2020 年


2020-09-30

產品經理 林怡辰

解析 WFH 浪潮下之企業內部資料安全防護

新冠肺炎(COVID-19)期間,企業為了確保內部能夠持續運作不空轉,紛紛開始規劃並模擬要如何在家上班(WFH, Work From Home),如公司內部的會議該如何進行、要怎樣取得公司內部的檔案、如何與其他同事在不見面的情況下合作、要怎麼跟客戶進行遠端會議等等,如何規範對應措施、建置相關設備都會是各公司眼前面臨的議題。此篇文章想與大家探討的就是:如何在 WFH 的情況下,協助企業內同仁正常地存取與使用公司內部的檔案,並且確保公司內部的檔案不外洩。

常見的檔案系統建置與防護

一般的企業內部必然有許多公用檔案,其中包含許多的機敏資料,要如何妥善的保存此類資料,並且給予這些檔案適當的權限,同時減少其外洩的機會,依據常見的檔案系統,分析說明如下:

  • Windows File Server

因為大部分企業都使用 Windows,當管理者要建立一個供內部使用者使用的檔案系統時,Windows File Server 往往是優先選擇之一:可搭配 AD 建立帳號,各檔案可個別設定權限,並且可讓使用者在 Windows 直接編輯各類型檔案,十分便利又好用。但缺點是該系統上的檔案只能在內部使用,同仁在家上班時將無法直接取得檔案,也無法便利的對外分享。除了使用者的操作缺乏統整記錄之外,當有人在編輯檔案時,其他人只能唯讀檔案…...導致許多管理者因為上述原因,希望能找到更便利、紀錄更完整的系統,以替換掉現有的 Windows File Server。

  • FTP server、NAS server……各式各樣的自建儲存設備

市面上有諸多免費或付費的檔案伺服器,提供 FTP、NAS 等不同傳輸協定,供管理者挑選採用,隨著各企業使用回饋及廠商們努力研發改進,這類檔案儲存系統,功能面也越趨完善:包含支援 AD/LDAP 等企業內部會有的認證機制、可針對員工的部門與層級,給予不同的檔案權限、提供人性化的網頁介面供管理者以及使用者操作、有些系統甚至提供了編輯或更進階的共編功能,讓員工只要連上系統,就可以完成所有文件編輯相關的協作。

  • 外部的公有雲檔案系統

最常見的如 Google drive 與 Dropbox 的公有雲儲存系統,由於是公有雲的服務,使用者平時或許已有使用經驗,因此,如果企業購買了企業版的相關服務,員工可更容易了解基本的操作,減少推廣時期的教學成本。但缺點是企業必須將內部的機密檔案建置在公有雲上,且市面上的公有雲檔案系統,較少提供 Data Loss Protection(DLP)的相關防護機制,無法針對檔案的對外分享提供更進階的防護;再者,企業內部時常有專屬的客製需求,公有雲的服務則較難滿足。

除了檔案系統的建置,為了保護含有機敏資料的檔案,企業經常透過實體隔離、或者是建置 DLP 相關系統的方式保護資料,DLP 系統可以掃描檔案格式、關鍵字等檔案特徵,並作進一步地分析,再根據結果限制檔案的傳輸,降低外洩的機會。然而,若要讓員工能夠 Work From Home,實體隔離並不可行,而透過 DLP 搭配上述的檔案系統效果也十分有限,較應急的方式,可能是透過 VPN 與遠端桌面的搭配,讓員工們連回企業內部的電腦操作檔案,但如此一來必須持續更新遠端畫面,需要十分穩定的網路才可維持工作品質,對企業而言會是個相對嚴峻的挑戰與負擔。

WFH 所需的安全與便利

如果要滿足檔案使用上的安全與便利,並且要能支援 WFH 的機制,企業需要的,會是一套可建置在企業內部,並且包含 DLP 的檔案系統。這樣公司僅需將內部所有的檔案存放在此系統,就能夠掃描檔案是否含有機敏資料,進而管控這些檔案,限制檔案的操作;而這樣的檔案管控機制,需確保檔案不外流,不該因為 WFH,使得檔案落入了員工的私人設備。因此,藉由檔案不落地的機制,則可限制員工下載檔案至私人設備上,避免公司內部的重要資料外洩。


                  圖一:WFH 的所有檔案操作,皆需連至公司內部,並限制檔案分享外流

為了讓員工能正常地在家中上班,又要確保檔案不落地,提供員工可線上操作檔案的平台,或許是一個可行的方式。以最常見的文書檔案為例,需設定不同權限供員工於線上瀏覽或檔案編輯,而在外部瀏覽檔案,許多老闆仍會擔心員工透過拍照、擷取畫面……其他的方式儲存公司內的機敏資料,因此,光是限制檔案僅能透過網頁預覽還不夠,常見的做法是加上浮水印。浮水印需包含員工相關資料,讓員工了解當檔案內容被翻拍而外洩時,企業內部是有跡可循,並可以此追究相關責任;而編輯檔案則需提供員工一個能在線上操作的檔案編輯系統,並具備順暢的操作及完善的功能,大家才能維持原本的操作習慣,進而提升工作效率。除此之外,許多線上的編輯系統已經開始支援共同編輯檔案的功能,讓不同員工同時作業,更能增進整體效率,不再受單一檔案同時間只有一個人能編輯的困擾。


                     圖二:連至公司檔案系統,即可編輯檔案,也可同時與專案成員共編檔案

將檔案安全的保護在檔案系統內,並且確保所有的操作皆在此系統上,或許是在 WFH 下最為安全的作法,但企業內部總需要與其他公司談生意,或有與其他廠商合作的時候,彼此的溝通一定需要檔案的交換,不大可能因為 WFH 就禁止傳檔。因此,這部分需仰賴 DLP 相關機制,判斷檔案內容是否有不適合分享至外部的資訊,進而決定是否可以對外分享;更嚴謹的作法建議是限制每個對外分享的檔案,皆需由公司主管審核後才可放行,確保企業內的檔案在有限度的分享內,仍可維持最大的安全性。


                                          圖三:設定條件,規範企業內檔案對外分享政策

相信所有企業因為此次來勢洶洶的疫情,皆會更加重視檔案管控搭配 Work From Home 的可行性、安全性、以及便利性,惟有找到安全與便利之間的甜蜜點,才能讓企業維持最高 CP 值的運作;而早一步轉型導入這樣的機制是有益無害的,就算在疫情過後,也可為企業增加更多元的上班彈性、人才招募、降低辦公室成本等好處,值得企業內部提早部署作相關的評估與規劃。