6款DRM產品採購大特輯

數位版權管理(Digital Rights Management,DRM),是用來控管數位檔案使用權限的加密技術,而我們這次一共測試了6款,能夠針對企業內部檔案採取保護的此一類型產品,而它們又稱為企業數位版權管理(Enterprise Digital Rights Management,E-DRM),我們將透過實際部署,及功能操作告訴你這些產品的特色,還有差別之處。




DRM的架構及採購時的注意事項
數位版權管理(Digital Rights Management,DRM),是眾多資料保護技術當中的一種,用來保護數位資料不被任何人所隨意使用,對於專門用來保護企業內部檔案的此一類型產品,有些人以企業數位版權管理(Enterprise Digital Rights Management,E-DRM)的新名稱,以便和保護影音資料的DRM技術有所區別,它同樣可以根據使用者身分,對於受到產品所保護的重要資料,給予不同的存取權限,及加上浮水印的版權訊息,就其屬性而言,適合保護具有流動性質的機密檔案。


DRM的產品種類及運作架構
DRM產品的種類相當多樣,除了我們這次所測試,可以單獨建置的產品外,許多知識管理(Knowledge Management,KM)、ERP,及PLM等類型的產品,都和資安廠商合作,加入DRM的功能模組,在日常控制檔案的流向之餘,也能進一步規範檔案的使用權限。

除了第3方資安廠商的產品外,也有許多DRM的方案,是由開發該種檔案格式的原廠所提供的,微軟的Rights Management Services(RMS),就是其中很具代表性的一款。

它需要另外從微軟的網站上下載,安裝在Windows Server 2003的平臺,控管使用者對於Office檔案的存取權限,而隨著Windows Server 2008的推出,RMS也做了改版,成為直接內建在Windows Server 2008的Active Directory Rights Management Services(AD RMS)。

和RMS相比,AD RMS的架設與管理比較簡單,同時,微軟也將它的用戶端程式,內建到Windows Vista、Windows 7等2種版本的作業系統,因此能直接透過Office的Information Rights Management(IRM)功能,連接AD RMS伺服器,保護重要檔案不被任何人所任意讀寫。不僅如此,微軟也將RMS/AD RMS的API提供給協力的資安廠商開發DRM產品,使之能夠保護更多的檔案格式。

就架構而言,DRM是一種主從式的檔案加密產品,因此需要架設管理伺服器,搭配安裝在電腦上的用戶端程式,才能加密檔案,及管理存取權限。


加密方式
DRM的檔案加密方式主要分為2種:一種是針對特定路徑下的檔案做自動加密;其次,則是針對使用者自行建立,或者經過修改的檔案做保護。

多數的DRM都有提供檔案備份的機制,常見的做法是在加密前,即先複製一份明文原檔,到指定的路徑下存放,以防止加密過後的檔案毀損,或者因為管理伺服器故障,而造成重要檔案的無法使用。


解密方式
至於檔案的解密流程,當使用者開啟一份受到DRM保護的加密檔案時,用戶端程式會連線到管理伺服器,要求驗證身分,然後根據結果提供解密所需的授權。而在身分的判別上,絕大多數的DRM可以整合企業現有的Windows AD,或者是屬性相同的LDAP伺服器,所以不需要另外建立使用者的名單,以方便管理。

除了內部員工,協力廠商也有可能因為業務需要,而取得其他企業的機密檔案,因此自然成為DRM的控管對象。例如,當一份設計圖需要交由廠商代為輸出時,企業可以透過DRM將其打包成專用的外部檔案,同時設定僅給予唯讀、修改,或者列印等權限。

以外部檔案的解密方式來說,最常見的做法,是在協力廠商的電腦上也安裝用戶端程式,某些DRM是提供專用的外部用戶端程式,另外,有一些產品則是安裝和內部使用者完全相同的用戶端程式;其次,則是將檔案打包成內含閱讀器、授權資料在內的執行檔,這時外部使用者的電腦上不需事先安裝任何軟體。而值得注意的是,某些DRM產品在設計上可以做到外部檔案的離線授權,也就是開啟檔案時不需要連線到管理伺服器,輸入密碼等基本的驗證資訊,就可以開啟檔案。

許多的DRM對於外部檔案的控管,可以做到僅能開啟一次,或者當權限到期後,即無法再使用,避免機密透過協力廠商的管道而外流。


DRM建置的注意事項
各家DRM的功能特色皆有不同,而根據我們詢問這次送測的幾家廠商,實際建置企業環境的經驗,在採購DRM之前的評估階段,有幾項事情值得注意,以免產品實際導入之後,才發現不敷使用。

操作方式
檔案的加、解密方式,隨著產品不同而有些許差異,而透明加、解密是最為常見的做法,當產品偵測到檔案本身有存檔的寫入動作時,就會套用權限範本,自動完成加密,而解密時,用戶端程式則會向自動向管理伺服器要求驗證,詢問檔案的使用權限,流程中完全不需使用者的手動操作,因此不會影響原有的檔案使用的方式。

對於需要臨時提升權限的使用者,DRM提供了多種做法做為因應,一是由內部使用者透過用戶端軟體提出申請,其次則是將檔案放入指定路徑自動解密,完成之後,管理者將會透過郵件等方式收到使用者解密檔案的訊息,做為日後備查之用。

產品效能
在連線使用者數量較多,或者加密檔案流量較大的環境,DRM管理伺服器的負載會比較重,為了維持檔案加、解密的效能,及防止硬體超過負載,造成服務停擺,因此建置產品時,可以考慮搭配伺服器負載平衡的網路設備,讓多臺管理伺服器可以同時提供服務,或者將產品的伺服器元件分開安裝在不同的主機上,以維持產品的運作效能。

網路架構
由於DRM的用戶端程式會透過網路,向管理伺服器詢問存取檔案的授權,及將檔案備份到指定路徑,因此對於需要保護外部駐點檔案的企業來說,應該避免將檔案透過有限的廣域網路頻寬傳輸,儘可能備份在當地的檔案伺服器,以免網路的傳輸產生壅塞。

平臺相容性
由於64位元系統的日漸普及,企業導入DRM時,最好能將平臺相容性列為考量項目之一,以iThome這次的測試結果來說,仍有一部分產品並未針對64位元的Windows環境提供支援,不過廠商表示,都已納入產品的改版排程,今年以內就會有對應的用戶端程式推出。

雖然廠商已經在型錄當中詳列了產品的相容系統清單,但是實地測試時,仍必須在內部現有的各種作業系統,都安裝DRM的用戶端程式,了解是否有可能因為與其他應用程式(例如防毒軟體)間的衝突,而導致DRM控管無法正常運作。

災難備援
DRM是檔案加密產品的一種,因此當企業在建置產品時,應該考慮是否採用多機備援的架構,以免因為管理伺服器的故障,造成所有受到保護的檔案無法使用。目前的大多數的DRM在功能上,本身就已具備Active/Standby的多機備援架構,不過一部份產品只有支援Active Standby的模式,也就是在原本提供服務的管理伺服器故障時,根據指定的IP位址,向備用的伺服器要求服務。

關於管理伺服器的復原,各家DRM所提供的做法不一,因此採購產品時,最好能針對這點進行了解;導入產品後,也必須實地演練,以便在最短時間內,讓故障的管理伺服器重新上線,提供服務。


DRM的架構及採購時的注意事項
DRM是保護機密資料不被所有人任意存取的加密技術,而在導入時,有一些值得企業注意的重點,以避免導入後,產生使用上的重大問題


DRM建置的注意事項 ●產品效能 ●網路架構 ●平臺相容性 ●災難備援


6款DRM產品測試總評
我們這次一共測試6家廠商提供的產品。其中,博格BorG DRM、數位商業EZ Lock、EMC IRM、優碩TrustView DRM for UDP,及精品X-DoRM是DRM產品,至於思訊的IP-guard V+,則是具備多種功能的資安產品


產品實測
博格BorG DRM 7.06
數位商業EZ Lock DRM 6.09
優碩DRM for UDP3.5
精品X-DoRM 1.3
思訊IP-guard V+
EMC IRM 4.6


《詳細內文請見iThome電腦報466期(www.ithome.com.tw),天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》


466期其他精采內容:
.新聞:統一超商測試自助式結帳收銀機
.新聞:手機遺失風險高,企業改以黑莓機平臺管控
.CIO TALK:跨國物業管理公司進軍臺灣 歐艾斯用IT帶動企業轉型成長
.IT實戰:利用iSNS簡化iSCSI管理作業
.產品測試:網頁安全閘道設備:M86 Secure Web Gateway 3000
.產品測試:個人端防護軟體:Kaspersky Internet Security 2011
.產品測試:伺服器負載平衡設備:盒子軟體 ServerDiff SG-50
.程式人:用VS2010動手學UML 第23回:操控聯合片段的12種互動操作子(上)/邱郁惠
.IT職場小說:誰溫暖了工程師(9)/孫哲齡