為了強化資安基礎(chǔ)防護架構(gòu)及增加員工的資安意識觀念，本文敘述對檔案文件的加密防護管理，以及透過學(xué)習(xí)模型分析預(yù)測提前佈署的作法。

製造業(yè)如何防止資料外洩，檔案加密怎麼做？資通電腦ARES PP（ARES Privacy Protector；隱私保鑣）文件加密軟體可以幫大家解決上述問題！不論是對內(nèi)防治資料被盜取、對外保護流通文件不外洩，以及與異質(zhì)系統(tǒng)整合加密設(shè)計圖檔，透過ARES PP源頭加密技術(shù)，就可以讓對的文件只讓對的人開啟。

用駭客思維加密資料

圖1 : 學(xué)習(xí)駭客思維將所有檔案進行加密保護，讓防禦作為從被動轉(zhuǎn)為主動。

依照歷史經(jīng)驗，駭客透過勒索病毒將企業(yè)檔案加密後，接下來就是向企業(yè)勒索，若不配合支付贖金，則要脅將檔案內(nèi)容曝光。但檔案內(nèi)容涉及到「研發(fā)圖檔、行銷計畫、報價資料…等」重要資料，或是與客戶往來的機密文件時，一旦被駭客曝光不僅傷害到公司名譽，也會讓客戶對於未來合作信心潰堤。所以，企業(yè)在碰到類似情況時，通常只好摸摸鼻子配合支付贖金，以換取被勒索的檔案可以解密。

面對來自四面八方的勒索病毒攻擊，除了強化資安基礎(chǔ)防護架構(gòu)及增加員工的資安意識觀念外，企業(yè)是否有更主動積極的作法？答案是有的，我們可以學(xué)習(xí)駭客思維將所有檔案進行加密保護，從被動轉(zhuǎn)為主動的防禦作為。

ARES PP加密是透過企業(yè)內(nèi)部唯一金鑰進行保護，企業(yè)內(nèi)部有權(quán)限的人員才能開啟加密檔案。不論檔案是透過USB、通訊軟體、雲(yún)端硬碟傳遞，依舊保持加密狀態(tài)，不用擔(dān)心加密檔案因為傳遞交換時造成的資料外洩。

因此，未來企業(yè)營運就可以透過主動出擊的方式來破解潛在的勒索病毒攻擊。 使用者在檔案新增或編輯後，ARES PP系統(tǒng)會自動進行加密保護。因為加密金鑰是保存在企業(yè)內(nèi)部，駭客就算透過各種管道取得該檔案也無法解開，更無法去要脅企業(yè)將內(nèi)容進行曝光或另外散播，進而達到主動式保護管理機制。

使用者行為預(yù)判 加密超前佈署

早期檔案加密的管理，是由企業(yè)制定加密範圍後，展開各項應(yīng)用程式加密規(guī)則並進行套用。使用者只要在公司管制範圍內(nèi)，加密系統(tǒng)就會主動進行加密保護，過程中系統(tǒng)都會保留使用紀錄。但是這些紀錄若無法作到更深一層的分析判讀，進而提前預(yù)判或避免非法行為的發(fā)生，恐怕也只是存放在資料庫內(nèi)的稽核備查資料而已。

ARES PP累積眾多產(chǎn)業(yè)客戶對於檔案加密實務(wù)經(jīng)驗，完整記錄每位使用者的行為軌跡（檔案讀取／檔案列印／檔案刪除／檔案名稱變更）、圖像軌跡（防偷拍功能）、地理軌跡（檔案開啟時地理定位）。透過這些完整的軌跡紀錄，ARES PP可依照每位公司的產(chǎn)業(yè)特性、應(yīng)用情境、使用對象的不同，搭配設(shè)定專屬的通知條件。

只要使用者操作過程中有符合企業(yè)異常行為的條件規(guī)則，將由系統(tǒng)主動通知相關(guān)負責(zé)單位，並且隨著企業(yè)使用者的操作樣本數(shù)累積到一定程度，就可將使用紀錄變成行為學(xué)習(xí)模型，讓加密系統(tǒng)透過行為學(xué)習(xí)模型的功能分析去預(yù)判潛在可能的違規(guī)行為，進而在資料外洩發(fā)生之前提出預(yù)防措施，保障企業(yè)資料安全！

圖2 : ARES PP行為學(xué)習(xí)模型

電動車產(chǎn)業(yè)案例：對外文件交換維持加密

近期電動車產(chǎn)業(yè)蓬勃發(fā)展，也開拓更多上下游供應(yīng)鏈的合作機會。企業(yè)與供應(yīng)商合作時，過程中雙方會有大量的檔案交換，以往為了作業(yè)方便，企業(yè)會提供解密後的檔案給供應(yīng)商，雖然便利，但供應(yīng)商所取得的解密檔案將永久保存所屬電腦環(huán)境，無法有效做到管制。

若提供外發(fā)加密檔給供應(yīng)商，往往因為只能唯讀型態(tài)，讓供應(yīng)商無法再另外進行編輯修改。資料防護做到了，但實務(wù)作業(yè)上的需求卻被大打折扣。

ARES PP提供全新「供應(yīng)商外發(fā)模組」，不論是上下游供應(yīng)商、品牌客戶、外部使用者，皆可在企業(yè)資安規(guī)範下開啟與使用加密檔案，並針對不同外部使用者設(shè)定不同的管制規(guī)則。而且對方還可以對加密檔案進行編輯修改，過程中檔案皆維持加密保護狀態(tài)，並保留完整的操作軌跡紀錄，有效掌握每位外部使用者及外發(fā)檔案的使用狀態(tài)和紀錄。

工具機產(chǎn)業(yè)案例：加密系統(tǒng)與PLM／PDM整合

隨著企業(yè)數(shù)位轉(zhuǎn)型和智慧製造的推動，工具機產(chǎn)業(yè)發(fā)展過程中會牽涉到更多設(shè)計圖檔、參數(shù)設(shè)定、規(guī)格資料…等，這些資料往往會搭配研發(fā)設(shè)計的PLM、PDM系統(tǒng)進行使用。

當(dāng)研發(fā)人員在系統(tǒng)進行產(chǎn)品開發(fā)資料編輯、文件共同使用、研發(fā)版本控管作業(yè)時，一旦從系統(tǒng)中匯出檔案或是另存檔案，若沒有即時的保護機制，基本上就是極大的資安風(fēng)險，容易造成重要資料外洩。

所以在導(dǎo)入ARES PP時，會與上述系統(tǒng)進行整合，檔案一旦離開系統(tǒng)就會立即透過ARES PP啟動防護機制。使用者從系統(tǒng)匯出檔案或是另存檔案至桌面時，會主動進行加密保護，讓桌面檔案皆呈現(xiàn)加密保護狀態(tài)。不論是在公司內(nèi)部進行跨部門資料分享，或是提供給外部協(xié)力廠商，檔案皆有完整嚴密的資安防護！

（本文作者郭為國為資通電腦業(yè)務(wù)經(jīng)理）