在談DLP之前,可能要先回頭界定一下它的意義。Symantec首席技術顧問張士龍舉一個例子:「兩年前就有客戶說已導入了DLP的解決方案,就是將公司所有的USB連接埠都封死,讓資料無法從USB裝置中被偷走。」或許有些企業認為這樣就是做到資料外洩防護了,但張士龍提到,根據Gartner對DLP的定義是,無論資料是處在靜態的儲存或動態的傳輸與使用中,都能透過內容感知(Content Awareness)來識別所需保護的內容所在位置。
他指出,賽門鐵克DLP解決方案的架構,便是涵蓋了資料使用、傳輸與儲存的整個生命週期,包括監控機密資料不被外洩的「網路模組」;還有像在筆電這類使用者裝置上安裝代理程式(Agent),以確保重要資料在被帶出公司外部後,仍可遵守相關使用規範的「端點模組」;以及能自動掃描位於企業內網中的檔案伺服器、SharePoint等主機中是否儲存需保護的資料,確保資料盤點完整性的「儲存模組」。最後當然還有一個能連接上述不同模組,制定、派送政策,並收集產出事件報表的「中央管理平台」。
 |
| ▲Symantec首席技術顧問張士龍說明,不論資料是正在傳輸中、使用中,還是靜態儲存中,DLP皆必須能夠掌握,才能做到防止資料外洩。 |
以台灣企業目前導入相關解決方案的現況來看,從前企業通常是為了怕離職員工帶走內部機密的研發成果等智慧財產,但在個資法的推動下,企業也意識到個人資料保護的重要性,甚至也開始編列預算執行。不過張士龍觀察,目前還是以大型企業為主,中小企業仍抱持觀望態度居多。但他也認為中小企業這塊還是有很大成長空間,因為中小企業的資源雖然較少,但相對大型企業的複雜環境,中小企業的IT架構較簡單,導入難度也較低,這點反倒是DLP的一個優勢。
而談到企業如何評估選擇市面上眾多的DLP產品時,張士龍建議,首先可從欲建立的防護體系著手,也就是端點、網路與掃描儲存。接著再往下深入到是否能滿足像USB裝置、社交網站、印表機等防護管道的建立。另一個評估重點就是產品的管理機制,企業要了解DLP產品不是單單在資料外洩時封鎖住就好了,還要能依照事件的不同等級提供不同的處理方式,這才是一個合理可行的管理機制。
至於DLP的下一步發展方向,張士龍表示,以客戶端需求來看,大企業會希望現有的DLP解決方案能與更多機制整合,像是數位版權管理(Digital Rights Management,DRM)等,例如業務部要傳送報價單時,就會自動啟動DRM產品進行加密,提高文件的安全性;但中小企業則相反,反倒是希望能將產品切割成較小的軟體模組,並按使用人數授權,以減少一次性導入的大量負擔,也更符合需求。