Системы предотвращения утечек конфиденциальной информации (DLP)

Утечка конфиденциальных данных как прямая угроза для бизнеса, характеристика ее основных причин. Способы борьбы с утечками конфиденциальных данных на уровнях организационных процедур и программных решений. Программные решения, представленные на рынке.

Рубрика Программирование, компьютеры и кибернетика
Вид реферат
Язык русский
Дата добавления 15.07.2012
Размер файла 1,1 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования.

"Московский государственный технический университет

радиотехники, электроники и автоматики"

(МГТУ МИРЭА)

Факультет информационных технологий (ИТ)

Кафедра № 239 "АСОУ" МГТУ МИРЭА при ФГУП НИИ "Восход"

Реферат

по дисциплине

"Методы и средства ЗКИ"

Тема: "Системы предотвращения утечек конфиденциальной информации (DLP)"

Выполнил студент гр. ИТВ-2-08

Васько Е.В.

Преподаватели

Злобин С.М., Черненко С.С.

Москва 2012 г.

Содержание

  • Введение
  • 1. Основная часть
  • 1.1 Системы предотвращения утечек конфиденциальной информации
  • 1.2 Этапы развития DLP-систем
  • 1.3 Анализ передаваемой информации
  • 1.4 Процесс внедрения DLP-системы
  • 1.5 Компоненты системы
  • 1.6 Программные решения, представленные на рынке
  • 1.6.1 DeviceLock 6.4.1
  • 1.6.2 SecureTower
  • 1.6.3 Zgate
  • 1.6.4 Zlock
  • 1.6.5 McAfee Host Data Loss Prevention
  • Заключение
  • Список используемой литературы

Введение

С развитием информационных технологий в современном мире появляется все больше устройств и средств, предназначенных для хранения и передачи информации. С одной стороны, это открывает широкие возможности, так как позволяет сотрудникам компаний быть мобильными и решать бизнес-задачи вне зависимости от своего места нахождения. С другой стороны, отследить передвижение важных для бизнеса компании данных в таких условиях становится крайне сложно.

Какие данные относятся к конфиденциальным, каждая компания определяет сама. Для одних это будет информация о новом продукте или технологии, для других - данные клиентской базы. Но суть всегда одинакова - утечка конфиденциальных данных является прямой угрозой для бизнеса, и игнорирование проблемы может привести к катастрофическим последствиям.

Причинами утечек информации являются различные факторы: неосторожность или компьютерная неграмотность сотрудников, намеренная кража информации как собственными сотрудниками (инсайдерами), так и мошенниками, использующими различные средства проникновения в корпоративную сеть (трояны, шпионские программы и т.п.).

утечка конфиденциальная информация программный

1. Основная часть

1.1 Системы предотвращения утечек конфиденциальной информации

Существует множество способов борьбы с утечками конфиденциальных данных, как на уровне организационных процедур, так и на уровне программных решений. Одним из наиболее эффективных методов является внедрение системы защиты от утечек конфиденциальных данных Data Leak Prevention (DLP) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Используются также следующие термины, обозначающие приблизительно то же самое:

· Data Leak Prevention (DLP),

· Data Loss Prevention (DLP),

· Data Leakage Protection (DLP),

· Information Protection and Control (IPC),

· Information Leak Prevention (ILP),

· Information Leak Protection (ILP),

· Information Leak Detection & Prevention (ILDP),

· Content Monitoring and Filtering (CMF),

· Extrusion Prevention System (EPS).

1.2 Этапы развития DLP-систем

Необходимость защиты от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально внешние угрозы считались более опасными. В последние годы на внутренние угрозы стали обращать больше внимания, и популярность DLP-систем возросла. Необходимость их использования стала упоминаться в стандартах и нормативных документах (например, раздел "12.5.4 Утечка информации" в стандарте ГОСТ ISO/IEC 17799-2005). Специализированные технические средства для защиты от внутренних угроз стали массово выпускаться только после 2000 года.

Первыми появились технологии сетевого мониторинга - без возможности блокировки утечки через сетевые протоколы (HTTP, SMTP…). В дальнейшем производители добавляли функции блокировки информации при передаче через сеть. Затем появились возможности контроля рабочих станций за счет внедрения программных "агентов", чтобы можно было предотвратить передачу конфиденциальной информации с этих устройств: контроль функций "copy/paste", снятия скриншотов, а также контроль передачи информации на уровне приложений: например, в одном приложении функций "copy/paste" разрешен, в другом - запрещен.

И, наконец, появились технологии поиска конфиденциальной информации на сетевых ресурсах и ее защиты, если информация обнаружена в тех местах, где ее не должно быть. Конфиденциальная информация при этом задается предварительно ключевыми словами, словарями, регулярными выражениями, "цифровыми отпечатками". В результате поиска система может показать - где она обнаружила конфиденциальную информацию, и какие политики безопасности при этом нарушаются. Далее сотрудник службы безопасности может принимать соответствующие меры. Есть решения, которые не просто показывают наличие конфиденциальной информации в неположенном месте, а переносят эту информацию "в карантин", оставляя в файле, где была обнаружена информации, запись - куда перенесена конфиденциальная информация и к кому обратиться за получением доступа к этой информации.

1.3 Анализ передаваемой информации

На текущий момент на рынке представлено довольно много DLP-решений, позволяющих определять и предотвращать утечку конфиденциальной информации по тем или иным каналам. Однако действительно комплексных решений, покрывающих все существующие каналы, значительно меньше. В этих условиях чрезвычайно важным становится выбор технологии, обеспечивающей защиту от утечек конфиденциальной информации с максимальной эффективностью и минимальным количеством ложных срабатываний.

Первое, чему следует уделить внимание при выборе DLP-решения - это как данное решение осуществляет анализ передаваемой информации и какие технологии используются для определения наличия конфиденциальных данных?

Всего существует пять методов анализа:

· Поиск по словарям (по точному совпадению слов, в некоторых случаях с учетом морфологии)

· Регулярные выражения. Регулярные выражения - система синтаксического разбора текстовых фрагментов по формализованному шаблону, основанная на системе записи образцов для поиска. Например, номера кредитных карт, телефонов, адреса e-mail, номера паспорта, лицензионные ключи…

· Сравнение по типам файлов. Политиками безопасности может быть запрещена отправка вовне некоторых типов файлов. При этом если пользователь изменит расширение файла, то система все равно должна "опознать" тип файла и предпринять необходимые действия. В большинстве решений используется технология компании Autonomy.

· Статистический ("поведенческий") анализ информации по пользователям. Если пользователь имеет доступ к конфиденциальной информации, и в то же время он посещает определенные сайты (web-storage, web-mail, хакерские и т.д.), то он попадает в "группу риска" и к нему возможно применение дополнительных ограничивающих политик безопасности.

· Технологии цифровых отпечатков. Наиболее перспективные и достаточно сложные технологии, при которых производятся определенные математические преобразования исходного файла (алгоритмы преобразований производителями не раскрываются). Процесс преобразования строится следующим образом: исходный файл - математическая модель файла - цифровой отпечаток. Такой процесс позволяет существенно сократить объем обрабатываемой информации (объем цифрового отпечатка не более 0,01 от объема файла). Цифровые отпечатки затем размещаются в базе данных (Oracle, MS SQL) и могут быть продублированы в оперативной памяти устройства, осуществляющего анализ информации. Отпечатки затем используются для сравнения и анализа передаваемой информации. При этом отпечатки передаваемого и "модельного" файлов могут совпадать не обязательно на 100%, процент совпадения может задаваться (или программироваться в ПО производителем). Технологии устойчивы к редактированию файлов и применимы для защиты практически любых типов файлов: текстовых, графических, аудио, видео. Количество "ложных срабатываний" не превышает единиц процентов (все другие технологии дают 20-30% ложных срабатываний). Эта технология устойчива к различным текстовым кодировкам и языкам, используемым в тексте.

Также следует обратить внимание на систему отчетности и наборы преднастроенных политик безопасности, представляемых DLP-решением, так как это поможет избежать некоторых проблем и сложностей при внедрении.

1.4 Процесс внедрения DLP-системы

Основная проблема внедрения - это, как правило, отсутствие классификации данных. Поэтому на первом этапе внедрения система DLP должна проработать в организации в режиме мониторинга до полугода. В этом режиме на базе преднастроенных в соответствии с типом предприятия (промышленные предприятия, медицинские или образовательные учреждения) политик безопасности система может помочь выявить места хранения и способы обработки и передачи конфиденциальной информации.

Для финансовых организаций, которые на текущий момент являются основными потребителями DLP-решений, проблема с классификацией данных нивелируется уже имеющимися в наличии достаточно качественными преднастроенными политиками, предоставляемыми производителями DLP-решений.

После принятия решения о завершении этапа мониторинга, система переводится в режим либо уведомления пользователей и сотрудника безопасности, и/или в режим блокирования передачи конфиденциальной информации.

Когда система DLP работает в режиме мониторинга, то количество ложных срабатываний в силу отсутствия адаптации политик может насчитывать тысячи. Постепенно применяемые политики безопасности настраиваются в соответствии с реальными потребностями и возможностями организации таким образом, чтобы уже в режиме уведомления, а в дальнейшем и блокировки, количество ложных срабатываний не было "зашкаливающим" и система реагировала только на конфиденциальную информацию.

Таким образом, полный цикл внедрения решения может занять около года в случае крупной организации.

1.5 Компоненты системы

Рассмотрим состав системы DLP на примере программного решения линейки Symantec Data Loss Prevention (SDLP). Решения SDLP обеспечивают защиту для широкого спектра типов конфиденциальных данных, находящихся в сетях и системах хранения данных, а также на компьютерах сотрудников независимо от того, работают они в корпоративной сети или вне ее.

Рисунок 1 - Компоненты системы SDLP

SymantecDataLossPreventionEnforcePlatform

Центральным компонентом для всей линейки является платформа управления Symantec Data Loss Prevention Enforce Platform, которая позволяет определять и распространять на другие компоненты решения политики по предотвращению потери конфиденциальных данных. Данный компонент также предоставляет единый веб-интерфейс для управления и работы с решениями линейки SDLP.

Symantec Data Loss Prevention Network Discover

Компонент Symantec Data Loss Prevention Network Discover обнаруживает незащищенные конфиденциальные данные, сканируя такие информационные ресурсы, как файловые хранилища, базы данных, почтовые серверы, веб-серверы и т.п.

Symantec Data Loss Prevention Data Insight

Компонент Symantec Data Loss Prevention Data Insight позволяет отслеживать доступ к конфиденциальной информации для автоматического определения владельцев этих данных, что позволяет повысить гибкость процессов выявления конфиденциальных данных и управления ими.

Symantec Data Loss Prevention Network Protect

Компонент Symantec Data Loss Prevention Network Protect является дополнением, расширяющим функциональность компонента Symantec Data Loss Prevention Network Discover в части снижения риска потери незащищенных конфиденциальных данных путем переноса этих данных с публичных хранилищ на сетевых серверах в карантин или защищенные хранилища.

Компоненты SDLP Network Discover и SDLP Network Protect осуществляют защиту от утери конфиденциальных данных со следующих информационных ресурсов:

· сетевые файловые системы (CIFS, NFS, DFS и др.);

· локальные файловые системы на рабочих станциях и ноутбуках;

· локальные файловые системы (Windows, Linux, AIX, Solaris);

· БД Lotus Notes;

· Microsoft Exchange;

· Microsoft SharePoint;

· Documentum и др.

Symantec Data Loss Prevention Endpoint Discover и Symantec Data Loss Prevention Endpoint Prevent

Эти компоненты представлены двумя модулями:

Агент SDLP Agent, который устанавливается на рабочие станции пользователей (в том числе ноутбуки) и обеспечивает выполнение следующих функций:

· обнаружение незащищенных конфиденциальных данных на пользовательских рабочих станциях;

· блокировка передачи конфиденциальных данных (съемные носители информации, CD/DVD, печать, средства обмена мгновенными сообщениями и т.п.).

Сервер SDLP Endpoint Server, который обеспечивает связь агентов SLDP Agent с платформой управления SDLP Enforce Platform и позволяет определять политики мониторинга конфиденциальных данных и блокировку их передачи с пользовательских рабочих станций.

Агент SDLP Agent предотвращает утечки конфиденциальных данных с пользовательских рабочих станций и корпоративных ноутбуков при попытке их передачи с использованием:

· внешних накопителей информации (USB, SD, Compact flash, FireWire);

· записи на CD/DVD;

· сети (HTTP/HTTPS, Email/SMTP, FTP, IM);

· средств печати/факса;

· копирования конфиденциальных данных в буфер обмена.

Symantec Data Loss Prevention Network Monitor

Компонент Symantec Data Loss Prevention Network Monitor в реальном времени отслеживает сетевой трафик на наличие конфиденциальной информации и формирует уведомления при попытке передачи такой информации за пределы внутренней сети.

Symantec Data Loss Prevention Network Prevent

Компонент Symantec Data Loss Prevention Network Prevent блокирует передачу конфиденциальной информации средствами почтовых и веб-коммуникаций.

Компоненты SDLP Network Monitor и SDLP Network Prevent обеспечивают защиту от утечек конфиденциальных данных при попытке их передачи следующими способами:

· электронная почта (SMTP);

· средства обмена мгновенными сообщениями (IM);

· веб-почта, форумы, соц. сети и т.д. (HTTP, HTTPS);

· протокол передачи файлов (FTP);

· торренты (Peer-to-peer);

· Telnet;

· любые другие сессии через любой порт TCP.

1.6 Программные решения, представленные на рынке

1.6.1 DeviceLock 6.4.1

DeviceLock 6.4.1 - современное программное средство, предназначенное для защиты и администрирования локальных и сетевых компьютеров путем предотвращения неконтролируемых действий пользователя при обмене информацией через компьютерные порты и устройства со сменными носителями.

Использование неавторизованных USB-устройств представляет угрозу корпоративным сетям и данным. Причем не только конфиденциальная информация может "уйти" из корпоративной сети через USB-порт, но и вирусы или троянские программы могут быть занесены внутрь корпоративной сети, минуя серверные сетевые экраны и антивирусы. Точно так же дело обстоит с записывающими CD/DVD-приводами.

Обеспечивая контроль над пользователями, имеющими доступ к портам и устройствам локального компьютера, DeviceLock 6.4.1 закрывает потенциальную уязвимость в защите простым и экономичным способом. DeviceLock 6.4.1 полностью интегрируется в подсистему безопасности Windows, функционируя на уровне ядра системы, и обеспечивает прозрачную для пользователя защиту.

Рисунок 2 - Принцип работы DeviceLock 6.4.1.

Программный комплекс DeviceLock 6.4.1 обеспечивает выполнение ряда требований руководящих и нормативных документов по защите конфиденциальной информации и персональных данных. DeviceLock 6.4.1 успешно применяется в качестве сертифицированного средства защиты информации от НСД при построении автоматизированных систем для работы с конфиденциальной информацией, а так же в информационных системах любых классов для работы с персональными данными.

DeviceLock 6.4.1 имеет действующий сертификат ФСТЭК России Сертификат №2144, сертифицирован на соответствие Заданию по Безопасности, соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля и имеет оценочный уровень доверия ОУД 2 в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002).

1.6.2 SecureTower

Комплексное программное решение для защиты от утечки персональных данных и любой конфиденциальной информации, циркулирующей в сети предприятия, содержащейся в базах данных и документах.

SecureTower обеспечивает контроль над всеми потоками информации, передаваемыми по сети, перехватывая и сохраняя в базу данных трафик. Служба безопасности незамедлительно получает автоматические уведомления обо всех случаях несанкционированной передачи конфиденциальных данных, даже если они отправляются при использовании шифрованных каналов, или SSL-протоколов.

SecureTower формирует подробные статистические отчеты о сетевой активности сотрудников (фотография рабочего дня), из которых видно кто и как использует корпоративные ресурсы, позволяя оценить эффективность работы персонала.

Типы контролируемых данных

· электронные письма почтовых клиентов, использующих протоколы POP3, SMTP, IMAP (например, MS Outlook, Thunderbird, The Bat!), электронные сообщения MS Exchange Server;

· весь веб-трафик, включая электронные письма внешних почтовых служб (gmail.com, mail.ru, rambler.ru и т.д.), сообщения в форумах, посещенные страницы в социальных сетях и других веб-службах, использующих протокол HTTP;

· сообщения коммуникационных программ, использующих протоколы обмена мгновенными сообщениями OSCAR (таких как ICQ/AIM), MMP (таких как Mail.ru Агент), MSN (таких как Windows Messenger) и XMPP (Jabber) (таких как Miranda, Google Talk, QIP Infium, PSI), а также текстовые и голосовые сообщения в Skype

· файлы, передаваемые по протоколам FTP, FTPS, HTTP и HTTPS, а также в программах-мессенджерах (ICQ, Windows Messenger и т.д.) или по электронной почте в качестве вложений

· SSL-трафик, передаваемый по шифрованным протоколам (включая HTTPS, FTPS, защищённые протоколы SSL для POP3, SMTP и мессенджеров)

· содержимое баз данных MS SQL Server, Oracle, PostgreSQL, SQLite

· данные, передаваемые на внешние устройства (USB-устройства, съемные жесткие диски, карты памяти, съемные накопители, CD/DVD и флоппи-диски)

· печать данных на локальных и сетевых принтерах.

Решаемые задачи

· Контроль случайной или преднамеренной утечки информации

SecureTower - комплексное программное решение для защиты от преднамеренного хищения или утечки по неосторожности персональных данных и любой другой конфиденциальной информации, циркулирующей в сети предприятия по максимальному количеству каналов, а также содержащейся в базах данных и документах.

Обеспечение сохранности персональных и конфиденциальных данных

Уникальной возможностью SecureTower является функционал, обеспечивающий надежную защиту от возможных утечек информации непосредственно из баз данных. Это позволяет по методу цифровых отпечатков без промежуточных операций контролировать содержимое хранилищ структурированной информации, которые обычно содержат конфиденциальные персональные данные, ценные контактные данные, абонентские базы и другую коммерческую информацию.

Программа поддерживает MS SQL Server, Oracle, PostgreSQL, SQLite и легко может быть адаптирован для работы с любой другой СУБД.

Метод анализа данных по цифровым отпечаткам вместе с использованием традиционных лингвистических, атрибутивных и статистических методов, не только повышает эффективность контроля над утечками конфиденциальной информации, но и позволяет контролировать сохранность личных данных, в соответствии с Федеральным Законом "О персональных данных".

· Оценка лояльности сотрудников

SecureTower формирует подробные и наглядные статистические отчеты о сетевой активности сотрудников, позволяя оценить лояльность и эффективность работы персонала, а также узнать, насколько целевым является использование сотрудниками корпоративных ресурсов компании.

SecureTower минимизирует трудозатраты по расследованию инцидентов утечки информации и повышает эффективность работы службы информационной безопасности за счет снижения процента ложных срабатываний. Это достигается благодаря гибким настройкам инструмента для создания как простых, так и многокомпонентных правил безопасности.

· Формирование архива бизнес-коммуникаций компании

Весь перехваченный трафик анализируется и сохраняется в базе данных. Программа создаёт своеобразный архив для ведения "истории" внутрикорпоративных бизнес-процессов и событий. Это позволяет расследовать любой случай утечки конфиденциальной информации в ретроспективе. Обратившись к определенному сообщению, можно просмотреть всю историю общения абонентов.

1.6.3 Zgate

Система Zgate обеспечивает контроль и архивирование электронной почты в масштабах предприятия, минимизируя риск утечки конфиденциальной информации и существенно облегчая расследование инцидентов.

Сейчас уже никто не сомневается, что защита от утечек конфиденциальной информации необходима любой организации - от небольшой компании до крупной корпорации. Руководители понимают, что потеря или кража конфиденциальных данных ведет не только к прямым финансовым убыткам, но и к снижению доверия со стороны клиентов, партнёров и инвесторов. Любая утечка данных, даже отправка письма с конфиденциальными документами по ошибочному адресу, приводит к повышенному интересу со стороны регулирующих органов и СМИ. Это увеличивает риски финансовой ответственности за нарушение отраслевых стандартов и законодательства, регулирующих защиту персональных данных и другой конфиденциальной информации.

Система Zgate компании SECURIT разрабатывалась с учетом преимуществ и недостатков существующих DLP-решений. Zgate позволяет блокировать утечки конфиденциальных данных по сетевым каналам. Для обнаружения и блокировки утечек в Zgate используется гибридный анализ, включающий в себя множество современных технологий детектирования конфиденциальных данных. Применение гибридного анализа позволило повысить эффективность детектирования со среднестатистических 60-70% для существующих DLP до 95% у Zgate.

Zgate анализирует все данные, передаваемые сотрудниками за пределы локальной сети организации, и позволяет предотвращать утечки конфиденциальной информации по сетевым каналам - через электронную почту, социальные сети, интернет-мессенджеры и т.д. В Zgate используются современные технологии, которые безошибочно определяют уровень конфиденциальности передаваемой информации и категорию документов с учетом особенностей бизнеса, требований отраслевых стандартов и законодательства России, СНГ, Европы и США.

Zgate позволяет контролировать и архивировать:

· Переписку в корпоративной электронной почте.

· Письма и вложения, отсылаемые через сервисы веб-почты.

· Общение в социальных сетях, на форумах и блогах.

· Сообщения интернет-пейджеров.

· Файлы, передаваемые по FTP.

Для проведения внутренних расследований и профилактики утечек Zgate записывает подробную информацию обо всех происходящих инцидентах - передаваемые данные, сведения об отправителе, получателе, канале передачи и т.д. Встроенная система отчетности предоставляет полный набор инструментов для наглядного анализа сохраненных данных и улучшает эффективность процесса принятия решений по происходящим инцидентам. В дополнение к нескольким десяткам готовых отчетов в Zgate встроен специальный конструктор, дающий возможность создавать, сохранять и публиковать неограниченное количество индивидуальных отчетов.

Решаемые задачи

· Категоризация всей пересылаемой информации. Zgate анализирует сетевой трафик и разбирает пересылаемые данные по различным категориям.

· Обнаружение и блокировка утечек конфиденциальных данных в реальном времени. Большинство DLP-систем работают в "пассивном" режиме, то есть лишь оповещают о факте утечки. В отличие от них, Zgate действительно предотвращает утечки в реальном времени.

· Предупреждение утечек информации. Большую часть утечек информации можно предотвратить, если своевременно обнаружить подозрительную активность и изменить политики безопасности. Zgate еще на ранней стадии обнаруживает подозрительную активность, что позволяет дополнительно сократить риски утечки конфиденциальных данных.

· Архивирование всей пересылаемой информации. Zgate архивирует корпоративную электронную почту, сообщения и файлы, передаваемые через интернет-пейджеры, социальные сети, веб-почту, форумы, блоги и т.д. Архивируемые данные записываются в СУБД Oracle Database или Microsoft SQL Server.

· Приведение политик безопасности в полное соответствие с требованиями отраслевых стандартов и законодательства. В частности, использование систем защиты от утечек регламентируется стандартами Банка России, Кодексом корпоративного поведения ФСФР, PCI DSS, SOX, Basel II и множеством других документов.

Преимущества Zgate

· Для обнаружения и своевременной блокировки утечек информации в Zgate применяется гибридный анализ, использующий более 10 специализированных технологий.

· Zgate контролирует сообщения и файлы, отправляемые через более чем 15 видов интернет-пейджеров и более чем 250 различных веб-сервисов - от почты Mail.ru до видеохостинга YouTube.

· Zgate может интегрироваться с Microsoft Forefront TMG (Microsoft ISA Server) и любым прокси-сервером, поддерживающим протокол ICAP (Internet Content Adaptation Protocol) - Blue Coat, Cisco ACNS, Squid и т.д.

· Система Zgate совместима с любой почтовой системой (MTA) и контролирует письма и вложения, отправляемые через Microsoft Exchange Server, IBM Lotus Domino, CommuniGate Pro и т.д.

· Zgate поддерживает анализ более 500 форматов файлов, в том числе Microsoft Office, OpenOffice.org, изображения, а также обработку архивов заданного уровня вложенности.

· Все пересылаемые письма, сообщения и файлы помещаются в специальный архив, не имеющий ограничений по объему и сроку хранения данных.

· В установку Zgate включено более 50 шаблонов, с помощью которых можно определять конфиденциальные данные. Это существенно сокращает трудозатраты при внедрении.

· Для настройки защиты информации в Zgate используются специальные политики безопасности, имеющие до 30 различных параметров.

· Управление Zgate осуществляется через единую систему управления DLP-решениями Zconsole, которая также поддерживает управление Zlock и Zserver Suite.

Технологии обнаружения конфиденциальной информации

· DocuPrints. Технология DocuPrints работает по принципу "цифровых отпечатков" и основана на сравнении анализируемых документов с заранее созданной базой цифровых отпечатков конфиденциальных документов. В результате сравнения определяется вероятность того, что в документе присутствует конфиденциальная информация.

Для начала использования технологии DocuPrints достаточно задать расположение конфиденциальных документов, и Zgate самостоятельно создаст базу отпечатков и будет автоматически поддерживать ее в актуальном виде.

· MorphoLogic. Технология MorphoLogic с использованием морфологического анализа проверяет пересылаемые данные на предмет нахождения в них конфиденциальной информации.

Технология MorphoLogic реализована аналогично методам, используемым в поисковых системах, и даёт возможность анализировать текст с учетом различных грамматических словоформ.

· SmartID. Интеллектуальная технология SmartID - это разработка компании SECURIT, которая уже после первоначального "обучения" может начать самостоятельно опознавать передачу конфиденциальных данных.

В процессе работы работы SmartID накапливает "опыт" анализа и категоризации данных и с каждым разом повышает точность категоризации.

Точность работы SmartID уже после первой недели работы обычно составляет более 95 %.

1.6.4 Zlock

Система Zlock позволяет гибко настроить права доступа к портам и устройствам и минимизировать риск утечки информации, связанный с несанкционированным использованием внешних устройств, прежде всего, USB-накопителей.

По различным оценкам, от 60 до 80 % атак, направленных на получение информации ограниченного доступа, начинается из локальной сети предприятия (интрасети).

Особенную актуальность проблема внутренних угроз получила в связи с появлением и повсеместным распространением мобильных накопителей информации, подключаемых через USB-порты: flash-диски, винчестеры с USB-интерфейсом и т.д.

Для предотвращения утечек корпоративных документов через мобильные устройства, прежде всего USB-накопители, может использоваться разработка компании SECURIT - DLP-система Zlock. Zlock позволяет предотвращать утечки конфиденциальной информации через периферийные устройства с помощью гибкой настройки политик доступа, анализа содержимого передаваемых файлов и блокирования несанкционированного копирования документов.

Для каждого типа устройств Zlock предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно разрешить либо полный доступ, либо чтение, либо запретить доступ. Инструмент контентного анализа позволяет настраивать контроль копирования файлов на мобильные накопители и чтения с них по типам файлов и содержимому передаваемых документов.

Подключаемые устройства могут идентифицироваться по любым признакам, таким как класс устройства, код производителя, код устройства, серийный номер и т.д. Это дает возможность назначать разные права доступа к устройствам одного класса, например, запретить использование USB-накопителей, но при этом разрешить использование USB-ключей для аутентификации пользователей.

Система Zlock компании SECURIT позволяет обеспечить надежную защиту данных компании от утечек на внешних носителях путем

разграничения доступа к любым внешним устройствам и портам рабочих станций.

Политики доступа

Разграничение доступа к внешним устройствам в Zlock осуществляется на основе политик доступа. Политика доступа - это логическое понятие, которое связывает описание устройств и прав доступа к ним.

Права доступа могут иметь следующий вид:

· полный доступ;

· доступ только на чтение;

· запрет доступа.

Права доступа могут применяться как для всех, так и иметь индивидуальные настройки для пользователей или групп пользователей на основе ACL (аналогично разграничению прав доступа к папкам или файлам в Windows).

Политики доступа можно настраивать по типам файлов для ограничения операций с документами определенного формата (для USB-устройств). Zlock поддерживает более 500 наиболее распространённых в корпоративной среде форматов файлов, в том числе Microsoft Office и OpenOffice.org.

При настройке политик по содержимому передаваемых документов существует возможность открыть полный доступ к устройствам, ограничив запись, чтение или печать файлов, содержащих конфиденциальную информацию (для USB-устройств и принтеров).

Политики могут иметь временной интервал или быть одноразовыми. Это позволяет, например, давать разные права доступа в рабочее и нерабочее время либо разрешить однократный доступ к устройству (доступ прекратится, как только пользователь извлечет устройство).

В системе Zlock существует особый вид политики - это "политика по умолчанию". Она описывает права доступа к устройствам, которые по тем или иным причинам не попадают под действия других политик. Например, можно с помощью такой политики по умолчанию запретить использовать все USB-устройства, а с помощью обычной политики - разрешить использовать какое-то определенное устройство.

Дополнительно в Zlock реализована возможность задавать специальные политики доступа, которые применяются в зависимости от того, подключен ли компьютер к сети непосредственно, подключен через VPN или работает автономно. Это расширяет возможности по управлению доступом к устройствам и позволяет, например, автоматически заблокировать доступ ко всем внешним устройствами на ноутбуке, как только он отключается от корпоративной сети.

При этом в Zlock у каждой политики есть свой приоритет, который позволяет определить, какие права доступа будут применяться, если одно устройство описывается сразу в нескольких политиках и имеет там разные права доступа.

Поддерживаемые устройства

Система Zlock позволяет разграничивать доступ к следующим видам устройств:

· любые USB-устройства - flash-накопители, цифровые камеры и аудиоплееры, карманные компьютеры и т.д.;

· локальные и сетевые принтеры;

· внутренние устройства - контроллеры Wi-Fi, Bluetooth, IrDA, сетевые карты и модемы, FDD-, CD - и DVD-дисководы, жесткие диски;

· порты LPT, COM и IEEE 1394;

· любые устройства, имеющие символическое имя.

В Zlock есть возможность создать каталог устройств, который будет хранить всю информацию об устройствах сети и позволит создавать политики на основе этих данных.

Контентный анализ

При записи документов на USB-устройства, чтении с них и печати на принтерах Zlock может анализировать содержимое файлов, обнаруживать в них конфиденциальные данные и блокировать действия пользователя в случае выявления нарушений политик безопасности.

Для обнаружения конфиденциальной информации в файлах применяется гибридный анализ - комплекс технологий детектирования данных разного типа:

· Технология MorphoLogic с использованием морфологического анализа - позволяет исследовать текст динамических и вновь созданных документов с учетом различных грамматических словоформ.

· Шаблоны регулярных выражений - особенно эффективны при поиске конфиденциальной информации, имеющей фиксированную структуру, в частности, персональных данных.

· Поиск по словарям - позволяет обнаруживать данные, относящиеся к определенным категориям, существенным для организаций разного рода деятельности.

· Анализ замаскированного текста и транслита.

Удаленное управление

Удаленное управление системой Zlock осуществляется через единую консоль для решений SecurIT. C помощью нее администратор может устанавливать клиентские части, создавать и распространять политики Zlock, производить мониторинг рабочих станций, просматривать данные теневого копирования.

При необходимости установка клиентских частей на рабочие места пользователей может производиться без перезагрузки компьютеров, что позволяет ускорить внедрение и сделать его незаметным для пользователей.

В системе Zlock существует возможность разграничения доступа к функциям управления для администраторов. Это позволяет, в частности, разделить функции администратора безопасности, который осуществляет весь комплекс действий по управлению системой, и аудитора, который имеет право только на просмотр собранных системой событий и данных теневого копирования.

В Zlock для обычных пользователей предусмотрена возможность послать администратору запрос на доступ к определенному устройству. На основе запроса администратор безопасности может создать политику, разрешающую доступ к устройству. Это обеспечивает максимально оперативное реагирование на запросы пользователей и простоту адаптации политики безопасности к нуждам бизнес-процессов.

Взаимодействие с Active Directory

В Zlock реализована тесная интеграция с Active Directory. Она заключается в возможности загрузки доменной структуры и списка компьютеров корпоративной сети в Zlock. Это позволяет увеличить удобство использования системы и повысить возможности по масштабируемости.

Развертывание и управление Zlock можно осуществлять не только из консоли управления Zlock, но и с помощью групповых политик (group policy) Active Directory.

Через групповые политики можно выполнять установку, удаление и обновление Zlock, а также распространение политик доступа и настроек системы.

Данная возможность позволяет упростить внедрение и использование системы в крупных корпоративных сетях. Кроме этого расширяются возможности по администрированию Zlock в компаниях с разделенными службами информационных технологий и информационной безопасности - сотруднику службы безопасности необязательно иметь привилегии локального администратора на компьютерах пользователей, поскольку внедрение и управление системой осуществляется средствами домена.

Мониторинг

В Zlock существует возможность мониторинга клиентских рабочих станций. Данная функция предусматривает периодический опрос клиентских модулей Zlock и выдачу предупреждений в случае попытки несанкционированного отключения Zlock на рабочей станции, изменения настроек или политик доступа.

Реакция на эти события может настраиваться с помощью подключаемых сценариев (скриптов) на языках VBscript или Jscript. С использованием таких сценариев можно выполнять любые действия - посылать уведомления по электронной почте, запускать или останавливать приложения, и т.д.

Сбор событий и их анализ

Система Zlock реализует расширенный функционал по ведению и анализу журнала событий. В журнал записываются все существенные события, в том числе:

· подключение и отключение устройств;

· изменение политик доступа;

· операции с файлами (чтение, запись, удаление и переименование файлов) на контролируемых устройствах.

В состав Zlock входит средство для анализа журналов, которое обеспечивает формирование запросов любых видов и вывод результатов в формате HTML. Кроме этого, использование для журнала универсальных форматов хранения данных позволяет воспользоваться любыми сторонними средствами анализа и построения отчетов.

Предоставление доступа к устройствам по телефону

В Zlock реализована возможность разрешить пользователям доступ к устройствам, используя лишь телефонную связь с администратором Zlock. Это необходимо в тех случаях, когда пользователю нужно срочно получить доступ к определенному устройству или группе устройств, а он находится не в корпоративной сети. В такой ситуации сотрудник компании и администратор просто обмениваются секретными кодами, в результате чего создаются и применяются новые политики доступа.

При этом администратор Zlock может создать как постоянно действующую, так и временную политику, которая перестанет действовать после отключения устройства, завершения сеанса Windows или по истечении заданного времени. Это позволит более оперативно реагировать на запросы пользователей в безотлагательных ситуациях и соблюдать разумный баланс между безопасностью и бизнесом.

Архив (теневое копирование)

В Zlock существует возможность автоматически выполнять архивирование (теневое копирование, - shadow copy) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, поскольку администратор безопасности всегда будет точно знать, какую информацию сотрудник записывает на внешние накопители.

Вся информация, записываемая пользователем на внешний носитель, незаметно для него копируется в защищенное хранилище на локальной машине и потом переносится на сервер. Функция теневого копирования создает точные копии файлов, которые пользователь записывают на устройства, и расширяет возможности аудита, позволяя проводить расследование возможных инцидентов.

Теневое копирование может отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это делает теневое копирование высокоточным инструментом, применение которого позволяет службе безопасности предприятия получать только ту информацию, которая ей нужна.

Дополнительно в Zlock реализовано теневое копирование распечатываемых документов. Это дает возможность контролировать действия пользователей даже в том случае, если им разрешено использование принтеров, но необходимо точно знать, что, где и когда они печатали. В теневой копии сохраняется вся служебная информация и сам распечатанный документ в формате PDF.

Сервер журналирования

В Zlock есть возможность сохранять журналируемые события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий Zlock.

Клиентские модули Zlock записывают все происходящие события на сервер журналирования, при этом, если он недоступен, информация о событиях временно хранится на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер.

Сервер журналов может записывать информацию о событиях в базу данных Microsoft SQL Server, Oracle Database или в XML-файлы. Использование для хранения событий Microsoft SQL Server или Oracle Database позволяет обеспечить более высокую надежность и производительность.

Zlock Enterprise Management Server

Zlock EMS предназначен для централизованного хранения и распространения политик и настроек Zlock. Синхронизация с Zlock Enterprise Management Server происходит с заданной администратором периодичностью и включает в себя проверку текущих политик и настроек агентов и их обновление в случае необходимости. Синхронизация происходит по защищенному каналу и может распространяться как на всю сеть, так и на определенные домены, группы или компьютеры.

Контроль целостности Zlock

В Zlock имеется возможность контроля целостности файлов и настроек Zlock. Если какие-либо компоненты Zlock были несанкционированно модифицированы, возможность входа в систему будет лишь у администратора. Это позволит защитить Zlock от изменений со стороны пользователей и вредоносных программ.

1.6.5 McAfee Host Data Loss Prevention

Система защиты от утечек, основанная на агентском контроле использования конфиденциальной информации.

McAfee Host DLP состоит из агентских программ, устанавливаемых на рабочие станции сотрудников, и сервера управления.

Вычислительная часть решения McAfee Host DLP функционирует на уровне конечных рабочих станций заказчика. Для этого на каждый компьютер централизованно рассылается и устанавливается программа - агентский модуль McAfee Host DLP. Агент устойчив к выгрузке, - его невозможно деинсталлировать, даже имея права администратора.

Для обучения системе необходимо выделить папки (на файловом сервере), в которых будут расположены защищаемые файлы. Согласно заданной администратором безопасности политике, на защищаемые документы "навешиваются" метки. Эти метки существуют в параллельных потоках NTFS и не видны невооруженным взглядом.

Метки видны агентским программам McAfee Host DLP. Этот агент может ограничить отправку, запись на сменные носители, копирование в буфер и прочие операции, противоречащие установленным политикам для конкретного пользователя с конкретной меткой.

Локально метки работают вкупе с цифровыми отпечатками (для слежения не только за контейнером, но и контентом). При открытии или копировании с сервера секретного документа агентская программа McAfee Host DLP отследит метку документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от передачи за пределы станции в соответствии с установленными политиками безопасности. Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и созданный на основе этого фрагмента новый документ унаследует метку.

В существующую инфраструктуру должны быть установлены агентские модули на каждую рабочую станцию и установлен сервер управления:

По результатам работы агентских программ статистика инцидентов централизованно собирается на управляющий сервер McAfee ePolicy для анализа.

Основные возможности решения заключаются в 10 правилах реакции, которые может выполнять клиент на рабочих станциях:

1. Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;

2. Clipboard Protection Rule. Позволяет выполнять блокировку копирования в буфер обмена для определенного контента. К примеру, копирование информации через буфер обмена, содержащей словосочетание "финансовый отчет" из программы Excel в Word может быть запрещено;

3. Email Protection Rule. Позволяет анализировать исходящие сообщения в электронной почте и блокировать утечку конфиденциальной информации;

4. Network File System Protection Rule. Позволяет отслеживать перемещение конфиденциальной информации между контролируемыми компьютерами, а также ее копирование на сменные носители;

5. Network Protection Rule. Позволяет блокировать передачу конфиденциальной информации через сетевые протоколы TCP\IP;

6. Printing Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов, если контент отправленных на печать документов содержит конфиденциальную информацию;

7. PDF/Image Writers Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов в файл или формат PDF;

8. Removable Storage Protection Rule. Позволяет детектировать и в случае необходимости блокировать передачу на внешний носитель конфиденциальной информации;

9. Screen Capture Protection Rule. Позволяет блокировать выполнение операции "Print Screen" для определенных приложений;

10. Webpost Protection Rule. Позволяет перехватывать post-запросы в Internet Explorer - например, исходящие почтовые сообщения на веб-почте (mail.ru, yandex.ru).

Websense Data Security Suite (DSS)

Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных, агентского контроля.

Решение состоит из нескольких модулей:

1. Data Discover - модуль, осуществляющий сканирование корпоративной сети (компьютеров, серверов) и поиск разбросанной конфиденциальной информации;

2. Data Protect - модуль, осуществляющий анализ исходящего трафика по всем каналам передачи, мониторинг и блокирование утечки;

3. Data Monitor - модуль, аналогичный Data Protect, только без блокирования;

4. Data Endpoint - модуль, осуществляющий контроль конечных рабочих станций, ноутбуков на локальное перемещение конфиденциальной информации и контроль запуска приложений.

Схема работы Websense DSS не отличается от классической для DLP-систем:

Подготовка перечня секретной информации

Для того чтобы решение Websense DSS заработало у клиента, потребуется предварительно выделить и классифицировать конфиденциальные сведения, которые планируется защищать. Документы в электронном виде следует разложить по файловым папкам.

Внедренная система Websense DSS обратится к хранилищу защищаемых документов и баз дынных, снимет цифровые отпечатки подготовленных документов.

Администратор безопасности настраивает правила реагирования на перемещение секретных документов.

Если в потоке трафика попадается конфиденциальный документ, то система Websense DSS безошибочно определит, из какого источника взят этот документ, кто из пользователей отвечает за обращение данного вида информации, какое действие должно быть предпринято по отношению к данной попытке нарушения безопасности.

Моментально о нарушении узнаёт ответственное лицо, которое может ознакомиться с письмом, отправленным его подчиненным, принять решение о досылке письма, либо возбуждении расследования.

Возможности решения далеко не ограничены рассмотренным сценарием. Например, система Websense DSS способна с высокой степенью вероятности обнаруживать стандартные структурированные документы, например, резюме сотрудников, финансовые отчеты, паспортные данные, - в том числе и русскоязычные.

Решение Websense DSS может быть встроено в инфраструктуру заказчика различными способами.

Рассмотрим один из распространенных вариантов. Для установки решения Websense DSS потребуется как минимум один сервер "DSS Manager" уровня HP DL380, который будет выполнять анализ всего корпоративного трафика. Дополнительно может быть рекомендован еще один сервер "DSS Protector" (перехватчик), уровня HP DL360. Итого, 2 сервера на предприятие до 5000 пользователей, передающих электронные сообщения через центральный офис.


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.