X-FORT 是一套完整的資料安全防護解決方案。它提供了許多不同的控管模組(參考下圖),以達成企業所需要的彈性控管。這些控管組合成一個控管政策,派送到每一台有裝X-FORT Agent的電腦,這些電腦的會忠實的執行X-FORT Server 派送的資安政策,政策可以依登入使用者的身分套用使用者資安政策,或使用電腦政策。
現行市面上的DLP (Data Leak Prevention),資安政策不外乎是使用者政策或是電腦政策。所謂「使用者政策」是指不管使用者人在哪裡,只要身分驗證(如AD登入)後就執行該使用者的資安政策。所謂「電腦政策」則不管哪個User 登入,它的政策都是固定的。
資料防洩密軟體(DLP)發展至今,除了以上的2個標準的政策,幾年來延伸出許多因地制宜的彈性政策。
以上的圖表,簡單的說明
- 網段政策:當電腦進入某個網段,會以網段政策優先。
- 離線政策:當電腦與X-FORT Server 離線,會以離線政策優先。
- EDR 政策:當電腦與發生某些設定好的條件,會觸發反應,套用新的管制政策。
- 臨時政策:因短暫的特殊需求,主管審核通過,臨時提供特殊權限政策。
實際案例分享
X-FORT 政策設計彈性,以下說明幾個應用的實例,以符合工作所需。
公司配發的筆電在家上班
- 近幾年因為新冠病毒的原因,許多人使用公司的筆電在家上班。
在家使用筆電,尚未VPN連回公司,此時X-FORT Agent會套用離線政策。家中環境不比公司環境具有多重安全防護,為了不讓公司資料外洩,建議設定以下資安政策。
- 禁用USB隨身碟、外接硬碟、記憶卡,以防止資料外洩。
- 禁用印表機,防止機密文件透過家中印表機列印。
- 設定防火牆,連回公司的IP,限制連結其他的網路。
- 當筆電透過VPN 連回公司,自動套用公司VPN中設定的網段政策,而非公司的使用者政策。
- 因為身處家中,USB隨身碟、外接硬碟、記憶卡等裝置還是禁用,以防止資料外洩。
- 指定印表機列印或禁用印表機,防止機密文件透過家中印表機列印。
EDR 自適應 RDP OUT政策
如果攜帶公司的筆電在外(如業務或在家上班人員),員工可以利用遠桌面連到其他的私人電腦,可能會出現公司外無法防護的漏洞。除了GPO 將drive redirection 及clipboard redirection關閉外;亦可設定X-FORT EDR 自適應 RDP OUT政策。政策建議如下:
- 因為被連線的電腦可能不是公司的設備,此時該禁止USB 外接儲存裝置使用、禁止列印文件、禁止上網等。
- 透過Line 或 Email 通知資訊管理人員。
- 啟動螢幕浮水印,提示員工系統監控中。
研發中心網段政策實例
如果非研發中心人員,帶筆電進入研發中心,接上研發中心網路,此時應該套用研發中心的網段政策,以控管好資訊安全。建議政策如下:
- 禁用USB隨身碟、外接硬碟、記憶卡,以防止資料外洩。
- 管制印表機,限制只能用研發中心印表機,加列印浮水印,浮水印上顯示使用者帳號與警語,備份列印內容。
- 禁止存取研發中心的File Sever,以防止資料外洩 。
- 管制IM,禁止傳檔。
- 禁止上網及連上雲端。