文件保護型態轉換 與文件加密不得不說的故事e-2.pdf1. 全面加密 2....
TRANSCRIPT
TrustView 陳品翰
文件保護型態轉換 與文件加密不得不說的故事
• TrustView背景介紹
• 文件保護型態及檔案加密探討
• 新型態文件保護機制-TrustView VDP
Agenda
2005
TrustView 沿革
• 台灣成立E-DRM/DLP產品研發團隊
• 發表第一代TrustView for Office/PDF檔案加密產品
2006 • 發表TrustView for Web 網頁內容防護產品
• 發表第二代支援多種格式檔案加密產品 (IDP、ADP)
• 發表TrustView 文件鎖單機版產品
• 發表虛擬隔離防護技術之TrustView ODP (外發文件保險箱)
• 發表虛擬隔離防護技術之TrustView VDP (虛擬隔離防護機制)
• 支援離線外發保護機制
2007
2009
2013
2014
• 東京成立TrustView日本分公司
• 上海成立TrustView技術服務處
• 提供個資雲及個資盤點等服務 2010
TrustView產品相關專利
TrustView專注在DRM檔案加密領域的產品研發
文件保護型態演進
鎖周邊
- I/O控管 - 資產管理系統
鎖網路
- 閘道控管 - DLP - 網路封鎖
鎖系統
- 文管系統 - ACL
鎖檔案
- 檔案加密 - 資料夾加密 - 磁區加密
Feature
Encryption Method
File Base
DLP 加密型-外洩防護系統
透明性
檔案加密
1. 全面加密
2. 應用程式為基
礎權限控管
DRM
檔案加密
1. 個別檔案加密
2. 檔案為基礎的
權限控管
磁碟加密
1. 磁區加密
加密型防禦機制(鎖檔案)
檔案加密的優勢所在
6.80%
12.90%
14.60%
15.40%
17.10%
其它意外(設備遺失)
資料移動時出錯
不肖外包業者
內部竊賊
惡意攻擊
企業使用檔案加密系統主因
檔案加密無法取代的地方
•於交換傳遞或外發使用中需要保護
•細膩化的權限控管(以檔案為基礎進行權限控管)
•符合ISO文件管理規範
哪一種加密比較快呢?
哪一種加密比較快呢?
檔案加密 磁區加密
檔案加密不是最快的
檔案加密
磁區加密
明文檔
3.5
2.1
1.9
加密方式 開檔效能
相同測試環境 檔案加密不是最快的加密方式
備註:皆採用AES-256bit演算方式
檔案加密的可靠性?
檔案加密可用性、可靠性高
檔案加密系統可用性、可靠性高
檔案加密防護系統
認證
Authentication
授權
Authorization
稽核
Auditing
存檔 應用程式
WINDOWS API
Driver
User Mode
Kernel Mode
Storage
實體磁碟
檔案加解密
為什麼不單純?
Client Agent
File Server/PLM/PDM
Client Agent
檔案加密可以這樣樣用嗎?
修改
閲覧
1. 線上共用元件協同作業 2. Streaming 線上創作
可能導致檔案不同步或無法使用
因檔案加密關係,可能導致第二人無法使用、
或檔案因Cache無法即時同步或更新
無法完整支援應用程式網路存取
USER
PLM/SharePoint Server
License/OWA Server
檔案加密機制 以AP作為控管網路使用的單位
線上使用機密文件
案例一 CAD圖檔於PLM系統使用需連線至License伺服器認證,一旦開放CAD應用程式網路存取,連帶開放CAD應用程式直接上傳網頁或雲端服務等功能 案列二 無法利用Office Web Apps 開啟SharePoint加密後的檔案
Internet/雲端服務平台
TrustView Server
使用者行為 -瀏覽(View) -下載檔案(Checkout) -上傳檔案(Checkin)
Secure Environment系統架構
TrustTunnel Server User
檔案與資料 僅可回存,杜絕外流
下載強制存入保護區
PDM/PLM/WEB/File SERVER/SVN/VSS
• 透過SecEnv執行之APP禁止儲存檔案到非保護區
• 透過SecEnv執行之APP禁止將檔案傳送到非控管Server 非保護區檔案僅讀不能存 受保護APP可存取保護區檔案
X
Browser/PDM Client
新型態文件保護機制
• 加密效能不彰
• 檔案加密可靠度較低
• 無法支援線上即時協同運作
• 無法完整支援應用程式網路存取
• 可保護應用程式較少
改善檔案加密不足之處
• 惡意攻擊
• 內部竊取
• 不肖外包業者
• 資料移動時出錯
• 其他意外(設備遺失)
檔案加密防護效果
+ 磁區加密
閘道控管
安全通道
檔案加密
權限控管
• 內部端點(PC或Notebook)使用虛擬磁區加密技術,在檔案I/O上是以AES
256 bits加密,因此檔案不須加密,不會導致資料加密毀損的問題。
• 並建立內部檔案伺服器、Web應用系統及私有雲雲端儲存(NAS) 的虛擬隔離
保護區。(不加密)
安全的虛擬防護空間
內部安全區使用者 (VDP)
加密保護區
(R槽)
本機未保護區域 (C、D槽)
虛擬保護區
(不加密)
WEB Application File Server
安全的虛擬防護空間
• 伺服器端虛擬保護區與端點虛擬加密磁區,在網路傳送上是以SSL加
密,並利用專利技術使伺服器端下載檔案強制存入保護區
• 於保護區中受保護APP可存取保護區檔案
• 無需使用API整合,即可與現有的Web應用系統整合,保護應用系統上
的網頁內容及下載的文件圖檔
端點與伺服器間安全連線
內部安全區使用者 (VDP)
加密保護區
(R槽)
本機未保護區域 (C、D槽)
虛擬保護區
(不加密)
WEB Application File Server
安全通道 SSL
端點與伺服器間安全連線
• 加密保護區能進不能出的特性,檔案與資料僅可回存,杜絕外流
• 行為權限控管,提供安全既彈性防護(鎖抓圖、複製、列印、離線時間)
• 透過保護區執行之應用程式及檔案禁止儲存檔案或複製內容到非保護區
(如:E-mail、外接儲存裝置、Internet、雲端儲存空間…)
讀印存寫的安全防護罩
內部安全區使用者 (VDP)
加密保護區
(R槽)
本機未保護區域 (C、D槽)
讀印存寫的安全防護罩
• 保護區內的文件資料如有外發需求,可搭配ODP模組,針對各種格式的
外發檔案進行安全防護(複製、列印、修改、截圖、有效時間)。
• 提供連線、離線及安裝版、免安裝版適用於不同使用環境
方便內部及外部協同運作 (加密機制)
內部安全區使用者 (VDP、ODP)
安全通道
本機未保護區域 (C、D槽)
外發移動型保險箱(ODP)
外部連線、離線使用者或上傳雲端空間
加密保護區 (R槽-固定型保險箱)
方便內部及外部協同運作
Client Agent Client Agent
支援線上即時協同運作
1. 線上共用元件協同作業 2. Streaming 線上創作
虛擬保護區
(不加密)
WEB Application File Server
檔案不加密,所以可以這樣用
利用虛擬隔離保護區概念,檔案無須加密即可
達成防治資料外洩的效果。
TrustView VDP使用架構圖
安全區
內部安全區使用者(VDP、ODP)
Tunnel Server 閘道控管
安全通道
VDP
加密保護區 (R槽-固定型保險箱)
VDP安全通道
本機未保護區域 (C、D槽)
外發移動型保險箱(ODP)
外部連線或離線 使用者
WEB Application File Server
OK
•加密效能不彰
•檔案加密可靠度較低
•無法支援線上即時協同運作
•無法完整支援應用程式網路存取
•可保護應用程式較少
改善檔案加密不足之處
VDP – 以安全區域為權限控管
公司內部VDP使用者
V槽安全區域權限 -可複製(編輯)
ERP/KM
File Server(NAS)
PLM/PDM
VDP安全通道
文件管理者/政策制定者
A_Corp
-可唯讀
B_Corp
-可列印 C_Corp
-可複製 -可列印 -可編輯
機密資料.tba
A_Corp
-可唯讀
B_Corp
-可列印
C_Corp
-可複製 -可列印 -可編輯
ODP – 以BOX為權限控管
DEMO
26
謝謝指教