Udostępnij za pośrednictwem


資訊安全與文件保護

編者:Cho-Han Wu


 

圖一、 Share Point 2013 (來源)

前言:
無論任何系統,只要涉及使用者文件或資訊儲存,都可能面臨個資洩漏,即便雲端系統也不例外;因此企業莫不期盼打造安全無虞的文件平台,並結合適當技術,讓各項重要資料即使攜出,也毋需擔心外洩問題。

 


個資法上路迄今屆滿一年,雖然這段期間,多數企業並非因觸法而慘遭鉅額求償,但這並不代表企業都已將個資保全做到滴水不漏,尚有很大進步空間。

環顧個資保全議題,不可諱言,文件的管理與保護確實是重要一環;只因企業的機密資訊,皆埋藏於一份份電子文件,若這些文件被有心或無意流傳出去,也意謂公司機密旁落外人之手,連同個資都可能因此而外洩。

著眼於此,台灣微軟舉辦的資安應用系列研討會之二,特別將主題訂於「資訊安全與文件保護」,旨在協助企業運用SharePoint 2013或SharePoint Online 2013,從最基本的身份驗證與權限控管、到外部系統安全連線,以及整個系統的稽核機制,循序打造安全的文件與系統平台,並結合RMS(Rights Management Services),確保各項重要資料即使攜出,也絕無外洩之虞。

值得一提的,新版RMS雖然尚在Preview階段,但蘊含重大玄機,其中最引人關注的,無非是支援加密的範圍,不再侷限於微軟Office,而是擴及到諸如PDF、AutoCAD…等形形色色的文件格式,讓不少IT人員亟欲先睹為快。

以下的篇幅,將先行鋪陳台灣微軟資深講師曹祖聖所闡述的「SharePoint 2013文件安全規劃與設定」內容,接著再緊扣台灣微軟技術經理蔡宗佑講述的「新版RMS在文件安全上實作與應用」內容

 

SharePoint 2013文件安全規劃與設定

曹祖聖指出,所謂文件安全不外三件事-Who、What與How,主要記載了讀取、修改、刪除、登入或登出等資訊的稽核記錄,記錄的事項也不脫三個W。SharePoint的權限架構亦是呼應此一脈絡,內含三大要素,其一是身份確認(Who),系統預設的確認範圍為Active Directory的User Account或Global Groups,但假使企業採用其他認證機制,也可經由ADFS(Active Directory Federation Services )予以納入,同樣受到支援;另基於方便管理,SharePoint自身也有群組設定機制,不論是否出自Active Directory的帳戶皆可加入,完成加入後,用戶可據此進行階層式權限設定。

SharePoint權限架構的第二要素,則是Securable Objects(What),也就是權限設定的標的物,包括了單一文件、資料夾或網站集合,其權限會隨著不同的人或群組而異。第三項要素是Permission(How),SharePoint可繼承上層網站(此指網站集合的根網站)的權限,其下所有網站與其他物件通通適用,但用戶若有其他考量,也可以選擇放棄繼承,全部予以重設;但SharePoint與NTFS在於權限繼承,有一個極大不同,後者容許既繼承、又修改,兩者可並存,SharePoint則僅容許二選一。

 

文件權限與版本控制

用戶進入SharePoint 2013網站,選定任一文件庫,即可開始設定權限,用以界定不同人或群組(預設身份包括了成員、訪客、擁有人),究竟能夠對它行使設計、編輯、讀取…等等權利;如前所述,用戶可選擇繼承上層網站的權限,否則即可點選「停止繼承權限」、或進入「管理上層」修改權限,運用這些途徑授予文件、文件庫或網站集合之權限。

不可否認,如果企業未做好版本控制,任何文件只要一經覆寫,原本內容即告消逝無蹤,避免此事發生,用戶即需善用SharePoint文件庫版本管理功能。曹祖聖表示,有關SharePoint版本設定,區分為「主要版本」(例如1、2、3、4)、「次要版本」(例如1.0、1.1、1.2、2.0;意指草稿),用戶可選擇是否建立版本。

一般而言,啟用文件庫版本控管的用戶,都會加上核准功能,因此任一份文件的主要與次要版本,舉凡編號、修改時間、修改者、大小、註解等細部資訊,都會透過「版本歷程記錄」清楚呈現。當然,為避免留存版本過多而佔用儲存空間,用戶可透過「選擇性限制要保留的版本數量」來設定上限,一旦版本多到超過此數值,較舊版本就會為系統自動清除。

此外,為滿足使用者的RSS訂閱需求,管理者可預先進行相關設定,包括定義RSS摘要的通道元素(例如是否截斷多行文字欄位為256個字元,並填入標題、描述、圖像URL),及設定RSS項目的連結與隨函附件。

 

存取稽核與資訊管理原則

值得一提的,SharePoint 2013提供完善的文件存取稽核、文件資訊管理原則、文件核准與發佈等機能。有關存取稽核,用戶可選擇是否自動為某網站修整稽核記錄,並指定要稽核的事件,譬如針對文件的開啟或下載、編輯、存回或取出、移動或複製、刪除或還原等項目,或是針對清單/文件庫/網站編輯內容類型及欄、搜尋網站內容、編輯使用者及權限;用戶可定期檢視稽核報告,但因報告日積月累數量必然龐大,因此曹祖聖建議,用戶可一個月做一次整理,選擇將舊報告加以封存、移至其他位置,或打包成為zip檔。

至於文件資訊管理原則,就好比Metadata編輯器,可允許產生可插入至微軟Office文件的標籤、唯一識別條碼,以方便搜尋文件(註:『標籤』另有助於確保列印文件時,都將包含文件摘要資訊或其他重要資訊),可允許啟動稽核,也允許透過「保留」設定來進行自動排程內容的處理,例如針對到期的文件版本或稽核報告,選擇將之移至資源回收筒、永遠刪除、移至其他位置,甚或啟動工作流程。

而在文件核准與發佈方面,是屬於文件生命週期(「建立」→「編輯檢視」→「發佈」→「核准」→「收藏」)其間重要環節。當文件進行發佈時,其狀態旋即從原本「草稿」變成「擱置」,準備接受核准,而當核准(或拒絕)結論產生,文件狀態又將轉變為「已核准(或已拒絕)」,一旦核准,所有授權使用者皆可看到此文件,然若是拒絕,則僅有建立者、審核者可以看得到。

 

新版RMS在文件安全上實作與應用

當然,藉由SharePoint,確實可滿足內部存取限制(文件權限)、監控與追究責任(文件稽核)、安全標示與封存(資訊管理原則),但企業若欲針對外部施行存取限制,便需結合資訊版權管理(IRM)功能,IRM旨在限制使用者對從清單或文件庫下載之檔案採取必要動作,一方面將下載的檔案加密,並限制能夠解密文件的使用者與程式功能,另一方面則進一步限制允許讀取檔案的使用者權限,譬如無法採取列印、複製、修改、傳真、Print Screen等動作,或設定使用期限,倘若逾期,使用者必須重新通過認證。

曹祖聖說明,欲啟用IRM,必須安裝PowerShell,其步驟很簡單,當系統管理者開啟PowerShell後,依序完成Import-Module AADRM、Connect-AadrmService、Enable-Aadrm與Disconnect-AadrmService等程序,再分別至Office 365管理中心啟動版權管理、至SharePoint文件庫執行資訊版權管理設定即可。

 

新版RMS加密,全無格式限制

這段內容,與蔡宗佑緊接著講述的新版RMS主題息息相關,只因IRM背後的運作核心,正是RMS。蔡宗佑強調,新版RMS最大特色,即是跳脫以往的Office格式限制,一舉囊括了PDF、TXT、Ps、Ai、DWG…等「所有」的檔案格式,伴隨此一重大轉變,不僅利於企業與企業之間分享資訊,亦讓使用者可藉由行動裝置讀取加密文件,充分迎合BYOD浪潮。

值得一提的,新版RMS不但完全解放格式限制,且非藉由密碼管制、而是採取憑證對應的方式,所以接收方在執行文件開啟時,不需歷經繁瑣步驟,並無影響既定使用習慣之虞。至於文件擁有者設定權限的步驟,也相當簡易,若已有RMS伺服器,預先定義好簡易範本,此後針對所欲加密的檔案按下右鍵即可輕鬆設定,但如果沒有RMS伺服器,只要安裝Windows RMS Sharing App,爾後不論針對圖檔、PDF等各式檔案,同樣仰靠右鍵操作,即可完成加密,尤其針對PDF部分,新版RMS已與Foxit Rader進行直接整合,更有助於使用者加速完成至SharePoint網站下載PDF複本之動作。

 

安全且無縫的B2B分享

蔡宗佑表示,隨著新版RMS出爐,企業與企業之間文件分享,也變得更加輕而易舉。對於擁有文件的一方,只需輸入對方郵件地址,並設定允許以所有裝置接收、權限、是否支援離線瀏覽、到期日,再由AAD記載所有客戶帳號與權限(註:AAD毋需與AD同步,所以不會有資訊外洩之餘),此後只要對方到微軟Windows Azure的RMS Online(RMSO)註冊郵件地址,即可收受文件擁有者傳遞的加密檔案。

上述使用情境,不論企業有無建置RMS伺服器都適用,無RMS者,可仰賴 Azure RMS服務進行相關運作,自已毋需維護系統,而所有日誌(Log)都會留存於RMSO;若已建立On-premise RMS伺服器者,仍可結合RMSO作為第二連結,一來多保留一份Log,二來可借助RMSO跨平台優勢,發揮行動存取妙效,尤其此類企業僅以Connector元件與RMSO連通,帳號管理機制並無混淆之虞,既有的文件發佈模式不受影響。

而無論將RMS建於企業內外,若欲採用RMSO儲存Log,用戶皆需歷經相同步驟,意即建立Azure Storage Account,完成新增後再勾選地區、輸入正確URL、產生Account Name及Access Key,接著設定AADRM,包括安裝PowerShell,以及將Access Key複製貼上於Command,便可完成啟用。

對於純粹仰賴RMSO服務的用戶來說,另需申請Office 365帳號,再經由Office 365管理介面的啟動頁面,點選手動加密方式,即可確認系統開通,緊接著再逐一啟動SharePoint Online、Exchange Online的IRM服務,便大功告成;總而言之,借助新版的RMS,輔以Windows RMS Sharing App等配套工具,企業想要與客戶或夥伴進行安全、無縫的B2B檔案交換,都不再是難事,且可強制套用公司資安政策規範,而無外洩個資的疑慮。