防護多種異質平臺，阻止資料外洩

McAfee Data Loss Prevention（McAfee DLP）是該公司去年10月收購Onigma，接著利用其技術所推出的資料外洩防護產品，可防止機密資料透過網路、螢幕截圖、外接儲存裝置，以及印表機列印等方式外流出去。

和市面上同等類型的產品相比，McAfee DLP的特別之處在於同時擁有軟（McAfee DLP Host）、硬體（McAfee DLP Gateway）等2種不同種類的產品。

就功能來說，以軟體版本的McAfee DLP Host最為完整，因此企業在採購時通常也以此種產品為主，由於是企業端的產品，因此除了安裝在員工電腦上的用戶端軟體（代理程式）之外，也需要在一臺裝有Windows Server 2003 SP1以上版本系統的電腦，部署McAfee DLP Console做為管理伺服器的角色，企業內部的IT人員可以從這裡管理員工電腦透過網路，以及周邊裝置傳輸資料的狀況，了解是否有受到保護機密資料夾雜其中，一旦發生機密資料外洩，用戶端軟體可以依照設定組態的不同，採取靜態記錄、僅出現警告訊息，或者是切斷傳輸並同時出現警告訊息等做法。

至於以硬體設備呈現的McAfee DLP Gateway則是放置在企業網路的閘道端，用來監控像是Linux、PDA等無法安裝McAfee DLP用戶端軟體的異質平臺，從網頁以及傳送出去的郵件流量當中，檢查裡頭是否含有機密資料。

單一介面的集中管理，須搭配McAfee ePO
早期版本的McAfee DLP是以獨立產品的型態出貨，直到DLP 2.0的版本推出後，才能夠與McAfee自家的集中式管理平臺ePO（ePolicy Orchestrator）相整合，IT人員可透過此平臺統一管理包含DLP在內的多種資安產品，並同時將用戶端軟體整合到ePO的代理程式當中。如此一來，對於已經購買McAfee資安產品（主要是企業端防毒軟體）的企業，就不用在同一臺員工電腦上先後安裝2種同一廠牌的用戶端軟體，減少部署與管理上的麻煩，利用已經部署完成的ePO就可以達成機密資料控管的目的。除了最新發布的ePO 4.0之外，3.61版本的ePO也已經內含DLP 2.0的用戶端軟體。

類似的做法，近來在防毒軟體廠商之間其實十分盛行，繼McAfee之後，趨勢科技也在10月底宣布收購Provilla，賽門鐵克則是在本月7號收購了另外一家同樣從事資料外洩防護產品開發的廠商Vontu，Sophos雖然到目前為止還沒有具體的動作，不過據了解也會跟進，並且和前面的幾家廠商一樣，未來推出的資料外洩防護產品將與本身的企業端防毒軟體相互整合。

整合AD，依部門別採取不同的管理政策
在企業內部，每個部門對於機密資料的防護範圍也許會有所差異，像是財務部門的資料，在使用上除禁止透過網路、隨身碟等途徑外流之餘，也應該限制相關人員無法隨意地將資料列印出來，但是其他部門可能就不用如此嚴格，可以的做法是開放該部門內的電腦列印文件。

為了達成企業對於機密資料的控管需求，McAfee DLP透過整合企業現有的AD（Active Directory），可以針對不同群組下的電腦採取個別的管理政策，在做法上，管理者必須在McAfee DLP Console先設定好一個群組名稱，然後再將剛才設定好的群組名稱對應到網域伺服器上的電腦群組，如此才能整合目錄服務下的各群組電腦個別採取管理措施。

支援390多種檔案格式，並提供離線控管功能
McAfee DLP對於企業的機密資料提供了完整而嚴密的防護。

就員工的網路行為來說，這套產品可以限制資料，不得透過HTTP、FTP、電子郵件，以及即時通訊傳檔等網路應用程式傳送出去。

而在本機裝置方面，除了隨身碟、印表機等裝置外，其實還也包含藍牙、紅外線等具有資料傳送能力的通訊方式。

McAfee DLP目前一共支援390多種不同的檔案格式，除了單純以檔名、副檔名進行過濾之外，也能針對檔案內容，透過Data Fingerprint tools軟體，執行文字萃取、資料正規化與建立特徵資料，以及關鍵字過濾等檢查，防止有心人士利用各種變造手法，將重要的機密資料從企業內部攜出。

像是信用卡卡號等個人重要機密資料，也可以在McAfee DLP Console的管理介面中預先設定規則加以過濾，該產品本身已有提供多種現成的運算式，不過目前並沒有包含臺灣地區的國民身分證號碼，但IT人員可以透過自行撰寫運算式的方式，將自定的機密資料字串加入McAfee DLP的過濾條件，以充分協助企業在日常流通的檔案之中，找出哪些夾帶有這些機密內容。

和大多數的同類型產品一樣，McAfee DLP也支援離線控管的機制，因此就算是我們將裝有McAfee DLP用戶端軟體，或者是ePO的筆記型電腦攜出至辦公室以外的地方，對於機密檔案的控管依舊有效，不會因為操作電腦的區域不同而有所差異。文⊙楊啟倫