Symantec Data Loss Prevention 9.0提供多種防護元件

在2007年併購資安廠商Vontu之後，Symantec推出自己的DLP產品線，這次我們測試的Data Loss Prevention 9.0（以下簡稱為DLP 9.0），是該公司在去年下半所推出的版本。和前一版本相比，DLP 9.0的代理程式具備了更多功能，可以偵測使用者對於資料剪貼、複製的重製行為，同時能針對更多的資料傳輸管道提供保護，另外，產品本身還可以和Blue Coat的ProxySG，及McAfee的Web Gateway（Webwasher）等第3方的Proxy閘道器產品相整合，在網路出口攔截欲傳送出去的機密資料。

提供多種不同功能的防護元件

這套DLP產品，早期是架構單純的網路型DLP，不過後來也提供代理程式的元件，因此同時具備了主機型DLP的功能，可以隨著需求不同，而彈性調整DLP的部署架構。DLP 9.0的計價方式隨著企業採購的模組不同，及使用者授權數的多寡而有差異，它的伺服器套件為軟體，可安裝在符合硬體需求的Windows伺服器上運作。

安裝DLP 9.0的伺服器套件時，除了最基本的Enforcer（管理伺服器）角色外，還有Network Monitor（DLP閘道器）、Discover or Protect（資料庫防護伺服器）、Email Prevent（郵件防護伺服器）、Web Prevent（網頁防護伺服器），及Endpoint Server（用戶端防護伺服器）等幾種模式可供選擇，在人數較少的環境下，用戶可以在一臺伺服器上同時啟用多種角色。以這次iThome的測試環境為例，我們便在做為Enforcer的伺服器，同時啟用了Network Monitor的模式，使其能擔任DLP閘道器的角色，以便從鏡射而來的流量當中，檢查是否帶有受到管制的機密資料。

可透過Altiris的單一平臺， 監控多款同廠牌產品的運作情況

和其他多數的送測產品一樣，DLP 9.0也具備了指紋辨識的能力，做法上是採Hash的方式產生資料的指紋特徵。管理者可以透過掃描本機、遠端主機的共享資料夾，及SharePoint等應用程式伺服器的方式，分析檔案範本。在架構上，製作完成的指紋特徵除了會放置一份於管理伺服器之外，在前面提到的幾種防護伺服器上也會同樣放置一份，因此在這些伺服器與管理伺服器失去連線的情況下，仍然可以發揮作用。

搭配Altiris，除了派送DLP 9.0的代理程式，可以透過Windows AD的Logon Script、微軟的System Center Configuration Manager（SCCM）等第3方的套件伺服器，及Symantec自家的Altiris平臺派送，安裝完成之後，代理程式會以偽裝的方式，在系統的背景程式中執行，除了在洩密事件發生時可以秀出警告訊息之外，在一般狀態下，使用者很難查覺到它的存在。

除了派送軟體的功能之外，我們也可以透過該系統的管理介面，偵測、收集代理程式的狀態訊息，透過單一平台就可以了解同廠牌產品的運作情況，使得安全管理的工作更加容易。

能針對資料庫內容提供防護

不同於這次送測的其他產品，DLP 9.0並不會將指紋特徵的資料庫派送到個人端電腦，當資料被複製到DLP閘道器，或者使用者透過自己的電腦將資料傳送出去時，可以利用指紋特徵，針對檔案內容做深層分析。

對於存放在資料庫裡的個資，DLP 9.0提供了相當良好的防護功能，用戶可以透過ODBC，或者匯入文字等2種方式，讓DLP能夠過濾出儲放在資料表裡的文字內容。

2種設定方式中，ODBC的操作較為複雜，實際操作時，我們將一份內含所有個資的文字檔，上傳到DLP 9.0的管理介面，這時，可以設定由系統直接套用文字檔的欄位資料，使得資料的匯入更加方便，此後我們可以設定僅選用資料表當中的某幾個欄位，做為比對機密資料的依據，DLP 9.0對於資料的過濾相當精準，可以設定在所有欄位資料確定為同一人所有的情況下，才會觸發DLP的控管政策。

即時通訊的控管方面，對於我們開放使用的2種即時通訊軟體，DLP 9.0目前僅支援微軟的MSN，至於Skype的管理，則必須透過Windows AD的群組原則等其他方式，限制一部份的功能，降低洩密事件的發生機率。

在周邊裝置的管理上，DLP 9.0可以搭配Symantec自家的Endpoint Protection防毒軟體，或者其他的周邊控管產品，提供我們所要求的USB儲存裝置的白名單功能。

報表功能完整

針對幾種常見的資安法規，DLP 9.0已經事先內建好相關的範本，可以直接套用，控管企業內部的機密資料流動。

在我們這次測試的4款DLP產品當中，DLP 9.0在報表功能方面，算是比較完備的一款，當我們透過HTTPS登入產品的管理介面，就可以看到儀表板型式的報表介面。

依產品部署的架構做區分，這套DLP記錄所得的事件可以分為網路及本機等2種，查詢單一筆的記錄時，除了可以看到使用者傳送出去的完整資料內容，所觸發的控管政策之外，報表也一併列出相同事件在過去一段時間曾經發生過的頻率，協助管理者判斷這是否為蓄意發生的洩密事件。

DLP 9.0的報表功能相當完備，登入產品的管理介面，可以看到儀表板型式的報表介面。依架構做區分，可以將記錄所得的事件分為網路及本機等2種。

資料庫防護

Symantec DLP 9.0可以透過ODBC，或者匯入文字等2種方式，讓DLP 能夠過濾出儲放在資料庫的資料表，當中的文字內容。

事件報表

除了可以看到使用者傳送出去的完整資料內容，及所觸發的控管政策之外，DLP 9.0也一併列出相同事件在過去一段時間曾經發生過的頻率，協助判斷是否為蓄意發生的洩密事件。

產品資訊

Symantec Data Loss Prevention 9.0

建議售價：50萬元起（全功能模組，30人使用授權，含安裝設定）

●原廠：Symantec

●電話：(02)8761-5800

●網址：www.symantec.com

●產品架構：網路型／主機型DLP

●個人端電腦系統需求：300MHz處理器、256MB處理器、1.5GB硬碟空間

●管理伺服器硬體規格：雙核3.0GHz處理器、8GB記憶體、500GB SCSI硬碟

●網路應用程式控管類別：Mail、FTP、IM、P2P等

●周邊裝置控管類別：USB儲存裝置、CD/DVD、PCMCIA、數據機（含3.5G網卡）等，但需搭配Endpoint Protection或其他周邊控管產品

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】

【相關報導請參考「資料外洩防護產品採購大特輯」】