WebsenseData Security Suite 7.1能整合多種網路伺服器提供保護

和這次的其他3款送測產品一樣，Websense的Data Security Suite（DSS）是該公司在2006年收購資安廠商Port Authority，利用其技術推出的資安產品線。不同於iThome在去年曾經測試過的6.5版本，7.0之後版本的DSS在功能上的最顯著不同處，在於提供了代理程式的元件，使得它和Symantec的DLP 9.0一樣，同時具備了主機型和網路型DLP的能力。

能整合多種網路伺服器提供保護

在架構上，DSS主要是由DSS Management Server（管理伺服器）、DSS Protector（DLP閘道器），及代理程式等3者所組成。其中管理伺服器是安裝在Windows平臺的軟體套件，至於閘道器則是整合Linux環境的系統套件。

這套產品有進階版和標準版之分，其中，前者可以在偵測到洩密事件發生時便加以攔截，後者則是單純提供事件記錄能力的版本。計價方式的差異，主要是依照用戶所購買的版本功能不同、代理程式的有無，並且根據使用者多寡等方式。

DSS Protector的部署上，包含鏡射方式的建置，也能以In-Line的架構部署在內部的骨幹網路，即時過濾進出的流量中是否帶有機密資料。

除了採用本身套件外，DSS對於其他的網路應用伺服器也具有良好的整合性，像是微軟的Internet Security and Acceleration（ISA）、Exchange Server，及Websense自家的Email Security等，在這些伺服器上安裝外掛程式後，就可使其兼任DLP閘道器的角色。

除此之外，DSS在架構上，也可以和Blue Coat的ProxySG等支援ICAP的第3方閘道器產品搭配，當系統偵測到洩密事件發生時，即由前者阻斷流量的傳輸。

可透過多種方式產生指紋特徵

PreciseID是Websense的指紋特徵技術，它從檔案內容擷取特徵的方式，和趨勢LeakProof的DataDNA相類似，兩者都是在去除內容的無效字元後，再根據字詞間的相關性，重新組合成多道特徵，由相似度的高低，辨別資料的真實屬性。

至於範本資料的來源，可由DSS的管理伺服器從內部網路的共享資料夾，及微軟的SharePoint Server等途徑，將檔案的文字內容傳送回本機運算，最後才會產生指紋特徵。在架構上，DSS的閘道器本身尚不具備指紋特徵的資料庫，因此必須透過管理伺服器的分析，才能得知是否為機密資料。Websense表示，未來版本的DSS閘道器也會具有一份指紋特徵，如此一來，當閘道器與管理伺服器間的連線中斷時，資料的過濾服務還是可以正常運作。

至於DSS的代理程式的派送，可以透過Windows AD及其他第3方的套件伺服器來執行，產品本身提供了一支打包工具的程式，我們可以在此預先完成代理程式的功能設定，然後再產生安裝檔，使得軟體部署的工作變得更加容易。

防護功能相當完整，同時針對周邊控管能力予以加強

DSS對於資料庫提供了相當良好的防護功能，它和Symantec的DLP 9.0一樣，都可以透過ODBC及匯入文字檔等2種方式加以保護。

就我們這次的實際操作來說，是透過前者與資料庫相連接，我們可以在DSS管理伺服器的設定介面，透過Windows的ODBC連線設定，連結測試環境中的SQL Server，並且手動選取資料表當中想要防護的欄位加以分析；當系統判斷某一欄位的內容重複性太高（例如居住縣市），這時會在分析結果中，以紅字做為標示，提醒用戶修改設定，整個設定流程相當容易，可以在簡短的6個步驟之內快速完成。

這種做法的好處是，可以完全避免員工傳送個人資料時，因為重複輸入造成DLP的誤判，同時，它也可以做到當所有欄位資料皆為同一人所有時，才會觸發DLP的控管政策。

就我們在個人端電腦上開放使用的幾種服務來說，DSS皆能有效予以過濾，當機密資料傳送時，DSS的代理程式會顯示目前正在掃描資料的動作訊息，接著則是出現洩密事件的警告訊息，並且加以封鎖。

在代理程式當未推出前，DSS必須整合其他廠商的周邊控管產品，才能防止資料透過本機的連接埠外洩，此次我們測試的7.1版，在此方面又有所加強，我們可以透過DSS的設定介面，將特定廠牌、型號的裝置加入到白名單，其餘不是企業所配發的裝置則一律封鎖。

政策範本完整

DSS內建相當完整的政策範本，操作各項功能的設定之前，我們可以透過精靈模式，先以地區、產業別的方式，篩選出適合套用的範本，最後再調整DLP的過濾功能設定，就這點來說，和我們此次所測試的其他款DLP產品較為不同。

這款產品的報表事件相當詳細，可顯示資料是由何人，透過什麼樣的管道所外洩，又是因為什麼樣的原因被DLP所攔截，而傳送出去的資料，被攔住之後，會留存一份副本於管理伺服器上，做為日後舉發洩密事件的證據。除了透過報表介面查閱記錄外，也可以和這次我們所測試的一些其他款DLP一樣，在事件發生時，可以依照員工在企業的組織層級，透過郵件方式通知主管處理。

DSS提供儀表板型式的網頁介面，有助於管理者快速了解內容的資料安全狀況。

政策範本

產品內建完整的政策範本，可以透過精靈模式，先以地區、產業別，篩選出適合套用的範本，再調整DLP的過濾功能設定。

報表介面

報表功能可顯示該事件所觸發的控管政策，並能透過此一介面檢視使用者傳送的檔案。

產品資訊

WebsenseData Security Suite 7.1

建議售價：850,000元（250人使用授權）

●原廠Websense

●電話：(02) 2717-5608（代理商：達友科技）

●網址：www.websense.com 

●產品架構：主機型／網路型DLP

●個人端電腦系統需求：Windows XP以上、1.8GHz處理器、512MB記憶體、100MB硬碟空間

●管理伺服器硬體規格：2.4GHz處理器X2、4GB記憶體、74GB記憶體

●網路應用程式控管類別：Mail、FTP、IM、P2P等

●周邊裝置控管類別：USB儲存裝置、CD/DVD、PCMCIA、數據機（含3.5G網卡）等

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】

【相關報導請參考「資料外洩防護產品採購大特輯」】