MIS如何導入適合企業的DLP-趨勢科技資料外洩防護方案Trend Micro LeakProof (TMLP）

	市面上目前的資料外洩防護解決方案產品類型
	目前常見的資料外洩防護解決方案，其優缺點比較已導入加解密、E-DRM 未必萬無一失筆記型電腦與資料外洩導入適合企業的DLP產品　讓資料偷渡客現原形 DLP導入程序及佈署方式

目前常見的資料外洩防護解決方案，其優缺點比較如下：

方案	LeakProof	PKI	檔案TAG記錄式	E-DRM
使用技術說明	比對內容 DNA 並依原則管制 I/O時其特徵與寫出內容是否含有機密特徵	依人員權限對檔案進行加解密	針對檔案進行附加TAG等資訊，以檔案路徑及TAG做為判斷系統所認定機密管制項目	轉換格式成具有 Rights管制資訊並透過特定軟體使用
Agent Base	Yes	Yes	Yes	No
離線管控	完整支援離線內容辯識及防護	離線時僅針對已管制的檔案有效，新檔案無法管制，例如剪貼另存	離線時僅針對已管制的檔案有效，新檔案無法管制，例如剪貼另存	離線時仍可使用檔案，對新增檔案仍無法管制
相似檔案防護	Yes	No	No	No
即時封鎖阻擋	Yes	No	Yes	No
主機失效應變策略	不影響正常工作系統自動離線防護	文件無法讀寫工作必須中斷	文件無法讀寫工作必須中斷	文件無法讀寫工作必須中斷
網路/電腦負荷	輕	極重	重	極重
支援檔案格式	無限制(包含text 300+種以上格式及 binary)	無限制	無限制	Office/Pro-E/AutoCAD等特定格式或廠商自行開發支援
主要應用	即時、精確管控及稽核機密文件外洩防護	電腦失竊 / 硬碟Clone / 文件傳遞交換	對使用者所操作的檔案及處理動作要求完整記錄為主的稽核	有限度開放予外部使用者使用於特定用途

top

已導入加解密、E-DRM 未必萬無一失

大多數敏感資料外洩或遺失都是由認知不足的員工所造成，根據統計78% 資料外流來自授權的內部使用者，資料加密對於這類來自員工無心疏失或是預謀的「內賊」案例則是束手無策。
沒有任何一項產品或技術可以防止所有的資料外洩。最佳對策是部署一組防護措施，在使用的時刻就監控可能的資料外流。趨勢科技(Trend Micro) 建議使用多層防護策略，這種策略最理想，其中包括下列各項：

加密：加密是資料防護策略的基本元件，可以防止資料落入不軌之徒手中。不過，加密並不能防止獲得授權的內部人員意外或故意洩漏資料。
反惡意程式防護：惡意軟體有可能造成與粗心員工或承包商洩漏資料一樣的損害。因此，企業的網路與網路裝置上，應該安裝反惡意程式產品與服務，以防止惡意軟體進入系統。
存取控制：適當的存取控制，是防止洩漏的重要架構。只允許獲得授權人員存取網路、應用程式及系統，可以降低資訊外洩的機會。
工作場所的策略：明確定義哪些人可以存取哪些特定資料的公司政策，應該清楚列出來並發送給重要員工，然後強制整個企業執行，防止資料外洩。
員工教育：由於許多侵害事件是意外發生的，因此公司可以透過員工教育及設定機密資料處理程序，來保護企業資料。提高組織內部有關此問題的警覺心，是多層防護策略不可或缺的一部份。
資料外洩防護軟體：資料外洩防護軟體可以藉由過濾內容來防止外洩，也就是即時判斷員工是否正在使用機密資料，若是，更進一步判斷應該適用哪個政策。主要防止機密檔案透過筆記型電腦、可攜式儲存裝置，以及電子郵件、IM傳檔等方式外流。例如，趨勢科技Trend Micro Leak Proof資料外洩防護方案，這個軟體解決方案可以藉由結合端點強制執行與稱為「DataDNA」的高度精確指紋辨識，來防止資料外洩。防外洩代理程式提供智慧型內容過濾與政策執行，而 DataDNA 伺服器則提供政策管理與違規監控。

top

筆記型電腦與資料外洩
已經部署了加密方式來保護資料，可防遺失但無法防內賊
以筆記型電腦而言，加密方式只能保護筆記型電腦遺失時資料不會洩漏，但卻「不能」防止員工帶著私密資料與智慧財產離開公司。

網路式DLP解決方案，一旦離開公司網路即失效
網路式的DLP解決方案，僅對連上企業網路的裝置才完全有效，因此，一旦員工把筆記型電腦帶到咖啡廳上網洽公，或是其他公共場合洩密，即形成了巨大而無法掌控的漏洞。
建構在網路端的DLP系統，無法鎖定每一台個人電腦的每一個連接埠，因此，別有用心的內賊很容易躲避這些防護措施。大多數的系統都只監控並稽核使用者行為，是一種讓系統管理者在事發之後才發覺資料外洩的被動解決方案。
而且在端點上沒有任何分析機密資料的能力，只能將所有資料從端點傳送至網路做過濾，這種方法很緩慢、造成網路負擔，而且不能離線運作。

使用端點式DLP解決方案的注意事項
端點解決方案需要注意以下各點：

必須廣泛地涵蓋任何端點用戶端，如：USB、網頁郵件、加密網頁郵件、IM、HTTPS 等等，即使是離線也適用。
具有互動式的智慧內容過濾，做到高度精確的指紋辨識與其他偵測，同時搭配教育員工、加密資料的功能，並允許員工確認動作執行。
不受所用語言影響，適用於多國部署。不會因為依賴語言的內容過濾而延誤了新版本發行。
可執行各層次的防禦，免於傳入與傳出威脅。

top

導入適合企業的DLP產品　讓資料偷渡客現原形
以趨勢科技的趨勢科技Trend Micro Leak Proof資料外洩防護方案而言在端點上的過濾，比起競爭對手要快上10倍。需求的記憶體最小，僅8MB，而且資料指紋尺寸比一般更小50倍。它可為各種用戶端提供最廣泛的防護，包括USB、網頁郵件、加密網頁郵件、IM以及HTTPS — 不論是線上或離線 — 包括：

行動辦公室、分公司、企業
線上端點、離線端點
企業網路
公用網路
USB、Bluetooth（藍芽）、WiFi、電子郵件
移動中、儲存中、使用中的資料

依據防範對象和資料類別，所建議的解決方案：針對客戶、供應商、委外人員等來自外部人員的外送文件保護，適合的解決方案是E-DRM。
然而若要防止來自內部機密性資料存取的威脅，DLP是最適合的解決方案。

top

DLP 導入程序及佈署方式
任何可能影響員工日常活動的新技術都必須聰明而精確地避免降低員工生產力及造成他們的挫折感。在監控與強制實施防範重要資料外洩的規定，以及讓員工與系統管理員能夠順利完成工作並推動業務成長之間，必須訂出一條明確的界線。

趨勢科技Trend Micro Leak Proof資料外洩防護方案能有效預防資料外洩，其採用獨特且高準確度的資料指紋與內容比對的技術，並結合了端點裝置的政策強制實行措施。透過 Anti-Leak Client用戶端軟體以及DataDNA Server 硬體裝置兩個重要元件共同合作，保護敏感的資訊資產，防止資料遺失、資料竊取及內賊。

步驟一：文件分類,政策制定
許多企業均無法掌控他們的敏感資料，因為敏感資料的辨識、存取以及轉移並未整合至他們的整體作業程序中。當建立新文件或資訊內容時，建議經過分級並確定套用適當的規定。比如者當員工加入某一部門，換調動至不同部門時，可啟動資料保護與存取控制程序。此外，引進新的行動裝置或遠端發展據點時，必需將防資料外洩列入配套措施。每一位被授權存取敏感資料限的員工均應接受相關規定與程序的訓練，這些規定與程序定義了這些公司資料的妥善保管方式。如此一來，員工與主管便都負有責任，不僅是在他們自己使用敏感資料時，同時也能協助監督他人，確保所有人均能遵守這些規定。

步驟二：建立機密資料的指紋(DataDNA)
透過專屬的 DataDNA Server，提供集中化的檢視及政策設定，從定義為機密文件內容當中擷取資訊，強大的演算法能從內容當中擷取資訊，為每一份文件製作出獨一無二的 DNA 序列，也就是所謂的「指紋」。這些「指紋」就能讓端點裝置在上線或離線時強制實行保護措施。

步驟三：政策部署到用戶端
藉由用戶端與 DataDNA Server 溝通來收取政策與更新資料，並且將違規事件回報給伺服器。端點裝置上安裝了用戶端驅動程式來監控網路流量、I/O、應用程式操作。Anti-Leak Agent 運用DataDNA 技術，能夠鎖定實體與虛擬裝置，監控應用程式行為，並且在敏感資訊離開公司之前將資訊加密以防止外洩。多重比對引擎利用指紋、規則表達式 (regular expression)、關鍵字及中繼資料 (metadata) 提供即時過濾。

步驟四：偵測到違反政策,用戶端電腦跳出警示視窗,並記錄供辨識分析
一旦搜尋端點裝置 (如筆記型電腦、桌上型電腦及伺服器) 上未獲授權的資訊。互動式的「警示」讓 IT 管理員定義內容感知對話方塊，直接顯示在員工的電腦畫面上。這些對話方塊內含自訂的 URL 連結，可藉此教育員工如何正確處理機密資訊。未獲授權的資料傳輸將被攔截，另外，也能要求員工在將資料複製到 USB 裝置時，必須使用內建的模組將資料加密。

top