文件安全控管產品發展現況與產品實測

不論對於企業、政府機關、醫院等各類型組織，組織之間經常為了溝通或運作，都會有文件產出的行為。而隨著組織架構與複雜度趨增，通常文件的類型也會跟著變多。

而這些重要文件，以前可能會認定契約書等為機密資料，只要加強管理這類型文件即可。不過，隨著臺灣即將實施個資法，讓企業開始擔心具個人資料的文件洩出時的影響。一般而言，檔案本身若沒有透過軟體進行加密或控管權限，任何人都能夠隨意進行內容複製、編輯、列印文件。

而在保護電子資料方面，以往有著數位版權管理（Digital Rights Management，DRM）、企業數位版權管理（Enterprise Digital Rights Management，E-DRM）等資料保護應用，而我們這次採購，則採以定義較廣泛的文件安全控管產品為主。

這類文件安全控管產品，除了文件加密功能以外，更能依據使用者的身分與部門，限制使用者存取文件的權限，如：複製、編輯、列印、擷圖等功能。而在建置架構方面，大多採用Client-Server。

在系統運作上，通常會由管理伺服器設定及發布用戶端權限，而用戶端方面，則會由用戶端程式進行文件加密及權限控管。不過，也有廠商的系統僅提供權限控管的部分，文件加密方面則是整合微軟的RMS服務（Rights Management Services），透過這項技術處理加密動作。

實測6款文件安全控管產品的發現
此次採購特輯，在功能上我們要求須能整合Windows AD，並且需具備文件加密、權限控管、離線檔案閱覽，以及阻擋擷圖程式等功能。結果我們發現，有6家廠商的產品符合需求，而且也願意送測，它們分別是數位商業、精品、NEC、思訊、優碩及以柔，共6家的文件安全控管產品。

在系統的部署上，這些產品大多在安裝管理伺服器後，管理者可透過Windows AD或廠商提供的部署工具安裝用戶端程式。而在管理伺服器方面，大多廠商的功能皆整合在上面，所以僅需安裝一臺即可。但在此次測試中，數位商業的EZ-Lock較特別，他們的架構上提供了備份、記錄、電子憑證等伺服器，所以須經過較多安裝流程。

提供多樣性的加密方式
在加密功能方面，幾乎每套系統都具備自動加密與手動加密。以自動加密來說，使用者開啟文件時，系統就會自動偵測應用程式是否為系統加密清單中的程式，並且會監控使用者儲存資料時的I/O動作。當使用者儲存資料時，用戶端程式就會自動加密文件。而手動加密的部分，則是提供給使用者自行選擇文件，並透過用戶端程式加密。

進階一點的加密功能，則提供文件掃描、加解密資料夾及檔案伺服器加密功能。像文件掃描功能，它主要功能為掃描用戶端電腦所擁有的文件所在位置，並且能依據管理者所指定的檔案格式進行加密。而像精品X-DoRM的文件掃描功能，除了提供掃描加密以外，還提供文件備份功能，並能透過控制臺查看使用者加密和未加密文件的數量資訊。

而像加解密資料夾的功能中，可以讓管理者在用戶端電腦上，設置強制加密或解密的資料夾，方便使用者快速套用；而檔案伺服器加密功能，除了能加密檔案伺服器的資料外，更能夠設置權限控管使用者存取資料。

作業系統方面大多皆已支援Windows 64位元環境
各家文件安全控管產品支援加密的應用軟體上，類型可區分為辦公軟體、進階繪圖軟體及程式設計軟體。以辦公軟體來說，各家都涵蓋微軟Office，而有的廠商還會支援Open Office或金山Office。而日常工作經常使用到的的Adobe Reader、NotePad、WordPad、小畫家等應用程式，各家文件保護產品也都提供。

除此之外，在進階繪圖軟體的支援方面，以PhotoShop、CorelDRAW 、CATIA、AutoCAD、Pro/E、SolidWorks為大宗；而程式設計軟體的支援上，最常看到的則為Visual Basic、Visual C++等程式設計軟體。

在支援的作業系統方面，幾乎大多廠商，不論在伺服器端或用戶端方面，皆支援32及64位元版本的Windows作業系統。不過，優碩的用戶端方面，在64位元系統方面，僅支援Window 7。

而測試中我們也發現到，這6套系統皆僅支援Windows作業系統，卻沒看到廠商支援Mac OS或Linux。

皆具備加密文件離線閱覽功能
加密文件除了企業內部人員使用外，在業務及工作上，也經常會遇到須把文件提供給外部使用者的情況。而除了提供解密文件外，若需有限度的控管外部使用者時，則須透過離線閱覽功能。

該功能主要是透過輸出離線閱覽憑證，並給予外部使用者加密文件、離線閱覽憑證或密碼，以及簡易版的用戶端程式。當使用者安裝完簡易版的用戶端程式，並套用離線授權後，就如同在企業內部使用文件安全控管產品，使用者在編輯文件時，則會被限制存取權限。

各家作法與上述相差不大，但較值得一提的是精品的X-SI檔，它能夠讓管理者將加密檔案，不論是文件或圖檔都轉成X-SI檔。X-SI檔類似於PDF，會把資訊轉成圖檔，而外部使用者僅能透過X-SI Viewer開啟及編輯。

仍有產品尚未提供浮水印功能
文件安全控管產品的浮水印功能，分為螢幕浮水印及列印浮水印。前者為顯示在加密文件的應用程式上，阻嚇那些透過相機擷取螢幕資訊的使用者；而列印浮水印方面，則能讓使用者列印文件時，強制在文件上加入浮水印資訊。

浮水印資訊方面，基本都能夠顯示使用者的自訂文字，以及列印時間、使用者帳戶、IP位址等資訊。

在操作上，各家幾乎都有浮水印設定介面，供管理者選擇嵌入浮水印資訊，而這次測試的廠商中，以優碩的浮水印功能使用起來較麻煩，因為優碩的浮水印功能並未提供介面讓管理者輸入浮水印資訊，而是需要用戶先向他們取得XML檔，並需自行透過編輯器修改；此外，目前仍有NEC與思訊尚未提供浮水印功能。

提供電子郵件寄送，自動解密文件功能
導入加密文件後，最麻煩的事情，大多為將日常文件提供給公家單位，因為這些文件非機密資料，且每次為了寄送寄送，還需要申請文件解密，取得解密文件才能寄送。

而思訊的IP-guard V+與數位商業的EZ-Lock，分別都提供電子郵件寄送時，自動解密夾帶檔案的功能。它們都需要設定郵件白名單，當郵件寄送時，郵件帳號與白名單相符時，系統會自動解密夾帶檔案。不過，EZ-Lock使用該功能時，需自備SMTP伺服器。

針對文件管理中心，有整合套件與提供文件中心模組等作法

這次測試中，不少廠商針對文件管理中心提供了相對應的功能。以優碩、NEC、以柔來說，他們的文件安全控管產品皆能夠整合微軟SharePoint伺服器。除此之外，優碩和以柔的產品還能夠整合IBM Notes。

除了整合文件管理中心外，也有廠商的產品自己提供文件管理中心功能，以精品為例，它具備了DEC及WebDEC模組，讓管理者能夠自行建立企業內部或網頁版文件管理中心。

目前無產品針對BYOD提供相對應方案
由於近年來BYOD（Bring Your Own Device）的風潮盛行，大多數人閱讀文件的載具除了電腦及筆電以外，也已經漸漸擴展到智慧型手機、平板電腦上面。而企業若導入文件安全控管產品，本身又須面對行動平臺的應用，勢必會考慮這方面的適用性。

在這次測試中，我們並沒見到任何廠商提供iOS或Android系統的用戶端程式，所以使用者透過智慧型手機及平板電腦查看文件時，則會無法正常登入系統取得身分認證，導致無法使用文件。

不過，也已有廠商試圖以其他方式突破這樣的困境，像優碩將在6月底時，預計將釋出虛擬化應用服務，該功能主要是將用戶端程式，安裝在Windows Terminal伺服器的Office上，讓使用者能夠以此方式遠端編輯文件。如此一來，使用者能夠透過平板電腦遠端查看，但在操作上依舊不方便。

文件安全控管產品功能規格表

[圖表]文件安全控管產品功能規格表(點此看圖)

相關報導請參考「文件安全控管產品採購大特輯」