企業導入DLP設備時要注意的4件事

有鑒於資料外洩對於企業造成的危害，以及未來的法令規範，因此DLP成為最近相當熱門的資安產品類型，不過在導入之前，企業必須思考幾件事情，才能將產品的功能發揮到最大功效。

Tips1 ：了解本身是否適合採用DLP

在一開始，企業必需評估資料外洩的漏洞來自於何處？再決定是否適合購買DLP，或者是其他的資安產品。如同我們在前面一篇文章當中所提到的，DLP的功能是防止機密資料從內部流出，如果你要保護的資料必須在不同的業務單位間「流動」，或者儲存在隨身碟這類容易遺失的移動性裝置，在這個時候，比較適合的工具會是DRM等其他功能的資安產品。

至於在內部，如果你要監控的對象不是大多數的員工，可能只是一小部份具有特殊權限的使用者，例如資料庫的管理者，這時，DLP在功能上雖然也能做到防止這些人偷取機密資料，不過，業界也有推出專用的稽核產品協助評估寫出、寫入的行為是否正常。要採用何者比較適合，需視企業的實際需求做決定。

Tips2 ：界定機密資料的來源及種類

決定購買DLP後，接著需要界定機密資料的來源，以及種類，才能有效避免產品導入後，仍不斷有外洩事件的發生。

DLP在功能上，是一種內容過濾型式的資安產品，因此我們必須提供機密資料的範本檔，供產品分析，產生特徵檔，才能以相似度高低的方式，辨識資料的真實屬性。就來源來說，除了一般最常見的檔案伺服器之外，像是SQL Server資料庫、SharePoint Server這類的知識平臺，乃至於員工儲存在郵件伺服器的郵件，都有可能在其中儲存了需要保護的資料或機密內容。

隨著企業的產業別不同，乃至於同一企業的不同部門，被界定為機密資料的檔案也不盡相同，因此以我們這次採訪的兩家實際導入DLP的企業來說，都是先確定好機密檔案可能擺放的來源位置之後，再請相關部門提供範本檔，而不是先直接針對放有資料的整臺伺服器做掃描分析，貿然作業，可能會增加DLP的導入難度。

Tips3 ：分階段導入產品

導入DLP最好是採分階段的方式做建置，以免影響到現有運作中的環境。一般來說，很多企業都是先以閘道器的產品來部署DLP，待過濾能力沒有問題，或者是有更進一步的控管需求，才會考慮在個人端電腦上安裝代理程式。以安裝代理程式的做法，大多都是先以資訊部門的員工做為測試對象，即使產生問題也不會造成太嚴重的影響，直到測試確認不會和企業現有的應用程式相衝突之後，再擴大部署範圍。

Tips4 ：由適合人選來稽核資料使用記錄

由於DLP所記錄下來的，大多是企業內部的機密資料，對於資訊部門來說，並不一定有能力稽核這些事件是否為誤判，有些企業會交由專責的資安部門來稽核這些記錄，而比較常見的是由單位的各部門主管，透過報表及郵件通知的方式，了解內部員工是否有外流機密資料的事件發生。

由於DLP不但能提供事件的即時阻擋，同時也是洩密事件發生時的重要舉證工具，因此對於報表功能的完整性，企業也可以在評估階段加以留意。

 建置經驗談──某半導體產品製造公司 

 保護了檔案伺服器與員工電腦 

半導體產品製造公司A採主機型DLP架構來建置趨勢的LeakProof 3.1，在不同資料類型上可對應各自的控管方式。

總部設於臺北，在新竹、臺南等地及大陸都有據點的A公司（該企業不願具名受訪），為了掌握機密資料的流向，因此在去年11月購買了趨勢的LeakProof 3.1，目前他們一共部署了3臺DLP的管理伺服器，透過代理伺服器，控管全公司600多位員工的電腦。

A公司以製造半導體相關的產品為主，對他們來說，界定為機密的資料類型有內部系統的程式碼、設計圖、交易資料，及ERP系統的表單資料等4種。

考慮過本身的使用需求之後，最後決定導入DLP防護機密資料

購買DLP以前，A公司也測試過以DRM來保護前面幾種類型的機密資料，不過，後來因為DRM在功能上沒有辦法符合需求，因此他們將評估的重點轉為採購DLP。

該公司目前負責管理DLP的系統資訊整合部表示，測試DLP的期間為2個多月。在一開始，他們必須提供機密資料的範本檔供DLP分析，產生日後用來辨識機密資料的指紋特徵，這些資料的來源除了檔案伺服器以外，也包括放置在知識管理（Knowledge Management，KM）平臺上的檔案。

由於檔案伺服器的資料量相當龐大，不容易透過網路掃描，一次產生所有的指紋特徵，所以他們的做法是請相關部門先行提供一部分的資料；至於KM的部分，他們則是找到系統放置檔案所在的資料夾，並且設定唯讀的共享權限，讓DLP分析放置在KM上的交易資料PDF檔及程式碼檔案。

就各類型資料的機密控管的做法來說，該公司決定在不同資料上以適合的方式監控，像是交易資料就是透過指紋特徵（File Type）來做判別，設計圖採格式比對的方式過濾AutoCAD所產生的.DWG檔，程式碼及ERP表單的部份則是採關鍵字，搜尋資料內容中的特定字串及流水號等項目。

他們表示，除了趨勢的產品之外，還有評估過另外一家的DLP產品，雖然該產品在價格上較LeakProof來得便宜，不過考慮到產品間的技術差異、針對問題的除錯能力，以及客製化功能等項目後，最後決定購買目前所使用的產品。

建置上的注意事項

代理程式的部署上，A公司利用Logon Script的方式，當個人端電腦登入網域之後，就會在背景安裝代理程式。測試期間，除了資訊部門的員工電腦之外，也將代理程式安裝在少數特定員工的電腦上，結果發現有人利用離職前夕，從檔案伺服器異常複製大量資料的洩密事件。

由於A公司並不允許員工在電腦上安裝即時通訊等和工作無關的應用程式，對於LeakProof所能支援的傳輸通道類型，除了SMTP的郵件流量之外，其餘皆全部啟用。

他們表示，由於已經在閘道端設置了郵件稽核的系統，而DLP一旦攔截到郵件的洩密事件，就無法在稽查設備上查詢到此筆郵件，考量到記錄的完整性，因此決定由稽核設備來控管員工，是否利用企業的郵件系統傳送機密資料。

對於報表的管理，目前他們是採由資訊部門產出報表之後，再提供給各部門主管閱覽，當洩密事件發生時的處理動作，是由代理程式封鎖資料的傳送，然後以郵件方式告知資訊部門處理。

A公司在臺北總部、研發中心所在的新竹及較為偏遠的大陸，各自設有一臺DLP的管理伺服器，由於各伺服器會透過網路掃描其他據點的檔案伺服器，因此3臺伺服器上的指紋特徵是完全相同的，除了臺北的管理伺服器還要負責管理其他規較較小的據點之外，其他2臺伺服器主要是用來管理當地的員工電腦。

他們也向原廠要求，須透過單一介面閱覽3臺伺服器所產生的事件記錄。由於LeakProof 3.1在功能上並不支援，因此這部分的需求是採客製化，請原廠撰寫額外功能模組的方式加以解決。

隨著新版產品的推出，目前A公司也有將LeakProof升級到5.0版的想法，不過他們也表示，需重新安裝代理程式是一項難題，至於近期，他們則是規劃將檔案伺服器加以瘦身，刪除不必要的資料，使得LeakProof可以完整掃描所有檔案，加強DLP的防護效果。

案例資訊

某半導體產品製造公司

● 員工人數：600多人 

● 使用的DLP產品：趨勢 LeakProof 3.1

● 使用現況：目前已部署3臺DLP的管理伺服器，將代理程式部署到全公司的員工電腦，對於DLP所能支援的傳輸通道類型，除了SMTP的郵件流量之外，其餘皆全部啟用，至於洩密事件發生時的處理方式，則是透過代理程式即時封鎖。

【相關報導請參考「資料外洩防護產品採購大特輯」】