在DLP產品的發展上,Symantec同樣是透過併購其他公司(Vontu)的方式,之後才正式進入這個領域,目前他們的DLP產品主要架構在同一個管理平臺Enforce Server,而且根據資料探索(Discovery)、端點(Endpoint)與網路(Network)等三大應用目標,可細分為6套產品之多。其他DLP產品相較之下,雖然也有整合式管理平臺,用戶也可依據需求購買不同套件,但選擇沒有Symantec DLP提供的這麼多。

以端點的DLP應用為例,Endpoint Discover和Endpoint Prevent都是屬於這類應用的產品,主要針對的是個人電腦、行動裝置、伺服器的資料探索與外洩預防;而Symantec對於網路的DLP應用產品,則有Network Monitor和Network Prevent這兩套。而屬於資料探索應用的產品,則有Network Discover、Network Protect和Data Insight。

在DLP政策的設定上,提供多種定義資料內容條件的方式

Enforce Server是Symantec DLP的核心,若你想透過Symantec DLP來監視或控管資料的使用狀態,都需要到這裡來設定對應的政策。

在每一條DLP政策項目下,包含了偵測、群組與反應等三大類型的規則,管理者可以自行建立全新的政策,或套用系統提供的範本,以快速建立政策。

以偵測規則為例,它是用來定義政策比對的條件,分為通用的資料內容、檔案內容與網路通訊協定等三大類,管理者需從這些類別的細部規則當中,挑選一項來設定。這些類別裡面也應用了不同的內容偵測技術,像是說明內容比對(Described Content Matching,DCM)、精確資料設定檔(Exact Data Profile,EDM)、自建索引文件設定檔(Indexed Document Profile,IDM),以及向量式的機器學習(Vector Machine Learning,VML)。

DCM裡面包含了資料識別碼、關鍵字、正規表示式、檔案內容,以及身分(使用者/寄件者/收件者的描述模式)、網路協定(通訊特徵)、端點(事件目的地、裝置和通訊協定)。

其中,關鍵字、正規表示式、檔案內容、網路協定是許多DLP都支援的資料定義方式。資料識別碼則是指在公共或商業領域應用的各種ID,例如個人身分證字號、信用卡號、國家藥品代碼,多數DLP產品會歸類在正規表示式的資料條件下,但Symantec DLP特別將它獨立出來。

其他像是EDM、IDM和VML也都有獨到之處。例如,EDM主要是針對資料庫或CSV檔等結構化資料,利用萃取文字內容、正規化和指紋鑑定的方式來進行內容分析、比對。而IDM是在文件建立索引的過程中,利用MD5的演算法為檔案與檔案內容產生指紋。

至於VML,則是需事先讓系統利用統計的方式,搭配正相關或負相關的範例資料來分析資料之間的相似性,進而建立偵測設定檔,主要針對的是更難以定義的非結構化資料,像是聯絡人、專利測試結果、程式原始碼。

提供簡單扼要的圖形化儀表板

登入Enforce Server的網頁管理介面後,你會馬上看到的首頁,就是以圓餅圖、長條圖等圖表形式呈現的儀表板,對於相關事件統計的掌握,一目了然。

你也可以打開突發事件列表,裡面的每一條記錄,載明了嚴重性、相關政策、符合條件的記錄筆數與狀態。點選單筆事件記錄後,你將看到細部資料,或者也可以同時選取一群事件,以便修改狀態或執行矯正作業。

在Enforce Server報表檢視介面上的摘要資訊區,也有很特別的用法,那就是可以用單項或兩項摘要條件,來重新組織報表內容。以單項摘要條件的報表內容為例,我們可以根據與每個事件相關的政策排列事件統計結果,而雙項摘要條件的報表(double-summary report),又可以稱為階層式報表,例如可以同時根據政策與事件狀態等兩項條件,來呈現統計資訊。

此外,Enforce Server對於每一筆違反政策的事件資訊顯示上,都包含了關連事件分析,當中呈現了資料外洩的行為、檔案傳遞過程及違反政策人員。透過這樣的分析,管理者可以清楚知道在過去的特定時間點,所違反的詳細統計資訊。

在突發事件的檢視上,Enforce Server也提供工作流程的處理方式,Symantec提供了一個快速回應的按鈕介面,負責稽核的人員在檢視事件時,只需按鍵,就可以將該事件提報給其他人員處理或套用標準流程處理。同時,每一個事件也呈現不同處理狀態的欄位,讓管理的人員了解目前該事件的處理進度。

可辨識NAS上的檔案擁有者,並追蹤其用途

針對端點與網路的資料探索、監視與阻擋外洩防護的功能,大部分DLP產品都有,Symantec DLP系列產品中,有一套提供資料鑑識機制的Data Insight,在其他產品很少看到這樣的功能整合,它隸屬於Network Discover的範疇。

原則上,Data Insight可用來監控NAS儲存設備上的檔案使用模式與存取權限,追蹤存取檔案的使用者身分與頻率,管理者可檢視相關的歷史紀錄,對於NAS上存放的檔案擁有者有所掌握,同時,它也能用來找出那些不再受到任何存取的檔案,分析出各使用單位的儲存用量趨勢。

內建多樣化的資料內容定義規則作為條件

系統當中的資料內容偵測規則可涵蓋通用的資料內容、檔案內容與網路通訊協定等三大面向,其中應用了說明內容比對(DCM)、精確資料設定檔(EDM)、自建索引文件設定檔(IDM),以及向量式的機器學習(Vector Machine Learning,VML)。

事件處理的動作可結合工作流程化的作業方式

在Symantec DLP Enforce Server的突發事件管理功能下,系統管理者或稽核人員透過網頁介面的呈現,均可看到詳細的資安事件記錄。而且每一條事件記錄項目的上方,都有快速回應的按鈕介面,按下之後,可迅速通知所屬主管,或者提升此事件嚴重等級。


●建議售價:DLP Network Monitor為21,320元,DLP Endpoint Prevent為31,460元(以上皆為10人授權,1年保固,資料庫授權另計)

●原廠:Symantec (02)8761-5800

●網址:www.symantec.com

●伺服器作業系統需求:微軟Windows Server 2008 R2、Red Hat Enterprise Linux 5.6~5.9

●伺服器硬體需求:2顆雙核心3.0 GHz處理器,6~8GB記憶體,140GB磁碟空間(Enforce Server需500GB)

●用戶端作業系統需求:微軟Windows XP/Vista/7 , Windows Server 2003 R2/2008 R2

●管理者端瀏覽器支援:微軟IE 8/9、Mozilla Firefox 8~12

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


Advertisement

更多 iThome相關內容