全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
DLP產品實測:Symantec Data Loss Prevention 12.0
文/李宗翰 (記者) 2013-09-23
首頁呈現的狀態儀表板呈現視覺效果佳,偵測與反應的政策設定選項豐富


不論你是系統管理、稽核人員或主管,登入Symantec DLP的網頁介面後,首頁就會立即呈現以圖表呈現為主的防護狀態儀表板,而不是條列出一堆令你眼花撩亂的事件與政策設定選項。

●建議售價:DLP Network Monitor為21,320元,DLP Endpoint Prevent為31,460元(以上皆為10人授權,1年保固,資料庫授權另計)
●原廠:Symantec (02)8761-5800
●網址:www.symantec.com
●伺服器作業系統需求:微軟Windows Server 2008 R2、Red Hat Enterprise Linux 5.6~5.9
●伺服器硬體需求:2顆雙核心3.0 GHz處理器,6~8GB記憶體,140GB磁碟空間(Enforce Server需500GB)
●用戶端作業系統需求:微軟Windows XP/Vista/7 , Windows Server 2003 R2/2008 R2
●管理者端瀏覽器支援:微軟IE 8/9、Mozilla Firefox 8~12

在DLP產品的發展上,Symantec同樣是透過併購其他公司(Vontu)的方式,之後才正式進入這個領域,目前他們的DLP產品主要架構在同一個管理平臺Enforce Server,而且根據資料探索(Discovery)、端點(Endpoint)與網路(Network)等三大應用目標,可細分為6套產品之多。其他DLP產品相較之下,雖然也有整合式管理平臺,用戶也可依據需求購買不同套件,但選擇沒有Symantec DLP提供的這麼多。

以端點的DLP應用為例,Endpoint Discover和Endpoint Prevent都是屬於這類應用的產品,主要針對的是個人電腦、行動裝置、伺服器的資料探索與外洩預防;而Symantec對於網路的DLP應用產品,則有Network Monitor和Network Prevent這兩套。而屬於資料探索應用的產品,則有Network Discover、Network Protect和Data Insight。

在DLP政策的設定上,提供多種定義資料內容條件的方式
Enforce Server是Symantec DLP的核心,若你想透過Symantec DLP來監視或控管資料的使用狀態,都需要到這裡來設定對應的政策。

在每一條DLP政策項目下,包含了偵測、群組與反應等三大類型的規則,管理者可以自行建立全新的政策,或套用系統提供的範本,以快速建立政策。

以偵測規則為例,它是用來定義政策比對的條件,分為通用的資料內容、檔案內容與網路通訊協定等三大類,管理者需從這些類別的細部規則當中,挑選一項來設定。這些類別裡面也應用了不同的內容偵測技術,像是說明內容比對(Described Content Matching,DCM)、精確資料設定檔(Exact Data Profile,EDM)、自建索引文件設定檔(Indexed Document Profile,IDM),以及向量式的機器學習(Vector Machine Learning,VML)。

DCM裡面包含了資料識別碼、關鍵字、正規表示式、檔案內容,以及身分(使用者/寄件者/收件者的描述模式)、網路協定(通訊特徵)、端點(事件目的地、裝置和通訊協定)。

其中,關鍵字、正規表示式、檔案內容、網路協定是許多DLP都支援的資料定義方式。資料識別碼則是指在公共或商業領域應用的各種ID,例如個人身分證字號、信用卡號、國家藥品代碼,多數DLP產品會歸類在正規表示式的資料條件下,但Symantec DLP特別將它獨立出來。

其他像是EDM、IDM和VML也都有獨到之處。例如,EDM主要是針對資料庫或CSV檔等結構化資料,利用萃取文字內容、正規化和指紋鑑定的方式來進行內容分析、比對。而IDM是在文件建立索引的過程中,利用MD5的演算法為檔案與檔案內容產生指紋。

至於VML,則是需事先讓系統利用統計的方式,搭配正相關或負相關的範例資料來分析資料之間的相似性,進而建立偵測設定檔,主要針對的是更難以定義的非結構化資料,像是聯絡人、專利測試結果、程式原始碼。

提供簡單扼要的圖形化儀表板
登入Enforce Server的網頁管理介面後,你會馬上看到的首頁,就是以圓餅圖、長條圖等圖表形式呈現的儀表板,對於相關事件統計的掌握,一目了然。

你也可以打開突發事件列表,裡面的每一條記錄,載明了嚴重性、相關政策、符合條件的記錄筆數與狀態。點選單筆事件記錄後,你將看到細部資料,或者也可以同時選取一群事件,以便修改狀態或執行矯正作業。

在Enforce Server報表檢視介面上的摘要資訊區,也有很特別的用法,那就是可以用單項或兩項摘要條件,來重新組織報表內容。以單項摘要條件的報表內容為例,我們可以根據與每個事件相關的政策排列事件統計結果,而雙項摘要條件的報表(double-summary report),又可以稱為階層式報表,例如可以同時根據政策與事件狀態等兩項條件,來呈現統計資訊。

此外,Enforce Server對於每一筆違反政策的事件資訊顯示上,都包含了關連事件分析,當中呈現了資料外洩的行為、檔案傳遞過程及違反政策人員。透過這樣的分析,管理者可以清楚知道在過去的特定時間點,所違反的詳細統計資訊。

在突發事件的檢視上,Enforce Server也提供工作流程的處理方式,Symantec提供了一個快速回應的按鈕介面,負責稽核的人員在檢視事件時,只需按鍵,就可以將該事件提報給其他人員處理或套用標準流程處理。同時,每一個事件也呈現不同處理狀態的欄位,讓管理的人員了解目前該事件的處理進度。

可辨識NAS上的檔案擁有者,並追蹤其用途
針對端點與網路的資料探索、監視與阻擋外洩防護的功能,大部分DLP產品都有,Symantec DLP系列產品中,有一套提供資料鑑識機制的Data Insight,在其他產品很少看到這樣的功能整合,它隸屬於Network Discover的範疇。

原則上,Data Insight可用來監控NAS儲存設備上的檔案使用模式與存取權限,追蹤存取檔案的使用者身分與頻率,管理者可檢視相關的歷史紀錄,對於NAS上存放的檔案擁有者有所掌握,同時,它也能用來找出那些不再受到任何存取的檔案,分析出各使用單位的儲存用量趨勢。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome