為了強化資安基礎防護架構及增加員工的資安意識觀念，本文敘述對檔案文件的加密防護管理，以及透過學習模型分析預測提前佈署的作法。

製造業如何防止資料外洩，檔案加密怎麼做？資通電腦ARES PP（ARES Privacy Protector；隱私保鑣）文件加密軟體可以幫大家解決上述問題！不論是對內防治資料被盜取、對外保護流通文件不外洩，以及與異質系統整合加密設計圖檔，透過ARES PP源頭加密技術，就可以讓對的文件只讓對的人開啟。

用駭客思維加密資料

圖1 : 學習駭客思維將所有檔案進行加密保護，讓防禦作為從被動轉為主動。

依照歷史經驗，駭客透過勒索病毒將企業檔案加密後，接下來就是向企業勒索，若不配合支付贖金，則要脅將檔案內容曝光。但檔案內容涉及到「研發圖檔、行銷計畫、報價資料…等」重要資料，或是與客戶往來的機密文件時，一旦被駭客曝光不僅傷害到公司名譽，也會讓客戶對於未來合作信心潰堤。所以，企業在碰到類似情況時，通常只好摸摸鼻子配合支付贖金，以換取被勒索的檔案可以解密。

面對來自四面八方的勒索病毒攻擊，除了強化資安基礎防護架構及增加員工的資安意識觀念外，企業是否有更主動積極的作法？答案是有的，我們可以學習駭客思維將所有檔案進行加密保護，從被動轉為主動的防禦作為。

ARES PP加密是透過企業內部唯一金鑰進行保護，企業內部有權限的人員才能開啟加密檔案。不論檔案是透過USB、通訊軟體、雲端硬碟傳遞，依舊保持加密狀態，不用擔心加密檔案因為傳遞交換時造成的資料外洩。

因此，未來企業營運就可以透過主動出擊的方式來破解潛在的勒索病毒攻擊。 使用者在檔案新增或編輯後，ARES PP系統會自動進行加密保護。因為加密金鑰是保存在企業內部，駭客就算透過各種管道取得該檔案也無法解開，更無法去要脅企業將內容進行曝光或另外散播，進而達到主動式保護管理機制。

使用者行為預判 加密超前佈署

早期檔案加密的管理，是由企業制定加密範圍後，展開各項應用程式加密規則並進行套用。使用者只要在公司管制範圍內，加密系統就會主動進行加密保護，過程中系統都會保留使用紀錄。但是這些紀錄若無法作到更深一層的分析判讀，進而提前預判或避免非法行為的發生，恐怕也只是存放在資料庫內的稽核備查資料而已。

ARES PP累積眾多產業客戶對於檔案加密實務經驗，完整記錄每位使用者的行為軌跡（檔案讀取／檔案列印／檔案刪除／檔案名稱變更）、圖像軌跡（防偷拍功能）、地理軌跡（檔案開啟時地理定位）。透過這些完整的軌跡紀錄，ARES PP可依照每位公司的產業特性、應用情境、使用對象的不同，搭配設定專屬的通知條件。

只要使用者操作過程中有符合企業異常行為的條件規則，將由系統主動通知相關負責單位，並且隨著企業使用者的操作樣本數累積到一定程度，就可將使用紀錄變成行為學習模型，讓加密系統透過行為學習模型的功能分析去預判潛在可能的違規行為，進而在資料外洩發生之前提出預防措施，保障企業資料安全！

圖2 : ARES PP行為學習模型

電動車產業案例：對外文件交換維持加密

近期電動車產業蓬勃發展，也開拓更多上下游供應鏈的合作機會。企業與供應商合作時，過程中雙方會有大量的檔案交換，以往為了作業方便，企業會提供解密後的檔案給供應商，雖然便利，但供應商所取得的解密檔案將永久保存所屬電腦環境，無法有效做到管制。

若提供外發加密檔給供應商，往往因為只能唯讀型態，讓供應商無法再另外進行編輯修改。資料防護做到了，但實務作業上的需求卻被大打折扣。

ARES PP提供全新「供應商外發模組」，不論是上下游供應商、品牌客戶、外部使用者，皆可在企業資安規範下開啟與使用加密檔案，並針對不同外部使用者設定不同的管制規則。而且對方還可以對加密檔案進行編輯修改，過程中檔案皆維持加密保護狀態，並保留完整的操作軌跡紀錄，有效掌握每位外部使用者及外發檔案的使用狀態和紀錄。

工具機產業案例：加密系統與PLM／PDM整合

隨著企業數位轉型和智慧製造的推動，工具機產業發展過程中會牽涉到更多設計圖檔、參數設定、規格資料…等，這些資料往往會搭配研發設計的PLM、PDM系統進行使用。

當研發人員在系統進行產品開發資料編輯、文件共同使用、研發版本控管作業時，一旦從系統中匯出檔案或是另存檔案，若沒有即時的保護機制，基本上就是極大的資安風險，容易造成重要資料外洩。

所以在導入ARES PP時，會與上述系統進行整合，檔案一旦離開系統就會立即透過ARES PP啟動防護機制。使用者從系統匯出檔案或是另存檔案至桌面時，會主動進行加密保護，讓桌面檔案皆呈現加密保護狀態。不論是在公司內部進行跨部門資料分享，或是提供給外部協力廠商，檔案皆有完整嚴密的資安防護！

（本文作者郭為國為資通電腦業務經理）