封鎖USB招式 11：將重要檔案加密，強制需輸入密碼才能開啟

要做到檔案加密，其實有很多選擇，例如WinRAR、WinZIP等壓縮軟體，或是PGP等加密軟體，它們都可以針對檔案或資料夾來執行加密，使用者想要開啟這些加密檔，需取得加密檔製作者所設定的密碼，輸入後，才能打開這個壓縮檔。

但除了WinRAR原有的加密壓縮之外，市面上也有一種專門對檔案文件加密的軟體，它的名稱為數位版權管理系統（DRM），使用者在建立好檔案或文件後，系統即會執行加密，DRM會隨機產生一組亂數的密碼，來對此檔案進行加密，使用者也可以設定此檔案可以閱讀的時限，或者是閱讀次數，如果此文件被開啟超過設定的次數，將無法再被開啟。

這樣做的好處，將不只是針對因USB埠而造成的資料外洩，而是任何可將資料外洩的管道，如網路、藍牙、電子郵件、社群軟體，都可以適用這一個封鎖方式。

除此之外，DRM也能整合Windows AD及LDAP，並設定不同權限。

陳弘儒說，DRM最主要的功能，就是針對企業內的資料做分層加密，可設定擁有各權限的人，做資料的閱讀、修改。

在系統內，稽核人員也可以查看文件的使用紀錄，並且在軟體的中控臺內將文件回收，被回收的檔案將不能再被使用。

他說，DRM有另外一個好處，不僅在於資料的加密，更可以設定資料在系統內，需要做到何種程度的稽核。例如使用者將未被定義政策的檔案攜帶出去，系統即會依照政策將簽呈送請主管簽核，並自動留存一份備份檔到後端伺服器。此外，當檔案被編輯修改時，管理者也可以看到檔案變更時間及修改人資訊，方便日後作稽核使用。

圖中為精品科技的X-DORM介面，可看到所有文件的修改時間、屬性種類、作者，以及該文件的權限，大致上，這類的DRM軟體較適合企業使用。

優：可不影響USB埠的正常使用

缺：如檔案容量太大，會很耗費時間

建置時間：軟體部署加上制訂政策，實際上線需1個月

所需成本：每位使用者每年約1,500~2,500元

相關報導請參考「徹底搜查！封鎖USB 2012 最新13招」