在2007年併購資安廠商Vontu之後,Symantec推出自己的DLP產品線,這次我們測試的Data Loss Prevention 9.0(以下簡稱為DLP 9.0),是該公司在去年下半所推出的版本。和前一版本相比,DLP 9.0的代理程式具備了更多功能,可以偵測使用者對於資料剪貼、複製的重製行為,同時能針對更多的資料傳輸管道提供保護,另外,產品本身還可以和Blue Coat的ProxySG,及McAfee的Web Gateway(Webwasher)等第3方的Proxy閘道器產品相整合,在網路出口攔截欲傳送出去的機密資料。
提供多種不同功能的防護元件
這套DLP產品,早期是架構單純的網路型DLP,不過後來也提供代理程式的元件,因此同時具備了主機型DLP的功能,可以隨著需求不同,而彈性調整DLP的部署架構。DLP 9.0的計價方式隨著企業採購的模組不同,及使用者授權數的多寡而有差異,它的伺服器套件為軟體,可安裝在符合硬體需求的Windows伺服器上運作。
安裝DLP 9.0的伺服器套件時,除了最基本的Enforcer(管理伺服器)角色外,還有Network Monitor(DLP閘道器)、Discover or Protect(資料庫防護伺服器)、Email Prevent(郵件防護伺服器)、Web Prevent(網頁防護伺服器),及Endpoint Server(用戶端防護伺服器)等幾種模式可供選擇,在人數較少的環境下,用戶可以在一臺伺服器上同時啟用多種角色。以這次iThome的測試環境為例,我們便在做為Enforcer的伺服器,同時啟用了Network Monitor的模式,使其能擔任DLP閘道器的角色,以便從鏡射而來的流量當中,檢查是否帶有受到管制的機密資料。
可透過Altiris的單一平臺, 監控多款同廠牌產品的運作情況
和其他多數的送測產品一樣,DLP 9.0也具備了指紋辨識的能力,做法上是採Hash的方式產生資料的指紋特徵。管理者可以透過掃描本機、遠端主機的共享資料夾,及SharePoint等應用程式伺服器的方式,分析檔案範本。在架構上,製作完成的指紋特徵除了會放置一份於管理伺服器之外,在前面提到的幾種防護伺服器上也會同樣放置一份,因此在這些伺服器與管理伺服器失去連線的情況下,仍然可以發揮作用。
搭配Altiris,除了派送DLP 9.0的代理程式,可以透過Windows AD的Logon Script、微軟的System Center Configuration Manager(SCCM)等第3方的套件伺服器,及Symantec自家的Altiris平臺派送,安裝完成之後,代理程式會以偽裝的方式,在系統的背景程式中執行,除了在洩密事件發生時可以秀出警告訊息之外,在一般狀態下,使用者很難查覺到它的存在。
除了派送軟體的功能之外,我們也可以透過該系統的管理介面,偵測、收集代理程式的狀態訊息,透過單一平台就可以了解同廠牌產品的運作情況,使得安全管理的工作更加容易。
能針對資料庫內容提供防護
不同於這次送測的其他產品,DLP 9.0並不會將指紋特徵的資料庫派送到個人端電腦,當資料被複製到DLP閘道器,或者使用者透過自己的電腦將資料傳送出去時,可以利用指紋特徵,針對檔案內容做深層分析。
對於存放在資料庫裡的個資,DLP 9.0提供了相當良好的防護功能,用戶可以透過ODBC,或者匯入文字等2種方式,讓DLP能夠過濾出儲放在資料表裡的文字內容。
2種設定方式中,ODBC的操作較為複雜,實際操作時,我們將一份內含所有個資的文字檔,上傳到DLP 9.0的管理介面,這時,可以設定由系統直接套用文字檔的欄位資料,使得資料的匯入更加方便,此後我們可以設定僅選用資料表當中的某幾個欄位,做為比對機密資料的依據,DLP 9.0對於資料的過濾相當精準,可以設定在所有欄位資料確定為同一人所有的情況下,才會觸發DLP的控管政策。
即時通訊的控管方面,對於我們開放使用的2種即時通訊軟體,DLP 9.0目前僅支援微軟的MSN,至於Skype的管理,則必須透過Windows AD的群組原則等其他方式,限制一部份的功能,降低洩密事件的發生機率。
在周邊裝置的管理上,DLP 9.0可以搭配Symantec自家的Endpoint Protection防毒軟體,或者其他的周邊控管產品,提供我們所要求的USB儲存裝置的白名單功能。
報表功能完整
針對幾種常見的資安法規,DLP 9.0已經事先內建好相關的範本,可以直接套用,控管企業內部的機密資料流動。
在我們這次測試的4款DLP產品當中,DLP 9.0在報表功能方面,算是比較完備的一款,當我們透過HTTPS登入產品的管理介面,就可以看到儀表板型式的報表介面。
依產品部署的架構做區分,這套DLP記錄所得的事件可以分為網路及本機等2種,查詢單一筆的記錄時,除了可以看到使用者傳送出去的完整資料內容,所觸發的控管政策之外,報表也一併列出相同事件在過去一段時間曾經發生過的頻率,協助管理者判斷這是否為蓄意發生的洩密事件。
DLP 9.0的報表功能相當完備,登入產品的管理介面,可以看到儀表板型式的報表介面。依架構做區分,可以將記錄所得的事件分為網路及本機等2種。
資料庫防護
Symantec DLP 9.0可以透過ODBC,或者匯入文字等2種方式,讓DLP 能夠過濾出儲放在資料庫的資料表,當中的文字內容。
事件報表
除了可以看到使用者傳送出去的完整資料內容,及所觸發的控管政策之外,DLP 9.0也一併列出相同事件在過去一段時間曾經發生過的頻率,協助判斷是否為蓄意發生的洩密事件。
產品資訊
Symantec Data Loss Prevention 9.0
建議售價:50萬元起(全功能模組,30人使用授權,含安裝設定)
●原廠:Symantec
●電話:(02)8761-5800
●網址:www.symantec.com
●產品架構:網路型/主機型DLP
●個人端電腦系統需求:300MHz處理器、256MB處理器、1.5GB硬碟空間
●管理伺服器硬體規格:雙核3.0GHz處理器、8GB記憶體、500GB SCSI硬碟
●網路應用程式控管類別:Mail、FTP、IM、P2P等
●周邊裝置控管類別:USB儲存裝置、CD/DVD、PCMCIA、數據機(含3.5G網卡)等,但需搭配Endpoint Protection或其他周邊控管產品
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
【相關報導請參考「資料外洩防護產品採購大特輯」】
熱門新聞
2024-11-18
2024-11-20
2024-11-15
2024-11-15
2024-11-12
2024-11-19
2024-11-14