6款DRM產品測試總評

我們這次一共測試6家廠商提供的產品。其中，博格BorG DRM、數位商業EZ Lock、EMC IRM、優碩TrustView DRM for UDP，及精品X-DoRM是DRM產品，至於思訊的IP-guard V+，則是具備多種功能的資安產品，但由於它本身也可以加密檔案，限制他人不能隨意使用，同時能整合Windows AD，及電腦群組等多種方式做驗證，因此也納入這次的測試範圍。

需評估加密方式是否符合使用需求

這次我們測試的大部分產品，像是博格BorG DRM、數位商業EZ Lock、優碩TrustView DRM for UDP、精品X-DoRM，及IP-guard V+等數款，都是採用透明加、解密的方式管理使用者所產出的檔案，其好處在於當產品偵測到檔案本身有寫入的動作後，即自動做加密，過程當中完全不需要任何的手動操作，以便於減少資訊部門教導使用者操作產品所造成的負擔。

對於多數的企業來說，在DRM導入之前，內部即會存在大量的現有檔案需要透過產品提供保護，因此單純監控使用者後續產出檔案的做法，勢必會有所漏洞，許多DRM對此都有提供資料夾自動加密的功能，以便於保護存放在檔案伺服器的重要資料。

而在採行這項措施之前，企業就應該先行清查重要檔案的流向，了解是否有集中存放在檔案伺服器，還是已經散落於使用者電腦，對於放置在電腦上的副本，則應由使用者提出申請，透過DRM個別加密，否則就應該刪除，避免企業當中，仍有不受DRM保護的重要資料存在。

另外，由於DRM是根據資料夾內檔案的格式，來決定加密與否，而不會就當中內容進行判別，所以對於放置在檔案伺服器的資料，就應該分類，區別出那些檔案的重要性較高，必須透過DRM提供保護，分開存放的其他檔案，則是重要性較低，或者完全不含任何機密，所以不需要加密，只要是有權限存取該資料夾的使用者，都可以自由存取。

對於重要性較低的檔案，也有像是精品X-DoRM產品，是開發專用的加密檔案類型做管理，可以僅讓電腦上裝有用戶端軟體的使用者皆擁有完全的使用權限，或者提供唯讀權限。

支援軟體種類與控管效果息息相關

軟體的支援種類，決定了DRM的適用範圍。針對微軟的Office、Adobe的PDF，及Autodesk的AutoCAD等幾套在企業內部極為常見的軟體，這次的送測產品皆能對其所產生的專屬格式提供加密；至於不支援的格式，多數產品則是需要透過客製化等由廠商修改套件的動作，才能納入支援，或者先將檔案轉成可以支援的格式後，再行加密。

不過在轉檔的過程中，原有的內容可能會因此而遭受破壞，使得內容有所改變，因此對於有意導入DRM的企業來說，建議能選購原本就有提供支援的產品，如果不能，則需視採購預算的充裕程度，決定是否以客製化的方式，來解決此一問題。

很特別的是，數位商業的EZ Lock可利用內建的工具，讓企業將原本未支援的軟體自行列入軟體的控管清單，使得軟體客製化的機率降到很低，提高了產品使用的便利性。

有鑒於在企業內部，具有權限的使用者，如部門主管，可能會利用DRM的控管盲點，也就是將原本控管中的檔案，轉檔成為不受保護的格式，就算內容可能因此而減損，但只要能夠流動出去，仍然有一定程度的價值，即使後續可以根據系統所收集的操作記錄去追蹤使用者的非法行為，但仍然緩不濟急。要強化這方面的防護，像是思訊這次所送測的IP-guard V+在功能上就做得頗仔細，就可以加密控管軟體所產生的所有檔案，讓使用者無法透過轉檔的方式外洩機密資料，而對於想要填補此一漏洞的企業來說，DLP是另外一個可行的解決方式，它可以透過過濾檔案內容的做法，阻擋使用者傳送機密資料的行為，讓重要檔案無法流出企業內部。

需注意企業網路架構能否搭配產品部署

網路架構是企業採購DRM時，另外一個需要考慮的重點。以我們這次的測試需求來說，是希望整合Windows AD的資料，提供不同的使用授權，而在同一部門，僅有加密檔案的建立者，及主管等階級較高的使用者才有存取權限，而其他人則僅有唯讀權限。

像是博格的BorG DRM，由於本身是一款運作在微軟RMS、AD RMS架構上的產品，因此和Windows AD這類的微軟服務自然有比較緊密的整合，設定加密時，可以先對部門內的所有人給予基本的唯讀權限，再以例外清單的方式，讓特定的其他網域使用者有較高等級的權限。另外，精品的X-DoRM和Windows AD間，也有很不錯的整合度，當它的管理伺服器和Windows AD建立連線後，就可以直接同步資料，除了使用者帳號外，也包含原有的群組，及組織元件，基本上不需要其他的手動設定，後續的管理方式也很簡單。

以一般企業建立Windows AD的做法來說，透過網路傳送帳號、密碼的方式，是有可能從中側錄的，所以像是EMC的IRM在FIPS規範的要求下，限定管理伺服器僅能透過TLS的加密通道連接Windows AD，或者其他型式的LDAP伺服器。不僅如此，它還可以整合RSA的SecurID這類型的一次性密碼裝置，做第2層的身分認證機制，完整確認使用者的真實身分後，才會提供權限，而優碩的DRM產品也具備類似功能，除了一次性密碼裝置這類的PKI設施外，也能整合指紋辨識，做為驗證來源。

由於DRM是一種主從式架構的資安產品，安裝在電腦的用戶端程式需透過網路與管理伺服器連線，對於協力廠商這類的外部使用者來說，可能必須安裝專用的用戶端軟體，或者包裝成含檔案、閱讀器，及授權憑證在內的執行檔，才能開啟DRM加密過後的檔案。而部分產品在設計上，並沒有另外區分專用的用戶端程式，這時就必須透過VPN，或者修改防火牆的NAT設定，使得在外部環境的電腦可以穿透進來，連接內部網路的管理伺服器，需視企業的需求，及實際環境來決定採用何者。

除了網路架構的安全性，這次大多數測試的產品都具備檔案備份的功能，目的是在管理伺服器，或者是檔案毀損時，仍然擁有一份可以使用的早期版本，使得進行中的工作不致完全中斷。以精品的X-DoRM來說，產品本身的備份設定相當彈性，除了可以僅備份最初版本的密文檔案外，也可以隨著檔案的修改而做覆蓋，或者另存成不同版本的檔案。另外，像是思訊的IP-guard V+也具備類似功能，不過它是將檔案備份在資料庫當中，而非管理伺服器本機，或者是某個共享資料夾，廠商認為，這樣的設計可以預防具備檔案伺服器存取權限的人直接盜取檔案，而且備份起來的檔案是解密前的版本，可以更進一步對機密資料做保護。

應留意產品的備援機制

備援機制是我們這次對於DRM的評估重點。以我們這次測試的產品來說，主要的做法有2種，一種是Active/Standby，另外一種則是整合L4交換器，或者是負載平衡器的網路設備，讓多臺管理伺服器可以同時提供服務。

許多DRM將權限範本，或者是金鑰等重要資料儲存在資料庫裡，因此資料庫伺服器的架構，也是備援的重點之一。大多數的產品皆可以支援MSDE、SQL Server 2005/2008 Express一類的免費資料庫，好處是可以減少企業建置環境的所需費用，但它們在資料庫檔案大小，及伺服器規格等項目皆有所限制，同時也不提供多機同步資料的功能，因此對於採購預算許可的企業來說，當系統正式上線後，仍應以付費版本的資料庫搭配產品運作。

我們如何測試DRM

我們在一臺雙路2.8GHz Xeon處理器、4GB記憶體的伺服器，以VMware虛擬機器的型式架設了Windows Server 2003主機2臺，分別做為Windows AD，及DRM產品的管理伺服器，另外，還有一臺Windows XP SP3版本的虛擬機器，用來做為DRM的用戶端。

用來測試加密的軟體為微軟的Office 2003，藉由加、解密的過程，測試產品的功能。

對於各家的送測產品，我們設計了3個共通的評測項目，首先是用戶端軟體的支援平臺與功能；其次是在整合Windows AD的環境下，如何在同一個部門內，對於一份加密檔案做出不同權限的管理；最後一點，則是測試產品的備援機制。

相關報導請參考「6款DRM產品採購大特輯」