DLP 資料外洩防護解決方案

賽門鐵克公司在 2007 年併購資安廠商 Vontu 之後，就開始推出自己的 DLP 產品線，

本研究編寫時，其主要系統版本為 Data Loss Prevention 9.0（以下簡稱為 DLP 9.0），是 該公司在最近所推出的最新版本。和前一版本相比，DLP 9.0 的代理程式具備了更多功 能，可以偵測使用者對於資料剪貼、複製的重製行為，同時能針對更多的資料傳輸管道

25

提供保護，另外，產品本身還可以和 Blue Coat 的 ProxySG，及 McAfee 的 Web Gateway

（Webwasher）等第 3 方的 Proxy 閘道器產品相整合，在網路出口攔截欲傳送出去的機 密資料。(Symantec,2013)

其能提供多種不同功能的防護元件，DLP 9.0 產品，早期是架構單純的網路型 DLP，

不過後來也提供代理程式的元件，因此同時具備了主機型 DLP 的功能，可以隨著需求 不同，而彈性調整 DLP 的部署架構。DLP 9.0 的計價方式隨著企業採購的模組不同，及 使用者授權數的多寡而有差異，它的伺服器套件為軟體，可安裝在符合硬體需求 Windows 伺服器上運作。

另外布署 DLP 9.0 的伺服器元件，除了最基本的 Enforcer（管理伺服器）角色外，

還有 Network Monitor（DLP 閘道器）、Discover or Protect（資料庫防護伺服器）、Email Prevent（郵件防護伺服器）、Web Prevent（網頁防護伺服器），及 Endpoint Server（用戶 端防護伺服器）等幾種模式可供選擇，在人數較少的環境下，使用者可以在一臺伺服器 上同時啟用多種角色。

和其他廠商相同的 DLP 產品一樣，DLP 9.0 也具備了指紋辨識的能力，做法上是採 Hash 的方式產生資料的指紋特徵。管理者可以透過掃描本機、遠端主機的共享資料夾，

及 SharePoint 等應用程式伺服器的方式，分析檔案範本。在架構上，製作完成的指紋特 徵除了會放置一份於管理伺服器之外，在前面提到的幾種防護伺服器上也會同樣放置一 份，因此在這些伺服器與管理伺服器失去連線的情況下，仍然可以發揮作用。

而在端點防護部份，除了派送 DLP 9.0 的代理程式，其可以透過 Windows AD 的 Logon Script、微軟的 System Center Configuration Manager（SCCM）等第 3 方的套件伺 服器，及 Symantec 自家的 Altiris 平臺派送，安裝完成之後，代理程式會以偽裝的方式，

在系統的背景程式中執行，除了在洩密事件發生時可以秀出警告訊息之外，在一般狀態 下，使用者很難查覺到它的存在。

除了派送軟體的功能之外，DLP 9.0 也可以透過該系統的管理介面，偵測、收集代 理程式的狀態訊息，透過單一平台就可以了解同廠牌產品的運作情況，使得安全管理的 工作更加方便。另外不同於能針對資料庫內容提供防護，DLP 9.0 並不會將指紋特徵的 資料庫派送到個人端電腦，當資料被複製到 DLP 閘道器，或者使用者透過自己的電腦 將資料傳送出去時，可以利用指紋特徵，針對檔案內容做深層分析。

對於存放在資料庫裡的機密資料，DLP 9.0 提供了相當不錯的的防護功能，使用者 可以透過 ODBC，或者匯入文字等 2 種方式，讓 DLP 能夠過濾出儲放在資料表裡的文 字內容。以上 2 種設定方式中，ODBC 的操作較為複雜，實際操作時，必需將內含所有

26

機密資料的文字檔，上傳到 DLP 9.0 的管理介面，就可以設定由系統直接套用文字檔的 欄位資料，使得資料的匯入更加方便，此後管理者可以設定僅選用資料表當中的某幾個 欄位，做為比對機密資料的依據，適時的觸發 DLP 的控管政策。

在即時通訊的控管方面， DLP 9.0 目前僅支援微軟的 MSN，至於 Skype 的管理，

則必須透過 Windows AD 的群組原則等其他方式，限制一部份的功能，降低洩密事件的 發生機率。而周邊裝置的管理上，DLP 9.0 可以搭配 Symantec 本身另一個套件的 Endpoint Protection 防毒軟體，或者其他的周邊控管產品，提供企業所要求的 USB 儲存裝置的白 名單功能。

在政策範本部份，該系統能提供了幾種常見的資安法規，事先內建好相關的範本，

可以直接套用，控管企業內部的機密資料流動。依產品部署的架構做區分，這套 DLP 記錄所得的事件可以分為網路及本機等 2 種，查詢單一筆的記錄時，除了可以看到使用 者傳送出去的完整資料內容，所觸發的控管政策之外，報表也一併列出相同事件在過去 一段時間曾經發生過的頻率，協助管理者判斷這是否為蓄意發生的洩密事件。

3.5.2 Websense DLP

Websense 公司的 DataSecuritySuite（DSS），是該公司在 2006 年收購資安廠商 PortAuthority，利用其技術推出的資安產品。本研究的二個個案皆是使用導入 Websense 系統。其具備了主機型和網路型 DLP 的能力。能整合多種網路伺服器提供保護。其模 組提供以下 4 個功能：(Websense Inc,2013)

1. Data Monitor

稽核使用，可增加機密資料使用行為的透明度。在網路上偵測可疑的洩密行為，涵蓋 HTTP/HTTPS(HTTPS 需結合 WebsenseContentGateway),SMTP,FTPandIM 等。電子郵件 的偵測(含：身分證字號，客戶名稱…等，透過電子郵件方式寄出，將會記錄)

2. Data Endpoint

管理使用者在端點使用機密文件的行為。可依據政策，自動化控管疑似洩密行為，涵蓋 USB、Printscreen、localprinter、IM 等。IM 偵測(如：MSN、Yahoo…等)

3. Data Protect

稽核兼阻擋功能。除上述功能外，可依據政策，自動化進行阻擋、緩送、記錄、提醒通 知、加密等。

27

4. Data Discover 盤點查核企業內機密資料，主動掃描公司網路相關的機密資料，

並紀錄造冊分類等。

在架構上，DSS 主要是由 DSS Management Server（管理伺服器）、DSS Protector（DLP 閘道器），及代理程式（Agent）等 3 者所組成。其中管理伺服器是安裝在 Windows 平臺 的軟體套件，至於閘道器則是整合 Linux 環境的系統套件。DSS Protector 的部署上，包 含旁聽的方式的建置，也能以 In-Line 的架構部署在內部的骨幹網路，即時過濾進出的 流量中是否帶有機密資料。

除了採用本身套件外，DSS 對於其他的網路應用伺服器也具有良好的整合性，像是 微軟的 Internet Security and Acceleration（ISA）、ExchangeServer，及 Websense 公司推出 的 EmailSecurity 相關產品等，在這些伺服器上安裝外掛程式後，就可使其兼任 DLP 閘 道器的角色。另外 DSS 在架構上，也可以和 BlueCoat 的 ProxySG 等支援 ICAP 的第 3 方閘道器產品搭配，當系統偵測到洩密事件發生時，即由前者阻斷流量的傳輸。

機密資料學習方式，可透過多種方式產生指紋特徵，PreciseID 是 Websense 的指紋 特徵技術，它從檔案內容擷取特徵的方式，和趨勢 LeakProof 的 Data DNA 相類似，兩 者都是在去除內容的無效字元後，再根據字詞間的相關性，重新組合成多道特徵，由相 似度的高低，辨別資料的真實屬性。

所以機密資料範本的來源，可由 DSS 的管理伺服器從內部網路的共享資料夾，及 微軟的 Share Point Server 等途徑，將檔案的文字內容傳送回本機運算，最後才會產生指 紋特徵。在架構上，DSS 的閘道器本身也具備指紋特徵的資料庫，因此不必透過管理伺

28

改設定，整個設定流程相當容易，可以在簡短的幾個個步驟之內快速完成。

以上做法的好處是，可以完全避免員工傳送個人資料時，因為重複輸入造成 DLP 的誤判，同時，它也可以做到當所有欄位資料皆為同一人所有時，才會觸發 DLP 的控 管政策。以個人端電腦上開放使用的幾種服務來說，DSS 皆能有效予以過濾，當機密資 料傳送時，DSS 的代理程式會顯示目前正在掃描資料的動作訊息，接著則是出現洩密事 件的警告訊息，並且加以封鎖。

這款產品的報表事件相當詳細，可顯示資料是由何人，透過什麼樣的管道所外洩，

又是因為什麼樣的原因被 DLP 所攔截，而傳送出去的資料，被攔住之後，會留存一份 副本於管理伺服器上，做為日後舉發洩密事件的證據。除了透過報表介面查閱記錄外，

也可以和這次我們所測試的一些其他款 DLP 一樣，在事件發生時，可以依照員工在企 業的組織層級，透過郵件方式通知主管處理。

3.5.3

它原本是資安廠商 Provilla 推出的 DLP 產品，2007 年底趨勢併購該公司之後，使 其成為旗下產品。相較於先前的版本，最近推出的 LeakProof 5.0 在功能上的主要不同之 處，在於採用體積更小的指紋特徵檔，提高比對資料內容的速度，其次，則是具備繁體 中文的操作介面，並提供更加完整的法規範本，因此使得產品的部署變得愈加容易。

特色是能提供可安裝在虛擬平臺的管理伺服器套件，能降低產品的部署費用，而 LeakProof 原本只有主機型的 DLP 產品，需由一臺專用的管理伺服器硬體，搭配代理程 式所組成，不過，從新版產品開始，趨勢也提供可以安裝在 VMware 虛擬平臺的管理伺 服器套件，在採用後者部署的前提下，產品只需要依使用者授權人數的多寡計價，而不 需要負擔額外購買硬體設備的費用。

趨勢目前已將 DLP 的功能模組移植到現有的 Threat Discovery Appliance（TDA），

這款網路病毒的防護設備，使它能兼任 DLP 閘道器的角色，TDA 也是採用鏡射方式設 置在企業內部的網路骨幹，檢查進出的流量當中，是否有需要受到保護的機密資料存 在。

透過 Remote Crawler，可在遠端的檔案伺服器本機分析檔案內容，製作指紋特徵，

而 Data DNA 是 LeakProof 的機密資料辨視技術，用來學習機密資料的 LeakProof 5.0 將 單一檔案擷取出來的指紋特徵體積，縮小到只有 128Bytes，在不影響辨識率的前提下，

加快檢查檔案內容的速度。除了透過共享資料夾將檔案取回管理伺服器分析之外，

LeakProof 也能透過 HTTP 連接微軟的 SharePoint 伺服器，利用後者的知識庫，產生機

29

密資料的指紋特徵。

Remote Crawler 是 LeakProof 5.0 的新功能，透過它可以在不需要開啟資料夾共享的 情況下，直接在檔案伺服器本機分析機密資料的內容，最後將製作出來的指紋特徵傳回 到管理伺服器，如此一來，可以減少 DLP 傳送資料時所使用到的網路頻寬（當資料在 單一伺服器、多點管理的跨廣域網路架構下，影響較為明顯），及管理伺服器分析檔案

Remote Crawler 是 LeakProof 5.0 的新功能，透過它可以在不需要開啟資料夾共享的 情況下，直接在檔案伺服器本機分析機密資料的內容，最後將製作出來的指紋特徵傳回 到管理伺服器，如此一來，可以減少 DLP 傳送資料時所使用到的網路頻寬（當資料在 單一伺服器、多點管理的跨廣域網路架構下，影響較為明顯），及管理伺服器分析檔案