为了强化资安基础防护架构及增加员工的资安意识观念，本文叙述对档案文件的加密防护管理，以及透过学习模型分析预测提前布署的作法。

制造业如何防止资料外泄，档案加密怎麽做？资通电脑ARES PP（ARES Privacy Protector；隐私保镳）文件加密软体可以帮大家解决上述问题！不论是对内防治资料被盗取、对外保护流通文件不外泄，以及与异质系统整合加密设计图档，透过ARES PP源头加密技术，就可以让对的文件只让对的人开启。

用骇客思维加密资料

图1 : 学习骇客思维将所有档案进行加密保护，让防御作为从被动转为主动。

依照历史经验，骇客透过勒索病毒将企业档案加密後，接下来就是向企业勒索，若不配合支付赎金，则要胁将档案内容曝光。但档案内容涉及到「研发图档、行销计画、报价资料…等」重要资料，或是与客户往来的机密文件时，一旦被骇客曝光不仅伤害到公司名誉，也会让客户对於未来合作信心溃堤。所以，企业在碰到类似情况时，通常只好摸摸鼻子配合支付赎金，以换取被勒索的档案可以解密。

面对来自四面八方的勒索病毒攻击，除了强化资安基础防护架构及增加员工的资安意识观念外，企业是否有更主动积极的作法？答案是有的，我们可以学习骇客思维将所有档案进行加密保护，从被动转为主动的防御作为。

ARES PP加密是透过企业内部唯一金钥进行保护，企业内部有权限的人员才能开启加密档案。不论档案是透过USB、通讯软体、云端硬碟传递，依旧保持加密状态，不用担心加密档案因为传递交换时造成的资料外泄。

因此，未来企业营运就可以透过主动出击的方式来破解潜在的勒索病毒攻击。 使用者在档案新增或编辑後，ARES PP系统会自动进行加密保护。因为加密金钥是保存在企业内部，骇客就算透过各种管道取得该档案也无法解开，更无法去要胁企业将内容进行曝光或另外散播，进而达到主动式保护管理机制。

使用者行为预判 加密超前布署

早期档案加密的管理，是由企业制定加密范围後，展开各项应用程式加密规则并进行套用。使用者只要在公司管制范围内，加密系统就会主动进行加密保护，过程中系统都会保留使用纪录。但是这些纪录若无法作到更深一层的分析判读，进而提前预判或避免非法行为的发生，恐怕也只是存放在资料库内的稽核备查资料而已。

ARES PP累积众多产业客户对於档案加密实务经验，完整记录每位使用者的行为轨迹（档案读取／档案列印／档案删除／档案名称变更）、图像轨迹（防偷拍功能）、地理轨迹（档案开启时地理定位）。透过这些完整的轨迹纪录，ARES PP可依照每位公司的产业特性、应用情境、使用对象的不同，搭配设定专属的通知条件。

只要使用者操作过程中有符合企业异常行为的条件规则，将由系统主动通知相关负责单位，并且随着企业使用者的操作样本数累积到一定程度，就可将使用纪录变成行为学习模型，让加密系统透过行为学习模型的功能分析去预判潜在可能的违规行为，进而在资料外泄发生之前提出预防措施，保障企业资料安全！

图2 : ARES PP行为学习模型

电动车产业案例：对外文件交换维持加密

近期电动车产业蓬勃发展，也开拓更多上下游供应链的合作机会。企业与供应商合作时，过程中双方会有大量的档案交换，以往为了作业方便，企业会提供解密後的档案给供应商，虽然便利，但供应商所取得的解密档案将永久保存所属电脑环境，无法有效做到管制。

若提供外发加密档给供应商，往往因为只能唯读型态，让供应商无法再另外进行编辑修改。资料防护做到了，但实务作业上的需求却被大打折扣。

ARES PP提供全新「供应商外发模组」，不论是上下游供应商、品牌客户、外部使用者，皆可在企业资安规范下开启与使用加密档案，并针对不同外部使用者设定不同的管制规则。而且对方还可以对加密档案进行编辑修改，过程中档案皆维持加密保护状态，并保留完整的操作轨迹纪录，有效掌握每位外部使用者及外发档案的使用状态和纪录。

工具机产业案例：加密系统与PLM／PDM整合

随着企业数位转型和智慧制造的推动，工具机产业发展过程中会牵涉到更多设计图档、叁数设定、规格资料…等，这些资料往往会搭配研发设计的PLM、PDM系统进行使用。

当研发人员在系统进行产品开发资料编辑、文件共同使用、研发版本控管作业时，一旦从系统中汇出档案或是另存档案，若没有即时的保护机制，基本上就是极大的资安风险，容易造成重要资料外泄。

所以在导入ARES PP时，会与上述系统进行整合，档案一旦离开系统就会立即透过ARES PP启动防护机制。使用者从系统汇出档案或是另存档案至桌面时，会主动进行加密保护，让桌面档案皆呈现加密保护状态。不论是在公司内部进行跨部门资料分享，或是提供给外部协力厂商，档案皆有完整严密的资安防护！

（本文作者郭为国为资通电脑业务经理）