DLP資料外洩防護系統(Data Loss Prevention)為進一步防止機密資料外洩的解決方案,具代表性的廠商有RSA、Websense、趨勢及賽門鐵克。

DLP提供使用者在存取及傳輸資料時,系統會依企業所設定政策,對於使用者所存取的檔案做資料過濾,目前的DLP系統能夠針對自然語言,例如各地語言,或者有關於個資以及內文的相關性,或是從資料庫中學習應保護的檔案。而在DLP保護傘下的檔案,就不會被任何形式途徑洩漏出去。

與針對檔案做加密的方式來說,DLP同樣是針對檔案施行過濾方式的管制,所以企業不需特別針對USB埠做封鎖,兼顧了日常資料使用上的便利性,同時也能做到一定程度的阻絕資料外洩。

但DLP目前還無法針對圖片內容做過濾,如果企業內有內鬼想將圖片格式的機密檔案帶出,規避DLP稽核的機率相當高。此外,使用者如將攜出的檔案執行多次壓縮、變更檔名,這時DLP是否還能成功攔截機密文件外流?所以如要使用DLP方案,企業有必要以任何形式限制員工修改檔案,以確保DLP的安全性。

林皇興說,DLP資料過濾算是目前對於USB埠管控最全面的單一解決方案,它可以結合周邊裝置管控,以及資料過濾等功能,算是能從硬體及軟體面來進行USB封鎖的解決方式。

吳宗霖說,因應個資法上路,很多企業已經在評估導入DLP的必要性,因資料安全與使用者操作的方便性上,往往是一把兩面刃,也因為DLP在目前來說,算是兼顧這2者間,最具平衡度的產品,因此目前企業對於導入資安產品,DLP目前的詢問度很高。

而DLP現在不再是需要花費龐大成本才能取得的解決方案,趨勢科技也推出了基本型的DLP,價格大約只需標準版價格的三分之一,來吸引中小企業導入這樣的資料過濾方案。

在過往中小企業,在封鎖USB埠的資安策略上,大多是走向較為省成本的封鎖方式,如從BIOS設定,或者是直接將Jumper移除,稍具規模的才會使用到Windows AD。運用群組原則來控管企業內的電腦,但現在已有越來越多的中小企業,開始在評估導入DLP。林皇興表示,DLP大約從5、6年前開始發展,使用的企業以大型企業為主,中小型企業也有使用,但近期因為個資法的上路,目前有很多企業在看過DLP的運作方式之後,已開始審慎評估導入DLP的必要性,也因為企業員工的使用意識提高,單一開與關的封鎖USB模式,已經不適用於現在的企業,所以企業以後的資安政策,會逐漸向使用彈性靠攏。

以趨勢科技DLP為例,在主控臺介面中,我們也能夠針對USB埠在內的各項周邊裝置做控管。


優:防止機密資料從各類管道外流,且無須封鎖USB埠

缺:對於圖片格式的檔案,尚無法有效加以管理

建置時間:系統建置+制訂政策約2個月

所需成本:使用者授權每人每年約800~3850元,硬體費用另計


相關報導請參考「徹底搜查!封鎖USB 2012 最新13招」

熱門新聞

Advertisement