Safasoft WaterWall

最近發生一連串的資料外洩事件，讓許多企業開始思考如何管制企業內部的資料。由韓國Safasoft所開發的WaterWall，是專為防範內部資訊外洩所設計，可為企業內部的資訊安全提供更嚴密的防護。事前防範，事後追蹤

企業內部有那些資料外洩管道？

駭客可能由外部利用木馬或後門程式竊取資料，大部分企業會建置防火牆和防毒系統來防禦，但效果有限。其次，員工可能利用移動性裝置，如磁碟機、隨身碟、硬碟、燒錄機或印表機，將資料複製竊取，不少企業會管制影印機、磁碟機和燒錄機，甚至將USB埠堵死，但這只能治標無法治本。隨著網路時代來臨，最常見的洩密管道就是透過網路傳輸，利用電子郵件、FTP、P2P、HTTP（Web Mail、Web HD）等方式，快速將資料散布出去。

為了防止資訊外流，WaterWall採用專利的SEED 128 bit加密技術，任何非法流出的檔案均為加密檔，在一般的電腦上並無法存取。如果是同事之間要透過磁碟片或隨身碟分享檔案，只要利用Management Console設定不同群組的安全政策，如果屬於同一群組，資料可以自由傳送，如果是不同群組，則傳送的資料會經過加密，例如業務部可以彼此分享檔案，但資料傳送到人事部則會進行加密。

不過，透過燒錄機傳送檔案是例外的狀況。使用者必須經過申請才能使用燒錄器，每次只能燒錄一片，而且所攜出的檔案名稱都會儲存在WaterWall Server上。在一般的狀況下，企業最好禁止員工使用燒錄機。

在網路傳輸方面，若使用Web Mail或Web HD傳送郵件附件時，必須向WaterWall Server取得許可，所傳送的附件也會儲存一份在Server上。比較特別的是，附件檔是以SDFA（Self-Decryption File Attachment）格式加密，如果收件者屬於信認群組，系統會另外寄出解密的鑰匙，但如果是其他群組，則不會寄出。系統本身也提供類似防火牆的管制機制，可以限制通訊埠的傳輸。三層式架構，管制非法軟體

WaterWall是採用三層式架構，我們必須在個人電腦上安裝WaterWall Client，以監控所使用的軟硬體設備，當個人端登入時，會將這些資訊送到WaterWall Server，讓管理者透過WaterWall Console來管理。

在WaterWall Console上，管理者可以查看每臺個人電腦所安裝的軟體及硬體設備，並禁止使用非法軟體。例如公司政策規定不准使用MSN Messenger，管理者只要用滑鼠點兩下，即可禁用該程式。

由於企業內部使用筆記型電腦的人數越來越多，當使用者將筆記型電腦帶到外部時，系統會先將原始檔案及日誌檔儲存在本機上，當回到企業內部時，再將資料傳送到WaterWall Server。

即時監視是WaterWall蠻特別的功能，系統能夠直接連結個人端，監視該用戶的電腦操作狀況；螢幕保護是另一個不錯的功能，當使用者離開座位而未將電腦鎖定時，系統會自動出現螢幕保護，並要求輸入帳號與密碼，保障資料安全。系統提供基本的日誌分析及報表功能，方便使用者檢閱，以制定更完善的安全政策。

由於系統牽涉到所有使用者，建議在導入前先詢問使用者的意見，並與廠商進行諮詢，才能制定完善的政策。我們仍要提醒，僅靠WaterWall或技術並無法達成百分百的內部資訊安全，必須配合教育訓練、公司政策及制度，才能更有效的防護。文⊙陳世煌