server Enterprise（ASE），從12.5.4版開始支援加密欄位，而15.0版的透明式加密可做到針對個別資料庫欄位，以及綱要等級的加密（Schema-level Encryption）。

除了啟用資料庫本身的加密機制，也可以透過其他資料庫加密產品的協助，來達到保護資料庫的需求。目前可選擇的相關產品有SafeNet的ProtectDB，可支援多種資料庫系統平臺，運作上是先在資料庫伺服器上安裝一支連線程式，將欲加密的欄位資料，傳送到DataSecure平臺來處理，之後，這些受到加密的資料再傳回資料庫伺服器存放。

此外，要做到資料庫加密，也可搭配硬體加密器（Hardware Security Modules，HSM），讓資料庫將加密金鑰存放其中予以保護，而且可以利用設備中的專屬晶片來處理加解密程序。而目前在臺灣可選擇的HSM廠牌，主要有SafeNet、Thales、Ultimaco，而他們所支援的資料庫平臺則為Oracle Database和微軟SQL Server。

列印控管

傳統在控管使用者列印行為時，主要目的是監控與限制其用量，隨著安全意識高漲與個資法的頒布實施，有越來越多企業希望，將紙本文件的機密資料透過這種管道外洩的機會，降至最低。在iThome個資法大調查中，金融業已經或預計採用的比例最高，幾乎逼近一半，醫療業敬陪末座，這讓人想起去年，萬芳醫院曾傳出回收紙背後有病患就醫資料的事件，引起大眾關注，但顯然從今年的個資大調查結果來看，醫療業對這類資料保護措施投入的程度並不夠積極。

想要控管紙本文件的安全性，除了從文件安全控管的角度，自電腦端限制使用者列印檔案內容的權限，現在有許多列印設備廠商，如Canon、富士全錄、HP、Kyocera、Lexmark，都已經能夠提供安全控管的解決方案來對應。

整體而言，目前上述列印控管產品所能提供的安全機制，大致包含下列幾種：身分辨識、功能權限控管、密碼機密列印、安全浮水印、列印資料內容備份和記錄、文件內容自動關鍵字警示。

實體隔離

所謂的實體隔離，主要是是針對負責重要作業的個人電腦與伺服器，透過嚴密管制存取資料的方式，以達到保護需求。

相關的做法有很多種，例如，封鎖USB埠、限制電腦不能隨意外接儲存裝置；或是讓使用者只能透過沒有任何非必要連接埠的精簡型電腦，登入系統；或不能任意打開電腦機殼，更換磁碟機和光碟機；或是將特定電腦使用的網段徹底隔離，使位在這些區域的電腦與伺服器的網路封閉起來，不能擅自存取企業內部或外部網路，而需透過中繼伺服器或用VPN連線的方式來傳遞資料。

在iThome個資法大調查中，只有22.5％的企業表示要採用這種方式，來保護資料安全，其中也是以金融業的意願居冠，有將近一半的比例，其次是醫療業，有3成。

要落實周邊裝置控管，我們可以用很多人工的方法去針對一臺臺電腦執行，像是從BIOS修改設定、移除跳接器（Jumper）、用熱熔膠堵住或易碎貼紙黏在連接埠，或是修改電腦登錄機碼、移除驅動程式。也可以透過群組原則、專用的周邊裝置控管軟體，或資產管理軟體、端點防護軟體與企業版防毒軟體所內建的周邊控管功能，來進行管制。

目前在臺灣可以買到的企業級專屬周邊控管軟體，主要有達友代理的DeviceLock，以及亞太信息安全代理的Lumension Device Control。而連帶提供周邊控管功能的資產管理軟體有很多，像是旭辰SmartIT、精品X-ITasset、思訊IP-guard。至於企業版防毒軟體，也有很高比例的產品可同時提供這類功能，像是Symantec、趨勢、McAfee、Sophos、Kaspersky、ESET、F-Secure。在端點防護軟體，像是LANDesk Security Suite、GFI Endpoint Security也具有周邊裝置控管能力。

郵件加密

我們日常所使用的電子郵件，在寄送過程中沒有任何安全性保護措施，若遭有心人士攔截或側錄，是可以直接擷取或竄改信件內容和標頭。然而，卻很少有企業認真看待電子郵件加密這件事。在iThome個資法大調查中，只有兩成的企業已經或預計採用這樣的方式，來保護資料，其中還是金融業的比例較高，有5成以上的公司重視這種作法。

在作法上，目前郵件加密的產品所針對的位置，分成郵件伺服器、端點、閘道和雲端服務。

郵件伺服器的部份，大多數系統可以做到在傳輸信件時，用SSL或TLS加密通道連線。

在端點的部份，個人端電腦可以透過S/MIME或者用PGP通訊協定，以便安全地收發信件。若想使用這樣的功能，許多郵件管理軟體都支援S/MIME，能夠直接使用其中的數位簽章和郵件加密機制，或者也可以用Symantec PGP Desktop Email。

閘道的部份，像是Cellopoint有獨立的加密閘道設備Encryption Appliance，而碩琦、網擎的郵件稽核設備，則可選購數位簽章與郵件加密模組。外商則有Symantec PGP Universal Gateway Email，以及趨勢的Email Encryption Gateway、SafeNet Email Security Gateway、Proofpoint Enterprise Privacy等產品，提供閘道端的郵件加密機制。

作法較特別的是Sophos的郵件安全設備Email Appliance，它是用SPX（Secure PDF Exchange）的加密方式，將未加密的附件檔轉成具有密碼保護的PDF檔，來保護敏感資料。

而雲端服務的部份，現在有Symantec MessageLabs Email Encryption.cloud，以及McAfee SaaS Email Encryption，可提供郵件加密的軟體即服務（SaaS）。

資訊遮罩∕去識別化

除了透過加密的方式，讓真實的資料內容可以隱藏起來，利用遮罩（Masking）的方式修改資料原本的內容呈現，做到去識別化（Deidentify）。這就像我們現在操作銀行ATM設備時，最後完成交易所印出的單上，往往在使用者帳號欄位上只印出後五碼，而基於這樣的作法，有心人士即使取得這些資料，也無用武之地，因此同樣是有效防止資料外洩的作法之一。

然而，在資訊應用系統上，要做到這件事情並不容易，除非系統重新開發，或在開發時就已考量道這樣的需求。不過，現在已經有產品提供這方面的功能，例如Informatica的Dynamic Data Masking，在使用者存取資料庫中的敏感資料時，透過SQL proxy的方式，自動將這些資料內容套用遮罩或擾亂（Scramble）、隱藏，加以保護。對於資料庫非法存取行為，這套產品也支援阻擋、稽核與警告發出等防禦機制。

其他類型的IT產品中，有些也提供資料遮罩的功能，例如Verdasys Digital Guardian這套DLP系統，就支援這方面的防護。

針對Oracle的資料庫應用程式，Oracle推出Data Masking Pack的資料遮罩套件，與該公司的企業IT管理平臺Enterprise Manager搭配使用，當中總共可提供4種遮罩方式：基於不同情況所套用的遮罩（Condition-based masking）、相關資料欄位複合式遮罩（Compound masking）、資料一致性遮罩（Deterministic masking）、基於金鑰的可逆式遮罩（Key-based reversible masking）。無獨有偶，IBM也有一套InfoSphere Optim Data Masking solution，可涵蓋結構化和非結構化資料，並可支援ETL等資料搬移工具。

根據iThome個資法大調查的結果來看，金融業有7成的比例已經或預計採用，意願相當強烈，其次是政府機關與學校和醫療業，有3成的單位打算使用，但其他產業使用的比率就比較低。

數位版權管理

企業認知的數位版權管理（Digital Right Management，DRM），其實就是所謂的文件安全控管，而不是指多媒體影音檔、電子書防止盜拷的機制。

目前在臺灣可以找到提供這類功能的企業級產品，如同前述，有優碩TrustView、精品X-DoRM、思訊IP-guard V+、以柔D-Security、海威Encryption File Manager （EFM）等，在這些系統中，管理者可以控管使用者對文件檔案的讀取、編輯、列印、複製的存取權限，並且定義文件的有效期間，一旦超過時間，使用者就無法開啟檔案。

對照iThome個資法大調查的結果，對於這類型產品，目前企業打算用來針對資料安全的意願是最低的，除了金融業以外，其他產業只有不到1成的比例已經或預計採用。

許多個資事件外洩，除了遭有心人士竊取，有另一個原因是沒有妥善處理過期或報廢的資料或儲存媒體，而企業所要處理的包含紙本文件和硬碟、SSD。

電腦的周邊裝置控管是實體隔離的作法之一，企業若在重要的設備上，未嚴格管制其存取外接設備的方式，有可能會因此感染病毒。

資料遮罩的用途，現在不只是用在使用者輸入密碼時，將所鍵入的字元以其他方式呈現之外，現在也可用在系統操作介面的資料呈現上，以避免讓使用者直接接觸到敏感個資。

相關報導請參考「防範資料外洩，IT總動員」