【成功案例】複雜的 DRM 系統如何成功導入,中華映管告訴您

/在: /通過:

作者/TrustView

 

用DRM保護華映的金雞母

為了保護企業關鍵數位資產,中華映管(以下簡稱華映)會決定採用TrustView機密資料外洩防護系統(以下簡稱DRM系統)的做法。

pics

 

 

圖說:華映導入DRM團隊-副理張瓊波、OA部黃仁甫、林庭儀、經理房天立、副理陳少棠

 

預見文件外洩的風險

在2004年以前,為避免文件外洩,華映內部將所有的ISO文件自動轉為PDF檔,並設定只讀不寫(Read only),且將PDF Reader的功能選單移除「不過,這種做法到了Adobe Reader升級至7.0版後,就破功了。」華映資訊技術處資訊自動化部經理房天立指出,因為原本控制外框的做法,無法阻擋新版在功能選單中「列印」與「另存新檔」的功能,造成了文件管控的漏洞。
除此之外,針對在內部共享文件(Share Folder)當中的資料保護,華映過去的做法是使用標準的Windows File Server檔案授權,但資料保護機制不夠完整,對文件使用歷程記錄也有限。房天立表示,「雖然還未造成任何『意外』,但IT部門已經看到了可能的威脅,必須趕快彌補。」

多元化的內部環境

當初當初參與DRM導入事宜的資訊處OA部副理陳少棠解釋,華映的文件管理系統是以IBM Lotus Notes為主要開發平臺,而AD與Notes併用的帳號機制也採用多年;另外內部有許多自行開發與舊的應用程式,如知識管理(KM)系統、企業搜尋引擎、Notes文件等等,「我們希望讓所有員工利用搜尋引擎、KM也能找到被加密的文件。」房天立表示,因此華映希望新的DRM系統能夠提供API,讓IT部門能夠在系統端進行整合,不要造成前端使用者的不便。
在選擇DRM產品的考量點還包括系統維運與操作上對於管理者來說是否便利、稽核資訊是否能報表化、是否具備光電同業與其他國內大型企業的成功案例、是否能提供完整的中、英、日語系支援等。最終,華映選擇能夠支援Notes、能提供API,可提供中文化介面的 TrustView 解決方案,並於2006年開始評估實體環境且進行實際部署工作。

flew01

階段式部署

華映DRM導入專案採階段式部署方式,在2006年初第一個系統(ISO文件、KM的PDF檔案文件)正式上線,到了2006年的第4季再將Share Folder的資料放上DRM系統,之後又陸續加入研發部門的研發文件、人事部門的文件等資料。華映並採用小規模區域部署的做法,先從華映桃園廠開始,陸續是龍潭廠、楊梅廠,近期則擴展到湖口廠、大陸廠。

以人為本的權限控管

在架構方面,主要以架設在桃園廠中的一臺DRM主機與一臺存放Metadata資料庫為主,另外在龍潭廠也有同樣的一組設備扮演備援角色。目前跨廠區的同仁若有存取相關資料的需求,皆可以利用單一認證連上桃園廠的DRM主機,就連大陸廠的主管也能使用這套系統。
因此華映對於文件權限管控是以「人」為單位,而不以「組織群組」的方式,讓文件權限不是對應到組織,房天立說:「雖說這種做法是權宜之計,但我們的目的是要讓文件僅能在內部流通且不外流,因此不需採用太極端的方式做權限控管。」如此一來,不論組織如何異動,只要針對使用者做好權限控管即可,更增加了運作的彈性。

安全可靠的DRM系統

房天立指出,「與過去用PDF的做法相比,DRM能提供更安全且可靠的加密機制,解決了管理者擔心新版本Reader對舊文件的安全控制,也讓開發者不必疲於奔命補救安全功能。」此外,透過DRM也增加更多使用權限,包括閱讀、列印、修改內容、複製內容、另存為未加密檔、離線閱讀等的控管。DRM系統還提供詳細的文件存取歷程,利於事後稽查。