DLP｜趨勢OfficeScan DLP 10.6 可自行建立正規表示式的資料定義

趨勢這次送測的DLP產品，主要是OfficeScan Corporate Edition（OSCE），目前最新版10.6 SP2已經內建資料外洩防護的模組。

OSCE在2009年發表的10.0版，開始針對用戶端電腦加入周邊裝置的控管，不過當時支援的裝置類型較少。直到10.6版，OSCE可控管的裝置類型大幅增加，而且結合新的「數位資產存取控管」功能（也就是DLP），成為資料安全保護模組，以外掛的形態嵌入。

整體而言，OSCE DLP的功能較著重在機敏資料的判斷與阻擋，類似其他DLP產品所具備的機敏資料查找功能（Discover），目前這套系統並沒有提供，不過趨勢科技也透漏，將會加入個資盤點的功能，預計發表時間是2014年第二季，今年9月他們計畫會以工具的方式先提供給用戶。

提供多組資料內容類型定義

基本上，OSCE DLP的每條政策，是由範本（Template）、通道（Channel）與處理行動（Action）組成，而每套範本都是一組條件陳述式，當中包含了資料定義與邏輯運算子。資料定義是指對於資料內容的界定方式，OSCE DLP預設有表示式（Regular Expression）、檔案屬性和關鍵字等。

通道則是指資料外洩的各種路徑，OSCE DLP提供網路、系統與應用程式等項目，當你勾選了這些選項，OSCE會檢視是否有資料外洩行為。

以目前臺灣各機關與企業都需要遵循的個資法為例，如果我們要管制使用者，不得擅自將包含個人姓名的資料上傳至網頁或另存至USB隨身碟上，就可以新增一個範本，在當中選取現存於OSCE DLP系統的資料定義項目，並手動設定系統發現該類型資料外傳達到一定次數，即判定為資料外洩事件。

隨後，在管道的設定項目下，勾選屬於網路管道的「HTTP」與「HTTPS」，以及隸屬系統與應用程式管道的「卸除式儲存」；接著，管理者可以設定遇到上述狀況時，即讓系統自動執行封鎖，並記錄相關事件資訊，而且為了提醒使用者注意，所以同時選了「通知用戶端使用者」這一項。

就OSCE的安裝預設項目來看，範本的部份，已提供GLBA、HIPAA、PCI-DSS、SB-1386、US PII等5套，都是國際上知名的法規遵循項目，臺灣的個資法並不在其中，所以我們必須自己手動新增範本。

資料定義裡面，系統預設的通用表示式項目當中，有一些與臺灣有關，主要是國民身分證號碼與兩大醫院的病歷號碼──包含SKH（新光吳火獅紀念醫院）和VGH（榮總）等兩種。OSCE DLP都定義了相關資料的格式與表示式本身的 Checksum。

趨勢科技本身已另外提供臺灣個資法專用的範本，用戶可自行上網下載後匯入OSCE DLP，當中包含的資料定義表示式，有臺灣專屬的地址格式、手機號碼、市內電話、健保局用藥代號，而範本對於個資外洩的行為定義，也套用了預設次數，例如使用者外傳的資料一旦被偵測出帶有5組手機號碼和1組身分證號碼，就可以視為違反政策。

可自行建立正規表示式的資料定義

OSCE DLP用來定義資料的「表示式」，其實就是正規表示式（Regular Expression），一般DLP產品也都是利用這種方法來界定需要管制的資料類型，這裡所用的描述語法，主要是遵循程式語言Perl相容的正規表示式（Perl Compatible Regular Expressions，PCRE）。

OSCE DLP預設的資料定義表示式若不夠用，也可以自行新增。在網頁管理介面當中，我們可針對特定字元、字尾、單一字元分隔符號等不同項目，來制定表示式的條件。在新增表示式的頁面上，同時也提供了測試資料的功能，我們可以在這裡任意輸入單筆或多筆資料，接著按下測試鈕後，即可驗證設定的表示式條件。

就算你不會寫正規表示式，也可以到系統預設定義的眾多表示式項目中，去利用這個驗證條件的機制，例如到「台灣 — 國民身分證號碼」或「全部 — 電子郵件信箱」，如果你想驗證的資料符合表示式條件，測試結果那一欄就會產生結果，顯示這些資料包含的數位資產數量，並以紅色反白的樣式顯示符合條件的部份。

進階事件管理需搭配趨勢的威脅控管系統Control Manager

OSCE DLP主要的功能是針對用戶端電腦的資料外洩行為，提供防護的作用，相關的事件統計報表檢視，需搭配該公司的集中控管系統Control Manager（TMCM）。

當我們將OSCE DLP註冊到TMCM，而TMCM本身也完成與Windows AD整合的設定後，就可以將特定使用者的帳號匯入，並指派為DLP事件的檢視人員，依權責範圍可設為兩種角色。

其中之一的角色，稱為DLP_Compliance_Officer，以此身分登入TMCM後，能透過網頁介面去檢視整個公司內的DLP違規事件，管理者可將資訊部門主管與公司稽核人員設為這個角色。

另一個角色則是DLP_Incident_Reviewer，可對應給AD當中被設為部門主管的使用者帳號，以此角色登入TMCM之後，該員只能檢視所轄部屬所發生的DLP事件。

搭配集中管理平臺，可檢視簡明的DLP 違規事件統計圖表

OSCE DLP本身的機制，在於強制施行機敏資料的防護政策，若需要較進階的事件管理功能，需搭配趨勢Control Manager的管理平臺，整合Windows AD帳號後，各主管以自己的WIndows登入帳號進入該系統的網頁介面後，就可以看到專屬於自身部門的DLP事件。

內建資料定義，可用表示式、檔案字作為條件

要保護企業裡面用戶端電腦的機敏資料，首先必須先界定要控管的資料類型，OSCE DLP安裝後預設提供多組資料定義項目，涵蓋正規表示式、檔案屬性與關鍵字等三種描述資料型態的方
式，這些項目均可手動新增或匯出、匯入。

產品資訊:

●建議售價：全功能模組授權每人為2,900元

●原廠：趨勢科技(02)2378-9666

●網址：www.trendmicro.com

●伺服器作業系統需求：微軟Windows Server 2003/2003 R2/2008/2008 R2

●伺服器硬體需求：Inteli Core 2 Duo 1.86GHz處理器,2GB記憶體,3.5GB磁碟空間

●用戶端作業系統需求：Inteli Windows XP/Vista/7/8/Embedded POSReady 2009 , Windows Server 2003/2003 R2/2008/2008 R2/2012

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】