全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
DLP產品實測:趨勢OfficeScan DLP 10.6
文/李宗翰 (記者) 2013-09-23
企業級防毒軟體整合內容感知DLP功能,可達到更徹底的單一代理程式部署架構


趨勢OSCE DLP是市面上少見同時兼具企業防毒功能的產品,作法上是在原本的Offi cescan 10.6架構下,以資料保護的外掛模組的型態嵌入,好處是可與防毒、個人防火牆等防護機制共用一支代理程式,減少用戶端軟體重複部署的負擔。

●建議售價:全功能模組授權每人為2,900元
●原廠:趨勢科技(02)2378-9666
●網址:www.trendmicro.com
●伺服器作業系統需求:微軟Windows Server 2003/2003 R2/2008/2008 R2
●伺服器硬體需求:Inteli Core 2 Duo 1.86GHz處理器,2GB記憶體,3.5GB磁碟空間
●用戶端作業系統需求:Inteli Windows XP/Vista/7/8/Embedded POSReady 2009 , Windows Server 2003/2003 R2/2008/2008 R2/2012

趨勢這次送測的DLP產品,主要是OfficeScan Corporate Edition(OSCE),目前最新版10.6 SP2已經內建資料外洩防護的模組。

OSCE在2009年發表的10.0版,開始針對用戶端電腦加入周邊裝置的控管,不過當時支援的裝置類型較少。直到10.6版,OSCE可控管的裝置類型大幅增加,而且結合新的「數位資產存取控管」功能(也就是DLP),成為資料安全保護模組,以外掛的形態嵌入。

整體而言,OSCE DLP的功能較著重在機敏資料的判斷與阻擋,類似其他DLP產品所具備的機敏資料查找功能(Discover),目前這套系統並沒有提供,不過趨勢科技也透漏,將會加入個資盤點的功能,預計發表時間是2014年第二季,今年9月他們計畫會以工具的方式先提供給用戶。

提供多組資料內容類型定義
基本上,OSCE DLP的每條政策,是由範本(Template)、通道(Channel)與處理行動(Action)組成,而每套範本都是一組條件陳述式,當中包含了資料定義與邏輯運算子。資料定義是指對於資料內容的界定方式,OSCE DLP預設有表示式(Regular Expression)、檔案屬性和關鍵字等。

通道則是指資料外洩的各種路徑,OSCE DLP提供網路、系統與應用程式等項目,當你勾選了這些選項,OSCE會檢視是否有資料外洩行為。

以目前臺灣各機關與企業都需要遵循的個資法為例,如果我們要管制使用者,不得擅自將包含個人姓名的資料上傳至網頁或另存至USB隨身碟上,就可以新增一個範本,在當中選取現存於OSCE DLP系統的資料定義項目,並手動設定系統發現該類型資料外傳達到一定次數,即判定為資料外洩事件。

隨後,在管道的設定項目下,勾選屬於網路管道的「HTTP」與「HTTPS」,以及隸屬系統與應用程式管道的「卸除式儲存」;接著,管理者可以設定遇到上述狀況時,即讓系統自動執行封鎖,並記錄相關事件資訊,而且為了提醒使用者注意,所以同時選了「通知用戶端使用者」這一項。

就OSCE的安裝預設項目來看,範本的部份,已提供GLBA、HIPAA、PCI-DSS、SB-1386、US PII等5套,都是國際上知名的法規遵循項目,臺灣的個資法並不在其中,所以我們必須自己手動新增範本。

資料定義裡面,系統預設的通用表示式項目當中,有一些與臺灣有關,主要是國民身分證號碼與兩大醫院的病歷號碼──包含SKH(新光吳火獅紀念醫院)和VGH(榮總)等兩種。OSCE DLP都定義了相關資料的格式與表示式本身的 Checksum。

趨勢科技本身已另外提供臺灣個資法專用的範本,用戶可自行上網下載後匯入OSCE DLP,當中包含的資料定義表示式,有臺灣專屬的地址格式、手機號碼、市內電話、健保局用藥代號,而範本對於個資外洩的行為定義,也套用了預設次數,例如使用者外傳的資料一旦被偵測出帶有5組手機號碼和1組身分證號碼,就可以視為違反政策。

可自行建立正規表示式的資料定義
OSCE DLP用來定義資料的「表示式」,其實就是正規表示式(Regular Expression),一般DLP產品也都是利用這種方法來界定需要管制的資料類型,這裡所用的描述語法,主要是遵循程式語言Perl相容的正規表示式(Perl Compatible Regular Expressions,PCRE)。

OSCE DLP預設的資料定義表示式若不夠用,也可以自行新增。在網頁管理介面當中,我們可針對特定字元、字尾、單一字元分隔符號等不同項目,來制定表示式的條件。在新增表示式的頁面上,同時也提供了測試資料的功能,我們可以在這裡任意輸入單筆或多筆資料,接著按下測試鈕後,即可驗證設定的表示式條件。

就算你不會寫正規表示式,也可以到系統預設定義的眾多表示式項目中,去利用這個驗證條件的機制,例如到「台灣 — 國民身分證號碼」或「全部 — 電子郵件信箱」,如果你想驗證的資料符合表示式條件,測試結果那一欄就會產生結果,顯示這些資料包含的數位資產數量,並以紅色反白的樣式顯示符合條件的部份。

進階事件管理需搭配趨勢的威脅控管系統Control Manager
OSCE DLP主要的功能是針對用戶端電腦的資料外洩行為,提供防護的作用,相關的事件統計報表檢視,需搭配該公司的集中控管系統Control Manager(TMCM)。

當我們將OSCE DLP註冊到TMCM,而TMCM本身也完成與Windows AD整合的設定後,就可以將特定使用者的帳號匯入,並指派為DLP事件的檢視人員,依權責範圍可設為兩種角色。
其中之一的角色,稱為DLP_Compliance_Officer,以此身分登入TMCM後,能透過網頁介面去檢視整個公司內的DLP違規事件,管理者可將資訊部門主管與公司稽核人員設為這個角色。
另一個角色則是DLP_Incident_Reviewer,可對應給AD當中被設為部門主管的使用者帳號,以此角色登入TMCM之後,該員只能檢視所轄部屬所發生的DLP事件。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome