和這次的其他3款送測產品一樣,Websense的Data Security Suite(DSS)是該公司在2006年收購資安廠商Port Authority,利用其技術推出的資安產品線。不同於iThome在去年曾經測試過的6.5版本,7.0之後版本的DSS在功能上的最顯著不同處,在於提供了代理程式的元件,使得它和Symantec的DLP 9.0一樣,同時具備了主機型和網路型DLP的能力。

能整合多種網路伺服器提供保護

在架構上,DSS主要是由DSS Management Server(管理伺服器)、DSS Protector(DLP閘道器),及代理程式等3者所組成。其中管理伺服器是安裝在Windows平臺的軟體套件,至於閘道器則是整合Linux環境的系統套件。

這套產品有進階版和標準版之分,其中,前者可以在偵測到洩密事件發生時便加以攔截,後者則是單純提供事件記錄能力的版本。計價方式的差異,主要是依照用戶所購買的版本功能不同、代理程式的有無,並且根據使用者多寡等方式。

DSS Protector的部署上,包含鏡射方式的建置,也能以In-Line的架構部署在內部的骨幹網路,即時過濾進出的流量中是否帶有機密資料。

除了採用本身套件外,DSS對於其他的網路應用伺服器也具有良好的整合性,像是微軟的Internet Security and Acceleration(ISA)、Exchange Server,及Websense自家的Email Security等,在這些伺服器上安裝外掛程式後,就可使其兼任DLP閘道器的角色。

除此之外,DSS在架構上,也可以和Blue Coat的ProxySG等支援ICAP的第3方閘道器產品搭配,當系統偵測到洩密事件發生時,即由前者阻斷流量的傳輸。

可透過多種方式產生指紋特徵

PreciseID是Websense的指紋特徵技術,它從檔案內容擷取特徵的方式,和趨勢LeakProof的DataDNA相類似,兩者都是在去除內容的無效字元後,再根據字詞間的相關性,重新組合成多道特徵,由相似度的高低,辨別資料的真實屬性。

至於範本資料的來源,可由DSS的管理伺服器從內部網路的共享資料夾,及微軟的SharePoint Server等途徑,將檔案的文字內容傳送回本機運算,最後才會產生指紋特徵。在架構上,DSS的閘道器本身尚不具備指紋特徵的資料庫,因此必須透過管理伺服器的分析,才能得知是否為機密資料。Websense表示,未來版本的DSS閘道器也會具有一份指紋特徵,如此一來,當閘道器與管理伺服器間的連線中斷時,資料的過濾服務還是可以正常運作。

至於DSS的代理程式的派送,可以透過Windows AD及其他第3方的套件伺服器來執行,產品本身提供了一支打包工具的程式,我們可以在此預先完成代理程式的功能設定,然後再產生安裝檔,使得軟體部署的工作變得更加容易。

防護功能相當完整,同時針對周邊控管能力予以加強

DSS對於資料庫提供了相當良好的防護功能,它和Symantec的DLP 9.0一樣,都可以透過ODBC及匯入文字檔等2種方式加以保護。

就我們這次的實際操作來說,是透過前者與資料庫相連接,我們可以在DSS管理伺服器的設定介面,透過Windows的ODBC連線設定,連結測試環境中的SQL Server,並且手動選取資料表當中想要防護的欄位加以分析;當系統判斷某一欄位的內容重複性太高(例如居住縣市),這時會在分析結果中,以紅字做為標示,提醒用戶修改設定,整個設定流程相當容易,可以在簡短的6個步驟之內快速完成。

這種做法的好處是,可以完全避免員工傳送個人資料時,因為重複輸入造成DLP的誤判,同時,它也可以做到當所有欄位資料皆為同一人所有時,才會觸發DLP的控管政策。

就我們在個人端電腦上開放使用的幾種服務來說,DSS皆能有效予以過濾,當機密資料傳送時,DSS的代理程式會顯示目前正在掃描資料的動作訊息,接著則是出現洩密事件的警告訊息,並且加以封鎖。

在代理程式當未推出前,DSS必須整合其他廠商的周邊控管產品,才能防止資料透過本機的連接埠外洩,此次我們測試的7.1版,在此方面又有所加強,我們可以透過DSS的設定介面,將特定廠牌、型號的裝置加入到白名單,其餘不是企業所配發的裝置則一律封鎖。

政策範本完整

DSS內建相當完整的政策範本,操作各項功能的設定之前,我們可以透過精靈模式,先以地區、產業別的方式,篩選出適合套用的範本,最後再調整DLP的過濾功能設定,就這點來說,和我們此次所測試的其他款DLP產品較為不同。

這款產品的報表事件相當詳細,可顯示資料是由何人,透過什麼樣的管道所外洩,又是因為什麼樣的原因被DLP所攔截,而傳送出去的資料,被攔住之後,會留存一份副本於管理伺服器上,做為日後舉發洩密事件的證據。除了透過報表介面查閱記錄外,也可以和這次我們所測試的一些其他款DLP一樣,在事件發生時,可以依照員工在企業的組織層級,透過郵件方式通知主管處理。

 

DSS提供儀表板型式的網頁介面,有助於管理者快速了解內容的資料安全狀況。

政策範本

產品內建完整的政策範本,可以透過精靈模式,先以地區、產業別,篩選出適合套用的範本,再調整DLP的過濾功能設定。

報表介面

報表功能可顯示該事件所觸發的控管政策,並能透過此一介面檢視使用者傳送的檔案。

 

產品資訊

WebsenseData Security Suite 7.1

建議售價:850,000元(250人使用授權)

●原廠Websense

●電話:(02) 2717-5608(代理商:達友科技)

●網址:www.websense.com 

●產品架構:主機型/網路型DLP

●個人端電腦系統需求:Windows XP以上、1.8GHz處理器、512MB記憶體、100MB硬碟空間

●管理伺服器硬體規格:2.4GHz處理器X2、4GB記憶體、74GB記憶體

●網路應用程式控管類別:Mail、FTP、IM、P2P等

●周邊裝置控管類別:USB儲存裝置、CD/DVD、PCMCIA、數據機(含3.5G網卡)等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 

【相關報導請參考「資料外洩防護產品採購大特輯」】

熱門新聞

Advertisement