参考网康和深信服的上网行为管理手册,总结了一下DLP与上网行为管理的差别:
DLP与上网行为管理在功能和使用目的上有很大不同。主要体现在:
上网行为管理主要是对用户访问目标URL过滤,应用端口限制,上网时段统计,带宽进行检测和限制。主要是对访问进行控制。
而DLP主要是对用户发送的内容进行识别,是否包含敏感信息。主要是对上传进行控制。
虽然上网行为管理软件也有一部分内容检查功能,但是功能非常基本,只有有限的关键字和正则表达式检查方式,且检测条件很简单,没有像“最少匹配”,“自动匹配简体/繁体中文”,“统计重复内容”等选项。文件格式只是识别后缀名,文件指纹只是对文件整体做简单的MD5,将文件内容截取一段发送,将文件变形后就无法识别。更没有结构化指纹,非结构化指纹,智能学习这些高级检查方式。这样会导致无法精确定义敏感内容,无法有效保护敏感信息,会有很多漏报的泄露事件;同时也会增加大量误报事件.
因为没有keyview,所以就无法检测传输文件的真实格式,无法检测文件内容。从而也就导致SMTP,HTTP传输的附件无法检测内容。
上网行为管理作为数据防泄漏的主要欠缺点:
1. 文件指纹,只能做MD5,将文件变形后就无法识别。没有结构化,非结构化指纹。没有智能学习
2. 无法检测图片内容。文件类型只是看后缀名,不看文件头。
3. 只能对网页QQ聊天内容进行审计,无法分析QQ软件的聊天内容。
4. FTP协议:只能基于所传输文件在FTP服务器中的路径、文件名称阻塞文件传输行为。无法分析通过FTP传输文件的内容。
5. HTTPS:只能统计用户访问了哪些HTTPS站点,但是传输的内容无法检查,网康的上网行为管理手册没有写支持HTTPS内容解析。其实网康可以做,但是可能是出于性能上的考虑,没有支持HTTPS内容解析。
6. 不支持显示代理。
7. 没有数据发现功能,无法对静态敏感数据进行保护。
8. 没有零星式动作
9. 没有终端防泄漏产品