以發展DRM加密技術(Digital Rights Management)為主的文件安全控管廠商優碩資訊,新推出有別於以往的檔案防護機制,稱之為VDP(Virtual Disk Protection)。

這款產品的特色在於,採類似虛擬磁區加密方式來做到內部的文件安全控管防護,而非傳統針對個別檔案執行加密。在保護磁區內的各類型檔案都能受到防護,檔案本身將不會因加密而寫入相關辨識資訊,也不易產生檔案毀損。

以保護範圍而言,VDP在本機端與伺服器端都能建立保護區(AES 256位元加密),保護區之間的檔案傳送也能建立加密通道(SSL),並提供彈性的檔案分享權限管控能力。

相對一般文件安全控管與檔案加密系統,這種防護區概念的應用方式,優勢在於使用者在內部檔案的使用,將更直覺且容易,管理者設定也不複雜,但相對地,防護面向無法做到很細緻的程度,無法依據檔案格式做出不同的管控設定,而且,一旦移除VDP的安裝部署,原本保護區內的檔案,便恢復成原本未加密的使用狀態,防護作法明顯不同。

虛擬加密磁區具有只進不出的特性

在系統架構與產品部署上,這套產品在伺服器端需安裝VDP與TrustTunnel Server這兩個主系統程式,可將它們裝在同一臺Windows Server(需安裝SQL Server資料庫系統)上,也可分開部署,算是彈性,中控程式管理介面則是網頁,而在用戶端環境,所支援的系統是Windows。

在安裝完VDP伺服器端系統後,管理者需在使用者電腦上安裝VDP用戶端程式,首次進行需指定伺服器端的路徑,並輸入帳號密碼以驗證登入使用者身分。基本上,這裡的帳號系統分為「TrustView 帳號系統」、「LDAP 帳號系統」,企業可以選擇結合LDAP或是新建帳號系統。

接下來,將引導用戶在本機上建立VDP加密磁區,這時我們可以設定磁區大小、變更磁碟區代號等,之後,電腦上就會多了一個名為TurstProj的R磁碟(系統預設路徑),也就是系統設定的加密磁區。

基本上,VDP是以安全區域為概念,要檢視這個R磁碟內的檔案內容,必須要透過此系統專屬的VDPExplorer,使用者若從一般Windows內建的檔案總管開啟R磁碟,將無法看到任何檔案,執行存取動作也會被系統告知沒有權限。

基本上,我們可以將非VDP磁區的檔案複製、移動到R磁碟,但無法將R槽內的任何檔案存出保護區的範圍。也就是說,存於保護區內的機密資料,只能在防護範圍內移動,無法攜出。

即使以另存新檔方式,將檔案存到不在保護區的路徑時,也做不到。過程中,系統會出現警示訊息,但仍可強制另存新檔,只是該檔檔案大小是0 KB,檔案屬性是隱藏,當VDP程式關閉後,這個另存結果也會自動刪除。而這樣的結果,也確實防護檔案無法移出非保護範圍。

針對複製、列印、截圖等操作,並提供彈性的管控能力

管理者能進一步對VDP保護區設定管控權限。例如,禁止使用者的複製、列印、擷圖的操作行為,而且能依據不同使用者群組或個人帳號設定。

以複製權限管控為例,在受控電腦上,當我們以VDPExplorer開啟保護區內的DOCX檔時,如同一般操作,本機上的Word應用程式會開啟該檔案,不過,這時VDP的權限管控機制也會啟動,在桌面浮出一列名為Protected Program標題列,代表此時用戶使用的檔案是受到VDP保護的狀態。

一旦使用者複製這份Word文件的內容,僅能貼到同樣是保護區內的文件上,而無法貼到非保護區開啟的文件中,不過,使用者可以從其他地方將文字複製貼到這份Word文件中,讓文件內容防止寫出保護區,而不影響寫入。

不僅如此,這個保護區的管控也提供一定的彈性,管理者能夠針對指定使用者,開放他們可用的功能,增加使用彈性,像是解密、連線交換、離線交換、遠端解密等應用,相當不錯。

讓檔案伺服器、網站、NAS端也能納入保護區

伺服器端安全保護區的應用,也是這款產品一大特色。

在VDP伺服器端的設定上,管理者能夠透過優碩提供的網頁管理平臺,將檔案伺服器、Web應用系統及NAS儲存系統,套用為VDP加密磁區。簡單來說,就是將本機、伺服器端的保護區,以及檔案傳送時的SSL加密VDP安全通道,形成一個虛擬的安全區域,讓機密檔案無法傳到非安全區域。

其設定方式不難,只要輸入要設為保護區的伺服器IP位置,以及指定好安裝Stunnel Server的IP位置即可,這裡並能設定使用授權,也就是可存取的使用者IP範圍,以便系統能核對存取保護區的IP位址,是否在允許範圍之內。

與本機保護區的使用方式相同,當管理者將企業內部的檔案伺服器,設定為保護區時,使用者就必須透過VDPExplorer才能存取。加密磁區內的檔案與資料僅可回存至保護區的範圍內。而且,使用者可以將檔案伺服器的路徑,加入到VDPExplorer介面上的樹狀資料夾中,日後使用就很方便。

另外,VDP也可保護應用系統上的網頁內容、下載的檔案。舉例來說,在VDPExplorer介面上有一個陳列常用程式捷徑的區域,使用者可以將IE、Chrome等瀏覽器捷徑放到其中,當企業將內部的SharePoint文管伺服器設定為保護區時,使用者必須由此啟動瀏覽器,才能登入網站,下載檔案也限存於保護區,並能支援同時多人協作的應用。

另外值得一提的是,管理者也能限制使用者在新建檔案時,只能存到系統保護範圍,讓檔案從一產生就受到防護。在網頁介面上的AVDP設定項目中,管理者可設定需要管控的應用程式,讓使用者以受控程式儲存檔案至保護區時,才能有效寫入。另外,網頁介面上也提供網路位址白名單機制,管理者可依據IP位址,以允許使用者對於指定網站、檔案與程序的存取與執行。

 

可將檔案伺服器網站和NAS設為VDP保護區範圍

在網頁管理平臺上,介面上的「S.E.保護設定」就是VDP機制的設定項目,管理者可將檔案伺服器、Web應用系統及NAS儲存系統的網路IP位址,設為VDP保護區的範圍。

 

在本機建立虛擬加密磁區有多種自訂選項

在使用者電腦安裝VDP用戶端程式時,將會設定本機虛擬加密磁區的映像檔位置、磁碟大小、代號與檔案系統格式。設定為保護區的加密磁區,將具有無法寫出、只可寫入的基本特性。

 

提供專屬工具存取保護區的機密檔案

需透過VDP用戶端程式執行專屬的VDPExplorer工具,使用者才可存取本機或檔案伺服器上的VDP保護區檔案。當我們將保護區的檔案複製到本機上的其他磁碟時,系統會彈跳出拒絕存取檔案的警告視窗。

 

可彈性設定保護區的檔案使用權限

在VDP的網頁管理平臺上,管理者可以針對不同群組與使用者,設定各自的使用權限,這裡包含基本的複製、列印與截圖功能,並可彈性開放檔案解密、交換的權限,對應可能的使用需求。

 

產品資訊

優碩TrustView VDP 5.0

●建議售價:TrustView主系統搭配VDP模組的售價是70萬元(內建50個使用帳號授權),新增每個用戶端3,000元 

●原廠:優碩(02)2772-9900 

●網址:www.trustview.com.tw 

●伺服器端需求:Windows Server 2003~2012、RHEL 5~7、CentOS 5~7 

●資料庫:SQL Server 2000~2012、Oracle 8i~11g 

●用戶端軟體需求:Windows XP~8.1

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 

其他相關報導:


2014文件安全控管系統採購大特輯

2013加密隨身碟採購大特輯

2014中小企業防毒採購大特輯

熱門新聞

Advertisement