趨勢這次送測的DLP產品,主要是OfficeScan Corporate Edition(OSCE),目前最新版10.6 SP2已經內建資料外洩防護的模組。

OSCE在2009年發表的10.0版,開始針對用戶端電腦加入周邊裝置的控管,不過當時支援的裝置類型較少。直到10.6版,OSCE可控管的裝置類型大幅增加,而且結合新的「數位資產存取控管」功能(也就是DLP),成為資料安全保護模組,以外掛的形態嵌入。

整體而言,OSCE DLP的功能較著重在機敏資料的判斷與阻擋,類似其他DLP產品所具備的機敏資料查找功能(Discover),目前這套系統並沒有提供,不過趨勢科技也透漏,將會加入個資盤點的功能,預計發表時間是2014年第二季,今年9月他們計畫會以工具的方式先提供給用戶。

提供多組資料內容類型定義

基本上,OSCE DLP的每條政策,是由範本(Template)、通道(Channel)與處理行動(Action)組成,而每套範本都是一組條件陳述式,當中包含了資料定義與邏輯運算子。資料定義是指對於資料內容的界定方式,OSCE DLP預設有表示式(Regular Expression)、檔案屬性和關鍵字等。

通道則是指資料外洩的各種路徑,OSCE DLP提供網路、系統與應用程式等項目,當你勾選了這些選項,OSCE會檢視是否有資料外洩行為。

以目前臺灣各機關與企業都需要遵循的個資法為例,如果我們要管制使用者,不得擅自將包含個人姓名的資料上傳至網頁或另存至USB隨身碟上,就可以新增一個範本,在當中選取現存於OSCE DLP系統的資料定義項目,並手動設定系統發現該類型資料外傳達到一定次數,即判定為資料外洩事件。

隨後,在管道的設定項目下,勾選屬於網路管道的「HTTP」與「HTTPS」,以及隸屬系統與應用程式管道的「卸除式儲存」;接著,管理者可以設定遇到上述狀況時,即讓系統自動執行封鎖,並記錄相關事件資訊,而且為了提醒使用者注意,所以同時選了「通知用戶端使用者」這一項。

就OSCE的安裝預設項目來看,範本的部份,已提供GLBA、HIPAA、PCI-DSS、SB-1386、US PII等5套,都是國際上知名的法規遵循項目,臺灣的個資法並不在其中,所以我們必須自己手動新增範本。

資料定義裡面,系統預設的通用表示式項目當中,有一些與臺灣有關,主要是國民身分證號碼與兩大醫院的病歷號碼──包含SKH(新光吳火獅紀念醫院)和VGH(榮總)等兩種。OSCE DLP都定義了相關資料的格式與表示式本身的 Checksum。

趨勢科技本身已另外提供臺灣個資法專用的範本,用戶可自行上網下載後匯入OSCE DLP,當中包含的資料定義表示式,有臺灣專屬的地址格式、手機號碼、市內電話、健保局用藥代號,而範本對於個資外洩的行為定義,也套用了預設次數,例如使用者外傳的資料一旦被偵測出帶有5組手機號碼和1組身分證號碼,就可以視為違反政策。

可自行建立正規表示式的資料定義

OSCE DLP用來定義資料的「表示式」,其實就是正規表示式(Regular Expression),一般DLP產品也都是利用這種方法來界定需要管制的資料類型,這裡所用的描述語法,主要是遵循程式語言Perl相容的正規表示式(Perl Compatible Regular Expressions,PCRE)。

OSCE DLP預設的資料定義表示式若不夠用,也可以自行新增。在網頁管理介面當中,我們可針對特定字元、字尾、單一字元分隔符號等不同項目,來制定表示式的條件。在新增表示式的頁面上,同時也提供了測試資料的功能,我們可以在這裡任意輸入單筆或多筆資料,接著按下測試鈕後,即可驗證設定的表示式條件。

就算你不會寫正規表示式,也可以到系統預設定義的眾多表示式項目中,去利用這個驗證條件的機制,例如到「台灣 — 國民身分證號碼」或「全部 — 電子郵件信箱」,如果你想驗證的資料符合表示式條件,測試結果那一欄就會產生結果,顯示這些資料包含的數位資產數量,並以紅色反白的樣式顯示符合條件的部份。

進階事件管理需搭配趨勢的威脅控管系統Control Manager

OSCE DLP主要的功能是針對用戶端電腦的資料外洩行為,提供防護的作用,相關的事件統計報表檢視,需搭配該公司的集中控管系統Control Manager(TMCM)。

當我們將OSCE DLP註冊到TMCM,而TMCM本身也完成與Windows AD整合的設定後,就可以將特定使用者的帳號匯入,並指派為DLP事件的檢視人員,依權責範圍可設為兩種角色。

其中之一的角色,稱為DLP_Compliance_Officer,以此身分登入TMCM後,能透過網頁介面去檢視整個公司內的DLP違規事件,管理者可將資訊部門主管與公司稽核人員設為這個角色。

另一個角色則是DLP_Incident_Reviewer,可對應給AD當中被設為部門主管的使用者帳號,以此角色登入TMCM之後,該員只能檢視所轄部屬所發生的DLP事件。

搭配集中管理平臺,可檢視簡明的DLP 違規事件統計圖表

OSCE DLP本身的機制,在於強制施行機敏資料的防護政策,若需要較進階的事件管理功能,需搭配趨勢Control Manager的管理平臺,整合Windows AD帳號後,各主管以自己的WIndows登入帳號進入該系統的網頁介面後,就可以看到專屬於自身部門的DLP事件。

內建資料定義,可用表示式、檔案字作為條件

要保護企業裡面用戶端電腦的機敏資料,首先必須先界定要控管的資料類型,OSCE DLP安裝後預設提供多組資料定義項目,涵蓋正規表示式、檔案屬性與關鍵字等三種描述資料型態的方
式,這些項目均可手動新增或匯出、匯入。


產品資訊:

●建議售價:全功能模組授權每人為2,900元

●原廠:趨勢科技(02)2378-9666

●網址:www.trendmicro.com

●伺服器作業系統需求:微軟Windows Server 2003/2003 R2/2008/2008 R2

●伺服器硬體需求:Inteli Core 2 Duo 1.86GHz處理器,2GB記憶體,3.5GB磁碟空間

●用戶端作業系統需求:Inteli Windows XP/Vista/7/8/Embedded POSReady 2009 , Windows Server 2003/2003 R2/2008/2008 R2/2012

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


Advertisement

更多 iThome相關內容