有了內容安全　內賊難逃~人員與機密文件控管角色吃重

何謂內容安全
所謂內容安全（Content Security）主要是指針對可以保護企業重要資訊資料的安全產品，就其防護功能可區分為像是文件控管、Web/Email內容過濾，以及防毒軟體等等產品。針對各項內容安全產品之不同功能做以下的介紹：

文件控管
文件控管軟體可防止企業中之機密文件被未經授權認可之人員使用，主要功能是針對這些機密文件可能遭致以複製、儲存、轉寄、列印等等方式竊取或盜用，而提供因應的防護措施。目前市面上有網核代理的Mirage及寬華 “四大天王” 系列中的PageRecall及MaillRecall都有類似的功能，不過兩者保護的範圍有所不同，Mirage主要是針對藉由Internet及企業窗口，用戶端在瀏覽器閱覽的檔案資料；而PageRecall及MaillRecall則是針對郵件、檔案及Web存取，做各項合法使用權限的設定，像是Copy、Print的次數，甚至閱讀的有效期限等都可做設定。

內容過濾
為了防止員工於上班時間利用公司網路及頻寬做私用或不法之行為，這一類軟體的基本原理大抵是以防堵員工連上不該上的URL。像是精誠的Websense即屬這一類產品，它可以依據公司的管理政策，針對不同業務組別、個人或職權等管理員工的上網權限。寬華的NetRecall和威播的XKeeper網路濾淨器也都有類似的功能。 另外，內容過濾也可屬於員工的資訊管理的一環，目的在防範員工把時間及資源用在私人事務，以及防止員工利用電子郵件把公司機密資料洩露出去，桓基科技的MailSherlock郵件俠客，即是電子郵件應用追蹤的管理系統，以過濾及監測相關郵件，執行郵件詳細內容之檢視。中華數位的MailSQR電子郵件保全專家則是Email的管理解決方案，除了提供完整的Email內容控管功能，還可進行Web Mail的郵件內容控管。寬華的MailＤVR電子郵件通聯紀錄器，被比做是虛擬的CCD，特別強調可以做全程監錄。而其他像是趨勢科技、賽門鐵克等安全產品供應商，都有類似以內容過濾來防堵機密資訊外流的產品。

防毒系統
以保護電子郵件防制病毒疫情發生為主，同時並可清除大量郵件病毒、垃圾郵件和不當內容的程序，並且可以遏止「阻斷服務」（Denial of Service, DoS）。這一類的產品在趨勢科技、賽門鐵克、McAfee及Sophos等防毒廠商都有相關產品。

權限控管
有關機密資料之閱讀權限控管及閱讀者之身分確認程序之相關產品。如Novell的Nsure安全身份管理解決方案，可以幫助企業做好人員之管控，在使用者身份變更時，能立即取消所有互連系統的存取權限，保障企業資源的安全。

其他
其實內容安全產品線相當廣，要清楚的做好分類有其困難度，就連各家廠商也沒有很好的定義，主要還是看資安產品要做哪類防護或要保障哪些內容而定。例如：有的廠商是以加密技術切入，將機密資料以加密方式保護，即使被竊走也無法使用，網安科技即是一例。另外，像是優碩資訊的「數位內容生命週期安全管理」，則是針對文件作權限管理所提出的解決方案。

人員控管對企業的重要性
人員的控管和機密文件的管理這兩者對企業而言都很重要，尤其是人員部份，在資訊安全的議題上，更是扮演了舉足輕重的角色。根據統計，資訊安全的風險，超過80%以上的比例出於內賊，可見人員管理的重要性。因此在人員的控管上，必須先做好管理，像是身份權限管理，企業必需建立一套清楚明瞭的權限、安全政策，以及工作流程。此外，擬定相關的法規及範例來約定並釐清員工的責任與義務也是很重要，除了可以讓員工了解公司內部哪些人可以看哪些東西，哪些機密文件不能與他人分享或洩漏的義務外，企業也可以因此避免將機密資料外洩的機會。

如何做好機密文件之 安全控管
企業e化後，企業許多重要機密資料的保護工作就得更加審慎考量，往往一次不經意的疏忽，就可能造成企業營運的危機，所以如何做好企業機密文件資料的安全防護就顯得相當重要。以下是各廠商對企業用戶的建議。 桓基總經理江衍源以學者轉戰商界的成功經驗談企業安全管理，他建議企業主先做企業風險評估，如果文件及檔案控管是攸關企業營運命脈，在資料的防護和文件安全的控管上就必需花錢去採購必要設備，逐年逐步將資訊安全防線架起來，而不是等企業內部出現問題才去補漏洞。 此外，MIS管理人員在企業中扮演著很重要的角色，寬華陳旭東如是說到，如果文件及檔案控管是攸關企業營運命脈，而且又是企業的重要資產，那麼MIS的管理人員就必須善盡告知企業主管之責。同時做好分析，讓企業主了解如果沒有做，企業會因此損失多少，並且用量化的風險與危機數字，來強化並告知企業主管安全的重要性。 而網核行銷業務處經理陳振興也表示，企業對資訊安全的重視，需由外部進而到內部，且先從可能對企業造成的損失來考量，文件控管及人員的管理兩者皆同等重要。陳振興也同時指出台積電在文件控管上投入相當大的經費，並且還自行從原廠導入文管系統，然而人員控管機制上出了紕漏，機密資料還是被不肖員工所帶走，可見人員控管的重要性。

結語
家賊能不能防？看企業是否能擬定一完善的管理政策，將員工之責任及權限釐定清楚；同時依企業內部之需求，是否購買完備的資訊安全產品。如果兩者都能做到，相信可以達到確保企業之永續經營之目的，並進而提昇企業之競爭力。