Рисунок 23: Выбор сервера базы данных и указание параметров соединения с ним

Рисунок 24: Подтверждение создания внутренней структуры базы данных для хранения журнала

Рисунок 25: Указываем события, которые будем журналировать

Рисунок 26: Видим события, которые будут журналироваться на указанный SQL сервер

Скрипты. Еще одним видом дополнительной обработки операций, выполняемых SecurIT Zgate, может быть выполнение сценариев (скриптов) и запуск исполняемых файлов.

При происхождении выбранного события будет запущено указанное приложение или выполнен казанный сценарий. Список событий аналогичен списку событий для журналирования.

Данная опция может быть использована, к примеру, для отправки СМС о событии или блокировки рабочей станции до прибытия офицера безопасности.

Рисунок 27: Выбор исполняемого файла

В этом же окне можно указать путь к файлу сценария, указать пользователя, от имени которого будет исполняться файл или сценарий. Следует учесть, что по умолчанию приложения запускаются из-под учетной записи SYSTEM.

Рисунок 28: Список событий, при происхождении которых будет запущено приложение

На этом мы заканчиваем этап предварительной настройки системы SecurIT и переходим к настройке подсистем фильтрации.

Настройка анализа содержимого и фильтрации

Теперь рассмотрим возможности настройки системы анализа содержимого.

Словари. Под словарями в Zgate понимаются группы слов, объединенные по какому-либо признаку (категории). Как правило, наличие в письме слов из конкретного словаря с большой долей вероятности позволяет отнести письмо к категории, характеризуемой этим словарем. Словари в системе Zgate используются при фильтрации в методах "Анализ по словарю" и "Обработка методом Байеса".

Рекомендуется использовать словари, содержащие не более 100 (а для оптимальной производительности - не более 50) слов. Для управления словарями пройдём в меню "Сервис" команда "Словари" (рисунок 29).

Рисунок 29: Окно управления словарями в SecurIT Zgate

Так как SecurIT Zgate использует одни и те же словари, как при анализе почтового сообщения, так и при его обработке методом Байеса, то при создании словарей, слову всегда приписывается два параметра: вес в категории и вес в антикатегории. По умолчанию оба параметра имеют значение 50.

Для добавления словаря нужно нажать в окне управления словарями кнопку "+", а для того, чтобы добавить слова в словарь, нужно выделить необходимый словарь и нажать кнопку с "карандашом" (рисунок 30, 31).

Рисунок 30: Добавление словаря вSecurIT Zgate

Рисунок 31: Добавление слова в словарь в SecurIT Zgate

При вводе слов можно использовать спецсимволы:

любое количество любых букв или цифр;

? - один любой символ (буква или цифра);

^ - один символ-разделитель (пробел, табуляция, перевод строки);

! - один символ-разделитель или знак пунктуации;

# - один символ-цифра;

@ - один символ-буква.

Корректными символами для словаря считаются символы (,), <, >, {, }, - , _, \, спецсимволы и спецсимволы в качестве простых символов (любой спецсимвол можно сделать обычным символом путем добавления обратного слеша \). Например, тест\* означает, что в словаре находится слово тест*. А тест* означает, что в словаре находятся все слова, начинающиеся на тест - тест, тесты, тестируем и т.д.

Кроме создания и заполнения словаря вручную, можно создать словарь, импортировав слова из заранее подготовленного файла, а также есть возможность автоматической генерации словаря.

При импорте слов из файла каждому импортированному слову будет приписан вес в категории и антикатегории по умолчанию. Некорректные для словаря символы по умолчанию при импорте заменяются разделителем (пробелом).

Автоматическая генерация словаря из файла возможна с использованием специально подготовленного текстового файла с соответствующим набором слов, а также реальных документов, которые относятся, или не относятся к той или иной категории.

Кроме лингвистических методов анализа можно использовать популярный для такого класса продуктов метод "цифровых отпечатков" - это метод поиска копий контролируемых документов или частей документов в почтовом сообщении. При этом искомый текст может быть видоизменен или в письме может присутствовать только какая-то его часть.

Метод отпечатков заключается в том, что для всех конфиденциальных документов создаются их "цифровые отпечатки". Полученные отпечатки хранятся в обновляемой (в автоматическом режиме) и пополняемой базе данных. В случае необходимости проверки любого документа для него вычисляется "цифровой отпечаток", затем производится поиск похожего отпечатка среди отпечатков конфиденциальных документов, хранящихся в базе данных. Если отпечаток проверяемого файла похож на отпечаток, хранящийся в базе, то выдается соответствующее предупреждение (оповещение).

Для того чтобы начать работы с базой отпечатков, необходимо зайти в меню "Сервис" и выполнить команду "Отпечатки".

Рисунок 32: Управление базой цифровых отпечатков в SecurIT Zgate

Чтобы добавить новую категорию документов для снятия отпечатков, необходимо нажать

кнопку "+". Для редактирования нажать кнопку "карандаш" и кнопку "Х" - для удаления категории.

Рисунок 33: Создание категориидокументов в SecurIT Zgate

Также при создании категории указывается время обновления базы отпечатков, задаются параметры пользователя, от имени которого будет осуществляться доступ к файлам и добавляются файлы, которые содержат общеупотребительные слова, исключаемые из проверки.

Для создания отпечатков можно использовать файлы следующих форматов:. txt,. doc,. docx,. xls,. xlsx,. ppt,. pptx,. pdf,.html,. rtf,. odt,. ods,. odp,. dbf,. wps,. xml* (формат. xml анализируется как обычный текстовый документ).

Рисунок 34: Категория создана и готова к работе

Созданную категорию можно подвергнуть тестовой проверке. Тестовая проверка файла методом отпечатков предназначена для определения правильности настроек цифровых отпечатков и корректности описания категорий. В ходе проверки определяется, является ли цифровой отпечаток проверяемого файла (документа) похожим на цифровой отпечаток документа, хранящегося в созданной ранее базе определенной категории. Поиск похожих документов выполняется с учетом того, что часть или все русские символы в проверяемом документе могли быть заменены на сходные по написанию английские символы, и наоборот.

Для того чтобы провести проверку, необходимо нажать кнопку "Проверить" снизу в окне управления базой отпечатков и выбрать проверяемый файл, указав процент вероятности сходства.

Столь развитая система категоризации позволяет создавать отдельные категории для различного содержимого сообщений. В свою очередь это даёт возможность грамотно категоризировать уведомления об инцидентах в журнале и позволит офицеру безопасности выставить приоритеты и оперативно отреагировать на события.

Рисунок 35: Задание параметров проверки трафика в SecurIT Zgate

Рисунок 36: Результат проверки

Защита от инсайдеров при помощи связки из Zgate и Zlock

На сегодняшний день существует два основных канала утечки конфиденциальной информации: устройства, подключенные к компьютеру (всевозможные съемные накопители, включая "флешки", CD/DVD-диски и пр., принтеры) и интернет (электронная почта, ICQ, социальные сети и т. ?д.). А поэтому, когда компания "созревает" на внедрение системы защиты от них, желательно подходить к решению данной комплексно. Проблема заключается в том, что для перекрытия разных каналов используются различные подходы. В одном случае наиболее эффективным способом защиты будет контроль над использованием съемных накопителей, а во втором - различные варианты контентной фильтрации, позволяющей заблокировать передачу конфиденциальных данных во внешнюю сеть. А поэтому компаниям для защиты от инсайдеров приходится использовать два продукта, которые в сумме образуют комплексную систему безопасности. Естественно, предпочтительней использовать инструменты одного разработчика. В этом случае облегчается процесс их внедрения, администрирования, а также обучения сотрудников. В качестве примера можно привести продукты компании SecurIT: Zlock и Zgate.

Zlock: защита от утечек через съемные накопители

Программа Zlock появилась на рынке уже достаточно давно. И мы уже описывали ее основные возможности. В принципе, повторяться смысла нет. Однако с момента публикации статьи вышла две новых версии Zlock, в которых появился ряд важных функций. Вот о них стоит рассказать, пусть даже и очень кратко.

В первую очередь стоит отметить возможность назначения компьютеру нескольких политик, которые самостоятельно применяются в зависимости от того, подключен ли компьютер к корпоративной сети напрямую, через VPN или же работает автономно. Это позволяет, в частности, автоматически блокировать USB-порты и CD/DVD-приводы при отключении ПК от локальной сети. В целом данная функция увеличивает безопасность информации, размещенной на ноутбуках, которые сотрудники могут выносить из офиса на выезды или для работы дома.

Вторая новая возможность - предоставление работникам компании временного доступа к заблокированным устройствам или даже группам устройств по телефону. Принцип ее работы заключается в обмене генерируемыми программой секретными кодами между пользователем и ответственным за информационную безопасность сотрудником. Примечательно, что разрешение на использование может выдаваться не только постоянное, но и временное (на определенное время или до завершения сеанса работы). Данный инструмент можно считать некоторым послаблением в системе защиты, однако он позволяет повысить оперативность реагирования ИТ-отдела на запросы бизнеса.

Следующим важным нововведением в новых версиях Zlock является контроль над использованием принтеров. После его настройки система защиты будет записывать в специальный журнал все обращения пользователей к печатающим устройствам. Но и это еще не все. В Zlock появилось теневое копирование всех распечатываемых документов. Они записываются в формате PDF и являются полной копией выводимых на печать страниц вне зависимости от того, какой файл был отправлен на принтер. Это позволяет предотвратить утечку конфиденциальной информации на бумажных листах, когда инсайдер распечатывает данные с целью их выноса из офиса. Также в системе защиты появилось теневое копирование информации, записываемой на CD/DVD-диски.

Важным нововведением стало появление серверного компонента Zlock Enterprise Management Server. Он обеспечивает централизованное хранение и распространение политик безопасности и других настроек программы и существенно облегчает администрирование Zlock в крупных и распределенных информационных системах. Также нельзя не упомянуть появление собственной системы аутентификации, которая, при необходимости, позволяет отказаться от использования доменных и локальных пользователей Windows.

Помимо этого, в последней версии Zlock появилось несколько не столь заметных, но тоже достаточно важных функций: контроль целостности клиентского модуля с возможностью блокировки входа пользователя при обнаружении вмешательств, расширенные возможности по внедрении системы защиты, поддержка СУБД Oracle и т. ?п.

Zgate: защита от утечек через интернет

Итак, Zgate. Как мы уже говорили, этот продукт представляет собой систему защиты от утечки конфиденциальной информации через интернет. Структурно Zgate состоит из трех частей. Основной является серверный компонент, который и осуществляет все операции по обработке данных. Он может инсталлироваться как на отдельный компьютер, так и на уже работающие в корпоративной информационной системе узлы - интернет-шлюз, контроллер домена, почтовый шлюз и т. ?п. Данный модуль в свою очередь состоит из трех компонентов: для контроля SMTP-трафика, контроля внутренней почты сервера MicrosoftExchange 2007/2010, а также Zgate Web (он отвечает за контроль HTTP-, FTP - и IM-трафика).

Вторая часть системы защиты - сервер журналирования. Он используется для сбора информации о событиях с одного или нескольких серверов Zgate, ее обработки и хранения. Этот модуль особенно полезен в крупных и территориально распределенных корпоративных системах, поскольку обеспечивает централизованный доступ ко всем данным. Третья часть - консоль управления. В ее качестве используется стандартная для продуктов компании SecurIT консоль, а поэтому подробно останавливаться на ней мы не будем. Отметим только, что с помощью данного модуля можно управлять системой не только локально, но и удаленно.

Консоль управления

Система Zgate может работать в нескольких режимах. Причем их доступность зависит от способа внедрения продукта. Первые два режима предполагают работу в качестве почтового прокси-сервера. Для их реализации система инсталлируется между корпоративным почтовым сервером и "внешним миром" (или между почтовым сервером и сервером отправки, если они разделены). В этом случае Zgate может как фильтровать трафик (задерживать нарушающие и сомнительные сообщения), так и только журналировать его (пропускать все сообщения, однако сохранять их в архиве).

Второй способ внедрения предполагает использование системы защиты совместно с Microsoft Exchange 2007 или 2010. Для этого необходимо инсталлировать Zgate непосредственно на корпоративный почтовый сервер. При этом также доступно два режима: фильтрация и журналирование. Помимо этого существует и еще один вариант внедрения. Речь идет о журналировании сообщений в режиме зеркалированного трафика. Естественно, для его использования необходимо обеспечить поступление на компьютер, на котором установлен Zgate, этого самого зеркалированного трафика (обычно это осуществляется средствами сетевого оборудования).

Выбор режима работы Zgate

Отдельного рассказа заслуживает компонент Zgate Web. Он устанавливается непосредственно на корпоративный интернет-шлюз. При этом данная подсистема получает возможность контролировать HTTP-, FTP - и IM-трафик, то есть обрабатывать его в целях обнаружения попыток отправки конфиденциальной информации через почтовые веб-интерфейсы и "аську", публикации ее на форумах, FTP-серверах, в социальных сетях и пр. Кстати, об "аське". Функция блокировки IM-мессенджеров есть во многих подобных продуктах. Однако именно "аськи" в них нет. Просто потому, что именно в русскоязычных странах она получила наибольшее распространение.

Принцип работы компонента Zgate Web достаточно прост. При каждой отправке информации в любом из контролируемых сервисов система будет генерировать специальное сообщение. В нем содержится сама информация и некоторые служебные данные. Оно отправляется на основной сервер Zgate и обрабатывается в соответствии с заданными правилами. Естественно, отправка информации в самом сервисе не блокируется. То есть Zgate Web работает только в режиме журналирования. С его помощью нельзя предотвратить единичные утечки данных, но зато можно быстро их обнаружить и пресечь деятельность вольного или невольного злоумышленника.

26. Технология SecureIT Zgate

В предыдущих версиях SecurIT Zgate уже использовались методы сигнатурного и лингвистического анализа, а также метод Байеса для детектирования конфиденциальных данных. Сигнатурный анализ опирается на точное совпадение слова или фразы внутри передаваемых файлов, писем и сообщений, а также анализ формальных признаков сообщений (отправитель, получатель, размер, тип, время, направление трафика и т.д.). Лингвистический анализ включает в себя технологию морфологического анализа и стемминг. Реализован он аналогично методам, используемым в поисковых системах, и позволяет анализировать текст с учетом различных грамматических словоформ. Лингвистический анализ в SecurIT Zgate поддерживает русскую морфологию, что является ключевой особенностью продукта.

Метод Байеса, используемый в большинстве систем для борьбы со спамом, определяет в SecurIT Zgate вероятность принадлежности того или иного документа к категории конфиденциальных. Отличительной особенностью метода Байеса является возможность самообучения, которая существенно расширяет сферу его применения. Точность работы по разным оценкам может составлять до 97 %.

В новой версии SecurIT Zgate 2.0 дополнительно реализованы еще две технологии детектирования. Для блокирования утечек информации, имеющей типовую структуру, в новой версии SecurIT Zgate добавилась возможность использования шаблонов и регулярных выражений.

С помощью регулярных выражений предотвращаются утечки персональных данных, финансовой информации и проектной документации в соответствии с требованиями 152-ФЗ "О персональных данных", PCI DSS, Basel II и Стандарта Банка России СТО БР ИББС-1.0-2008. Вторая новая технология - это цифровые отпечатки. Она даёт возможность сравнивать пересылаемую информацию с базой цифровых отпечатков существующих в организации конфиденциальных документов и определять такие данные даже в случае их существенной модификации. За счет этой технологии существенно упрощается и ускоряется внедрение SecurIT Zgate, так как она не требует специальных навыков и знаний. Необходимо лишь указать папки с конфиденциальными документами и задать вероятность совпадения с базой цифровых отпечатков, после которого передаваемые данные блокируются или отправляются на ручную проверку администратору SecurIT Zgate.

Для хранения архива в SecurIT Zgate 1.2 была предусмотрена поддержка Microsoft SQL Server. В SecurIT Zgate 2.0 появилась поддержка распространенной в крупных компаниях СУБД Oracle Database, а также настройка сжатия архивируемых данных. На текущий момент SecurIT Zgate - первое IPC-решение, которое поддерживает обе СУБД.

Дополнительно в новой версии добавлена поддержка сетевого трафика, перенаправляемого маршрутизаторами в режиме зеркалирования (port mirroring). Обработка перенаправляемого сетевого трафика дает возможность использовать SecurIT Zgate в режиме сбора и анализа инцидентов, аналогично традиционным DLP, и упрощает процесс первичного анализа сетевой активности на этапе пилотного внедрения системы.

SecurIT Zgate проверяет передаваемый трафик по протоколам HTTP, FTP, FTP-over-HTTP, SMTP, ESMTP, OSCAR (ICQ, AOL Instant Messenger).

В продукте реализована поддержка более 100 форматов файлов для анализа их структуры и содержимого, а также анализ архивов заданного уровня вложенности. Продукт может проводить анализ прикрепленных к сообщениям файлов и специальные политики для зашифрованных вложений (RAR, ZIP, DOC, DOCX, XLS, XLSX, PDF, ODB, ODF, ODG).

27. Общая структура и схема работы SecurIT Zgate

SecurIT Zgate состоит из трех компонентов:

консоль управления;

сервер SecurIT Zgate;

сервер журналов.

Сервер SecurIT Zgate имеет модульную архитектуру, которая включает в себя:

модуль контроля SMTP-трафика;

модуль контроля внутренней почты Microsoft Exchange 2007/2010;

модуль контроля Web, FTP и IM-трафика.

Консоль управления едина для всей линейки продуктов компании SecurIT. Её можно разместить на любом компьютере, который имеет связь с сервером SecurIT Zgate по протоколу TCP/IP. При установке следует учитывать тот факт, что даже если вы устанавливаете консоль управления и сервер SecurIT Zgate на одном компьютере - наличие на этом компьютере протокола TCP/IP обязательно.

Сервер SecurIT Zgate является ядром основного функционала всего решения и работает как системный сервис, выполняя следующие функции:

прием и передачу сообщений;

анализ почтовых сообщений;

журналирование веб-трафика;

работу с архивом;

работу серверной части удаленного управления SecurIT Zgate.

Сервер журналов предназначен для централизованного хранения и обработки событий, информация о которых передается клиентскими модулями SecurIT Zgate. Сервер журналов может записывать информацию о событиях в базу данных Oracle или Microsoft SQL, или в XML-файл на локальном компьютере.

28. Принцип работы системы SecurIT Zgate

SecurIT Zgate может работать в следующих режимах:

блокирование трафика в режиме прокси,

пассивный мониторинг трафика в режиме прокси,

пассивный мониторинг трафика в режиме анализа копии трафика (режим снифера),

блокирование почтового трафика непосредственно на сервере Microsoft Exchange 2007/2010,мониторинг почтового трафика непосредственно на сервере Microsoft Exchange 2007/2010,мониторинг веб-трафика.

Блокирование трафика в режиме прокси всего проходящего через SecurIT Zgate трафика по заданным администратором правилам. В этом режиме система SecurIT Zgate работает как фильтр трафика, что подразумевает независимость функционирования системы SecurIT Zgate от модели, разработчика и версии прокси-сервера организации.

Пассивный мониторинг трафика в режиме прокси. В этом случае весь проходящий через SecurIT Zgate трафик сразу доставляется по назначению, без какой-либо фильтрации, но при этом снимается его копия и складывается в архив. Разбор и анализ архивного трафика осуществляется офицером безопасности в системе SecurIT Zgate уже после.

Пассивный мониторинг трафика в режиме анализа копии трафика (режим снифера). Письма доставляются адресатам без участия SecurIT Zgate. Трафик "зеркалируется" на сервер SecurIT Zgate средствами сетевого оборудования (коммутатора или маршрутизатора). Разбор и анализ трафика производится на сервере SecurIT Zgate по заданным правилам аналогично журналированию в режиме прокси.

Блокирование почтового трафика непосредственно на сервере Microsoft Exchange 2007/2010. Весь анализ и разбор почты в этом режиме основан на обработке уведомлений Microsoft Exchange 2007/2010. При использовании этого режима имеется дополнительная возможность фильтрации внутренней почты организации и блокировки доставки почты адресатам.

Мониторинг почтового трафика непосредственно на сервере Microsoft Exchange 2007/2010. Этот режим является модификацией режима фильтрации внутренней почты Exchange и позволяет увеличить скорость доставки сообщений. В нем отсутствует возможность блокировки доставки писем. Принцип действия также основан на обработке внутренних уведомлений Microsoft Exchange 2007/2010.

Мониторинг веб-трафика реализован в виде генерации писем-уведомлений о передаче данных через Web-сайты и службы мгновенных сообщений. Эти письма передаются на анализ серверу SecurIT Zgate. Система SecurIT Zgate обрабатывает письма-уведомления точно также как письма, пришедшие по протоколу SMTP или Microsoft Exchange 2007/2010.

Во всех режимах могут использоваться различные технологии детектирования: сигнатуры, регулярные выражения, "цифровые отпечатки" (Digital Fingerprints), лингвистические методы (морфология, стемминг), метод Байеса, ручная проверка ("карантин").

29. Настройка компонента Zgate Web

Способы обработки информации в Zgate и порядок фильтрации задает политикой, которая разрабатывается офицером по безопасности или другим ответственным сотрудником. Она представляет собой ряд условий, каждому из которых соответствует определенное действие. Все входящие сообщения "прогоняются" по ним последовательно друг за другом. И если какое-то из условий выполняется, то запускается ассоциированное с ним действие.

Система фильтрации

Всего в системе предусмотрено 8 типов условий, как говорится, "на все случаи жизни". Первое из них - тип файла вложения. С его помощью можно обнаружить попытки пересылки объектов того или иного формата. Стоит отметить, что анализ ведется не по расширению, а по внутренней структуре файла, причем можно задавать как конкретные типы объектов, так и их группы (например, все архивы, видеозаписи и пр.). Второй тип условий - проверка внешним приложением. В качестве приложения может выступать как обычная программа, запускаемая из командной строки, так и скрипт.

Условия в системе фильтрации

А вот на следующем условии стоит остановиться подробнее. Речь идет о контентном анализе передаваемой информации. В первую очередь необходимо отметить "всеядность" Zgate. Дело в том, что программа "понимает" большое количество различных форматов. А поэтому она может анализировать не только простой текст, но и практически любые вложения. Другой особенностью контентного анализа является его большие возможности. Он может заключаться как в простом поиске вхождения в текст сообщения или любое другое поле определенного слова, так и в полноценном анализе, в том числе и с учетом грамматических словоформ, стемминга и транслита. Но это еще не все. Отдельного упоминания заслуживает система анализа по шаблонам и регулярным выражениям. С ее помощью можно легко обнаружить в сообщениях наличие данных определенного формата, например, серия и номера паспорта, номер телефона, номер договора, номер банковского счета и пр. Это, помимо всего прочего, позволяет усилить защиту персональных данных, находящихся в обработке компании.

Шаблоны для выявления различной конфиденциальной информации

Четвертый тип условий - анализ адресов, указанных в письме. То есть поиск среди них определенные строк. Пятый - анализ зашифрованных файлов. При его выполнении проверяются атрибуты сообщения и/или вложенных объектов. Шестой тип условий заключается в проверке различных параметров писем. Седьмой - анализ по словарю. В ходе него система выявляет наличие в сообщении слов из заранее созданных словарей. Ну и, наконец, последний, восьмой тип условия - составной. Он представляет собой два или больше других условий, объединенных логическими операторами.

Кстати, о словарях, упомянутых нами в описании условий, нужно сказать отдельно. Они представляют собой группы слов, объединенных по одному признаку, и используются в различных методах фильтрации. Логичнее всего создавать словари, которые с большой долей вероятностью позволяют отнести сообщение к той или иной категории. Их содержимое можно вводить вручную или импортировать данные из уже существующих текстовых файлов. Существует и еще один вариант генерации словарей - автоматический. При его использовании администратору достаточно просто указать папку, в которой содержатся подходящие документы. Программа сама проанализирует их, выберет нужные слова и расставит их весовые характеристики. Для качественного составления словарей необходимо указывать не только конфиденциальные файлы, но и объекты, не содержащие закрытую информацию. В общем, процесс автоматической генерации больше всего похож на обучение антиспама на рекламных и обычных письмах. И это неудивительно, ибо и там, и там используются схожие технологии.

Пример словаря на финансовую тему

Говоря о словарях, нельзя также не упомянуть об еще одной технологии обнаружения конфиденциальных данных, реализованной в Zgate. Речь идет о цифровых отпечатках. Суть данного метода заключается в следующем. Администратор может указать системе папки, в которых содержатся конфиденциальные данные. Программа проанализирует все документы в них и создаст "цифровые отпечатки" - наборы данных, которые позволяют определить попытку передачи не только всего содержимого файла, но и отдельных его частей. Обратите внимание, что система автоматически отслеживает состояние указанных ей папок и самостоятельно создает "отпечатки" для всех вновь появившихся в них объектов.

Создание категории с цифровыми отпечатками файлов

Ну а теперь осталось только разобраться с действиями, реализованными в рассматриваемой системе защиты. Всего их реализовано в Zgate аж 14 штук. Впрочем, большая часть определяет те действия, которые совершаются с сообщением. К ним относится, в частности, удаление без отправки (то есть, фактически, блокировка передачи письма), помещение в архив, добавление или удаление вложений, изменения различных полей, вставка текста и пр. Среди них особо стоит отметить помещение письма в карантин. Данное действие позволяет "отложить" сообщение для ручной проверки офицером безопасности, который и будет принимать решение о его дальнейшей судьбе. Также весьма интересно действие, позволяющее заблокировать IM-соединение. Его можно использовать для моментальной блокировки канала, по которому было передано сообщение с конфиденциальной информацией.

Несколько особняком стоят два действия - обработка методом Байеса и обработка методом отпечатков. Оба они предназначены для проверки сообщений на предмет нахождения в них конфиденциальной информации. Только в первом используются словари и статистический анализ, а во втором - цифровые отпечатки. Эти действия могут выполняться при выполнении определенного условия, например, если адрес получателя находится не в корпоративном домене. Кроме того, их (впрочем, как и любые другие) можно выставить для безусловного применения ко всем исходящим сообщениям. В этом случае система будет анализировать письма и относить их к тем или иным категориям (если, конечно, это возможно). А вот по этим категориям уже можно делать условия с выполнением определенных действий.

Действия в системе Zgate

Ну и в завершение нашего сегодняшнего разговора о Zgate можно подвести небольшой итог. Данная система защиты основана в первую очередь на контентном анализе сообщений. Такой подход является наиболее распространенным для защиты от утечки конфиденциальной информации через Интернет. Естественно, контентный анализ не дает стопроцентной степени защиты и носит скорее вероятностный характер. Тем не менее, его использование позволяет предотвратить большую часть случаев несанкционированной передачи секретных данных. Применять ее компаниям или нет? Это каждый должен решить сам для себя, оценив затраты на внедрение и возможные проблемы в случае утечки информации. Стоит отметить, что Zgate отлично справляется с "отловом" регулярных выражений, что делает его весьма эффективным средством защиты персональных данных, находящихся в обработке у компании.

30. Проблемы

Проблема: Как устанавливается система ИнтранетОфис на сервер?

Решение: Установка программного обеспечения платформы Интранет Офис на сервер начинается с запуска исполняемого файла, полученного от официального дистрибьютора приложения Интранет Офис.

После запуска файла последующая установка серверного программного обеспечения сопровождается указаниямиМастера установки, которые потребуют от администратора выполнения стандартных операций принятия лицензионного соглашения, указания места установки приложения сервер Интранет Офис на аппаратной серверной платформе, а также IP-адреса или DNS сервера, на котором устанавливается Интранет Офис.

Заключение

В курсовой работе были рассмотрены программы Крипто-Про, Zlock, Zgate, их возможности, установка, настройка, системные требования.

По указанному программному обеспечению можно сделать следующие выводы:

Управление ПАКМ "КриптоПро HSM" включает:

· Управление учетными записями пользователей;

· Управление ключами ПАКМ (ключ подписи ПАКМ, ключ активации ПАКМ, ключи шифрования ПАКМ, ключи TLS сервера ПАКМ);

· Управление журналами событий и аудита ПАКМ;

· Управление встроенным межсетевым экраном ПАКМ;

· Управление сетевыми настройками ПАКМ;

Zgate позволяет контролировать:

· Переписку в корпоративной электронной почте.

· Письма, отсылаемые через сервисы веб-почты.

· Сообщения интернет-мессенджеров.

· Общение в социальных сетях, на форумах и блогах.

· Файлы, передаваемые по FTP.

Система Zlock позволяющая разграничивать доступ к следующим видам устройств:

§ любые USB-устройства - flash-накопители, цифровые камеры и аудиоплееры, карманные компьютеры и т.д.;

§ локальные и сетевые принтеры;

§ внутренние устройства - контроллеры Wi-Fi, Bluetooth, IrDA, сетевые карты и модемы, FDD-, CD - и DVD-дисководы, жесткие диски;

§ порты LPT, COM и IEEE 1394;

§ любые устройства, имеющие символическое имя.

Права доступа могут иметь следующий вид:

§ полный доступ;

§ доступ только на чтение;

§ запрет доступа.

Интернет ресурсы

1. "Название сайта", http://www.trusted.ru

2. http://www.link-service.ru

3. http://www.microtest.ru

4. http://www.cryptopro.ru

5. http://www.anti-malware.ru

6. http://www.ixbt.com

7. http://www.samag.ru

8. http://www.windowsfaq.ru

9. http://www.fstec.ru

10. http://www.guardant.ru

11. http://www.osp.ru

Размещено на Allbest.ru