Организация работ и приготовление сложных пюреобразных супов

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Введение

На сегодняшний день автоматизированные системы являются основой обеспечения практически любых бизнес-процессов, как в коммерческих, так и в государственных организациях. Вместе с тем повсеместное использование автоматизированных систем для хранения, обработки и передачи информации приводит к обострению проблем, связанных с их защитой. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри автоматизированной системы конфиденциальной информации. Всё это заставляет более пристально рассмотреть возможные способы защиты от утечки конфиденциальной информации.

Как отмечают многие исследовательские центры, более 80% всех инцидентов, связанных с нарушением информационной безопасности вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Модель нарушителя предполагает, что в качестве потенциальных злоумышленников могут выступать сотрудники компании, которые для выполнения своих функциональных обязанностей имеют легальный доступ к конфиденциальной информации. Целью такого рода нарушителей является передача информации за пределы автоматизированной системы с целью её последующего несанкционированного использования - продажи, опубликования её в открытом доступе и так далее. [4]

Конфиденциальная информация может покинуть корпоративный периметр самыми разными путями. Среди наиболее распространенных каналов утечки -- мобильные устройства или накопители, электронная почта и интернет. Таким образом, защита требует комплексного подхода -- учета всех возможных коммуникационных каналов, обеспечение физической безопасности, шифрование резервных копий и информации, покидающей корпоративный периметр, а также целого ряда организационных мероприятий.

На основании вышеизложенных проблем, было решено создать программный модуль обнаружения текстовых областей в графических файлах. Таким образом улучшить комплексную защиту автоматизированной системы, ее информационную безопасность и предотвратить несанкционированное распространение конфиденциальной информации в графических файлах.

1. Специальная часть

1.1 Анализ подходов по защите от утечки конфиденциальной информации

1.1.1 Введение

Можно выделить следующие возможные каналы утечки конфиденциальной информации:

Несанкционированное копирование конфиденциальной информации на внешние носители и вынос её за пределы контролируемой территории предприятия. Примерами таких носителей являются флоппи-диски, компакт-диски CD-ROM, Flash-диски и др.;

Вывод на печать конфиденциальной информации и вынос распечатанных документов за пределы контролируемой территории. Необходимо отметить, что в данном случае могут использоваться как локальные принтеры, которые непосредственно подключены к компьютеру злоумышленника, так и удалённые, взаимодействие с которыми осуществляется по сети;

Несанкционированная передача конфиденциальной информации по сети на внешние серверы, расположенные вне контролируемой территории предприятия. Так, например, злоумышленник может передать конфиденциальную информацию на внешние почтовые или файловые серверы сети Интернет, а затем загрузить её оттуда, находясь в дома или в любом другом месте. Для передачи информации нарушитель может использовать протоколы SMTP, HTTP, FTP или любой другой протокол в зависимости от настроек фильтрации исходящих пакетов данных, применяемых в автоматизированной системе. При этом нарушитель может передать информацию под видом стандартных графических файлов;

Хищение носителей, содержащих конфиденциальную информацию - жёстких дисков, магнитных лент, компакт-дисков CD-ROM и др.

Сегодня на рынке существует довольно много решений, позволяющих детектировать и предотвращать утечку конфиденциальной информации по тем или иным каналам. Некоторые разработчики предоставляют продукты, например, только лишь для контроля над почтовым трафиком или коммуникационными портами рабочей станции. Такой подход обладает всего одним преимуществом: заказчик покупает автономный продукт, который требует минимум усилий при внедрении и сопровождении. Тем не менее, слабых сторон намного больше: компания должна сама заботиться об оставшихся непокрытыми каналах передачи информации. Другими словами, при выборе конкретного решения заказчик должен обратить самое пристальное внимание на диапазон покрываемых каналов утечки и наличие важных сопроводительных услуг.

Важным параметром, который необходимо учитывать, является наличие или отсутствие аппаратных модулей в комплексном решении или просто автономном продукте. Самые продвинутые поставщики сегодня предлагают на выбор, как программные компоненты, так и аппаратные для контроля над теми коммуникационными каналами, над которыми это возможно, однако комплексных решений, покрывающих все существующие каналы, значительно меньше. Несмотря на несколько разнородный индекс популярности различных каналов утечки, только комплексная защита, покрывающая все виды коммуникации, способна эффективно обезопасить информационные активы. Ведь ничто не помешает переключиться на сетевые каналы передачи данных, если компания возьмет под контроль порты и приводы рабочей станции. Именно принцип комплексности взят за основу при рассмотрении решений для борьбы с утечками. [5]

1.1.2 Анализ и обзор существующих методов и решений обнаружения утечки конфиденциальной информации

1.1.2.1 Основные виды аппаратных продуктов, защищающие от хищения информации

1.1.2.1.1 Комплексное решение InfoWatch

Российская компания InfoWatch поставляет комплексное решение InfoWatch Enterprise Solution, предназначенное для выявления и предотвращения утечек конфиденциальной информации, а также обеспечения совместимости с требованиями российских и иностранных нормативных актов. Архитектура комплексного решения InfoWatch (рис 1.1) носит распределенный характер и ее компоненты доступны также в качестве автономных продуктов.

Рис 1.1 Схема взаимодействия компонентов InfoWatch Enterprise Solution

В состав InfoWatch Enterprise Solution входят два основных модуля -- Traffic Monitor и Net Monitor. Первый предотвращает утечку через каналы электронной почты и интернета, а второй -- через принтеры и порты рабочих станций. Все эти компоненты являются программными. Между тем компания InfoWatch совместно с «Гелиос Компьютер» предлагают аппаратную реализацию Traffic Monitor -- устройство InfoWatch Security Appliance. В результате у заказчика появляется выбор: он может использовать, как программный компонент InfoWatch Traffic Monitor, так и аппаратный модуль InfoWatch Security Appliance (рис 1.2).

Рис 1.2 InfoWatch Security Appliance

Продукт InfoWatch Security Appliance в масштабе реального времени фильтрует трафик, передаваемый по протоколам SMTP и HTTP, предотвращает утечку конфиденциальных документов через корпоративный почтовый шлюз, web-почту, форумы, чаты и другие сервисы в интернете. В случае обнаружения фактов несоблюдения корпоративной политики конфиденциальности система оперативно сообщает об инциденте офицеру информационной безопасности, блокирует действия нарушителя и помещает подозрительные объекты в область карантина.

Устройство InfoWatch Security Appliance отличается простотой интеграции в существующую ИТ-инфраструктуру: система устанавливается в качестве дополнительного relay-сервера корпоративной сети, принимает перенаправленные потоки SMTP и HTTP, а после фильтрации возвращает данные отправителю.

Технологии обнаружения конфиденциальных данных, реализованные в InfoWatch Security Appliance, основаны на сканировании пересылаемых данных на предмет наличия предопределенных ключевых слов и фраз. При этом фильтр умеет обрабатывать такие форматы данных, как Plain Text, HTML, Word, Excel, PowerPoint, PDF, RTF, различные архивы (ZIP, RAR ARJ). Дальнейший лингвистический анализ позволяет учесть контекст, в котором используются ключевые слова и фразы, и тем самым существенно повысить точность анализа. Также проверяются атрибуты сообщения на предмет соответствия политике безопасности, например, размер письма, адрес DNS-сервера отправителя, соответствие черным и белым спискам, наличие шифрования или неопознанных форматов вложенных файлов. Используется распознавание шаблонов, что позволяет детектировать неразрешенную пересылку структурированных данных. Наконец, процесс фильтрации включает сравнение каждого исходящего сообщения вместе с его атрибутами и образцов, представленных в базе данных, содержащей постоянно обновляемые «прототипы» конфиденциальных сообщений, специфичных для каждого конкретного заказчика. Таким образом, InfoWatch Security Appliance позволяет выявлять чувствительные сведения почти при полном отсутствии ложных срабатываний. Кроме этого, заказчику предлагается воспользоваться услугами создания специализированной базы контентной фильтрации, учитывающей специфику деловой терминологии заказчика. [6]

1.1.2.1.2 Аппаратное решение Tizor

Продукт контролирует доступ к серверам, на которых расположены критически важные данные. Это могут быть серверы приложений, файловые серверы или серверы баз данных (рис 1.3).

Рис 1.3 Tizor TZX 1000 в корпоративной среде

В основе выявления утечек лежит запатентованная технология Behavioral Fingerprinting. Разработчик утверждает, что с помощью этой технологии продукт в состоянии предотвратить хищение конфиденциальной информации, не осуществляя контентной фильтрации. Суть подхода состоит в построении шаблонов, описывающих активность пользователей. Каждый такой шаблон является, своего рода, цифровым отпечатком пальцев соответствующего пользователя, однако, определение аномалий в рамках совершаемых людьми действий в любом случае носит вероятностный и статистический характер. Другими словами, в основе продукта компании Tizor лежит эвристический анализатор. Каждый раз, когда пользователь обращается к одному из защищенных серверов, TZX 1000 анализирует запрос и принимает решение на основе заданных политик. [6]

1.1.2.1.3 Защита электронной почты от Proofpoint

Продукт компании Proofpoint -- Proofpoint Messaging Security -- позволяет обеспечить полный контроль над электронной почтой (рис 1.4). С помощью этого устройства можно проверить сообщения на вирусы и спам, предотвратить нецелевое использование почтовых ресурсов и утечку конфиденциальной информации через них.

Рис 1.4 Proofpoint Messaging Security

Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Так вся передаваемая информация заранее распределена по нескольким тематическим категориям. Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных -- электронной почты. Такой подход, конечно же, не позволяет обеспечить комплексной защиты, однако может быть использован в тех случаях, когда основной функциональностью является фильтрация спама и выявление вирусов, а предотвращение утечек -- всего лишь приятное дополнение. [6]

1.1.2.1.4 Решение для выявления и предотвращения утечек Tablus

Североамериканская компания Tablus поставляет комплексное решение для выявления и предотвращения утечек Tablus Content Alarm Solution (рис. 1.5), в состав которого входят аппаратные модули Content Alarm NW, контролирующие сетевые каналы, и Content Alarm DT, осуществляющие мониторинг за рабочими станциями.

Рис 1.5 Tablus Content Alarm Solution

Многомодульный продукт Content Alarm NW предназначен для выявления утечек по сетевым каналам. В его состав входят средства управления политикой и классификации данных, сенсоры пассивного мониторинга, почтовый фильтр для предотвращения утечек по каналам электронной почты, фильтры пересылаемых данных и графический клиент для централизованного управления.

В основе процесса выявления утечки лежит контентная фильтрация, в ходе которой производится лингвистический анализ, поиск чувствительных данных по сигнатурам, анализ ключевых слов и фраз, поиск по шаблонам, анализ атрибутов пересылаемых данных. В целом, в решении Tablus реализован стандартный многоступенчатый механизм контентной фильтрации, применяемый сегодня в большинстве фильтров нежелательной корреспонденции.

В состав комплексного решения входит также аппаратный модуль Content Alarm DT, контролирующий операции на рабочих станциях с помощью программных агентов, которые внедряются в операционную систему, следят за действиями пользователя и проверяют их на соответствие политики. Аппаратная же часть продукта необходима для того, чтобы осуществлять через нее централизованное управление. Агенты, размещенные на рабочих станциях, позволяют контролировать следующие операции пользователей: запись данных на CD, копирование файлов на USB-устройства, вывод информации на принтер, работу с буфером обмена, создание снимка с экрана, отправку сообщений электронной почты за пределы корпоративной сети, присоединение файлов к средствам обмена мгновенными сообщениями. Таким образом, к сильным сторонам решения Tablus можно отнести некоторую комплексность, выражающуюся в защите, как сетевых каналов, так и рабочих станций. Однако есть и целый ряд слабых сторон: не полный контроль над рабочей станцией (совершенно не покрыты беспроводные возможности -- IrDA, Bluetooth, Wi-Fi, также выпали из поля зрения все остальные порты помимо USB) и негибкое использование аппаратных компонентов даже для контроля над рабочими станциями. Между тем, для эффективного мониторинга операций пользователя на уровне персонального компьютера вполне хватает программных агентов. [6]

1.1.2.1.5 Многофункциональное решение Hackstrike

Израильская компания Hackstrike поставляет многофункциональный аппаратный продукт Fortress-1 (рис 1.6), ориентированный на средний и малый бизнес. Типовой состав решения включает несколько объединенных модулей: маршрутизатор, брандмауэр, антивирус, фильтр спама, контентный фильтр, URL-фильтр, VPN, систему обнаружения и предотвращения вторжений, средство формирования трафика для поддержки требуемого уровня качества обслуживания и модуль для защиты документов.



Рис 1.6 Fortress-1

На последнем модуле следует остановиться подробнее, так как он имеет прямое отношение к предотвращению утечек. В основе данной функциональности лежит система SDAS (Secure Digital Asset System), разработанная компанией Hackstrike. Продукт может отыскать конфиденциальные документы в потоке пересылаемых данных с помощью этой технологии. Метод поиска включает в себя анализ цифровых водяных знаков и сигнатурное сравнение. Расстановка же цифровых водяных знаков и взятие сигнатур происходит с помощью специального дополнительного модуля, который подключается к Microsoft Office и позволяет нажатием всего одной кнопки на панели инструментов пометить документ, как конфиденциальный. Дополнительно технология SDAS позволяет осуществлять поиск по заданным ключевым словам, например, можно запретить пересылку всех документов, содержащих конкретную фразу.

Есть у технологии и свои недостатки: так любой пользователь может легко обойти цифровые водяные знаки и сигнатуры, просто скопировав данные через буфер обмена в новый документ и преобразовав его в совершенно другой формат (например, Adobe PDF). Тем не менее, именно аппаратный продукт Hackstrike может подойти малому бизнесу, который помимо простейшей функциональности по предотвращению утечек получит в свое распоряжение маршрутизатор, брандмауэр, антивирус и многое другое. [6]

1.1.2.1.6 Комплексное решение Oakley Networks

Североамериканская компания Oakley Networks поставляет аппаратный продукт SureView (рис 1.7), позволяющий обеспечить комплексное выявление и предотвращение утечек. Продукт позволяет фильтровать веб-трафик, электронную почту и мгновенные сообщения, контролировать активность пользователей на уровне рабочих станций.

Рис 1.7 SureView

Комплексное решение SureView состоит из трех компонентов: агенты (размещаются на рабочих станциях), аппаратное ядро (выполняет основные функции фильтрации) и выделенный сервер (используется в целях централизованного управления политиками).

Для выявления утечек продукт Oakley Networks использует несколько технологий и алгоритмов, основанных на вероятностных и статистических методах. Другими словами, продукт анализирует поведение пользователя с учетом чувствительности обрабатываемых документов, однако не производит контентной фильтрации как таковой.

Слабым местом решения является не полное покрытие коммуникационных ресурсов рабочей станции. По крайне мере, инсайдеры имеют возможность переписать данные на мобильные устройства посредством беспроводных интерфейсов (IrDA, Wi-Fi, Bluetooth). [6]

Таблица 1.1 Функционал аппаратных решений для предотвращения утечек

	InfoWatch Security Appliance	Tablus Content Alarm Solution	Oakley Networks SureView	Proofpoint Messaging Security	Hackstrike Fortress-1	Tizor TZX 1000
Контроль над почтовым трафиком	Да	Да	Да	Да	Да	Нет
Контроль над веб-трафиком	Да	Да	Да	Нет	Да	Нет
Контроль над доступом к серверам (БД, файловым, приложений)	Нет	Нет	Нет	Нет	Нет	Да
Наличие программных компонент, позволяющих обеспечить комплексность	Да	Да	Да	Нет	Нет	Нет
Наличие широкого спектра дополнительных услуг (помимо тех. поддержки)	Да	Да	Да	Нет	Нет	Нет
Минимальная стоимость	10-15 тыс. долларов	25 тыс. долларов	100.000 долларов	10 тыс. долларов (лицензия на 1 тыс. пользователей стоит 18 тыс.)	неизвестно	25 тыс. долларов

1.1.2.2 Основные виды программных продуктов, защищающие от хищения информации

1.1.2.2.1 Authentica ARM Platform

Североамериканская компания Authentica поставляет комплексное решение для всестороннего контроля над оборотом классифицированных сведений в корпоративной сети. Однако в отличие от большинства своих конкурентов фирма остановилась не на технологиях выявления и предотвращения утечек, а на управлении цифровыми правами в рамках предприятия (ERM -- Enterprise Rights Management). Именно на примере основного продукта компании -- Authentica Active Rights Management (ARM) Platform (рис 1.8) -- будут рассмотрены достоинства и недостатки такого подхода. Полученные в результате анализа результаты также применимы для всех остальных решений, призванных решить проблему утечек посредством ERM-технологий. В частности для продуктов компаний Adobe, Workshare, Liquid Machines, SealedMedia, DigitalContainers и Microsoft. Также необходимо отметить, что решение Authentica ARM Platform имеет очень много общего с Microsoft Rights Management Services (RMS).

В основе решения Authentica лежит запатентованная технология ARM. С помощью ARM решение контролирует электронные документы, почтовые сообщения и вообще любые файлы. Дополнительные модули интегрируются с настольными приложениями (Microsoft Office и Outlook, Lotus Notes, Adobe Acrobat, Microsoft Explorer и Netscape) и внешними средствами аутентификации (LDAP, Windows Single Sign-on, X.509, RSA SecurID).

Рис 1.8 Схема работы Authentica ARM Platform

Функциональность «Active Rights Protection» подразумевает аутентификацию пользователей и их авторизацию для просмотра информации, контроль над печатью документов, а также стандартными операциями (копирование, редактирование, чтение), возможность работы с документами в режиме offline. В дополнение к этому вся чувствительная информация постоянно находится в зашифрованном виде и расшифровывается только на момент работы с ней. Шифрованию также подлежит обмен информацией между сервером политик ARM и клиентскими компонентами. Таким образом, конфиденциальные данные всегда защищены от несанкционированного доступа -- даже при передаче по коммуникационным каналам. В то же время сама архитектура продукта приспособлена именно для защиты от несанкционированного доступа, а не от утечки. Другими словами, инсайдер, у которого есть права на доступ к конфиденциальному документу, может обмануть защиту. Для этого достаточно создать новый документ и переместить в него конфиденциальную информацию. Например, если инсайдером является сотрудник, в задачи которого входит подготовка отчета о прибыли, то он будет создавать этот высокочувствительный документ «с нуля», а, следовательно, файл не будет зашифрован, так как для него еще не создана специальная политика. Таким образом, утечка становится вполне реальной. Если еще учесть, что весь почтовый трафик шифруется, то у инсайдера фактически есть готовый защищенный канал для пересылки конфиденциальных данных. При этом никакой фильтр не сможет проверить зашифрованный текст.

Тем не менее, решение Authentica ARM Platform представляется эффективным продуктом для защиты от несанкционированного доступа, так как ни один нелегальный пользователь действительно не сможет получить доступ к данным, пока не отыщет ключ шифрования.

Дополнительным недостатком продукта является отсутствие возможности хранить архивы корпоративной корреспонденции, что значительно усложняет процесс расследования инцидентов безопасности и не позволяет вычислить инсайдера без лишнего шума.

В заключение необходимо отметить широкий комплекс сопроводительных услуг, которые Authentica оказывает заказчику: аудит и анализ ИТ-инфраструктуры с учетом бизнес-профиля компании, техническая поддержка и сопровождение, внедрение и развертывание решений, корпоративные тренинги для персонала, разработка политики безопасности. [7]

1.1.2.2.2 InfoWatch Enterprise Solution

Комплексное решение InfoWatch Enterprise Solution позволяет обеспечить контроль над почтовым каналом и веб-трафиком, а также коммуникационными ресурсами рабочих станций. Продукт позволяет архивировать корпоративную корреспонденцию и абсолютно все пересылаемые по сети данные.

Архитектуру комплексного решения InfoWatch (рис 1.9) можно разделить на две части: мониторы, контролирующие сетевой трафик, и мониторы, контролирующие операции пользователя на уровне рабочих станций. Первые устанавливаются в корпоративной сети в качестве шлюзов и фильтруют электронные сообщения и веб-трафик, а вторые развертываются на рабочих станциях и ноутбуках и отслеживают операции на уровне операционной системы. Кроме того, следует выделить специальный модуль *Storage, который представляет собой хранилище всех входящих и исходящих сообщений, а также всего сетевого трафика.

Рис 1.9 Схема работы InfoWatch Enterprise Solution.

К мониторам уровня рабочей станции относится InfoWatch Net Monitor, в состав которого также входит InfoWatch Device Monitor. Модуль Net Monitor отслеживает операции с файлами (чтение, изменение, копирование, печать и др.), контролирует работу пользователя в Microsoft Office и Adobe Acrobat (открытие, редактирование, сохранение под другим именем, операции с буфером обмена, печать и т.д.), а также тщательно протоколирует все действия с конфиденциальными документами. Кроме того, модуль Device Monitor, интегрированный в Net Monitor, контролирует обращение к сменным накопителям, приводам, портам (COM, LPT, USB, FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA). Все эти компоненты могут работать на ноутбуках, при этом администратор безопасности в состоянии задать специальные политики, действующие на период автономной работы сотрудника. Во время следующего подключения к корпоративной сети мониторы сразу же уведомят офицера безопасности, если пользователь попытался нарушить установленные правила во время удаленной работы.

Все мониторы, входящие в состав InfoWatch Enterprise Solution, способны блокировать утечку в режиме реального времени и сразу же оповещать об инциденте офицера безопасности. Управление решением осуществляется через центральную консоль, которая позволяет настраивать корпоративные политики. Также предусмотрено автоматизированное рабочее место офицера безопасности, с помощью которого специальный служащий может быстро и адекватно реагировать на инциденты.

Важной особенностью комплексного решения InfoWatch является возможность архивировать и хранить корпоративную корреспонденцию и сетевой трафик. Для этого предусмотрен отдельный программный модуль InfoWatch Storage, который перехватывает все сообщения и весь трафик, а потом складывает их в хранилище с возможностью проводить ретроспективный анализ. Другими словами, компании могут эффективно расследовать инциденты информационной безопасности. Для этого не надо арестовывать рабочие станции служащих и вручную перебирать письма в почтовом клиенте. Такие действия подрывают рабочий климат в коллективе, унижают самого сотрудника и часто не позволяют добыть никаких доказательств его вины. Напротив, автоматизированная выборка сообщений из корпоративного архива приносит намного больше пользы, так как позволяет отследить динамику изменения активности пользователя.

Делая ставку на всесторонность своего решения, компания InfoWatch предлагает клиентам целый ряд сопроводительных и консалтинговых услуг. Среди них можно выделить: предпроектное обследование, помощь в формализации целей и средств информационной безопасности, создание эффективной политики безопасности, адаптация решения под нужды клиента, сопровождение и техническая поддержка, включающая персонального менеджера каждому заказчику. [7]

1.1.2.2.3 Onigma Platform

Израильская компания Onigma (поглощена McAfee в 2006 году) специализируется на выявлении и предотвращении утечек конфиденциальной информации посредством мониторинга действий пользователей на уровне рабочих станций и фильтрации сетевого трафика. Любопытно отметить, что руководящие должности в отделе исследований и разработок фирмы занимают в основном бывшие сотрудники Министерства Обороны Израиля.

Компания предоставляет очень мало информации об архитектуре своего решения Onigma Platform и реализованных в нем технологиях. Тем не менее, имеющейся информации о реализованном функционале вполне достаточно, чтобы утверждать, что Onigma Platform -- это программный продукт, покрывающий следующие каналы утечки данных: электронная почта, интернет-пейджеры, веб-трафик, физические устройства (USB-порты и принтеры). Данная функциональность реализована с помощь специальных агентов, которые устанавливаются на рабочих станциях и ноутбуках заказчика. Они следят за выполнением правил и соблюдением политики информационной безопасности, поддерживают централизованное управление через специальную консоль.

Одним из основных своих преимуществ компания Onigma считает тот факт, что ее решение быстро и легко развертывается и интегрируется в имеющуюся ИТ-инфраструктуру. Таким образом, по мнению поставщика, заказчик может существенно сэкономить на переобучении персонала, внедренческих и сопроводительных услугах. Недостатком Onigma Platform является невозможность создавать архивы корпоративной корреспонденции, что значительно осложняет расследование инцидентов, утечек, финансового мошенничества и подозрительной активности инсайдеров. Вдобавок, хранение деловой документации, к которой относятся электронные сообщения, является обязательным требованием целого ряда законов и нормативных актов, регулирующих бизнес во многих странах.

Дополнительной слабостью продукта является неглубокий контроль над операциями пользователей на рабочих станциях (в том числе мобильных). Решение Onigma Platform не позволяет осуществлять мониторинг действий служащих в офисных средах, на уровне файлов, а также работу с буфером обмена. [7]

1.1.2.2.4 PC Acme

Продукт PC Activity Monitor (Acme) производится и продается компанией Raytown Corp. Он позволяет осуществлять всесторонний и максимально глубокий мониторинг операций пользователя на уровне рабочей станции. Следует сразу же отметить, что из всех представленных в обзоре программных решений только продукт PC Acme не удовлетворяет принципу комплексности и не покрывает одновременно сетевые каналы и ресурсы рабочих станций. Тем не менее, эта программа заслуживает рассмотрения, так как у заказчиков часто возникает проблема сравнения ее функциональности с возможностями других рассмотренных продуктов. Заметим, что трудности заказчиков связаны с не совсем точным позиционированием PC Acme, в результате которого может показаться, что продукт обладает активными (а не пассивными) функциями и некоторым аналогом комплексности. Чтобы прояснить ситуацию, необходимо рассмотреть возможности PC Acme Professional -- максимально функциональной редакции продукта.

Программа PC Acme фактически состоит из двух частей: средства централизованного управления и развертывания и многочисленные агенты, внедряемые в рабочие станции по всей организации. Как легко догадаться, с помощью первой компоненты продукты можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими.

Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системе, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш, движение мышки, передачу фокуса ввода, буфер обмена. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видеонаблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет, как раз, и собирать запротоколированные данные на один единственный компьютер и анализировать их там. Вот тут-то и проявляются два основных недостатка программы.

Во-первых, абсолютно непонятно, как в огромном множестве событий офицер безопасности сможет выделить те, которые являются нарушением политики, привели к утечке и т.п. Другими словами, продукт PC Acme не работает с политиками вообще. Его задача сводится лишь к тому, чтобы составить максимально подробный протокол и скрытно передать его на центральный компьютер. Заметим, что в течение дня одна рабочая станция может сгенерировать десятки тысяч протоколируемых событий, а в корпоративной сети таких станций может быть несколько тысяч и даже больше. Очевидно, что проанализировать все это собственными руками невозможно. Между тем, встроенные фильтры событий позволяют осуществлять лишь самые примитивные операции, например, отделить события, связанные с конкретным приложением (скажем, Microsoft Word).

Во-вторых, даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Ведь агент PC Acme зафиксировал совершенное в прошлом действие, и конфиденциальная информация уже давно дошла до получателя. Конечно, можно предъявить претензии самому инсайдеру, но блокировать утечку таким способом невозможно.

Таким образом, программа PC Acme не только не обладает комплексностью, но и не препятствует утечке в принципе. Более того, журналы событий, которые ведутся каждым представленным в обзоре продуктом, всегда достаточно подробны, чтобы вычислить инсайдера постфактум и служить доказательством при обвинении инсайдера. При этом в этих журналов, в отличие от протокола PC Acme, зафиксированы действия лишь с конфиденциальными данными, а не все системные события подряд.

Можно было бы предположить, что продукт PC Acme подойдет для маленьких компаний, где за действиями, например, десяти пользователей вполне реально проследить, периодически проверяя журнал событий. Однако выделение функций ИТ-безопасности в отдельную должность офицера для малого бизнеса -- это нонсенс. [7]

1.1.2.2.5 Verdasys Digital Guardian

Американская компания Verdasys поставляет комплексное решение Digital Guardian, предназначенное для выявления и предотвращения утечек прямо на уровне рабочих станций. При этом продукт невозможно упрекнуть в отсутствии комплексности, так как Digital Guardian покрывает все каналы утечки, просто это делает это в тех местах, где информация используется.

Реализацией такого подхода являются программные агенты, устанавливаемые на персональные компьютеры и ноутбуки в организации. Агенты поддерживают работу в операционной системе Windows, а также в среде Citrix Metaframe и Microsoft Terminal Server. Агенты отвечают за ведение подробных журналов; контроль над приложениями, коммуникациями и данными; выявление нарушений политики; фильтрацию событий, записанных в журнал, перед отправкой на сервер Digital Guardian.

Точно так же, как в случае PC Acme, агент Digital Guardian является невидимым для пользователя, может быть внедрен удаленно и централизованно. Однако, в отличие от PC Acme, в составе Digital Guardian появляется сервер (рис 1.10), на который агенты отсылают протоколы событий. Третьим компонентов продукта является консоль управления, к которой можно получить доступ по сети. Консоль позволяет составлять отчеты, собирать и анализировать информацию, контролировать инсталляцию агентов, управлять политиками и т.д.

Рис 1.10 Архитектура Digital Guardian

Продукты Verdasys отличаются широким спектром сопроводительных услуг. Так, поставщик оказывает консалтинговые услуги еще до внедрения проекта, разрабатывает и внедряет предварительные проекты (например, создается экспериментальная группа рабочих станций, осуществляется мониторинг действий пользователей этих станций и анализируются результаты), глубокое участие поставщика во внедрении продукта и тренинги персонала.

Тем не менее, Digital Guardian обладает двумя недостатками. Во-первых, он не позволяет архивировать электронную корреспонденцию, что затрудняет расследование инцидентов ИТ-безопасности, усложняет процесс поиска инсайдера и не позволяет обеспечить соответствие с различными законам и нормативными актами. Во-вторых, Digital Guardian не производит контентную фильтрацию, отправляемого по сети трафика. Это вытекает из того, что фильтрация, вынесенная на уровне рабочей станции, требует огромного количества аппаратных ресурсов. К такому выводу пришли эксперты IDC. К тому же, это вполне логично: фильтрацию, с использованием лингвистического анализа, другие поставщики осуществляют на выделенных серверах. Следовательно, агенты Digital Guardian в состоянии отличить чувствительные документы от не конфиденциальных только с помощью заранее заданного списка защищаемых объектов (или помеченных цифровыми водяными знаками, что не суть важно). Отсюда, если пользователь создаст новый документ и наполнит его чувствительными сведениями, например, в рамках подготовки отчета (ведь работу с буфером обмена контролируется агентами), то этот документ будет оставаться уязвимым до тех пор, пока не будет внесен в список защищаемых объектов. Именно чтобы исключить такую брешь, разработчики решений в сфере выявления и предотвращения утечек применяют контентную фильтрацию.

Как уже отмечалось, при выборе решения необходимо учитывать параметр комплексности -- покрывает ли продукт все возможные каналы утечки. В противном случае данные утекут через оставленную открытой «дверь». Следующим немаловажным моментом является возможность создавать и хранить архивы корпоративной корреспонденции. Такая функциональность позволяет провести служебное расследование, не беспокоя сотрудников и не привлекая внимания. Вдобавок к тому, что хранить электронные сообщения в течение нескольких лет требуют многие нормативные акты и законы, создание централизованного почтового архива позволяет избавиться от порочной практики ареста рабочих станций служащих. Наконец, последним важным параметром является возможность выбора между программной и аппаратной реализацией модулей, отвечающих за фильтрацию сетевого трафика. [7]

Таблица 1.2 Функционал программных решений по защите от утечек информации

	Authentica ARM Platform	InfoWatch Enterprise Solution	Onigma Platform	PC Acme	Verdasys Digital Guardian
Контроль над почтовым трафиком	Да	Да	Да	Нет	Да
Контроль над веб-трафиком	Да	Да	Да	Нет	Да
Контроль над рабочими станциями	Да	Да	Да	Да	Да
Комплексность (на основании предыдущих трех параметров)	Да	Да	Да	Нет	Да
Создание архива корпоративной корреспонденции	Нет	Да	Нет	Нет	Нет
Выбор между программной и аппаратной реализацией некоторых модулей	Нет	Да	Нет	Нет	Нет
Наличие широкого спектра сопроводительных и консалтинговых услуг	Да	Да	Нет	Нет	Да
Особенности решения	Встроенный модуль шифрования	Каждый заказчик получает персонального менеджера технической поддержки	Нет особенностей	Крайне низкая цена	Нет особенностей

1.1.3 Вывод

Ни один разработчик не предлагает сегодня аппаратных модулей для предотвращения утечек через ресурсы рабочих станций (порты, принтеры, приводы и т.д.), так как эффективность этой технологии сомнительна. Однако обеспечить контроль над почтовым или web-трафиком с помощью отдельного устройства, а не выделенного сервера вполне логично.

В отличие от программных модулей, автономные устройства могут быть легко развернуты и не требуют серьезного сопровождения. Также в большинстве случаев аппаратное решение обладает более высокой производительностью. Однако программные компоненты, работающие на выделенных серверах, в некоторых случаях обладают большей гибкостью и возможностями более тонкой настройки. Кроме того, программные модули чаще всего обходятся значительно дешевле аппаратных. Поэтому к выбору того или иного решения необходимо подходить более чем основательно. Следующим немаловажным моментом является возможность создавать и хранить архивы корпоративной корреспонденции. Такая функциональность позволяет провести служебное расследование, не беспокоя сотрудников и не привлекая внимания. Вдобавок к тому, что хранить электронные сообщения в течение нескольких лет требуют многие нормативные акты и законы, создание централизованного почтового архива избавляет от порочной практики ареста рабочих станций служащих. Наконец, последним важным параметром является возможность выбора между программной и аппаратной реализацией модулей, отвечающих за фильтрацию сетевого трафика.

При выборе решения необходимо учитывать параметр комплексности - покрывает ли продукт все возможные каналы утечки. В противном случае данные утекут через оставленную открытой дверь. [8]

1.2 Постановка задачи

Разработать программный модуль обнаружения текстовых областей в графических файлах для решения задач предотвращения утечки конфиденциальной информации.

Цель:

обеспечение информационной безопасности автоматизированной системы;

предотвращение распространения конфиденциальной информации в графических файлах.

Задача:

разработать подсистему обнаружения текстовых областей в графическом файле.

Требования:

подсистема должна выводить отчет об исследованных графических файлах;

результаты исследования должны зависеть от заданных критериев.

1.2.1 Обоснование средств решения поставленной задачи

Изучив готовые решения по защите автоматизированных систем, которые существуют на данный момент и, учитывая все требования, программный модуль должен находить текстовые области в графических файлах, которые могут содержать в себе конфиденциальную информацию и сообщать о них для дальнейшего их исследования другими модулями системы защиты.

Главной особенностью данного модуля будет являться быстрое обнаружение нужных текстовых областей. Это позволит передавать на дальнейшее исследование другим модулям системы защиты для распознавания образов на предмет наличия конфиденциальной информации только те файлы, в которых содержатся текстовые области, удовлетворяющие определенным условиям. Это поможет ускорить обработку графической информации и работу системы защиты в целом, и добавит свойство комплексности системам защиты.

В основу методики взяты существующие алгоритмы обнаружения текстовых областей. Для ее реализации был выбран язык программирования Python 2.6.

1.3 Разработка алгоритма обнаружения текстовых областей в графических файлах

1.3.1 Анализ алгоритмов обнаружения текстовых областей

1.3.1.1 Алгоритм «Быстрое и эффективное текстовое обнаружение»

Алгоритм «Быстрое и эффективное текстовое обнаружение» разработан в Университете Дипломированного специалиста китайской Академии Наук, Пекин, Китай.

Рис 1.11 Блок-схема алгоритма «Быстрое и эффективное текстовое обнаружение»

Для оригинального изображения сначала используется «штриховой фильтр», который вычисляет горизонтальную, вертикальную и диагональные штриховые карты. Затем дважды используется SVM алгоритм, так называемый «Метод опорных векторов» чтобы классифицировать текстовые блоки, нетекстовые блоки и сам текст. [15]

1.3.1.1.1 Генерация Штриховых Карт

Рис. 1.12 Иллюстрация штрихового фильтра

Изначально цветное изображение преобразуется в полутоновое «grayscale», после чего генерируется горизонтальная, вертикальная и диагональные штриховые карты (рисунок 1.12).

Значение штрих фильтра в центральной точке зависит от значений пикселя в трех прямоугольных областях, где - три параметра, которые соответствуют ориентации, длине и ширине штриха соответственно. [15]

утечка конфиденциальная информация

Где - интенсивности пикселей по всем трем регионам;

- это стандартное отклонение интенсивности пикселей.

В этом методе формула имеет вид:



1.3.1.1.2 Обнаружение блоков текста

С помощью подвижного окна размеров W*H, которое проходит по изображению SVM классификатор идентифицирует, существует ли потенциальный текстовый блок в данной позиции, покрытый подвижным окном B. Для каждого подвижного окна вычисляется «штриховая карта». Текстовые блоки обычно имеют существенные вычисленные значение по всем четырем направлениям. В данном случае используются статистические особенности в штриховых картах, чтобы фиксировать эти свойства. Конкретно, особенности включают: малое, дисперсию и взвешенную энергию.

Чтобы характеризовать пространственное распределение штрихов, мы определяем соответствующие особенности: вертикальную и горизонтальную конфигурации накопления. Для каждого подвижного окна в вертикальной штриховой карте они одинаково разделены на восемь областей прямоугольников. В каждом прямоугольнике вертикальная «VAP» вычисляется следующим образом:



Идентично и для каждого подвижного окна в горизонтальной штриховой карте:

Таким образом, каждый блок, покрытый подвижным окном, представлен 24-мерным характеристическим вектором.

По сравнению с другими классификаторами, такими как нейронная сеть, решающее дерево и другие, SVM классификатор нуждается в меньшем количестве учебных выборок и имеет лучшую способность обобщения. Таким образом, был выбран SVM классификатор, чтобы получить блоки текста кандидата.

В данном примере SVM классификатор обучался на наборе данных, состоящем из 240 текстовых блоков и 480 нетекстовых блоков. Если вывод классификатора SVM будет положительным, то пиксели в подвижном окне будут полностью помечены как текст. Двигающийся шаг подвижного окна горизонтально W / 2, вертикально H / 2. В результате создается двойное изображение маски, белые области которого представляют области текста кандидата, а черная область представляет фон. [15]



Рис. 1.13 Грубое текстовое обнаружение

1.3.1.1.3 Извлечение строк текста кандидата

Как видно из рисунка 1.13, области кандидата могут покрывать несколько нетекстовых областей. Таким образом, используются следующие шаги для разделения и установления текстовых областей:

Рис 1.14 Разделение областей

Разделение области в маленькие прямоугольники (рисунок 1.14(b));

Если промежуток в горизонтальной строке меньше 1/6 длинны всей строки, то нужно объединить его (рисунок 1.14(c));

Для двух вертикально смежных прямоугольников, если ширина более короткого прямоугольника превышает 4/5 ширины более длинного, то необходимо объединить их в больший прямоугольник, высота которого - сумма их высот, а ширина - максимум ширины одного из прямоугольников (рисунок 1.14(d,e));

Если высота прямоугольника - меньше чем 1/3 высоты его вертикально смежного прямоугольника, то необходимо объединить их также как на предыдущем шаге.

Когда все прямоугольники получены, используется горизонтальный и вертикальный метод проектирования, чтобы эффективно ограничить текстовые строки. Значения интенсивности, используемые в оценке проектирования, являются суммой «откликов» в четырех штриховых картах. Для сгенерированного граничного соответствия прямоугольников текстовым строкам удалены некоторые очевидные нетекстовые прямоугольники, если их высоты не принадлежат диапазону , или их коэффициент пропорциональности превышает определенный порог . Рисунок 1.13(d) показывает конечные строки предполагаемого текста после операции проектирования. [15]

1.3.1.1.4 Проверка наличия текста

Для каждого предполагаемого участка текста идет проверка новым классификатором SVM, чтобы, наконец, проверить является ли это истинной текстовой строкой.

{1.4, 1.0, 0.6, 0.2}

SVM классификатор обучался на наборе данных из 200 текстовых строк и 160 нетекстовых строк. [15]

Рис. 1.15 Проверка наличия текста

На рисунке 1.15(b, c) видно результат использования SVM классификатора.

1.3.1.1.5 Экспериментальные результаты

На рисунке 1.16 показаны некоторые результаты испытания данного алгоритма.

Для количественных сравнений были взяты два показателя:

Скорость - среднее число обработанных изображений в секунду составила 12,9;

Точность - отношение правильно обнаруженных текстовых областей и имеющихся составила 91,1%.

Высокая точность заключается в том, что использование двух простых классификаторов достигает лучшей производительности, нежели использование одного сложного. [15]

Рис. 1.16 Результаты испытаний

Также существуют другие алгоритмы обнаружения тестовых областей:

1.3.1.2 Алгоритм «Быстрое и устойчивое текстовое обнаружение в изображениях и видео кадрах»

Этот алгоритм разработан в Институте Вычислительных Технологий китайской Академии Наук, Китай.

В основе алгоритма лежат четыре свойства:

(1) Плотное разнообразие интенсивности;

(2) Контраст между текстом и его фоном;

(3) Структурная информация;

(4) Свойство текстуры.

Чтобы классифицировать блок изображения в текстовый или не текстовый различными моделями классификаторов, в алгоритме предложена другая структура обнаружения. Она использует эти четыре свойства. В грубом обнаружении блоки текста получаются исходя из первого и второго свойств, предполагая, что у всех текстовых областей есть плотное разнообразие интенсивности и контраст с фоном. Затем эти текстовые области с помощью третьего свойства разделяются на текстовые строки, а свойство четыре используется, чтобы отличить текст от других нетекстовых шаблонов, плотное разнообразие интенсивности которых подобно тексту.

Мы рассматриваем четыре вида особенностей текстуры, чтобы идентифицировать текстовые строки.

Они включают:

Особенности небольшой волны;

Особенности гистограммы небольшой волны;

Особенности вхождения небольшой волны;

Особенности гистограммы счета.

Используется алгоритм выбора особенности, чтобы найти эффективные особенности, и классификатор SVM, чтобы выполнить текстовую/нетекстовую задачу классификации.

Рис. 1.17 Блок-схема алгоритма

По сравнению с существующими подходами основные преимущества предложенного алгоритма следующие:

(1) Быстрое обнаружение.

(2) Обнаружение текста с изменением размера шрифта.

(3) Комбинация особенностей текстуры. В работах исследователи используют традиционные особенности текстуры, чтобы отличить текст с нетекстовыми шаблонами. В этой работе четыре вида особенностей объединены, чтобы выполнить эту задачу. Используется передовой алгоритм выбора особенности, для нахождения степени важности различных особенностей.

(4) Действительно устойчивое текстовое обнаружение. Метод может обнаружить текст в различных размерах и цветах. Он также нечувствителен к текстовой ориентации строки при использовании ориентированной области. Процедура классификации уменьшает ложные тревоги и делает метод эффективным даже в сложном фоне. [16]

1.3.1.2.1 Многошкальная декомпозиция небольшой волны

Преобразование небольшой волны (рисунок 1.17) используется в этом алгоритме для хорошего определения местоположения, вычисляется с помощью отдельного фильтра как:

(а) Оригинальное изображение с различным размером текста;

(b) После преобразования.

Рис. 1.17 Двухуровневое преобразование волны

«H» и «G» - высоки и низкие полосовые фильтры соответственно, местоположения в двух уровнях декомпозиции, - многошкальное представление глубины оригинального изображения.

Текст различных размеров может быть извлечен из различных уровней декомпозиции. [16]

1.3.1.2.2 Обнаружение предполагаемых участков текста

Рассмотрим рисунок 1.18:

(a) Оригинальное изображение;

(b) Пиксели кандидата в первом масштабе;

(c) Горизонтальные предполагаемые текстовые области в первом уровне;

(d) Основанный на плотности метод.



Рис 1.18 Обнаружение текстовых областей кандидатов

Рассматривая разнообразие интенсивности пикселей в текстовых областях (рисунок 1.18(b)) определяем особенность энергии небольшой волны пикселя ) в уровне n как:

Для обнаружения пикселей предполагаемой области, интегрируются коэффициенты небольшой волны в трех высокочастотных подполосах «LH», «HL» и «HH». Особенность энергии волны отражает разнообразие интенсивности вокруг пикселя в уровне n. Пиксель будет являться пикселем текста в уровне n если его энергия волны будет больше чем динамический порог:



Где является картой пикселей предполагаемых текстовых областей в уровне n как показано на рисунке 1.18(b), пиксели кандидата спроектированы в оригинальное изображение. - порог, определенный как:

Где - основной порог, значение которого 30.0, при котором текстовый пиксель может быть воспринят человеком. определен гистограммой энергии (рисунок 1.19). Значение может быть вычислено как:

гарантирует, что пиксели, которые находятся в темной области гистограммы (рисунок 1.19) будут являться пикселями предполагаемой текстовой области. Опытным путем найдено, что текстовые пиксели в изображении редко превышают 15% всех пикселей этого изображения. Поэтому выбран как 0,15. Определение таким образом может гарантировать, что текстовые области будут найдены в изображениях с различным контрастом. Для изображений с низким контрастом заменятся , это гарантирует, что большинство фоновых пикселей исключаться. С Инкрементом контраста и сложности изображения, выбран и адаптивно вычислен. И чем больше контраст в изображении, тем больше должен быть. Пиксели, контраст которых больше чем , являются пикселями текста. [16]

Рис. 1.19 Гистограмма энергии небольшой волны изображения.

1.3.1.2.3Основанный на плотности рост области

Текстовая область сделана из кластера текстовых пикселей. Плотные текстовые пиксели могут создать текстовую область, изолированные - искажения. Для того чтобы соединить текстовые пиксели (блоки) в текстовые области используется специальная морфологическая операция - выращивающий метод:

(1) Ищется начальный пиксель;

(2) Если начальный пиксель «Р» найден, создается новая область. После чего итерационно собираются непомеченные пиксели кандидатов и маркируются этой областью;

(3) Если есть еще начальные пиксели, то начинается с шага (1);

(4) Маркируются найденные области как текстовые, а оставшиеся пиксели объединяются в фон.