DoSECU 安全报道 7月31日消息:找到适合的基于边界数据防损工具就意味着要在对现有网络上的敏感数据的侦测和阻断的速度和准确性与范围广泛的规则设置和协议的巧妙融合之间达到最佳的平衡点。
数据防损工具主要分为三个类别:基于边界的,基于客户的和两者结合的。在本次测试中,我们对于来自Fidelis Security Systems, Palisade Systems, Code Green Networks和GTB Technologies几家公司的基于边界应用工具进行了评估。
数据防损是在一个模拟广域网和局域网之间建立in-line(Code Green的Content Inspector除外,它无法支持in-line模式),配置一套由10个规则组成的规则组。然后我们在每个设备上运行1100个文件,每个文件之间等待1分钟的间隔,来判断设备侦测和阻止276个非法文件的准确率以及in-line数据防损对网络性能影响的程度。
以下是我们主要的测试成果:
–所有的产品都能有效侦测试图通过产品支持的指定协议的有害文件。但是并非所用的产品都能支持各种协议。
–部分在侦测有害文件方面表现良好的产品在阻止文件方面表现欠佳
–并非所有的产品都能对加密流量进行分析或者阻止
–在运行这些产品in-line室,网络性能的影响也应该被考虑在内
在有害文件侦测方面,Code Green公司的Content Inspector得分最高。Code Green在配置的容易程度上也得分很高。但是Code Green在可阻止的协议范围上有一定局限。
Fidelis公司的XPS以其易于使用的界面,灵活的规则设置,有趣的报表形式和高于平均水平的侦测和阻止能力成为我们明智选择的赢家。
Palisade公司的Packetsure和GTB公司的Inspector在对比之下就略逊一筹,但是我们进一步去了解产品在安装和报表上是如何工作的。
对于Packetsure和Content Inspector,基本的安装都非常直截了当,产品安装过程非常顺畅,没有任何问题。对于其他两款产品,基本安装难度要大一些,需要电子邮件和电话等众多的联系方式。但是这些产品最终都可以在没有专业人员帮助或者现场指导的情况下完成安装。
产品安装完毕后可以在模拟局域网和广域网之间交换数据,我们给设备配置了过滤规范。包括由10个可选规则组成的样本组来测试产品的基本特性和阻止有害文件的潜质。
我们安装数据防损产品来寻找社会保险和信用卡号码,某种类型的源代码和来自一个短篇小说的连续五个词汇,这些是用来阻止网络遗留的报表的任何一部分。
我们也设置了规则来控制文件的规模或者.mp3文件,我们对包含了一系列用户姓名,地址和社会保险号码的数据设置了指纹识别,并且设置了一种可以阻止任何三项结合数据的规则。
配置:Code Green位列第一
Code Green公司的Content Inspector在配置和设置规则方面是使用起来最简单的产品。规则的语言简单易懂,图形界面也非常方便实用。Code Green公司将规则创建划分为两类:数据和协议。一种用来定义用户各种工具进行阻止的数据,然后配置一种协议来对其进行审核。这种方法非常直接了当也容易更改,无需重启设备或者重新加载设置。在配置简化的对比中,Code Green公司超过了所有其他的产品力拔头筹。
Fidelis公司的XPS传感器有一个类似"战地指挥所"那样的服务器来进行管理和配置,包括一个邮件传感服务器(通过内置的Postfix SMTP代理来实现)和一个网络传感器(通过第三方的BlueCoat网络代理应用工具来执行)。
使用网络图形用户界面创建规则是非常直接和简单的。XPS是能帮助你提交样本文件,这样在你实际应用之前可以对每项规则进行测试。
如果你曾经对某种规则存在疑义,Fidelis公司在每页上内置了一个不错的帮助链接,用来解释每个复选框或按钮的含义。这是一种救急工具,可以帮助我们在没有任何技术支持的情况下建立大多数的规则。
Palisade公司的Packetsure提供一个简单的压缩包来帮助用户完成安装,也是唯一包含这种起点开始提供帮助的产品。不过如果用户想增加或者更改压缩包意外的规则,那么过程就不那么顺利了。
问题可能是Packetsure实际上是两种产品的集合体:它有一个内容分析引擎和协议分析引擎。Palisade协议分析器只能审核有效负载,而不是像内容分析引擎那样重新集合数据流。这两种分支的结合可以将每个规则相互隔离,但是却增加了管理的难度。
在我们的测试中,规则也不总是像我们希望的那样表现良好。举例来说,一种"内容分析复选框"意味着信息包分析和其他的内容分析复选框确实在分析之前就重新集合了数据。
Packetsure产品还有一个"与我联系"的功能,用户可以将其激活。这个特性在用户需要联系技术支持或者最初的安装阶段非常有用,因为它能允许Palisade使用安全的虚拟个人网络来协助你。
GTB公司的Inspector在四个产品中配置流程是最困难的。为了编写规则,用户必须编辑一个文本配置文件,给每一行增加一些常规的描述和格式。举例来说,为了编写检查文件中注明"高度机密"字眼的内容的规则,在网络管理界面的一个大文本框中必须输入一个常规描述。
这款产品没有压缩包和图形界面。GTB的Inspector的其他限制因素是事实上它的规则设置功能局限性很大。在我们的测试中,这款产品只能执行大约一半的指定规则。甚至像寻找文件名或者规模最大的文件等简单规则的设置都不能支持。
性能:Fidelis速度最快;Code Green在有害文件侦测中成为赢家
我们测试了产品在阻止我们发送的276个有害文件时的准确率,或者在测试台上对9个协议的每一个发送大概30个文件进行准确率测试(这九个协议包括HTTP, SMTP, POP, IMAP, FTP和Telnet)。我们也测算了产品在数据通过设备时的速度,基准起点速度为581Mbps,这是我们测试网络的传输能力。
从有害文件侦测的角度来看,表现最好的是Code Green公司的Content Inspector,对有害数据的侦测准确率达到90%。Content Inspector遗漏的10%是因为它缺少对加密流量的支持。
不过它也仅能阻止测试协议中的四个:即HTTP, Secure-HTTP, FTP和SMTP。头三个使用的是第三方BlueCoat代理设备,SMTP使用的则是内置的邮件转发器。
缺乏对各种协议阻止的能力是Code Green公司的Content Inspector产品的主要缺陷。但是如果你的公司只关心这四种协议的话,这款产品就值得推荐。
Fidelis公司的XPS在侦测和阻断所有协议中的有害文件和数据流方面成功率达到84%。这家公司的市场推广口号是他们能阻止65535个端口上的所有数据,我们也认可这一点。这款产品实际上能阻止它所侦测到的所有数据,只有一种类型的文件遭遇失败,那就是存档网站。
这款产品在处理模糊数据方面表现不错,可以捕捉5个文件中的4个。POP和IMAP会有一些麻烦,但是在工程师打了一些自定义补丁后,它就可以如愿运行了。
所有这些产品面临的选择是在性能和阻断有效性之间的权衡。当数据通过数据防损设备进行迁移时,产品可以选择缓冲任意一个,然后判断它的优劣,或者对闲置的和遭遇数据泄露的情况进行分析。
Fidelis选择的是性能,在我们的速度测试中成为赢家,它的网络流量能力通过率达到90%。不过部分敏感数据偶尔也会从网络中溜走。所有其他的产品选择阻断有害文件而不是速度来作为优先选择。
Palisade公司的Packetsure目标是针对HTTP, SMTP和FTP这些基础协议,在这些指定协议的阻断率方面得分较高。但是Packetsure可能是因为是两个产品的集合体,因此也是速度最慢的产品,在允许带宽的执行率上只能达到55%。
另外,这些产品都能如我们所愿的进行指定协议的阻止和基于内容分析进行扫描,但是当把这两种功能结合在一起时,问题就出现了,结果也是我们不愿看到的。举 例来说,当你尝试将内容分析限制到某种协议上,你必须在使用较为薄弱的文件分析系统(不能重新集合数据流)或者限制你的协议阻止率两者之间进行选择。后者 是解决这个问题的最好方法,但是这么做会减少产品的灵活性和阻断有害文件的能力。
GTB公司的Inspector是协调性最好的产品,它在一种协议 上的侦测和阻断不需要进行额外的工作。这款产品的问题是它只能基于某种规则进行审核,而这些规则是有局限性的。这款产品在我们的侦测测试中大约有一半是无 法成功的,因为很多规则类型不在它的支持之列。不过尽管它缺乏规则支持,它仍然能捕捉62%的非法文件。
在这些支持协议中,Inspector是得分达到100%的唯一产品,它能捕捉我们在80%的允许带宽下通过设备发送的每一个单独文件。
指纹识别:GTB Inspector得分最高
指纹识别在这些数据防损产品中是执行的非常不错的一种概念。指纹识别将检查文件,寻找被网络遗漏的文件部分。
指纹识别被用来防止敏感数据从网络中遗漏,同时还能减少错误的发生率。举例来说,多数企业希望能防止社会保险号码从本地网络上流失,但是有很多东西从表面上看起来很像社会保险号码,比如说打印错误的电话号码或者在线订单号码等。
指纹识别可以应用到网络上任何敏感数据,寻找与之符合的部分,让这些信息不会从你的网络中遗漏。
用户可以对姓名,地址和社会保险号码的清单设置指纹识别,用来取代以任何九位阿拉伯数字组成的号码触发的模式。当社会保险号码和全名一起发送时才能触发数据防损的开关。或者不是寻找指定的词汇短语,而是从报告中查找句子。
所有的测试产品都能支持这种特性。但是GTB Inspector的功能是最强大也是最灵活的–用户可以对各种文件,数据库或者电子表格数据设置指纹识别。
不过强大和灵活性是以牺牲简便性为代价的。GTB公司有自己的产品规则,用户必须使用这种规则来对数据设置指纹识别,而其他产品可以允许管理员从主管理界面来对文件上传和设置指纹识别。
尽管Palisade公司的Packetsure能对多数其他产品支持的文件进行扫描,但当提及数据库指纹识别时,就需要和相关数据库中的两个域联系在一起,它需要文件被输出到平面文件中用于分析。Fidelis公司的XPS具备一种能力,一旦你创建成功指纹识别,它能对其进行测试。
Code Green的Content Inspector能对所有类型的数据设置指纹识别,能允许用户在数据触发警告时设置相应情景。举例来说,如果你对姓名,地址和社会保险号码设置了指纹识别,你可以在看到两个社会保险号码和一个匹配姓名时发出警告。其他的产品都没有这种功能,但是都易于使用。
数据防损传品中最有用的部分是其报表特性。对于管理员来说,了解产品侦测到的信号并加以阻止是非常有用的。
Code Green公司的Content Inspector和Fidelis公司的XPS在报表系统上是最好的。在灵活性,易于使用,输出能力和图形界面美观方面上也表现不错,这些特性能使数据易于处理。Code Green公司的产品在使用简单的Postgres数据库时,能和许多警告应用软件(比如Crystal Reports)甚至自定义应用软件轻松结合在一起。
Palisade公司的Packetsure能执行报表生成所需的功能,但是还不够完善。它的界面看起来非常沉闷,无论你何时想生成报表都需要等待3到5秒钟。不过Packetsure有一种非常有用的协议图表工具,能让你实时查看在你的边界周围活动的各种流量,甚至能允许管理员追溯到指定的应用软件。如果它能以某种方法和阻断特性绑定使用的话就更好了。但是它不能。
GTB公司的Inspector在报表方面的对比中就落后于其他产品。它能提供可接受的直观报表,甚至也包括生成图表的能力来帮助用户分析数据。这款产品具备报表功能,但是这是不像其他三种产品那样突出而已。
产品概述
Fidelis XPS:最终的赢家
Fidelis XPS是在整体特性,灵活性和阻断有害文件方面最成熟的产品。
Fidelis XPS有一个类似"战地指挥所"那样的服务器来进行管理和配置,包括一个邮件传感服务器(通过内置的Postfix SMTP代理来实现)和一个网络传感器(通过第三方的BlueCoat网络代理应用工具来执行)。
Fidelis XPS的安装并不简便,但是花费不到1个小时就能完成XPS的安装和运行。内置的帮助链接在编写规则时非常有用,XPS还包括测试所编写规则的能力。XPS在保持所有协议的灵活性方面也表现出色,同时仍然能保持对这些协议的阻断。管理界面能帮助你轻松建立规则和查看报表。
这款产品是我们测试的运行速度最快的产品,对有害文件的阻止率达到80%。如果除了标准的HTTP和SMTP协议外,你正在寻找一种能阻断各种协议和应用软件的产品,那么这款产品值得期待。
Palisade公司的Packetsure:合二为一的产品
Palisade 公司的Packetsure产品看起来是将协议分析器和内容分析器合二为一的产品。Packetsure产品有着很高的侦测率,但是运行速度是最低的,最 大带宽只能达到50%。这款产品有一些有趣的特性,比如帮助用户通过虚拟个人网络安装产品,用图表展示进出网络的数据也非常有用。
安装简单而直观,不到一个小时就能完成。初始安装很大程度上需要使用压缩包来协助。不过使用压缩包更改规则就比较麻烦,报表生成更加困难和复杂。
Code Green公司的Content Inspector:侦测能力排名第一
Content Inspector在侦测数据泄露方面是所有测试产品中表现最好的。不过由于它只能阻止部分协议,因此侦测的使用范围有限。
安装非常容易,配置也简单易懂,无需阅读任何帮助手册。这是唯一一款允许执行任何规则的产品。这款产品还能够侦测到我们输入的有害数据的90%,这个比例几乎是其他竞争对手的两倍。他们遗漏的10%是因为缺乏对加密流量的支持,其他产品也不能支持。
不过它仅能阻止测试协议中的四个:即HTTP, Secure-HTTP, FTP和SMTP。头三个使用的是第三方BlueCoat代理设备,SMTP使用的则是内置的邮件转发器。当使用这些方法进行阻止时,这款产品是没有瑕疵的,可以阻止它所侦测到的每个文件。但缺乏对各种协议阻止的能力是Code Green公司的Content Inspector产品的最大缺陷。
GTB Inspector:稳定性最好
GTB Inspector是一款协调性和稳定性较好的很惨品,但是规则生成上存在局限性。安装也是件头疼的问题。几乎要花费8小时的时间才能完成安装过程。不过在产品安装和配置完成后,它的表现及其稳定和连贯。它能侦测和阻止它所支持的协议中所有能侦测和阻止的文件。
问题是这款产品只能审查某种规则,这就具有局限性。这款产品在我们的侦测测试中大约有一半是无法成功的,因为很多规则类型不在它的支持之列。不过尽管它缺乏规则支持,它仍然能捕捉62%的非法文件。在所有支持协议中,这款产品是唯一得分100%的产品,能捕捉我们在80%的允许带宽下通过设备发送的每一个单独文件。
另外GTB Inspector具备功能强大的指纹识别能力,能帮助用户进行各种自定义设置。
