================================================================= ※文章欢迎转寄、引用，唯敝人希望注明来自PTT MIS版，以达推广之效※ ================================================================= 小弟不才来简单贡献一下，希望对MIS版有助益。 DLP为Data Loss Prevention/Data Leakage Protection的缩写， 当然以市面上来说Prevention/Protection都有人讲，但都是归类为DLP系统。 而中译的名称应该以 "资料外泄防护" 来解释是我个人认为最适合陈述这类系统 的名称。 事实上，DLP系统并非什麽新潮的产品，在国外早行之有年，而最近 是因为个资法公告施行，由各家资安厂商藉着这个机会，大肆推广DLP产品。 许多既有的资安产品，也开始号称自己有DLP的功能。 举个例，如一般企业使用的Web Proxy，会发现新推出的近几年版本， 都或多或少有加入DLP功能，虽说Proxy升格为Web Security Appliance後， 本来就已经具备Content Filter(内容过滤)的功能了，DLP要实现也不是难事， 但我下面针对外泄防护的议题来说明，可以了解要做DLP，并不只是 仅具Content Filter功效的设备/系统，就可以轻易满足的。 就拿最近热门的个资法来说，个人资料的定义为： 一、个人资料：指自然人之姓名、出生年月日、国民身分证统一编号、 护照号码、特徵、指纹、婚姻、家庭、教育、职业、病历、医疗、基因 、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及 其他得以直接或间接方式识别该个人之资料。 因此在法规中点到的几项，一定就是DLP必须要满足的项目。 如身分证字号，一般来说以若系统能以正规表达式(Regular Expression) 来做内容过滤，大致上这点应该可以做管控，但缺点是缺乏检查运算机制 的情况下，非常容易误判的。这点便是非专业DLP系统无法满足的功能点之一。 身份证字号规则：http://tinyurl.com/mnpktja (清大某网站对於身分证字号检查规则的说明) 而目前来说，几家DLP的大厂如： CA DataMinder Websense Data Security Symantec Data Loss Prevention Trend Micro Data Loss Prevention McAfee Data Loss Prevention 市面上都不难见到，推广强度也依产业性质不同而有所区分。 这点可能看SI业者跟资安原厂们的市场策略，总之做久了就知道， 产品都各有优缺，挑选"适合"的产品往往比迷信厂牌要来的重要。 适合乃指，功能适用性/预算负担等面向，譬如说某厂牌可能在 Agent-base的架构下有着市面上最强的防护能力，但用户的电脑 老旧，资源根本负担不了，再强的防护程式，电脑跑不动也无效， 此时当然去考量Network-Base的DLP系统来评估。 另外导入系统的困难点在於管制政策的制定， 如 甚麽样的资料要挡(身分证几笔要挡? 生日几笔要挡? 电话几笔要挡? ...) 审阅时的权责划分(举个例，总不能叫IT去审查人资单位触发的事件吧) 毕竟牵扯的范围 可不单只有IT人员，而是整个企业而且要管甚麽样的内容、 要侦测哪些项目，其实已经到了IT部门无法自己作主的情形， 会有需要报送到总部会议进行全单位讨论的需要。 事实上我认为推广DLP最大的障碍便是於此，而非系统功能强弱， 因此通常DLP系统的导入建议要搭配顾问服务，也较能於企业内部 洽谈管制政策时，由顾问提出建议然後引导讨论，得出结论。 是较实际可行的方式，系统施作的难度其实不算非常高， 定义DLP管制政策的议题才是这类系统成功与否的关键。 ================================================================= ※文章欢迎转寄、引用，唯敝人希望注明来自PTT MIS版，以达推广之效※ ================================================================= --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 175.182.115.168 ※ 编辑: coflame 来自: 175.182.115.168 (11/29 00:23) ※ 编辑: coflame 来自: 175.182.115.168 (11/30 01:43)