1. EPP機敏資料控管方案

2. 機敏盤點
• 機敏資料掃描
• 機敏資料就地處置
作業管理防護
• 端點設備控管
• 內容特徵過濾
• 側錄記錄
• BYOD-MDM/MAM
應用管理
• 應用程式資產管理
• IM側錄
機敏資料控管解決方案模塊
機敏資料控管:
針對企業機密敏感資料作業過程做防護控制及管理

3. Identity Finder Module
機敏盤點

4. 瞭解資料的外洩途徑
Forrester Research:
• 在企業資料外洩前三種資料型態
• #1:個資(PII)
• #2: 智慧資產
• #3:營業機敏資料(市場行銷/策略/計
畫,價格..)
Forrester Research 調查發現97% 的資料
外洩肇因以下途徑:
• 公司資產的遺失/被竊– 經由備份資
料、伺服器、 筆電、 行動裝置(如電話
)
• 內部人用的誤用或疏失– 例如一個合法
授權使用資料的使用者因意外而產生不
當的資料外洩
• 企業伺服器或使用者的電腦成為外部
攻擊目標
• 內部使用者惡意濫用–比如一個合法授
權使用資料的使用者或終端利用存取權
限或者進行被授權的存取

5. 資料外洩的監管成本很高
一些顯著與資料洩漏或違反所產生連帶的成本
條例 違反條例的罰則
HIPAA / HITECH
(適用於可存取病患資訊
(稱為「受保護健康資訊之
健康管理實體的美國法律)
每一個違反PHI受保護健康資訊產生資料洩漏事件罰五萬美金並且當事人
所屬主體或營運單位將連帶罰每年150萬美金
PCI-DSS 2.0
(支付卡產業資料安全標準)
每一個PCI資料外洩事件罰50萬美金並且如果是違反PCI-DSS 2.0,每日罰五
萬
FISMA
(聯邦資訊安全性管理法案)
每一個委外商違反FISMA將會被聯邦政府公告禁止未來參與開標
FERPA
(家庭教育權利及隱私法)
教育機構違反FERPA將被處以聯邦政府罰款
Sarbanes Oxley
(美國沙賓法案)
企業未遵守法案或上傳不正確的憑證資料將處以100萬美元及10年以上刑期,
就算是疏失或產生誤解.公司也將因不遵守此法令而遭下市處分
Graham Leach Bliley Act
(GLBA)
(金融服務業現代化法案)
民事的金融罰款依情節不等至1百萬美元或更多,並且官方追究刑期至5年以
上
個資法(台灣)
資料外洩單一賠償500~2萬元,單一事件最高兩億元
洩漏當事人須付單刑事責任
營業秘密法(台灣) 刑事及民事求償無上限

6. 每一個資料外洩產生的直接或間接成本
撇開監管的罰管不談, 企業有更多的成本因資料外洩而產生並受苦
成本種類 成本描述 特定範例
直接成本 取證鑑識 僱用相關人調查以決定資料外洩規模及範圍
直接成本 補救
修補資料外洩來源的架構/軟體之成本
認證/驗證更新等關聯的成本
直接成本 工作 / 顧問 修補資料外洩來源的額外工作成本
直接成本 訴訟/和解的成本
挖掘及訴訟服務/防禦費用
損害的裁定
直接成本 外洩通知
外洩時對當事人的溝通成本
客服中心及使用者危機管理成本
間接成本 名聲危害 公司資料被竊取因而上新聞
間接成本 關係維持的報價妥協
因營業資料外洩而產生必須繼續維持客戶/供應商/夥
伴的利潤減損
間接成本 追求新營運領域的機會成本 因新產品研發資料外洩產生的機會成本增加

7. 建立資料外洩防護(DLP)盤點機制之過程
Ｄiscover(挖掘）-發現
可以被分類的機密敏感
性資料
Ｃlassify(分類）-將資
料做標籤式分類以便保
護
Consolidate （ 鞏 固 ） -
限縮資料存在的環境
Ｄesign(設計）-建立有
效的ＤＬＰ政策及分類
並且有效地佈署
Enforce （執行）-對於
一個有效率的ＤＬＰ政
策, 必須執行其規則才
有效益.報表也必須有效
率的呈顯給企業管理者
做決策
借由Identity Finder
的企業架構建立資料
盤點防護方案
總持有成本ＴＣＯ低
可以依照各部門認知的
重點做客製化搜尋功能
保護絕大部分脆弱的目
標
產生關鍵效益
持續性的使用以建立一
個完整的全面性的ＤＬ
Ｐ方案
永續使用及政策建立

8. Identity Finder 遵循DLP 路線
DLP 步驟 Identity Finder關鍵價值
Define
（定義）
Identity Finder 確實且有效地掃描全域企業資料環境.它可以發現機敏資料、
標記種類、位置及擁有者所以可以確實知道隱私性識別資訊之的大小及
Classify
（分類）
Identity Finder 藉由多種識別方式自動分類機敏資料 (例如. 身分證字號,
信用卡號碼, 銀行資料, 自行客製化定義) 協助您輕易地描繪出資料種類
Consolidate
（鞏固）
Identity Finder 可以在掃描後碎檔(Shreds)或隔離(Quarantines)機敏資料,
讓稽核的目標環境逐漸收斂
Design
（設計）
Identity Finder 提供ＤＬＰ政策設計及導入時需要的資訊. Identity Finder
的精密度及效力使它成為最佳的導入執行工具
Monitor & Enforce
(監控及執行）
Identity Finder 可以設定程排程並持續性的掃描全域環境,並且可以經由執
行政策,自動或手動就地處置及補救未保護的資料

9. Identity Finder 可以盤點甚麼樣的機敏資料?
無須重新輸入任何機敏資料規則,Identity Finder可以自動掃描發現以下資
敏資料：
另外,可以定義關鍵字以及以ＲＥ定義智慧財產或其他敏感性資料的pattern
俱超強機能性的Open API. 可以讓建立自有客製的搜尋識別能力
 PCI
Cardholder
data
 PHI (Patient
Health Info)
 身分證字號
 信用卡號碼
 金融卡號碼
 Track 1;
Track2; CVV;
Exp. Dates
 生日
 銀行帳號
 iban, aba
routing, swift
 駕照號碼
 地址
 統一編號
 TFN
(Australia)
 SIN (Canada)
 NIN (UK)
 NHSN (UK)
 機密標記資料
 密碼
 電話號碼
 關鍵字
 字句
 正規表示式
Regular
Expressions
 自行定義字典
檔

10. Identity Finder 可以搜尋哪些地方?
• 伺服器, 桌機, 筆電
• 本域磁碟, 網路磁碟, 共用磁碟區, 映射磁
碟區, 對應磁碟
• SAN / NAS 磁碟,遠域機器
• 電子郵件伺服器(Exchange, MBOX,
Notes) 及歸檔: PST, OST
• OLE DB的資料庫位置 (SQL, Oracle, DB2)
• 網頁伺服器/ Sharepoint 伺服器 – HTTP
及 HTTPS
• 機碼及瀏覽器資料
位置
• Office 及文件檔, Acrobat 檔案
• 掃描或轉檔過的影像檔, 如
PDF, JPG, GIF, TIF, PNG （使用OCＲ功
能）
• 壓縮歸檔, rars, zips, 7z, bz, tbz, gz, tbz2
• 資料庫, 伺服器及瀏覽器資料
文件類型

11. Identity Finder 如何挖掘機敏?
挖掘機敏資
料位置及種
類
預覽
防護選項

12. Identity Finder 如何保護機敏資料?
Identity Finder 機敏資料補救方式:
Secure(加密)
• 經由Identity
Finder密碼加密
或ＡＥＳ256加
密
Scrub(遮罩）
• 把機敏資料以X
做遮罩（適用於
檔案）
Shred（碎檔）
• 超過7道以上的
篩除
• US DOD
5220.22-M 檔案
抹除技術
Quarantine（隔
離）
• 把機敏資料移到
保護區

13. Identity Finder 架構
授權的使用終端
無須安裝代理程式（Ａｇｅｎｔｌｅｓｓ）的搜尋

14. Identity Finder 優勢與關鍵差異
精確 (<2% 誤判)
高效能的報表
中央控管
自動搜尋
企業化佈署
容易操作的使用者介面
高生產力

15. 核心優勢: 精確
• 誤判例子: 山寨版信用卡號碼
• Discover – 6011111111111117,
• MasterCard - 5500 0000 0000 0004
Identity Finder 使用驗證演
算法取代區塊或簡易樣本
以排除誤判.
• 會視字串前後情形例如TCP headers, code, 等
等.
“Sea of Digits” (machine
code).
• 例如: Excel 2003 及以下版本會加 “.00” 到任
何儲存格尾. Excel 2007 及以上版本則無.
檔案型態檢查:
可選擇性的驗證工具例如
針對信用卡CVV 碼（授權
碼）及有效日期.
Identity Finder 搜尋非結構
化資料並且回傳最大比例
的有效資料 (最高數目的確
保及最低數目的誤判)

16. 核心優勢: 報表
同時俱備終端及中控端報表選項.
使用介面容易使用不僅讓操作者讀取結果也同時可以採取行動!
具客製化報表功能,可以根據自己需求客製化.
在報表上實現營運決策. 例如：關閉網頁瀏覽器caching
建立
核閱
採取防護行動

17. 結論
Identity finder 是可以幫助您的高效能
解決方案
• 設立一個資料外洩防護的策略
• 將資料外洩風險收斂
• 監管一致性的執行
Identity finder 的導入解決機敏資料盤
點的管理重點
• 自動排程盤點及修正,減尐人工管銷成本
• 隨著追蹤及產生報表分配工作流程/角色貫徹執
行企業管理流程規則以減尐資料外洩風險
• 低於2%的誤判率減尐驗證隱私資料的時間與工作
• 中控式儀表板以及稽核報表方便機核檢查及盤點

18. EPP:ENDPOINT PROTECTOR 4
Module
作業管理防護

19. ENDPOINT PROTECTOR 4
已經在超過三千萬個設備上執行資料保護的工作

20. Endpoint Protector 4用戶

21. Endpoint Protector 4獲獎

22. EPP設計構想-解決現今與未來資訊安全的挑戰
如何解決IT
管理時的顧
慮
資料洩露/ 資
料遺失/資料
盜取的問題
設備在不受
控管下使用
系統的其他
非法行為如
何監管?

23. Source Operation Transfer
Inside Outside
儲
存
稽
核
create
Copy
Read or
delete
Printmodify Mail
IM
Port
transfer
Over-
the-air
Device
Device Lock設備控管
Mobile Device Management
Content
檔案或DB機敏盤點
Content Aware
內容特徵過濾
Network
FireWall
Sniffing
資料流
界面行
為
系統防
護
EPP從資料流導向的防護概念解析防護工具的因應模式

24. EPP 能做什麼?
資料使用
•File Access
•Cut
•Copy
•Paste
•Print
•PrtSc
動態資料
•Web
•Email
•FTP
•LAN Copy
•Removable Media
•Mobile Device
靜態資料
•Endpoint
•File Shares
•SharePoint Portal
•Database
•Exchange Mailbox
• 設備控管
• 內容過濾
• 事件紀錄

25. EPP解決利用資料外洩的風險防護
網際網路
Internet
使用者
電子郵件
內容、檔案傳送
網路瀏覽、傳輸
Web-Mail
IM, P2P, Tunnel
網路硬碟、討論區
USB
隨身碟
Bluetooth
藍牙
1394
Floppy
WiFi 無線上網
CD/DVD
各種
行動週邊裝置
內部網路
Intranet /
Server Farm
內部資料
文件管理
分享目錄
資料庫
印表機
SmartPhone
BlackBerry

26. EPP幫企業解析與架構
作業導向的資料保護政策管理
Who
人資單位
客服單位
財務人員
會計人員
法務單位
業務人員
行銷單位
技術支援單位
工程研發
What
程式碼
事業計畫
合併計畫
病患個資、病歷
員工個資
財報
客戶個資
技術文件
競爭比較資訊
Where
Web Mail 網站
網路硬碟
部落格網站
客戶
隨身碟
間諜軟體網站
會計事務所伙伴
競爭對手
媒體
How
FTP 檔案傳輸
IM 即時訊息
P2P 檔案分享
列印
Email
Web
確認
通知
移除
稽核
緩送/加密
阻擋
檔案 Copy
Copy/Paste
Print Screen
Action
檔案加密
誰 傳了什麼 到哪裡 如何送 回應動作

27. EPP 的各種紀錄或阻絕技術
 設備控管
 機敏資料掃描及管理
 行動裝置管理
終端設備管控
文件/資料庫
指紋MD5比對
文件/資料庫
指紋MD5比對
終端設備管控
政策範本產生
及deliver
檔案屬性, 正
規表示式, 應
用程式
關鍵字 / 字典
辭庫
APNS/GCM
行動裝置控管

28. Endpoint Protector 4
讓DLP導入與操作變簡易

29. EPP 系統功能分類

30. 支援
iOS
Android
版本
支援
Windows
Mac OS X
版本
支援
Windows
Mac OS X
Linux
版本
Endpoint protector功能特性模組概分

31. EPP各模組功能-Device Control模組
• 可針對Win/Mac/Linux Client介面連接所有常用的設備種類
(內建選項或自動偵測)或其連接埠(鎖定設備/啓用設備/監視
設備使用三種模式)的設備做控管及紀錄報表
• 自動搜尋裝置過的設備並加以控管
• 以設備為對象的控管政策設定(簡易設備政策管理/針對使用
者,電腦, 群組,各部門做設定/不同權限: 允許存取, 禁止存
取, 唯讀模式等等)
• Web化管理中心
• 四層easylock隨身碟註冊跟專用環境設定
• 暫時性設備密碼授權使用
• 離線時仍受政策控管
Device
Control模組

32. EPP各模組功能-Content Aware Protection模組
• 檔案種類格式過濾
• 內建機敏個資過濾 (例如身分証字號信用卡資訊過濾 /
銀行資訊過濾等)
• 關鍵字 / 習慣性字彙過濾
• 剪貼簿監控
• 應用程式檔案存取過濾
• 檔案複製副本監控
• 針對特定檔案型態追蹤使用狀況並記錄
• 可客制特定機敏特徵內容Pattern(例如病歷號/書號
/BOM表料號等編碼原則特徵)
Content Aware
Protection模組

33. EPP各模組功能-行動裝置管理模組
• 對iOS 和Android 不僅可一次性做好政策規劃且可
一次派送至數個裝置上
• 一次性的政策規劃同時支援多種不同的裝置，管
理簡單、派送迅速
• 強制化設備的安全政策
• 最小密碼長度
• 密碼複雜度
• 嘗試密碼次數(until device reset/抹除)
• 螢幕鎖定時間
• 強制密碼
• 設備加密
• 遠端 鎖定
• 在設備遺失且啓動抹除前可以先鎖定設備
• 遠端 Nuke (遠端 抹除)
• 抹除設備裡的所有資料 ,在設備遺失或被竊的情
況下可以保持讓公司的資料不外洩於他人之手
• 管理 WiFi 設定 ,iOS 設備與 WiFi 設定的自動規劃
• 管理 Mail 設定,iOS 設備與 郵件的 設定的自動規
劃
• iOS及Android裝置定位
MDM 政策制
定與規劃
• 針對iOS及Android的APP做自我控管(collect)
• 可以針對群組或單一設備做APP push遠端安
裝,或遠端刪除(回收APP)
• 可搭配文件轉APP工具,push文件至設備
MAM 政策制
定與規劃

34. 硬體 Appliance
• 硬體裝置式解決方案
• 以網路計算可以容納 20 到 4000以上的端點防護
虛擬 Appliance
• 相容於 VMware,
VirtualBox, Parallels 及 Microsoft Hyper-V
• 一小時內就可以導入完成
• .ovf, .vmx, .vhd格式
Endpoint Protector 4的硬體/虛擬Appliance 版本

35. EPP計價方式
計算終端電腦數或行動設備數，稱為U數。
U數x各模組計價=報價。
特殊狀況
如果一部電腦有兩個以上使用者,而且想要控管及記錄的對象是使用者,則必須
計算使用者數而非電腦數。
2013/7/24
35

36. Content Aware Protection
內容特徵覺察保護模組
操作畫面

37. 可以被控管的設備種類

38. 自動搜尋裝置過的設備並加以控管(獨家功能)

39. Content Aware Protection
內容特徵覺察保護模組
操作畫面

40. 內容特徵察覺保護管理介-
設定被控管的應用程式或檔案型態

41. 內容特徵察覺保護管理介面-
設定敏感內容

42. 違反機敏政策時當場阻絕
2013/7/24
42

43. 系統紀錄報表-Client作業紀錄報表

44. 系統紀錄報表-文件追蹤

45. 系統紀錄報表-文件側錄

46. 系統紀錄報表-內容過濾報表

47. 可客製化的統計報表

48. ＭＤＭ
行動裝置管理模組
操作畫面

49. 自攜式設備(BYOD)是最常的情況,需要隨時保護資料安全
玩樂工作

50. MDM安裝畫面

51. MDM 控管畫面-位置追蹤及鎖定抹除

52. MDM設備管理
2013/7/24
52

53. MDM 控管畫面-位置追蹤及鎖定抹除

54. MDM 控管畫面-MAM APP管理Host派送

55. MDM 控管畫面-MAM APP管理Host派送

56. EPP的競爭力比較討論

57. EPP優勢說明(1/2)
功能優勢
完整DLP功能
完整MDM/MAM
功能
功能控管及模組
化彈性
系統優勢
系統負荷輕
符合管理的彈性
設定
上線/離線均可控
管
導入優勢
導入成本低
維護及管理簡單
易於發展其他
應用管理模式

58. 與其他產品比較
功能 EPP
WebSense
DLP
ip-Guard Xfort Symantec
Mobile
Iron
端點設備控管功能
針對連接電腦之設備（非僅是USB界面等）控管設定 yes yes limited limited yes
不俱備
掃描曾經裝置過的連接電腦之設備並加以控管 yes none none none none
連接電腦之設備唯讀（只讀入不寫出)設定 yes yes yes yes yes
端點設備使用軌跡log紀錄列表 yes limited limited yes limited
檔案複製副本監控 yes yes none yes none
針對特定檔案型態追蹤使用狀況並記錄 yes yes yes yes yes
註冊專用隨身碟功能(四層easylock隨身碟註冊跟專用
環境設定)
yes none none none yes
可暫時性授權設備使用(30min~30days etc) yes none none none none
離線時仍受政策控管並log yes none none none none

59. 與其他產品比較
功能 EPP
WebSense
DLP
ip-Guard Xfort Symantec
Mobile
Iron
內容特徵過濾阻絕功能
資料內容特徵掃瞄及即時阻擋 yes yes none none yes
不俱備
文件追蹤功能 yes yes yes yes yes
終端電腦機敏文件掃描盤點 yes none none none none
針對特定檔案型態及應用程式做機敏觸發使用狀況並記
錄(含剪貼功能及傳檔等)
yes yes yes none yes
針對關鍵字作比對紀錄或阻擋 yes yes none none yes
User自訂機敏pattern規則(RE)作為文件操作觸發及阻
擋外洩
yes yes none none none

60. 與其他產品比較
功能 EPP
WebSense
DLP
ip-Guard Xfort Symantec
Mobile
Iron
行動裝置控管功能
支援iOS yes yes
不俱備 不俱備 不俱備
yes
支援Android yes none yes
行動設備強迫密碼 yes none yes
行動設備介面加密 yes none yes
行動設備鎖定 yes none yes
行動設備遠端資料抹除 yes none yes
Mail gateway設定及控管 yes yes yes
WIFI-EAP設定及控管 yes none none
行動設備定位(with GoogleMap) yes none yes
APP管理及遠端push安裝 yes none none
Policy推送時間間隔 1分鐘~ none 15分鐘~
透過APNS及GCM底層技術作訊息傳送 yes none none

61. 與其他產品比較
功能 EPP
WebSense
DLP
ip-Guard Xfort Symantec
Mobile
Iron
系統整體CP
Web化管理中心 yes yes yes yes yes
針對整體公司/部門/電腦/帳號做不同政策控管 yes
limited(無法
針對一部電
腦多個帳號
及一個帳號
多部電腦情
境做policy)
limited(無法
針對一部電
腦多個帳號
及一個帳號
多部電腦情
境做policy)
limited(無法
針對一部電
腦多個帳號
及一個帳號
多部電腦情
境做policy)
limited(無法
針對一部電
腦多個帳號
及一個帳號
多部電腦情
境做policy)
同時內外網及雲端控管模式 yes none none none none yes
系統計價方式 賣斷 每年租賃 賣斷 賣斷 賣斷 賣斷
系統導入及維護成本
WebSens
e的
10~20%
EPP的5~10
倍
EPP的2倍 EPP的3倍 EPP的2倍
EPP的
5~10倍
客製化報表 yes none yes yes yes none
事件違反客製化政策時自動告警指定管理者 yes yes none yes none none
Appliance版本 yes yes yes yes yes yes
VM版本 yes none none none none none

62. THANKS!
2013/7/24
62