Objective!

บทความนี้เป็นส่วนหนึ่งของวิชา
ITM633: Information Security Management

นำเสนออาจารย์ พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ
โดย นายธัญญาวิทย์ เพชรพราว 5107516 (ITM0077
)

MSITM - Online รุ่น 1

วันจันทร์ที่ 9 มีนาคม พ.ศ. 2552

Digital Rights Management (DRM)


          เมื่อพูดถึง DRM หลายๆ ท่านคงจะนึกถึง ลิขสิทธิในการทำสำเนา MP3, Movie แต่ในบทความนี้ผมจะพูดถึงในส่วนข้อมูล ข่าวสารขององค์กร ซึ่งในหลายๆ องค์กรฯ มักจะประสปปัญหาหรือกังวลเกี่ยวกับการรับส่งเอกสารอิเลคโทรนิค การควบคุมการรั่วไหลของข้อมูลออกนอกองค์กร เช่น ข้อมูลการค้าตกอยู่ในมือคู่แข่ง, ข้อมูลเงินเดือน, ข้อมูลพนักงาน เป็นต้น แม้ว่าโดยทั่วๆ ไปแล้วเอกสารต่างๆ จะมีการพิสูจน์การใช้งาน และการควบคุมการเข้าถึงก่อนใช้งานก็ตาม ซึ่งก็อาจจะไม่ปลอดภัยเพียงพอเนื่องจากสิทธิในการเข้าถึงของผู้ใช้ยังคงอยู่ได้ เช่น นาย ก ได้รับอนุญาติให้มีสิทธิในการ อ่าน (read) บนแชร์ไดร์ ใดๆ บนเซิร์ฟเวอร์ แสดงว่า นาย ก สามารถทำสำนำเอกสารมาไว้บนเครื่องฯ ของตนเองได้เช่นกัน รวมถึงการแก้ไขเอกสาร หรือพิมพ์เอกสารนั้นๆ ออกมา ซึ่งจะไม่มีใครสามารถตรวจสอบหรือได้เลยว่าใครทำอะไรกับเอกสารนั้นๆ ซึ่งปัญหานี้ พบว่า พนักงาน 6 ใน 10 ขโมยข้อมูลบริษัทฯ ก่อนออกจากงาน



          ซิลิคอน แวลลีย์ 25 กพ.- ผลการศึกษาของ Ponemon Institute พบว่า เมื่อปีที่แล้ว มีพนักงานสหรัฐถึง 6 ใน 10 ที่ขโมยข้อมูลบริษัทก่อนที่ตัวเองจะออกจากงาน โดยอาจใช้ข้อมูลไปกับการสมัครงานใหม่ เริ่มต้นธุรกิจของตนเอง หรือทำไปเพื่อแก้เผ็ดบริษัทวิจัยการบริหารจัดการ Ponemon Institute ได้สำรวจเรื่องนี้กับผู้ใหญ่ 945 คนในสหรัฐ ซึ่งเป็นผู้ที่ถูกเลิกจ้าง ถูกไล่ออก หรือต้องเปลี่ยนงานในช่วง 12 เดือนที่ผ่านมา แต่ในช่วงที่ทำงานอยู่ พวกเขาสามารถเข้าถึงข้อมูลของบริษัท เช่น ข้อมูลลูกค้า รายชื่อผู้ติดต่อ ประวัติพนักงาน รายงานการเงิน เอกสารลับทางธุรกิจ ระบบซอฟต์แวร์ หรือข้อมูลด้านทรัพย์สินทางปัญญาผลการศึกษาพบว่า มีผู้ถูกสำรวจร้อยละ 59 ในนี้ ที่ยืนยันว่า จะต้องหยิบข้อมูลของบริษัทติดมือไปด้วยแน่นอน ถ้าต้องออกจากงานที่ทำอยู่ การรั่วไหลของข้อมูลอาจส่งผลให้สถานภาพทางการเงินของบริษัทตกอยู่ในภาวะเสี่ยงด้านบริษัทแมคอะฟี ผู้ดูแลความปลอดภัยของระบบคอมพิวเตอร์ ก็คาดว่า เศรษฐกิจโลกได้รับความเสียหายสูงถึง 1 ล้านล้านดอลลาร์สหรัฐ หรือประมาณ 36 ล้านล้านบาท เมื่อปีที่แล้ว จากการปล่อยให้ขบวนการอาชญากรรม พวกเจาะระบบ และคนวงใน เข้าไปขโมยข้อมูลของบริษัทได้อย่างง่ายดาย และมีบริษัทเพียงร้อยละ 15 เท่านั้น ที่ตรวจสอบเอกสารหรือแผ่นเก็บข้อมูลต่าง ๆ ของพนักงาน เพื่อให้แน่ใจว่า พวกเขาไม่ได้นำข้อมูลของบริษัทไปด้วย หากต้องออกจากงานที่ทำอยู่ ผู้เชี่ยวชาญยังระบุว่า มีแนวโน้มที่พนักงานจะแอบขโมยข้อมูลบริษัทมากขึ้นในช่วงที่เศรษฐกิจตกต่ำเช่นนี้. –สำนักข่าวไทย
(ที่มา : news.mcot.net)


และ ยังเป็น 1 ใน 10 ภัยคุกคามอันดับต้นๆ ของปี 2008

คือ ภัยจากการถูกขโมยข้อมูล หรือ ข้อมูลความลับรั่วไหลออกจากองค์กร (Data Loss/Leakage and Theft) ปัญหาด้านความปลอดภัยที่ตัวไฟล์ข้อมูล หรือ "Data Security" นั้นกำลังกลายเป็นปัญหาใหญ่ในปัจจุบัน เนื่องจากข้อมูลขององค์กรส่วนใหญ่แล้วจะถูกจัดเก็บในรูปแบบของไฟล์ที่อยู่ในรูปแบบดิจิตอลฟอร์แมตเก็บไว้ในฮาร์ดดิสก์ หรือสื่อทางด้านดิจิตอลต่างๆ ไม่ว่าจะเป็น CD,DVD หรือ เก็บไว้ใน Storage ขนาดใหญ่ ก็สามารถถูกผู้ไม่หวังดีแอบทำสำเนา หรือ "Copy" ข้อมูลออกไปได้โดยง่าย จากสถิติพบว่า การขโมยข้อมูลโดยคนในองค์กรเองหรือ Insider Threat นั้นมีเปอร์เซ็นต์สูงกว่าการขโมยโดยคนนอก และส่วนใหญ่เกิดจากพนักงานที่ไม่ซื่อสัตย์ หรือมีทัศนคติไม่ดีกับบริษัท (Disgruntled Employee) การเข้ารหัสข้อมูล (Data Encryption) ก็เป็นอีกวิธีหนึ่งในการป้องกันข้อมูลรั่วไหลได้ แต่ในขณะเดียวกันกลับกลายเป็นเทคนิคของแฮกเกอร์ในการแอบซ่อนข้อมูลไม่ให้ เราสามารถทราบได้ว่าแฮกเกอร์กำลังแอบส่งข้อมูลกันอยู่ในกลุ่มของแฮกเกอร์ ด้วยกันเอง ซึ่งมักนิยมใช้เทคโนโลยีที่เรียกว่า "Steganography" ยกตัวอย่าง การเข้ารหัสข้อมูลของกลุ่มผู้ก่อการร้ายในการถล่มตึก World Trade ที่มหานครนิวยอร์ค (911) เมื่อหลายปีก่อน เป็นต้น
(ที่มา : Thaigoodview.com)


จากที่กล่าวมา เราสามารถควบคุมได้ 2 วิธี ใหญ่ๆ คือ
1. การควบคุมระดับ Physical Hardware โดยควบคุมการใช้งาน CD-R, Floppy Disk , Thumb drive, USB HDD เป็นต้น
2. การควบคุมในระดับ Application โดยใช้เทคโนโลยี DRM (Digital Rights Management)

เนื่องจากวิธีแรกยังสามารถสำเนาส่งข้อมูลออกจากองค์กรฯ ด้วยการส่งผ่าน E-mail, IM, FTP, การอัพขึ้นตามเวปที่ให้บริการเก็บข้อมูลต่างๆ หรืออาจจะนำ HardDisk มาต่อพ่วงได้ และวิธีอื่นๆ อีกมากมาย

ปัญหาในระดับ Physical จะไม่เกิดขึ้นหากมีการใช้งาน DRM เนื่องจาก DRM นั้นทำการเข้ารหัสไฟล์เอกสารที่ระดับPhysical ไม่ว่าจะทางพอร์ตใดหรือวิธีการใดๆ ก็ตาม จะไม่เป็นปัญหาอีกต่อไปเนื่องจากการถึงไฟล์ที่มีการใช้เทคโนโลยี DRM ต้องมีการพิสูจน์ตัวตนของผู้ใช้ในระดับ Application เสมอ นอกจากนี้ DRM ยังสามารถกำหนดสิทธิการเข้าถึงไฟล์ได้หลายๆ แบบ โดยสิทธิพื้นฐานคือสามารถอ่านเนื้อหาของเอกสารได้ (View) สิทธิอื่นๆ ที่เพิ่มเติมได้ เช่น Edit, Print, Screen Capture เป็นต้น โดยที่สิทธิบนเอกสารจะคงอยู่ตลอดอายุการใช้งานเอกสาร ไม่ว่าเอกสารนั้นจะอยู่ที่ใด ก็ตาม ซึ่งในท้องตลาดก็มีผลิตภัทณ์ที่ใช้เทคโนโลยี DRM ให้เลือกใช้งานตามความเหมาะสม เช่น Fasoo.com, AVOCO Secure ซึ่งผมจะขอยกตัวอย่างประสิทธิภาพของ Fasoo บางรุ่น พอสังเขป ดังนี้ครับ

1. Fasoo Secure Node (DRM for PC)
สามารถปกป้องข้อมูนในคอมพิวเตอร์ส่วนบุคคลในโดนเมนได้




หน้าที่การทำงาน
1. เข้ารหัสเอกสาร (Document Encryption)
     - เข้ารหัสอัตโนมัติทันทีทีมีเอกสารสร้างขึ้น
     - ปกป้องข้อมูลถาวรทั้งในขณะที่ส่งหรือหลังจากส่งไปแล้ว


2. การควบคุมการเข้าถึงเอกสาร (Access Control Management)
     - สามารถกำหนดสิทธิการเข้าใช้งานได้ตามบาทบาทของผู้ใช้งาน (Role based access control)

- สามารถกำหนดสิทธิกลุ่มผู้ใช้งานได้หลายระดับ
     - สามารถกำหนดสิทธิการใช้เอกสารได้ตามชนิดของเอกสาร (Document based access control)
     - สามารถความคุมการเข้าถึงเอกสารได้หลายแบบ เช่น Open, Edit, Save Print, Copy/Paste, Screen capture, Decryption, Change permission
     - สามารถกำหนดจำนวนวันหรือวันที่อนุญาตให้ใช้งานเอกสารได้

3. ตรวจสอบการใช้เอกสาร (Auditing & Tracking)
     - ตรวจสอบได้ว่าเอกสารใดถูกใช้งานเมื่อเวลาใด โดยใคร รวมทั้งวิธีการใช้ (Edit, Print, etc)
     - สามารถบันทึกผลไว้สำหรับตรวจสอบและค้นหาในภายหลังได้

คุณสมบัติ
1. Usability
     - ติดตั้งใช้งานได้ง่ายกับระบบที่มีอยู่แล้ว
     - เจ้าของเอกสารสามารถกำหนดสิทธิการใช้งานเอกสารได้เอง

2. Security
     - ปกป้องสิทธของเอกสารตลอดอายุการใช้งาน (สิทธิจะไม่เปลี่ยนแปลงไม่ว่าเอกสารจะอยู่อทีใดก็ตาม)
     - มีการพิสูจน์ตัวตนก่อนใช้งานเอกสารแบบ Single-Sign-On

3. Stability
     - รองรับการทำงาน (Transaction) ได้เป็นจำนวนมาก (up to 100,000 users or unlimited)

4. High availability
     - สามารถเพิ่มจำนวนเซิร์ฟเวอร์ได้ตามขนาดขององค์กรที่เพิ่มขึ้น
     - มีความสามารถในการทำ Load balancing ระหว่างกันได้

5. Compatibility
     - สามารถทำงานร่วมกันกับ DRM for P2P ได้ (เป็นผลิตภัณฑ์หนึ่งของ Fasoo)

2. Fasoo Secure Exchange (DRM for P2P)

ใช้สำหรับปกป้องข้อมูลที่รับส่งระหว่างเครื่องในอินเตอร์เนต (To protect files exchanged)

หน้าที่การทำงาน
1. เข้ารหัสเอกสาร (Document Encryption)
     - สามารถทำการเข้ารหัสก่อนที่จะส่งเอกสารให้กับบุคคลภายนอก
     - สามารถรักษาสิทธิการเข้าถึงเอกสารได้ตลอดอายุการใช้งานเอกสาร

2. การควบคุมการเข้าถึงเอกสาร (Access Control Management)
     - กำหนดการเขาถึงเอกสารตามบทบาทผู้รับ (Recipient based access control)
     - ความคุมสิทธิ Open, Edit, Save, Print, Copy/Paste, Screen capture ได้แบบ Real-time
     - สามารถกำหนดจำนวนครั้งและจำนวนเครื่องคอมพิวเตอร์ที่อนุญาตให้ใช้งานเอกสารได้
     - สามารติดตามและตรวจสอบการใช้งานเอกสารที่ส่งไปแล้วได้
     - สามารถทำลายสิทธิในการเข้าถึงเอกสารได้ (Revocation)

3. การตรวจสอบการใช้เอกสาร (Auditing & Tracking)
     - ตรวจสอบได้ว่าเอกสารใดถูกใช้งานเมื่อเวลาใด โดยใคร รวมทั้งวิธีการใช้ (Edit, Print, etc)
     - สามารถบันทึกผลไว้สำหรับตรวจสอบและค้นหาในภายหลังได้

คุณสมบัติ
1. Usability
     - ติดตั้งใช้งานได้ง่ายกับระบบที่มีอยู่แล้ว
-      สามารถพิสูจน์ตัวตนได้โดยใช้อีเมลล์แอดเดรส โดยไม่ต้องใช้มีการใช้ Digital Certificate เพิ่มเติม
     - สามารถส่งเอกสารได้ทุกวิธี เช่น E-mail, IM, File Sharing, Flash-drive, etc.

2. Security
     - ใช้กุญแจเข้ารหัสที่ต่างกันสำหรับผู้รับเอกสาร
     - วิธีการเข้ารหัสเป็นของ Fasoo ร่วมกับ วิธีการเข้ารหัสมาตรฐาน
     - มีการใช้ Agent (Small software) มีหน้าที่ป้องกันการลักลอบใช้เอกสาร

3. Stability
     - รองรับการทำงาน (Transaction) ได้เป็นจำนวนมาก (up to 100,000 users or unlimited)

4. High availability
     - ติดตั้งใช้งานง่ายกับระบบที่มีอยู่แล้ว โดยไม่ต้องรวมกับ CMS
     - รองรับเอกสารได้หลายประเภท เช่น MS Office, Acrobat, Photoshop, Illustrator, ACDSee, AutoCAD, etc.


3. DRM for File-Server

ปกป้องเอกสารที่มีในไฟล์เซิร์ฟเวอร์ (Shared folder)

หน้าที่การทำงาน
1. เข้ารหัสเอกสาร (Document Encryption)
     - เข้ารหัสอัตโนมัติทันทีทีมีเอกสารสร้างขึ้นหรือทันทีที่มีการนำเอกสารจากเซิร์ฟเวอร์ไปใช้
     - ปกป้องข้อมูลถาวรทั้งในขณะที่ส่งหรือหลังจากส่งไปแล้ว

2. การควบคุมการเข้าถึงเอกสาร (Access Control Management)
     - ใช้การพิสูจน์ตัวตนแบบ SSO (Single-Sign-on)
     - ควบคุมการเข้าถึงโดยใช้ RBAC (Role based access control)
     - สามารถทำงานร่วมกับ LDAP ได้
     - สามารถควบคุมสิทธิโดยกำหนดที่ระดับเซิร์ฟเวอร์
     - ความคุมสิทธิ Open, Edit, Save Print, Copy/Paste, Screen capture, Decryption, Change permission
     - สามารถกำหนดครั้งและจำนวนเครื่องคอมพิวเตอร์ที่อนุญาตให้ใช้งานเอกสารได้
     - สามารถติดตามตรวจตรวจสอบการใช้งานเอกสารที่นำออกจากเซิร์ฟเวอร์ไปแล้วได้

3. ตรวจสอบการใช้เอกสาร (Auditing & Tracking)
     - ตรวจสอบได้ว่าเอกสารใดถูกใช้งานเมื่อเวลาใด โดยใคร รวมทั้งวิธีการใช้ (Edit, Print, etc)
     - สามารถบันทึกผลไว้สำหรับตรวจสอบและค้นหาในภายหลังได้

4. Document Security for External Usage
     - สามารถทำลายสิทธิในการเข้าถึเอกสารได้

คุณสมบัติ
1. Usability
     - ติดตั้งใช้งานได้ง่ายกับระบบที่มีอยู่แล้ว
     - ใช้การพิสูจน์ตัวตนแบบ SSO

2. Security
     - ปกป้องข้อมูลถาวรทั้งขณะที่เอกสารอยู่ในเซิร์ฟเวอร์หรือนำออกจาเซิร์ฟเวอร์ไปแล้ว
     - วิธีการเข้ารหัสเป็นของ Fasoo ร่วมกับ วิธีการเข้ารหัสมาตรฐาน

3. Stability
     - รองรับการทำงาน (Transaction) ได้เป็นจำนวนมาก (up to 100,000 users or unlimited)

4. High availability
     - สามารถเพิ่มจำนวนเซิร์ฟเวอร์ได้ตามขนาดขององค์กรที่เพิ่มขึ้น
     - มีความสามารถในการทำ Load balancing ระหว่างกันได้

สรุป จากตัวอย่างผลิตภัณฑ์ของ Fasoo จะเห็นได้ว่าสามารถปกป้อง รวมถึงตรวจสอบ ข้อมูลขององค์กรที่อยู่ในรูปแบบ Digital ได้ หากผู้อ่านสนใจเพิ่มเติมเกี่ยวกับเรื่อง DRM สามารถค้นหาโดยใช้ Search Engine ได้ครับ ไม่ว่าจะเป็นบทความตีพิมพ์ กรณีศึกษาต่างๆ มีให้ศึกษามากมายเลยครับ

อ้างอิง :
- Microcomputer, October 2008
- www.fasoo.com