MOSS MOSS 企業資訊保全與工作流程解決方企業資訊保全與工作流程解決方案案

‧‧博格科技 蕭家棟博格科技 蕭家棟

MOSS MOSS 企業資訊保全解決方案企業資訊保全解決方案

企業面臨的資訊保全挑戰與解決方案

現況

解決人員異動與權限異動頻繁問題 各部門各自管理自已的權限政策需求

公司報價、技術文件、研發計劃…等機密文件外洩離職員工帶走公司的重要資料公司因機密洩露而造成無可估計的損失 核心競爭力被競爭對手竊取 喪失客戶的信心 營業額的損失

解決方案 : Microsoft E-DRM 企業資訊保全 (Enterprise Digital Rights Management)

重大資安事件凌陽控侵權 xx 公司被起訴 -2005年 11 月 數位相機晶片程式著作權案 XX 科技公司損失 0.8 億元 , 股價縮水 85 億元

– 2005年 4 月 離職經理，涉嫌拷貝該公司網路機密資訊，再自行架設地下機房。

XX 半導體公司– 2003年 3 月 指控內部員工竊取公司晶圓廠製程、配方、配置設計

圖等敏感機密資料，外洩給競爭廠商。2007 年漢光演習

– 2007年 4 月 某校級軍官攜帶漢光演習資料公務家辦，結果上網被駭客竊取，掀起兩岸軍事間諜戰。

SharePoint E-DRM Solutions

6

功能 好處

於 SharePoint 文件庫下載 Office 檔案時 , 依照 ACL 權限設定 , 自動加密保護

自動保護 SharePoint 上的 Office 2003/2007 文件 , 並提供全文檢索功能

支援近百種檔案格式 ( 包括 Office 2007/2003/2000 檔案、 PDF 檔案、網頁、 CAD/CAM、 IC 設計、程式碼、 Text、XML 、圖檔、動畫等 )

保護各種檔案格式之機密文件 , 不限定於 Office 2003/2007 檔案

支援 RMS 「權限原則範本」當組織或權限異動時 , 可修改 RMS 權限原則範本之權限設定 , Client 端之機密文件自動套用最新的權限設定

解決組織或權限之異動問題

加上動態浮水印 , 當開啟文件時，動態地加上開啟者的使用者名稱與開啟日期時間之浮水印

可嚇阻文件被列印、或被照相偷拍，可做追蹤稽核

黃色為 BorG 所提供功能

傳統安全防護的不足

Access ControlAccess Control List PerimeterList Perimeter

NoNo

YesYes

Firewall Perimeter

授權的使用者

內部未授權的使用者

資訊洩漏

外部未授權的使用者

E-DRM 提供完整的資訊安全 存取控制政策 + 數位版權管理

Acc

ess C

ontr

ol L

ist

Yes

No

Firewall Perimeter

資料不外洩

資料不外洩

Microsoft E-DRM 平台要解決…

機密文件

嘿嘿嘿 ,我有權限 !!

把他洩漏給別人看 !!

Copy/Paste

Employee

使用者不能再當文件發佈者

限制使用範圍及有效時間

解決人員異動與權限異動頻繁問題 , 譬如離職後無法開啟電腦機密文件

Microsoft E-DRM 系統架構

RMS Server SQL Server

外部使用者

Active

Directory

IE + RM Add-on for IE

Office 2003 及 2000的 使用者 文管系統

舊版 Office 使用者

RMS Client

File Server

IE + RM Add-on for IE +.Net Passport

BorG Proxy Server

BorG DRM BorG DRM ServerServer

Web AP

System Architecture

Integrated Applications

E-DRM 引擎

Microsoft E-DRM 平台

E-DRM 廣度( 各種系統整合模

組 )

E-DRM 深度( 各種檔案轉換模

組 )

各種應用系統

博格 E-DRM

Microsoft E-DRM 完整解決方案

E-DRM 管理 (管理系統 )

E-DRM 完整解決方案

AD, Windows 基礎架構

內建 E-DRM 功能應用軟 體 (IE 6.0/7.0, Office

2003/2007, Media Player, Windows Vista, MOSS 2007)

E-DRM 技術 (IRM, RMS, DRM)

E-DRM 伺服器 (RMS Server, RMS Client)

RMS server

BorG E-DRM

5. 上載的檔案即自動加密

4.RMS 簽認 rights label

2. 上載檔案至已規劃的資料夾中

文件使用者

10.RMS 驗證後核發 license

7. 使用者登入9. 應用軟體請求

license( 授權 )

6. 使用者開啟加密文件

11. 依授予權限開啟文件

8. 使用者通過身份驗證

1. 系統人員透過管理系統先規劃 File Server 資料夾並將權限範本套用至該資料夾中。

3. 傳送 rights label 到 RMS

AD

File Server

Microsoft E-DRM 系統運作流程

Office IRMWindows RMS Email

Outlook 2003

AudioWindows Media

Audio

VideoWindows Media

Video

Office各種版本 Word, Excel,

PowerPoint

PDF

靜態 Web靜態網頁

CAD/CAMPro/E, AutoCAD

Text/ Image

Text, XML

企業資訊保全 (E-DRM) 的檔案類型

動態Web動態網頁 , Web 應用程式

網頁動態浮水印由動態浮水印 /IM/Email/ 網路 , 稽核資料被偷拍照相 / 列印 / 傳輸之異常情況

防列印

防偷拍

BorG DRM 系統架構 -1基本型

AD Server BorG DRM

LAN

File Server

RMS Server SQL Server

SPS Server

BorG DRM 系統架構 -2效能考量型

AD Server

RAID RAID

SAN Switch

BorG DRM

LAN

Encryption Server 1( 加密伺服器 )

RMS Server SQL Server

Encryption Server 2( 加密伺服器 )

多個加密伺服器提昇加密效能

DRM 將系統與安全管理角色分離

系統管理員 (IT)

- 建立 Policy 類別 , 指定各類別權限管理員 / 權限設定員- 一個 ( 或多個 ) 部門 使用一個 ( 或多個 ) Policy 類別

權限管理員 ( 各部門管理者 )

- 管理此 Policy 類別之權限

權限設定員 ( 各部門作者 , SPS 內容管理員 )

- 根據資訊內容或類別 , 挑選適用的 Policy

- 於資訊創作 / 傳送階段 , 權限設定員為作者- 於資訊分享 / 管理階段 , 權限設定員為內容管理員

Security Admin

System Admin

分離

系統管理員 : 建立 Policy 類別 / 指定權限

存取稽核

Microsoft E-DRM

實際案例與需求

企業資訊保全導入之政策規劃

企業資訊保全政策規劃

權限機密等級 部門 專案群組 職級

一般 機密 極機密 財務部 業務部 資訊

部理財 VIP

專案信用卡 專案 副總 經理 課長

讀取 O O O O O O O O O O O

列印 O O 　 　 O O O O O O 　

複製 O 　 　 　 　 　 　 　 　 　 　

起迄日期 　 　 O O O 　 　 　 　 　 　

程式存取 　 　 　 　 　 O 　 　 　 　 　

編輯 O 　 　 　 　 　 　 　 　 O 　

儲存 O 　 　 　 　 O 　 　 　 　 　

完全控製 O 　 　 　 　 　 　 　 　 　 　

連線驗證 　 　 O O O 　 　 O O 　 　

Microsoft E-DRM 客戶製造業

凌陽科技 (Sunplus) 公司 友達光電 (AUO) 公司 英業達 (Inventec) 公司 英華達 (OKWAP) 公司 南亞電路板 (Nanyapcb) 公司 功學社 (KHS) 公司 台灣耐落 (Nylok) 公司 廣達電腦 (Quanta) 公司 東南汽車 (Soueast) 公司 裕隆汽車 (Yulon) 公司 旺能光電 (DelSolar, 台達電集團 )

服務業 / 政府 潤泰全球 安全單位 政黨 台北 101大樓 工研院

銀行、電信業個人資料保護

實際需求 「個人資料保護法修正草案」最高賠償總額將由原條文的五千萬元，提 高到一

億元 (2006/1 月 ) 銀行、電信業臨櫃人員有機會利用職務之便 , 竊取客戶個人資料及證件影本以為

非法之用途

應用方式

上線效益

IRM/RMS + BorG DRM for Files 臨櫃人員以 Office or IE 開啟受保護的個人資料及證件影本

個人資料及證件影本即使外漏也無法開啟 , 個人資料確保安全

MOSS MOSS 企業資訊保全解決方案企業資訊保全解決方案

Demo

執行力是關鍵

• 預防勝於治療

• 由全球推動 ISMS 的過程經驗中，最基礎且最重要的便是人員的資安觀念與管理知識

• 給對的人　在對的時間　作對的事情

• 資通安全＝管理 + 技術 + 稽核– 應達到“均衡”管理– “七分管理，二分技術，一分稽核”

MOSS MOSS 工作流程解決方案工作流程解決方案

Built in workflow templates & custom workflows

Built in workflow templates & custom workflows

Workflow In SharePoint TechnologiesWorkflow In SharePoint Technologies

• Empower information workers using Office Serverwith out-of-the-box solutions and self-service tools to support a broad range of routing and tracking scenarios without IT involvement

SharePoint Workflow Solutions

28

功能 好處簽核流程當中依照不同的條件執行不同的動作 , 並可以加入版本控制 ( 取出 / 存回 ) 、建立 / 複製 / 修改 /刪除文件內容、傳送電子郵件 ( 包括文件內容、簽核流程等動態的資料 ) 、暫停、等待欄位變更等

設定即可完成彈性的複雜文件管理流程

擴充 SharePoint Designer的Workflow 功能，讓SharePoint 上的 List與 Document Library 可以進行工作流程簽核的功能，提供與人簽核有關 (呈主管與會人員簽核 ) 的動作關卡

使用者自行規劃流程 , 免 IT協助於 SharePoint Designer 設定即可 , 不需 IT/Developer

呈多層 (1~10, 直到最上層 )主管簽核 可依照不同內容設定不同的主管層級簽核 , 譬如極機密文件經兩層主管簽核 ,普通文件經一層主管簽核

簽核者可以瀏覽申請單內容、工作流程歷程記錄 (每人簽核意見、簽核起迄期間，以及查看流程圖 . 簽核者可以填寫意見，選擇 [ 核准 ] 或 [拒絕 ] 、 [ 儲存草稿 ]

瀏覽詳細流程記錄 , 參考每人簽核意見 , 再決定填寫意見選擇 [ 核准 ] 或 [拒絕 ]

簽核者可以新增加簽核人員 彈性簽核 , 依照文件內容會相關人員表示意見

黃色為 BorG 所提供功能

SharePoint Workflow + E-DRM Solutions情境一 : 文件發佈流程管理 展示情境二 : 文件生命週期管理 展示

自動套用”極機密”範本權限 (IRM)

若機密等級選擇”機密”

若機密等級選擇”普通”

情境一 : 文件發佈流程管理 展示

文件作者上載文件到「部門文件庫」時 , 依照機密性選擇機密等級• 若機密等級選擇「機密」

1. 經過主管核准 (Workflow)

2. 自動套用「極機密」範本權限 (IRM) 加密 , 以保護機密文件3. 複製文件發佈到「機密文件庫」

• 若機密等級選擇「普通」• 複製文件發佈到「公司文件庫」

部門 文件庫

機密 文件庫

公司 文件庫

Workflow

簽核 IRM 保護

複製文件發佈到「機密文件庫」

複製文件發佈到「公司文件庫」

經過主管核准 (Workflow)

文件作者上載文件到「部門文件庫」時 , 依照機密性選擇機密等級

SharePoint SharePoint

SharePoint

紅色為博格公司所提供功能

31

1. 文件作者上載文件到「部門文件庫」

2. 進行發佈動作 , 啟動新工作流程

3. 於申請單依照機密性選擇機密等級

4.申請者主管收到一個新的待簽核工作

35

5. 簽核者可以瀏覽申請單內容、工作流程歷程記錄 (每人簽核意見、簽核起迄期間，以及查看流程圖 . 簽核者可以填寫意見，選擇 [ 核准 ] 或 [拒絕 ] 、 [儲存草稿 ]

6.查看流程圖

7. 核准後自動套用「極機密」範本權限 (IRM) 加密 , 以保護機密文件 , 並複製文件發佈到「機密文件庫」

8. 開啟「機密文件庫」的文件 , 有套用「極機密」範本權限 (IRM) 保護

9. 當組織或權限異動時 , 可修改 RMS 權限原則範本「極機密」之權限設定 , Client端之機密文件自動套用最新的權限設定

情境二 : 文件生命週期管理 展示

紅色為博格公司所提供功能

自動套用權限原則以保護文件 (IRM)

審核區 文件庫

發佈區 文件庫

Workflow

簽核 IRM 保護

複製文件發佈到「發佈區」文件庫

經過主管核准 (Workflow)

文件作者上載新見文件到「審核區」文件庫

SharePoint SharePoint

新建文件

情境二 : 文件生命週期管理 展示

自動套用權限原則以保護文件 (IRM)

審核區 文件庫

發佈區 文件庫

Workflow

簽核 IRM 保護

更新「發佈區」文件庫的文件

經過主管核准 (Workflow)

文件作者上載修訂文件到「審核區」文件庫

SharePoint SharePoint

修訂文件

紅色為博格公司所提供功能

情境二 : 文件生命週期管理 展示

審核區 文件庫

發佈區 文件庫

Workflow

簽核

刪除「發佈區」文件庫的文件

經過主管核准 (Workflow)

文件作者「審核區」文件庫啟動廢止工作流程

SharePoint SharePoint

廢止文件

紅色為博格公司所提供功能

MOSS MOSS 工作流程解決方案工作流程解決方案

Demo

博格 .NET Workflow (BorG SPM) 產品客戶製造業

光寶科技公司 (Lite-On) 力晶半導體公司 (PSC) 啟碁科技公司 (Winstron) 英業達公司（ Inventec） 英華達公司 (OKWAP) 聯詠科技公司 (Novatek) 美律實業公司 (Merry) 台灣國際標準電子公司 (Alcatel) 今國光學公司 功學社 (KHS) 公司 江申工業公司

服務業 萬泰銀行 中央產物保險公司 (Cins) 中央再保險公司 (Crc) 新光產物保險公司

博格科技公司 簡介

唯一榮獲經濟部新創事業獎、創新研究獎、 SBIR補助

http://www.BorG.com.tw

公司簡介

研發與行銷企業商用軟體產品– BorG DRM (博格企業資訊保全系統 )

• 國內 E-DRM（企業資訊保全）市場的領導品牌– BorG SPM (博格商業流程管理系統 )

• 國內 .NET Workflow市場的領導品牌 成立時間： 2003/02/19進駐台大育成中心： 2005年 4 月資本額： NT$ 20M員工人數： 22人經營願景

– 提供世界級的商用企業軟體產品

創新的營運模式 榮獲經濟部第 4 屆【新創事業獎】

創新的軟體產品 榮獲經濟部第 12屆【創新研究獎】 成為中信局共同契約採購項目

政府機關可用免開標的程序直接採購 榮獲經濟部核准發明專利

具分離式架構之工作流程管理方法 入圍微軟【Windows Vista應用軟體金像獎】

博格科技的創新 (1/3)

創新的行銷模式 榮獲微軟【 FY06 Best IW Solution Partner Award】

2006年最佳知識工作者解決方案合作夥伴獎 榮獲亞太區【Microsoft Office System 解決方案獎】

Intel 與微軟公司合辦 , 兩個 .NET 產品 通過微軟公司【 .NET Connected標誌】認證

三個 .NET 產品 微軟美國總部報導成功案例

凌陽科技公司導入博格企業資訊保全 BorG DRM

成為微軟公司【Microsoft Gold Certified Partner】 微軟與 Intel 公司推薦博格科技產品

於 微軟與 Intel 公司舉辦的幾十場研討會等行銷活動

博格科技的創新 (2/3)

博格科技的創新 (3/3)

核心競爭優勢– 從新技術當中創造藍海市場

創新的新產品開發計劃– 榮獲經濟部【 SBIR補助】– 榮獲經濟部【 CiTD補助】– 榮獲經濟部【領航補助】

【Works With Windows Vista】認證

• 博格科技兩個產品通過微軟公司【Works With Windows Vista】認證，認可與 Windows Vista 的相容性。 NEW!博格科技榮獲經濟部【創新研究獎】的 BorG DRM (博格企業資訊保全系統) 與 100% .NET 版本 Workflow BorG SPM (博格商業流程管理系統) 產品，雙雙通過微軟公司【Works With Windows Vista】認證 (ID 為 13310816, 13310818) ，認可與 Windows Vista 的相容性。