選擇可整合企業現有環境的DLP產品

王鴻明 密網資安技術經理，曾經服務於東森購物等大型企業，對於網路管理規畫、資料外洩防護等領域有長期研究，個人擁有MCSE、CCNA等專業證照

有鑒於機密資料外洩可能造成的重大損失，以及為了遵循法規的要求，因此近年來，許多企業紛紛把資料外洩防護（Data Loss Provention，DLP）產品的導入，視為必要的資安投資。由於相關產品的需求持續成長，看好這塊大餅的資安廠商，先後以收購其他擁有技術的小型資安廠商，做為進軍資料外洩防護市場的手段。

資料外洩防護的相關產品很多，功能上各有產品，如何選擇可說是一門學問。長期鑽研於資料外洩防護領域的密網資安技術經理王鴻明認為「產品除了提供何種防護功能，能否符合用戶的實際需求也很重要。密網資安技術經理王鴻明認為，可以融入現有網路架構，不需要大幅變更員工作流程的產品，對於功能的發揮，將可以收到更加良好的效果。」

問：市面上目前用來防止機密資料外洩的產品很多，大致上可以分為那幾種類型？

答：目前的資料外洩防護產品，大致上可以分為四種，分別是：周邊控管、數位版權加密（DRM），針對檔案／磁碟進行加密，以及兼具周邊控管與資料內容過濾等功能的產品。

談到現有的市售產品，周邊控管是最早出現的一種，企業可以透過這類產品，禁用員工電腦各種不同的連接埠，或者只開放特定功能；除此之外，也可以結合Windows AD的使用者群組，讓企業內部的各個不同部門分別使用不同的管理設定。這一類產品大多以軟體為主，一部分功能較為精細的產品，對於裝置的管理除了單純的設定禁用之外，也可以設定僅允許特定廠牌、特定型號的隨身碟才能連接電腦，擴大產品的管理彈性。

在各種數位版權加密產品中，微軟的Office應該是最常見到的，另外，像是Adobe DRM、優碩的解決方案也很具代表性。數位版權加密的好處是使用容易，同時在安全性的表現上也很不錯，不過此類產品通常僅針對廠商自己支援的文件格式，因此在相容性方面顯得略為封閉。

針對磁碟，以及特定檔案進行加密的做法，最近也很流行。透過這類加密方式，可以確保機密文件不會被企業員工以外的人士所讀取。

最後一種兼具周邊控管與資料內容過濾的產品，也就是我們一般所泛稱的DLP，在機制上算是這四類產品當中，比較完整的一種。就周邊控管的做法來說，各家產品在功能上大同小異，技術上差別較多的地方主要在於內容過濾的部分。據我所知，有些產品會在定義為機密的檔案加一段標籤（tag），讓產品在過濾檔案內容的時候，可以成功辨別檔案身分，避免機密流出企業內部；而我比較熟悉的一種，則是抽取檔案的部分內容做為特徵碼，藉由比對檔案是否內含我們所定義好的一些特徵碼，再行控管機密檔案的流向。

問：決定購買產品之前的評估階段，有什麼地方是值得我們加以注意的？

答：功能上的差別當然要注意，在購買產品的時候，也應該對於企業所在的產業別、產品是否提供集中控管的功能、即時報表、客製化功能，以及備份稽核員工所傳輸的檔案也很重要。一般在討論如何選擇資料外洩產品的時候，產業別是較少提及的部分，可是當產品實際導入的時候，你會發現它其實很重要，以製圖業來說，當圖檔設計完成的時候，也許還需要把將檔案傳送到輸出中心做後續處理，此時就比較適合透過數位版權加密的方式，將檔案設定成唯讀屬性，並且只允許開啟、列印，但無法修改內容。

集中控管是企業端產品的必備功能，這點就不需多做說明；至於即時性的分析報表則是讓用戶可以在外洩事件發生的時候，能夠即時做出適當的處理，將安全控管做到滴水不漏。

有鑒於各個企業的使用需求不同，產品本身是否也可因應這些要求而適度修改也很重要。在評估產品時，用戶需要就這點向經銷商或者是原廠詳加確認。

舉例來說，很多導入這類產品的企業，在使用者傳送資料的同時，也會順便複製一份到指定的儲存空間，做為日後稽核之用。以我的經驗來說，如果企業決定採用備份方式，藉以保留員工所傳送的檔案，比較理想的做法是，先定義好那些資料是帶有機密性質的，實際備份時，僅就這些機密檔案即可。

問：為什麼有些企業在導入產品之後，沒有採用即時封鎖的方式管理機密資料的傳輸，而是使用靜態側錄的方式來做管理？
答：主要是為了省去管理上的麻煩，如果產品本身提供即時報表與備份稽核的功能，就可以透過靜態側錄的方式，管理員工存取企業機密資料的行為。

過去曾經遇過一個運用這種方式自保的企業實例，某員工在轉換到另外一家同性質的公司上班之前，先將有機密性質的內部文件複製一份，留作日後使用，當資訊人員透過產品的報表得知該員工的行為之後，公司便以存證信函的方式，告知當事人不可以將複製出去的檔案挪作他用，以維護公司的權益。

問：這類產品主要是透過安裝代理程式的方式管理員工電腦存取機密資料的行為，可是代理程式的版本一般是以Windows平臺上使用的檔案為主，對於Linux，或者是Mac OS之類的異質平臺，有沒有方法可做管理？

答：針對這個問題，像是McAfee就以自家的SIG防毒牆為基礎，發展出硬體的閘道端設備，可以透過HTTP、SMTP等通訊協定，管控異質平臺透過網路傳送機密檔案的行為；不只是McAfee，這類產品還有其他廠商打算加，像是趨勢科技也有計畫推出LeakProof的閘道端設備，預計在今年的第3季會有具體的產品推出。整理⊙楊啟倫