個資文件控管 解決資安困境

個資法實施細則已出爐，雲端應用技術廣為發揚與DLP檔案保護技術百家爭鳴。零售業者與中小企業是否也有更適切的新產品來為自己的資安品質加分呢？

中小企業普遍的資安困境簡單來說有三項：一、沒錢。二、沒人。三、沒所謂。沒錢即是指中小企業能夠投入於資安防護的經費實在有限。一些昂貴的軟、硬體設備當然不可能被參考選用。沒人則是衍生自資安經費不足，無法聘請專業的IT人員協助維護系統，所以過於艱澀的產品縱然功能強悍也是枉然。沒所謂即是小覷了資安外洩所帶來的損失，這反倒是最難以克服的關卡。值得慶幸的是，三年前的資安檢測計畫以及如火如荼的個資法罰則宣導已經打通了最難克服的「沒所謂」。而今年Sony的 Play Station Network個資外洩事件所觸發的巨額罰款更是深深驚醒了各家中小企業經營者。在各項資安產品研討會中，不難發現中小企業主的身影有增多的趨勢。

雲端觀念興起所帶來的契機
上述中小企業資安困境中的前兩項，「沒錢」與「沒人」在雲端技術被推廣應用的今日有了解套。雲端技術的核心價值：「節能」、「彈性」與「方便」，正是為中小企業紓困的良方。「節能」除了節省能源以外，隱含著節省開銷之意，中小企業主不必再採購連自己都不懂的資安設備，而是透過租賃或代管的方式來取代。「彈性」則代表著時間、空間的可擴充或可收縮性，中小企業主可以在產業旺季時加碼租賃雲端服務，而在淡季時縮減甚至暫停租賃服務。「方便」則是雲端最亮眼最吸引人的特性，可以說是有網際網路即可使用雲端服務，而在今日，許多無網路狀況的服務不中斷解決方案亦被提出。

文件檔案上雲端的安全性問題
在上一個段落，我們談論到了雲端觀念的核心價值與好處之後，接下來回歸到雲端與DRM資安產品的結合解決方案。安全性，這是個伴隨雲端技術一被炒熱後就尾隨的問題，而資安產品與雲端結合以後更容易讓人有雞生蛋、蛋生雞的迷思，亦即因為檔案上了雲端才要考慮安全性，還是因為安全性才要把檔案上雲端呢?

DRM機密文件安控系統是一個主從式架構的文件加密系統，與雲端概念結合後，我們將認證主機與使用的資料庫擺放在雲端。

認證主機所使用的資料庫僅存放(1)帳號(2)加密文件的使用權限政策與(3)開啟檔案的事件記錄，所以儲存在雲端上的資料並非企業內重要的機密文檔。而使用者電腦環境上僅需安裝客戶端程式，只要在可連線至雲端主機的狀態，即可開啟加密檔案與在客戶端加密文件。主從式的架構讓中小企業主不必擔心重要的文件會儲存於雲端，另一方面又更加強化了公司內部的文件安全層級。用個簡單的比喻即是，保險櫃放在家裡，打開保險櫃的金鑰放在銀行。事實上，當使用者將文件加密控管以後，反能更能安心的將文件傳遞使用，真正做到文件交流於雲端的效果。

SAAS(Software As A Service)是雲端觀念中的一環，DRM資安產品亦是Software的一種，當然可以與雲端技術進行非常良性的搭配使用。而無論是計費模式與使用習慣都必須深深結合彈性租賃的觀念。相信當中小企業主、服務提供廠商與產品設計原廠磨合熟稔運作模式後必能創造三贏的局面。