4款DLP產品測試總評

這次我們一共測試了4家廠商所送測的DLP產品，其中，McAfee的Data Loss Prevention 3.0和趨勢的LeakProof 5.0都是主機型產品，至於Websense的Data Security Suite 7.1及Symantec的Data Loss Prevention 9.0則是具備代理程式及閘道器等2種元件，因此這兩款產品同時能以主機型及網路型的DLP架構部署於內部，或者是只使用其中一種配置。

兩種架構雙管齊下是未來趨勢

網路型DLP的好處在於，可以在不需要更動內部原有環境的前提下設置產品，同時由於它是採過濾流量的方式控管機密資料的外洩，因此只要是可以連接網路的任何裝置都必須接受管理，至於缺點則是無法控管機密資料在內部的流動狀況、不提供離線保護的功能，欲即時封鎖機密資料透過網路傳輸時，大多必須再整合第3方的閘道器產品，無法靠產品本身來完成。

主機型產品則剛好相反，由於是採代理程式的方式安裝在使用者的個人端電腦，因此可以和欲監控的平臺達到最緊密的整合，你可以透過代理程式封鎖機密資料的傳輸，同時可以搜尋個人端電腦上是否有需要控管的機密資料存在，不過此一類型產品的保護對象以Windows平臺的個人端電腦為主，無法管理異質平臺的主機，同時，由於是在個人端電腦上安裝軟體做管理，因此需留意代理程式與現有應用程式間的相容性問題，此外，在DLP搜尋電腦內部是否有機密資料時，會佔用到較多的系統資源。

最好的辦法，就是在內部同時部署2種不同類型的DLP產品。像Websense和Symantec兩家公司的產品早期是網路型DLP，不過後來為了因應用戶端的實際需求，因此便開始提供代理程式的元件。另外，在資安廠商中，McAfee是很早就有提供2種不同架構產品的業者，不過他們的做法和前者較為不同，兩者是各自獨立的產品，不過網路型設備可以透過自家的ePO平臺收集及產出報表訊息。

至於趨勢則是針對閘道器的部分加以努力，他們目前已經將DLP的模組移植到了現有的Threat Discovery Appliance（TDA）病毒防護設備，利用前款產品和DLP閘道器同樣採鏡射方式部署的特型，使其具備過濾機密資料的能力，據了解，產品目前已經在幾個企業內部的實際環境做測試，正式產品很快會推出。

針對部署架構差異，提供適當的元件做因應

部署架構是導入DLP時需要考慮到的一個重點，尤其是企業的架構龐大，甚至於需要針對多個據點來做管理。

以Symantec的DLP 9.0來說，這套產品在網路型的DLP方面，提供了多種不同的閘道器元件，用戶可以將閘道器部署在遠端據點內部，同時由於遠端設備本身也同時具備一份指紋特徵資料庫，因此檢查資料內容時，不需要一直和管理伺服器之間連線，可減少DLP傳送資料時，對於頻寬所造成的消耗，及管理伺服器的效能負荷。

基於相同目的，趨勢LeakProof隨著新版5.0產品的推出，也加入了一些新功能來做因應，他們的Remote Crawler技術，可以在本地分析完範本資料的內容特徵後，再將做好的指紋特徵檔傳送回遠端的管理伺服器，在DLP的建置初期，這樣的功能相當好用。

 我們如何測試DLP 

在iThome的測試環境，我們實際部署了Windows AD、SQL Server及檔案伺服器各一臺，以及數臺加入網域環境的Windows XP個人端電腦，模擬企業應用的真實環境來驗證DLP產品的功能。

在檔案伺服器上，我們準備了約4.5GB大小的檔案做為範本，讓各家的DLP產品製作指紋特徵，最後透過我們設定好一些的傳輸路徑測試DLP產品的防護能力。

我們在個人端電腦上安裝了MSN、Skype等2種即時通訊軟體，並且在政策上開放這類應用；除此之外，允許電腦透過HTTP、HTTPS閱覽網頁及收取郵件，本地端也開放使用Outlook離線收取郵件；其他不必要的服務，則假設透過閘道端的防火牆設備來阻擋。

此外，在個人端電腦上，我們也透過各家送測的DLP產品，設定了USB儲存裝置的白名單功能。

另外，我們也部署了一臺SQL Server，其中存放了測試用身分證字號及信用卡卡號等個資，模擬使用者透過內部系統偷取大量個資的洩密行為，了解DLP如何針對這些個資提供防護。

 建置經驗談──某製造業公司 

 郵件稽核等防護與DLP同時採用 

製造業公司B採網路型架構來建置Websense的Data Security Suite，在DRM與周邊控管的保護基礎下，增強資料的保護。

總部位於臺灣，從事製造業，在其他地方也設有據點的B公司（對方同樣不願具名），為了防止內部的技術資料不被外洩，因此在今年購買了Websense的Data Security Suite（DSS） 7.0，採網路型DLP的架構，以鏡射方式，部署在臺灣2個據點的網路出口，檢查流量當中是否含有機密資料。

目前他們一共部署了2臺DLP的閘道器，及1臺管理伺服器。對於他們來說，被界定為機密資料的檔案，主要是微軟的Office文件、設計圖，及圖檔等3種。

利用多種產品，提供多層次的資料防護

在此以前，其實B公司已經導入DRM及周邊控管等2種類型的防護產品，前者在功能上，雖然可以防止其他使用者不當存取檔案，但是對於擁有完整讀寫權限的人來說，可說是防不勝防，至於後者則是僅能封鎖一部分的資料傳輸管道，他們覺得購買DLP還是有必要性。

資訊部門表示，DLP的測試時間，前後為2個多月，在他們公司內部，前述幾種的機密資料主要都是放在檔案伺服器上，因此，也是從中抽取一些檔案做為範本，供DLP分析，製作出PreciseID指紋特徵。

PreciseID的防護對象以內含文字內容的Office文件為主，至於設計圖及圖檔等2類型的檔案，則是透過格式辨識的方式加以控管。

依各部門需求產生報表

相較於先前版本，他們所購買的DSS 7.0在架構上已有提供代理程式的元件，因此也具備主機型DLP的功能，不過在內部其他單位的要求下，他們目前先以網路型產品的方式部署DLP。

在設定上，對於DSS能夠支援的網路流量類型，他們選擇全部開啟，雖然他們內部也裝有郵件稽核的設備，不過由於員工的郵件寄出後，會先經過稽核設備，最後才會到達網路出口的閘道器，不會因為企業部署DLP而影響到原來的網路架構。

在報表的管理方面，目前他們的做法是由各部門主管要求閱覽報表時才會產出，至於當洩密事件發生時，DLP會先寄發郵件告知資訊部門，再由資訊部門轉告該單位的主管處理。

案例資訊

某製造業公司

● 員工人數：全球共10,000人以上

● 使用的DLP產品：Websense Data Security Suite 7.0 

● 使用現況：目前已部署2臺DLP的閘道器，及1臺管理伺服器，對於DSS能夠支援的網路流量類型，他們選擇全部開啟。

【相關報導請參考「資料外洩防護產品採購大特輯」】