================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= 小弟不才來簡單貢獻一下，希望對MIS版有助益。 DLP為Data Loss Prevention/Data Leakage Protection的縮寫， 當然以市面上來說Prevention/Protection都有人講，但都是歸類為DLP系統。 而中譯的名稱應該以 "資料外洩防護" 來解釋是我個人認為最適合陳述這類系統 的名稱。 事實上，DLP系統並非什麼新潮的產品，在國外早行之有年，而最近 是因為個資法公告施行，由各家資安廠商藉著這個機會，大肆推廣DLP產品。 許多既有的資安產品，也開始號稱自己有DLP的功能。 舉個例，如一般企業使用的Web Proxy，會發現新推出的近幾年版本， 都或多或少有加入DLP功能，雖說Proxy升格為Web Security Appliance後， 本來就已經具備Content Filter(內容過濾)的功能了，DLP要實現也不是難事， 但我下面針對外洩防護的議題來說明，可以了解要做DLP，並不只是 僅具Content Filter功效的設備/系統，就可以輕易滿足的。 就拿最近熱門的個資法來說，個人資料的定義為： 一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、 護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。 因此在法規中點到的幾項，一定就是DLP必須要滿足的項目。 如身分證字號，一般來說以若系統能以正規表達式(Regular Expression) 來做內容過濾，大致上這點應該可以做管控，但缺點是缺乏檢查運算機制 的情況下，非常容易誤判的。這點便是非專業DLP系統無法滿足的功能點之一。 身份證字號規則：http://tinyurl.com/mnpktja (清大某網站對於身分證字號檢查規則的說明) 而目前來說，幾家DLP的大廠如： CA DataMinder Websense Data Security Symantec Data Loss Prevention Trend Micro Data Loss Prevention McAfee Data Loss Prevention 市面上都不難見到，推廣強度也依產業性質不同而有所區分。 這點可能看SI業者跟資安原廠們的市場策略，總之做久了就知道， 產品都各有優缺，挑選"適合"的產品往往比迷信廠牌要來的重要。 適合乃指，功能適用性/預算負擔等面向，譬如說某廠牌可能在 Agent-base的架構下有著市面上最強的防護能力，但用戶的電腦 老舊，資源根本負擔不了，再強的防護程式，電腦跑不動也無效， 此時當然去考量Network-Base的DLP系統來評估。 另外導入系統的困難點在於管制政策的制定， 如 甚麼樣的資料要擋(身分證幾筆要擋? 生日幾筆要擋? 電話幾筆要擋? ...) 審閱時的權責劃分(舉個例，總不能叫IT去審查人資單位觸發的事件吧) 畢竟牽扯的範圍 可不單只有IT人員，而是整個企業而且要管甚麼樣的內容、 要偵測哪些項目，其實已經到了IT部門無法自己作主的情形， 會有需要報送到總部會議進行全單位討論的需要。 事實上我認為推廣DLP最大的障礙便是於此，而非系統功能強弱， 因此通常DLP系統的導入建議要搭配顧問服務，也較能於企業內部 洽談管制政策時，由顧問提出建議然後引導討論，得出結論。 是較實際可行的方式，系統施作的難度其實不算非常高， 定義DLP管制政策的議題才是這類系統成功與否的關鍵。 ================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 175.182.115.168 ※ 編輯: coflame 來自: 175.182.115.168 (11/29 00:23) ※ 編輯: coflame 來自: 175.182.115.168 (11/30 01:43)