Provilla Leakproof-100其實是Dell的PowerEdge 850伺服器,唯一的差別處在於面板部份依照廠商的要求而進行客製化。

一般來說,對於機密文件的控管,最簡單的做法就是整合Active Directory(AD),或者透過Samba的使用者群組,設定員工在檔案伺服器的存取權限,只是檔案轉存到硬碟之後,管理者往往就無法繼續管理檔案的後續流向。DRM也是可行的方案之一,但卻使得檔案在流通上存在著諸多限制,讓便利性大為降低。若企業想要在資安控管與使用方便之間取得一個適當的平衡點,就有必要導入其他方案做為替代。

先前叫做DGate的Provilla Leakproof,是企業文件資安的控管方案,主要防止機密檔案透過筆記型電腦、可攜式儲存裝置,以及電子郵件、IM傳檔等方式外流出去。依照企業內部的電腦數量規模不同,而有Leakproof-100、Leakproof-500兩種型號可供選擇,分別適用於100、500人的使用環境。

Provilla Leakproof涵括2大元件:DataDNA和Anti-Leaf Agent(A/L Agent)。DataDNA所指的是硬體設備的部分,以這次我們所測試的Leakproof-100來說,設備本身其實是一台裝了CentOS的Dell PowerEdge 850伺服器,負責控管政策的設定,以及數據報表的統計;A/L Agent必須安裝在個人端電腦,做為監控程式使用,透過8804的網路埠與DataDNA伺服器交換訊息,並繼承管理者在伺服器所做的各項設定。

須設定資料來源路徑
由於Provilla Leakproof主要是用來監控檔案伺服器上的機密檔案,所以一開始,我們必須將需要管理的共享資料夾加入到Provilla Leakproof的管控清單,以便設定機密資料的來源路徑。

接著執行一次手動掃描,讓Provilla Leakproof分析資料夾下的所有檔案,這個動作並不會修改檔案內容,僅是取得檔案特徵,以便日後進行檔案比對之用。完成之後,該資料夾的所有檔案即受到Provilla Leakproof的保護,所以我們可以把以上的設定看做是設備所提供的第一道防線,在此之後,還可以透過內容過濾的機制,檢查檔案內容中是否夾帶有不被允許外流的機密內容。

受到保護的資料,仍然可以不受限制地,讓使用者複製到自己的電腦上閱讀,或者是繼續編輯。但想要透過不被設備允許的方式外流檔案,如透過電子郵件傳送,此時電腦將會跳出一個對話方塊,告知使用者這樣的動作已被Provilla Leakproof所禁止。

值得注意的是,對於完成掃描之後新增到共享資料夾的檔案,Provilla Leakproof無法馬上提供文件防護,因此必須一併設定排程更新,讓設備定時的進行更新。

內容過濾強化文件安全
除了設定資料來源之外,Provilla Leakproof也提供內容過濾的機制,對300多種的檔案格式進行「指紋辨識」,所以無法以更改副檔名的方式迴避設備的監控,在此同時設備也可以透過關鍵字、Entity等2種比對方式,檢查出檔案本身是否夾帶具有機密內容的資料。

關鍵字的設定方式比較簡單,管理者可以自行設定需要進行控管的文字內容,在進行內容過濾時可以找出檔案內容是否帶有關鍵字,以決定是否讓檔案從使用者電腦裡傳送出去;另外,Provilla Leakproof也具備評分機制,這項功能和垃圾信黑白名單過濾機制十分類似,管理者可以設定單筆字串的得分,若是同時出現多筆,得分達到黑名單的定義,則檔案不允許傳送,符合白名單定義的檔案則是允許傳送,至於得分在兩者之間的檔案也是允許傳送,但是會受到設備的記錄。

Entity比對也可以看做是關鍵字過濾的一種,不過管理者須自行編輯運算式,以便找出文件當中是否有信用卡卡號、身分證字號等透過運算式產生的字串,Provilla Leakproof本身已就幾種常用到的運算式建立資料庫,如信用卡卡號等,管理者僅需直接套用就可以完成設定。比起前者,身分證字號的比對就比較麻煩,因為設備是從美國進口的原裝機器,因此僅有提供社會福利證的運算式,管理者必須自行撰寫運算式,這部份並不難,透過Google搜尋一下就可以找到許多可供參考的運算式。Entity同樣也可以整合評分機制判斷檔案本身是否為機密資料。


Provilla Leakproof內建信用卡、美國社會福利證等數種運算式資料庫,但目前尚未涵括台灣的身分證字號運算式,因此管理者須自行撰寫運算式。


管制周邊與網路洩密
除了內容過濾之外,對於周邊裝置的控管功能,是Provilla Leakproof在設計上的另一項獨到之處,可限制使用者透過USB、IEEE1394等連接埠,以及紅外線、藍牙以及燒錄機等本機裝置,或者是從Webmail、IM、FTP等應用程式外流機密資料。

設定方式極其簡單,僅須在Web介面的選單裡將所要管控的項目勾選起來,接著選擇所要套用的使用者帳號或是群組,最後儲存設定即可完成。

具備離線控管功能
對於電腦數量眾多的企業來說,實在很難以手動的方式在每台電腦安裝A/L Agent,我們建議的做法是利用軟體派送工具將A/L Agent軟體部署到個人端電腦,以減少安裝上的麻煩。不過在此之前,必須以文字編輯器開啟安裝檔案中的dsa.pro檔,將link_ip欄位修改成DataDNA伺服器使用的IP Address位址。一旦修改欄位、派送安裝好之後,程式就會和伺服器相連接。

如同先前所提到的,A/L Agent會從DataDNA伺服器繼承先前所設定好的控管政策,因此讓Provilla Leakproof自然具備離線控管的功能,無論設備是否連接網路,都會受到A/L Agent的監控管理,而無法將機密資料外流出去,但是在離線狀態下,A/L Agent便無法連接伺服器,以取得最新版本的控管政策。A/L Agent啟動之後,會偽裝成普通的系統服務在背景裡執行,使用者無法自行移除或者關閉,因此我們可以把它看做是一種合法的木馬程式。

Provilla Leakproof並非唯一提供離線控管機制的文件資安業者,不過相較於像是一次整合文件加密、列印控管的控管方案,例如優碩、Authentica或微軟(RMS)、Adobe(PDF)等廠商的產品,Provilla Leakproof的做法便有明顯的不同之處。

實際測試時,我們發現目前版本的A/L Agent可在不受任何限制的情況下,將管制下的機密資料透過區域網路傳送到另一台沒有安裝A/L Agent的電腦主機。這是因為在原廠的構想當中,企業內部並不允許出現任何私人電腦,所有電腦皆要安裝A/L Agent,受到伺服器的管理,不過到了下一版本的A/L Agent,將會修正這點,讓安裝A/L Agent無法傳送檔案到沒有安裝管理程式的電腦主機。

支援多種報表格式輸出
Leakproof-100具備一台160GB硬碟,並結合MySQL資料庫儲存事件記錄,關於資料庫的部份可依照用戶需求客製化,改為Oracle之類的大型資料庫。

記錄項目以檔案存取為主,報表以圖形化方式動態產生,管理者可以在Web端,或者透過電子郵件寄送PDF、Excel等格式的報表,除此之外也可以自行設定搜尋條件,僅讓系統顯示出我們所需的資料,以提高報表功能使用彈性。文⊙楊啟倫



Provilla Leakproof-100

建議售價:1,750,000元(含100部電腦1年使用授權)

密網資安代理

(02)2656-0690

www.mitsnetworks.com.tw

尺寸 1U,19吋機架式
處理器 Intel Pentium 4 3.2GHz
記憶體/硬碟容量 2GB DDR2/160GB SATA
網路介面 GbE×2 
A/L Agent支援平台 Windows 2000以上 作業系統
支援檔案格式 Microsoft Office、 RTF、PDF、TIFF、 C/C++、JAVA、 Verilog、AutoCAD、 WinZIP、RAR等

熱門新聞

Advertisement