2020 年

2020-09-30

---

解析 WFH 浪潮下之企業內部資料安全防護
產品經理 林怡辰

新冠肺炎（COVID-19）期間，企業為了確保內部能夠持續運作不空轉，紛紛開始規劃並模擬要如何在家上班（WFH, Work From Home），如公司內部的會議該如何進行、要怎樣取得公司內部的檔案、如何與其他同事在不見面的情況下合作、要怎麼跟客戶進行遠端會議等等，如何規範對應措施、建置相關設備都會是各公司眼前面臨的議題。此篇文章想與大家探討的就是：如何在 WFH 的情況下，協助企業內同仁正常地存取與使用公司內部的檔案，並且確保公司內部的檔案不外洩。

常見的檔案系統建置與防護

一般的企業內部必然有許多公用檔案，其中包含許多的機敏資料，要如何妥善的保存此類資料，並且給予這些檔案適當的權限，同時減少其外洩的機會，依據常見的檔案系統，分析說明如下：

• Windows File Server

因為大部分企業都使用 Windows，當管理者要建立一個供內部使用者使用的檔案系統時，Windows File Server 往往是優先選擇之一：可搭配 AD 建立帳號，各檔案可個別設定權限，並且可讓使用者在 Windows 直接編輯各類型檔案，十分便利又好用。但缺點是該系統上的檔案只能在內部使用，同仁在家上班時將無法直接取得檔案，也無法便利的對外分享。除了使用者的操作缺乏統整記錄之外，當有人在編輯檔案時，其他人只能唯讀檔案…...導致許多管理者因為上述原因，希望能找到更便利、紀錄更完整的系統，以替換掉現有的 Windows File Server。

• FTP server、NAS server……各式各樣的自建儲存設備

市面上有諸多免費或付費的檔案伺服器，提供 FTP、NAS 等不同傳輸協定，供管理者挑選採用，隨著各企業使用回饋及廠商們努力研發改進，這類檔案儲存系統，功能面也越趨完善：包含支援 AD/LDAP 等企業內部會有的認證機制、可針對員工的部門與層級，給予不同的檔案權限、提供人性化的網頁介面供管理者以及使用者操作、有些系統甚至提供了編輯或更進階的共編功能，讓員工只要連上系統，就可以完成所有文件編輯相關的協作。

• 外部的公有雲檔案系統

最常見的如 Google drive 與 Dropbox 的公有雲儲存系統，由於是公有雲的服務，使用者平時或許已有使用經驗，因此，如果企業購買了企業版的相關服務，員工可更容易了解基本的操作，減少推廣時期的教學成本。但缺點是企業必須將內部的機密檔案建置在公有雲上，且市面上的公有雲檔案系統，較少提供 Data Loss Protection（DLP）的相關防護機制，無法針對檔案的對外分享提供更進階的防護；再者，企業內部時常有專屬的客製需求，公有雲的服務則較難滿足。

除了檔案系統的建置，為了保護含有機敏資料的檔案，企業經常透過實體隔離、或者是建置 DLP 相關系統的方式保護資料，DLP 系統可以掃描檔案格式、關鍵字等檔案特徵，並作進一步地分析，再根據結果限制檔案的傳輸，降低外洩的機會。然而，若要讓員工能夠 Work From Home，實體隔離並不可行，而透過 DLP 搭配上述的檔案系統效果也十分有限，較應急的方式，可能是透過 VPN 與遠端桌面的搭配，讓員工們連回企業內部的電腦操作檔案，但如此一來必須持續更新遠端畫面，需要十分穩定的網路才可維持工作品質，對企業而言會是個相對嚴峻的挑戰與負擔。

WFH 所需的安全與便利

如果要滿足檔案使用上的安全與便利，並且要能支援 WFH 的機制，企業需要的，會是一套可建置在企業內部，並且包含 DLP 的檔案系統。這樣公司僅需將內部所有的檔案存放在此系統，就能夠掃描檔案是否含有機敏資料，進而管控這些檔案，限制檔案的操作；而這樣的檔案管控機制，需確保檔案不外流，不該因為 WFH，使得檔案落入了員工的私人設備。因此，藉由檔案不落地的機制，則可限制員工下載檔案至私人設備上，避免公司內部的重要資料外洩。

                  圖一：WFH 的所有檔案操作，皆需連至公司內部，並限制檔案分享外流

為了讓員工能正常地在家中上班，又要確保檔案不落地，提供員工可線上操作檔案的平台，或許是一個可行的方式。以最常見的文書檔案為例，需設定不同權限供員工於線上瀏覽或檔案編輯，而在外部瀏覽檔案，許多老闆仍會擔心員工透過拍照、擷取畫面……其他的方式儲存公司內的機敏資料，因此，光是限制檔案僅能透過網頁預覽還不夠，常見的做法是加上浮水印。浮水印需包含員工相關資料，讓員工了解當檔案內容被翻拍而外洩時，企業內部是有跡可循，並可以此追究相關責任；而編輯檔案則需提供員工一個能在線上操作的檔案編輯系統，並具備順暢的操作及完善的功能，大家才能維持原本的操作習慣，進而提升工作效率。除此之外，許多線上的編輯系統已經開始支援共同編輯檔案的功能，讓不同員工同時作業，更能增進整體效率，不再受單一檔案同時間只有一個人能編輯的困擾。

                     圖二：連至公司檔案系統，即可編輯檔案，也可同時與專案成員共編檔案

將檔案安全的保護在檔案系統內，並且確保所有的操作皆在此系統上，或許是在 WFH 下最為安全的作法，但企業內部總需要與其他公司談生意，或有與其他廠商合作的時候，彼此的溝通一定需要檔案的交換，不大可能因為 WFH 就禁止傳檔。因此，這部分需仰賴 DLP 相關機制，判斷檔案內容是否有不適合分享至外部的資訊，進而決定是否可以對外分享；更嚴謹的作法建議是限制每個對外分享的檔案，皆需由公司主管審核後才可放行，確保企業內的檔案在有限度的分享內，仍可維持最大的安全性。

                                          圖三：設定條件，規範企業內檔案對外分享政策

相信所有企業因為此次來勢洶洶的疫情，皆會更加重視檔案管控搭配 Work From Home 的可行性、安全性、以及便利性，惟有找到安全與便利之間的甜蜜點，才能讓企業維持最高 CP 值的運作；而早一步轉型導入這樣的機制是有益無害的，就算在疫情過後，也可為企業增加更多元的上班彈性、人才招募、降低辦公室成本等好處，值得企業內部提早部署作相關的評估與規劃。