安装
三款产品的安装都都不是特别困难,但他们也都有各自的小缺点。
Websense公司要求系统上安装的是甲骨文和MS SQL以及NET 3.5。谢天谢地,这些项目都与公司提供的安装文件捆绑在一起,安装程序包中可以找到这些文件。我们不得不手动提取甲骨文和MS SQL的安装文件,然后按照安装程序的指示去找到他们。考虑到这些文件都捆绑在一起,看起来这个过程有可能会自动完成。安装完毕后,管理控制台可以用来输入Websense公司提供的许可证信息。
Data Endpoint包括一个用来安装端点软件的软件安装包实用工具。在这个实用工具中,管理员可以指定管理服务器和其他参数的IP地址。Data Endpoint根据这些信息创建一个自定制的安装包,这个安装包可以用来配置客户的代理。在本次测试中,该文件被复制到客户端并手动进行安装。
趋势科技的LeakProof安装过程使用物理应用工具代替了软件安装,因此非常简单易行。不过安装文件稍微有些欠缺。随同产品一起的快速入门指南包含一个与PowerEdge 1950采用的端口配置不想匹配的端口图表。接下来快速入门指南上的用户名和密码也不起作用。可以发送电子邮件来获取包含可用登录的更新版快速入门指南(尽管端口图表仍然是错误的)。这份指南提到了一个看似可以开始首次登录的配置实用工具,但却没有给出手动开始登录的命令行和用户名。由于实用工具还没有开始首次登录,网络配置也必须手工完成。幸运的是,该系统是建立在我们所熟悉的CentOS之上的(免费的红帽系统)。
从这点来看,LeakProof的安装相对顺利。端点代理安装程序是命令行驱动型的,要求管理员来指定管理服务器的IP地址。通过Active Directory或System Center Configuration Manager来进行配置也是可行的,但我们对此进行测试。
Identity Finder的安装过程大抵处于平均水平。没有遇到重大问题,但用户必须在安装程序继续运行之前手动安装NET 3.5,Microsoft Report Viewer 2008和IIS 6.0或更高的版本。由于前两款程序都是免费提供的,第三个程序是一个Windows组件,因此这个过程一定可以实现自动化。在安装完成后,许可证文件必须手动复制到包含可执行管理控制台的目录中。
Identity Finder安装程序还随同安装程序和许可证文件一起创建了一个需要复制到客户端的注册表文件。注册表文件必须手动执行来向注册表添加管理服务器信息,然后安装程序可以从命令行执行安装过程。
配置
LeakProof和Identity Finder的管理服务器配置完全采用网络控制台。Data Endpoint不仅对协议和文件管理有一个网络控制,而且对中的服务器管理本身还有一个单独的MMC管理单元。 Websense公司正在努力将各单元统一到单一的网络控制台。
Data Endpoint的大部分配置都没有被拆分为两个界面,因此使用起来是最简单的。经过Websense公司的工程师的努力,我们能够围绕这个界面轻松的进行导航。也就是说,两个测试项目需要额外的支持来实现完整的配置。最初的协议配置是采用协议模板进行冻结的。这款工具要求某类行业的管理员(例如政府,金融,医疗卫生,教育等行业)能使用这款产品和将产品使用本地化。然后厂家提供了一套可用模板的清单。在本次测试中,只有HIPAA和PCI模板可用,许多其他的模板已经被激活。
在协议文件初始配置成功后,管理员可以从网络界面来更改配置文件的保护设置。本次测试只使用了缺省设置,但用户的不同计算机目标设置的能力是可用的。每个配置文件都包括渠道和服务(应用软件)。管理员可以选择来保护那个渠道,然后对所选的应用软或单个应用程序件配置阻断功能。
这款工具还可以提供全面阻断或者确认选项,但我们不推荐使用,因为这可能会干扰Windows系统的运行。在这个过程中用户在程序全面载入之前点击网页时偶尔会遇到的"安全检查"的错误。一个以上的实例说明,这会导致对配置文件所做的所有更改都会丢失,因为系统存储的是最后的映像。该产品还缺乏基于文件名的文件的能力,因为Websense公司不认为这是一个有用的功能。在本次测试中,关键字拦截能够在大多数情况下发挥相同的作用。
在所有这三个产品中,配置的变更都指向了端点。拿LeakProof和Data Endpoint来说,协议被分配了版本号,这样就可以校验实时配置的繁琐变化。在Data Endpoint产品中,端点检查更新和配置文件的间隔期由管理员进行设置(这个间隔期可以短到一分钟)。所有端点都需要重新启动系统后才能更新他们的协议。
LeakProof的网络界面显然使用起来非常方便。它所包含的配置流程图清楚的说明了系统配置所需的步骤。像Data Endpoint一样,LeakProof可以在全球范围内或者以更高的用户或计算机组的级别来执行协议。额外的特性就是创建条件规则的能力。比如说,如果文件包含"绝密""不准公开发布"的字样,就需要采取一些行动阻止批准。网络界面简单易用,最小限度的使用到参考文献,只有在需要联系的时候才进行支持。
Identity Finder的配置界面在易于使用特性上要落后于其他两款产品。协议配置采用的是Microsoft Group Policy,管理员要被迫面对充满各种术语选择的配置树。不过一旦我们在Anyfind"和"Onlyfind"之间建立了不同,界面给出的解释足以配置系统来测试各项指标。这款产品只能测试侦测遵守HIPAA和PCI协议的相关数据,因为这是这款产品的主要重点。自定义常规表达式可以用来寻找其他类型的数据,但这些功能都是这款产品功能性无关痛痒的边缘设计。
Identity Finder企业管理员具备控制那个最终用户需要采取补救措施的能力,可以告诉用户哪些配置选项可供他们使用。端点配置如果从本地控制台配置会比从中央控制台配置容易一些。
性能
在配置完成后,我们尝试了文件保护,遗漏测试,操作系统和厂商(共进行了588项测试)的结合。受保护文件的一般类别是:HIPAA法案相关的数据和PCI协议相关的数据,几种语言的代码,机密文件,一份法律文件,媒体文件,一个用来检查阻断文件名的空文件和一份包含6个混淆程序的标准文件。
数据遗漏方法包括:将文件复制到USB驱动器,刻录光盘,用网络打印机打印,发送即时消息,通过网络客户端,开源客户端和Outlook Express / Windows的电子邮件发送电子邮件,;通过点对点客户端共享文件;复制到网络共享,将文件粘贴到写字板文件等。
不是每项测试对每个配置的测试都有这种可能。Identity Finder就没有阻断的能力,因此它不在性能测试之列。
LeakProof在我们的性能测试中得分最高,以76%的整体得分成功超越了得分为68%的Data Endpoint。LeakProof在阻断HIPAA和PCI数据方面的得分为100%,对各种类型的代码阻断率为100%和阻断诸如拇指驱动器和光盘等不同访问媒介的成功率为96%。LeakProof对合法文件的阻断得分只有29%,通过文件名拦截的成功率为18%,但该公司认为这与产品功能无关,因为文件名无法说明任何文件中的内容是否需要拦截。
在遗漏测试上,LeakProof也表现的非常抢眼,无论采用哪种方法,对敏感数据的阻断率大约为75%。LeakProof在拦截小部分指纹识别文件上存在一些问题。
虽然Data Endpoint能捕捉页面,但它无法捕捉段落或句子大小的摘录。这对于文件中确实包含敏感信息的段落的确是个问题。谢天谢地的是大多数情况下这个问题都可以采用其他方式来解决掉(比如模式匹配和关键字拦截)。
Data Endpoint在多数遗漏测试上的得分比LeakProof太该。举例来说,对通过USB驱动器,CD和电子邮件遗漏的数据拦截率达到85%,,而LeakProof在这类的数据拦截上的成功率仅为75%,不过Data Endpoint的当前版本无法阻止用户将数据迁移到没有拒绝Windows对这些文件访问权的共享网络驱动器,因此在此类的得分为零。 Websense公司计划在CIFS7.5版本中提供增强支持,在这个版本中应该会对这一不足进行修正。
虽然这两款产品都没有明确的文件名匹配能力,不过Data Endpoint的关键字能力基本也能达到同样的目的。
Identity Finder在其预期用途范围内表现良好。唯一无法识别的与HIPAA法案或PCI有关的数据是美国运通卡号码。在识别万事达卡或维萨卡的号码,姓名,地址,电话号码或社会保险号码方面没有任何问题。不过在Windows系统的动态链接库和其他包含敏感信息的程序文件种也发现了大量误报。
系统资源
Data Endpoint似乎是所有代理中占用系统资源最少的。所需内存最高仅为30MB和很小一部分的处理器资源。硬盘占用空间约在68MB(在Windows 2008系统中)和91MB(在Vista系统中)之间。值得重申的是这是唯一一款可以选择网络使用情况的程序。
LeakProof程序要占用1/4到一半的处理器资源,所需内存资源最高为50MB。LeakProof所占用的硬盘空间比Data Endpoint略少,约在55M到67MB之间(Win 2008所占空间最少,Vista最多)。拦截动作不会影响系统的运行。
Identity Finder的查询扫描消耗了大部分的处理器资源和高达60MB的内存资源。取消扫描会迫使程序在终止之前完成目标文件的扫描。硬盘使用的连续性约为47MB。
产品概述
LeakProof是三款工具中表现最好的常规用途端点数据防损产品。配置方面,表现上乘,功能丰富,能执行所用系统内的协议。
Data Endpoint是迄今为止能为管理员提供最充沛性能的工具。完全封装的安装程序,具备从世界各地大范围选择协议模板的能力,可检测脚本自定义操作,根据每款应用软件量身定做的特性,以及网络共享指纹识别文件都是迄今为止最具吸引力的特性。
不过以应用程序为中心就要求管理员对网络上安装应用软件保持高度警惕,要对端点配置及时更新。这也意味着管理员无法应用协议来限制用户在Windows系统中对文件进行迁移。在配置界面和用户体验上还会遭遇一些小故障。如果对界面进行一些改进并提高拦截的准确率,这将是一个一流的产品。
Identity Finder看起来是最适合小型企业的工具,只需执行保护用户数据的职责即可。企业级配置上无法与Data Endpoint和LeakProof同日而语。另一方面,这款产品提供给用户的补救能力也令人印象深刻,端点界面友好,易于理解,在寻找身份相关的数据方面能达到预期效果。Identity Finder也是唯一一款支持Mac OS系统的产品。
未经允许不得转载:DOIT » 如何在终端防止数据泄漏(下)
