我們此次測試的Host Data Loss Prevention(以下簡稱為HDLP) 3.0,主要提供DLP及周邊控管的功能。它也是McAfee Total Protection for Data功能的一部分,這套最高階的資料防護產品同時具備DLP、周邊控管及目錄檔案的加密等3項功能。McAfee的DLP技術,主要來自於2006年被該公司併購的資安廠商Onigma。

就架構而言,HDLP是一款主機型的DLP產品。它和同廠牌的許多資安產品一樣,都是架構在McAfee行之有年的ePolicy Orchestrator(ePO)。透過ePO的管理介面,我們可以設定HDLP的控管政策、閱覽報表,及派送DLP的代理程式。就計價方式來說,由於這套產品有版本的差異,因此它主要是以用戶所採購的功能模組不同,再以使用者授權數量的方式決定價格。

支援標籤及指紋特徵等2種辨識技術

McAfee的HDLP在技術上可以同時支援標籤及指紋特徵等2種技術,其中後者是HDLP 3.0這次所特別加入的新功能。

在設定上,我們可以根據檔案的存放路徑,及特定應用程式所產生的檔案等2種方式,將辨識所需的標籤加入,貼上檔案,但有別於採用同類型技術的DLP產品,HDLP在做法上並不會針對檔案本身執行任何的寫入動作。

舉例來說,當資料從定義為機密存放路徑的共享資料夾,複製到個人端電腦後,HDLP會將標籤寫入到一個資料庫檔案,而不是檔案本身,因此不會對於內容造成任何改變,造成企業管理上的疑慮。

McAfee表示,HDLP的指紋特徵在做法上,是採用字詞方式比對檔案間的相似度,做法上,和我們這次所借測的Websense DSS及趨勢LeakProof等2款產品較為類似。實際設定時,我們可以指定讓HDLP分析共享資料夾的檔案,後續可透過排程方式定期掃描,維持指紋庫的完整性。

而HDLP的代理程式在使用上,必須在個人端電腦已經安裝ePO代理程式的前提下,才能透過前者的管理介面主動派送。完成安裝之後,雖然代理程式會在系統列顯示一個常駐圖示,不過使用者無法透過手動方式關閉它,以規避DLP的檢查。此外,它的代理程式在電腦無法連線到DLP管理伺服器的離線狀態下,仍然可以針對使用者傳送機密檔案的行為加以控管。

檢測能力完整

在我們這次的測試環境中,對於存放在SQL Server資料庫裡的個資,HDLP可以採取特殊關鍵字的方式加以過濾;信用卡的部份,可以直接套用內建在HDLP的規則做檢查;至於臺灣使用者環境才獨有的身分證字號,目前仍然必須透過手動方式設定規則後,才能加以檢測。

對於我們設定開放使用的SMTP、Webmail等2類郵件,HDLP可以在使用者寄信過程中,當完成夾檔,準備傳送時,就中斷資料的傳送,同時透過代理程式秀出警告訊息。至於將機密文字內容貼在郵件本文傳送出去的方式,則可設定HDLP禁止使用者針對機密檔案的內文剪貼、複製;啟動這項功能之後,轉貼過去的內文將會變成DLP的警告文字。

針對即時通訊的控管,HDLP在功能上可以支援我們這次開放使用的2種即時通訊軟體,當我們透過即時通訊軟體傳送被DLP界定為機密資料的檔案時,MSN和Skype會立即離線,中斷所有訊息的傳輸,同時電腦桌面的右下角也會出現警告訊息,提示你須重新啟動即時通訊軟體的主程式後,才能繼續使用。

和我們這次測試的大多數產品一樣,產品本身具備周邊控管的功能,除了封鎖之外,也能設定儲存裝置的白名單。

可透過ePO平臺閱覽DLP的完整事件報表

我們透過HTTPS登入ePO的正體中文管理介面,點選首頁的DLP狀態摘要連結後,可切換閱覽DLP的狀態儀表板,快速了解機密資料的控管狀況。

點選DLP監視器的項目,看到所有記錄所得的事件皆條列在此,我們可以設定篩選器,選取我們所需要的事件加以閱覽,HDLP針對事件提供了相當完整的記錄,除了一般的違規原因,及查閱傳送出去的原始檔案之外,也一併列出欲傳送的目的地,便於日後舉證。

McAfee另推出硬體閘道器,專門過濾網路流量中的資料

除了主機型的DLP產品之外,McAfee其實也有採硬體型式推出的DLP閘道器設備,兩者在架構上是各自獨立運作的產品。早期的DLP閘道器,是從該公司的Secure Internet Gateway(SIG)硬體閘道器所修改而來,可用來檢測使用者透過網路的方式傳送機密資料的行為。不過,隨著McAfee在2008年併購了另外一家網路型DLP廠商Reconnex後,前述的設備便為新款的產品所取代。

因此,目前McAfee的DLP閘道器分為Network DLP Discover、Network DLP Monitor、Network DLP Manager,及Network DLP Prevent等4種,前身皆為Reconnex所推出的硬體閘道器設備。

這些設備的差異主要是功能。就像Network DLP Discover是一款稽核設備,它可以透過網路掃描的方式,檢查內部端點是否有可能造成資料外洩的漏洞存在;Network DLP Monitor的運作方式和其他廠商推出的DLP閘道器相同,都是以鏡射方式收集進出網路的流量;Network DLP Prevent則是能夠和自家Web Gateway等第3方閘道器產品相整合的設備,攔截透過網路傳送的機密資料;至於Network DLP Manager則是用來管理前述3種設備的管理伺服器硬體。

 

點選首頁的DLP狀態摘要連結後,管理者可切換閱覽DLP的狀態儀表板,快速了解機密資料的控管狀況。

保護規則

在保護規則的項目,可以從HDLP支援的各種資料傳輸通道設定保護。

DLP監視器

HDLP 會將記錄所得的事件條列於DLP監視器,我們可以設定篩選器,選取我們所需要的事件加以閱覽。

 

產品資訊

McAfeeHost Data Loss Prevention 3.0

建議售價:每人 5,957元(251至500人使用授權)

●原廠:McAfee

●電話:(02)2721-7766 

●產品架構:主機型DLP

●個人端電腦系統需求:Windows Server 2003 SP1、450MHz處理器、512MB記憶體、250MB硬碟空間

●管理伺服器硬體規格:Windows 2000 SP4、512MB記憶體、200MB硬碟空間

●網路應用程式控管類別:Mail、FTP、IM、P2P等

●周邊裝置控管類別:USB儲存裝置、CD/DVD、PCMCIA、數據機(含3.5G網卡)等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 

【相關報導請參考「資料外洩防護產品採購大特輯」】

熱門新聞

Advertisement