Przy rozpowszechnionym rozprzestrzenianiu się wszelkiego rodzaju napędów wymiennych, problemu Insider i przed wystarczającą ilością istotnych, nabył prawdziwie globalną skalę. I nie ma absolutnie nic dziwnego. Dzisiaj każdy pracownik, który ma dostęp do poufnych informacji, nie może problem, a co najważniejsze, niezauważalnie skopiować go do siebie i wykorzystać w przyszłości do różnych celów. I dobrze, jeśli jest to pragnienie, po prostu pracuję z umowami w domu. Chociaż, taka akcja, niezależnie od intencji wiązania, nadal gwałtownie zwiększa ryzyko kompromisowania danych (komputery domowe są zwykle słabsze niż najbardziej chronione, różne osoby mogą być szlifowane, a napęd można utracić). Jednak pracownik może skopiować informacje do przekazywania konkurentów lub wykorzystaniu do swoich celów osobistych. Najłatwiejszym i prostym przykładem jest skopiowanie podstawy klientów (lub umów z nimi) przed zwolnieniem, aby zwiększyć je do innej firmy.
Głównym problemem jest ten standard, czyli środki wbudowane w systemy operacyjne, niemożliwe jest ochrona przed taką metodą kradzieży. Weź przynajmniej dyski flash USB. Są to miniaturowe, tanie i bardzo czołgi. Wraz z ich pomocą pracownicy mogą niezauważalnie "przetrwać" z systemu informacji korporacyjnej dla gigabajtów informacji. Jednak nie można wyłączyć portów USB na stacji roboczych - dziś są one niezbędne do podłączenia wielu urządzeń: Drukarki, klawiatury, myszy, klucze do oprogramowania itp. Ponadto nie można zapomnieć o innych opcjach dla kradzieży informacji, na przykład , Korzystanie z płyt CD / DVD, telefonów komórkowych itp., Nawet zwykła drukarka może stać się zagrożeniem. W końcu pracownik ma możliwość drukowania poufnych informacji i przeprowadzić wydruki. Nie będą ich wyłączyć, ponieważ zazwyczaj potrzebne są wszystkie te urządzenia, aby spełnić swoje oficjalne obowiązki.
Jedynym sposobem na zabezpieczenie firmy przed kradzieżą informacji poufnych poprzez różne dyski wymienne jest wprowadzenie systemu ograniczeń i kontroli nad ich użyciem. Jest realizowany przy użyciu specjalnego oprogramowania. Z jakiegoś powodu wiele firm jest przekonany, że takie produkty są bardzo złożone, a ich wdrażanie i konserwacja potrzebujesz specjalnych kwalifikacji. Jednak jest całkowicie źle. System ograniczenia praw dostępu do zewnętrznego i urządzenia wewnętrzne. Komputer jest tak prosty, że nie tylko wykwalifikowany administrator może sobie z tym poradzić, ale nawet doświadczony użytkownik PC. W potwierdzeniu tych słów dzisiaj rozważymy przykład wprowadzenia Zloku do korporacyjnego IC firmy z firmy Securit. Warto zauważyć, że nie może chronić przed wyciekiem poufnych informacji za pośrednictwem Internetu (na przykład przez e-mail za pośrednictwem "ICQ", itd.), W tym celu potrzebujesz innych produktów z zupełnie inną zasadą działania (na przykład Zgate od tego samego dewelopera). Ale z zadaniem kontrolowania wszelkiego rodzaju napędów wymiennych i drukarkach Zlock odnosi sukcesy.
Struktura żąku
Przed rozpoczęciem rozmowy o procedurze instalacji rozpatrywanej systemu, konieczne jest rozwiązanie swojej struktury. Zlock składa się z pięciu części.
· Kontrola konsoli.. Program, który pozwala administratorowi w pełni zarządzać systemem, w tym jego instalację na stacjach roboczych, zmieniając zasady dostępu, obsługa z logami i serwerami konfiguracji itp.
· Moduł klienta.. Utility zainstalowane na stacjach roboczych. To ona monitoruje i blokuje dostęp zgodnie z określonymi zasadami. Ponadto moduł klienta współdziała z serwerem LOG, sprawdza integralność Zlocka itp.
· Magazyny serwera.. System uzyskiwania, przechowywania i przetwarzania informacji o zdarzeniach, które przesyłają moduły klienckie. Zapewnia wygodny dostęp administratora do wszystkich danych.
· Serwer konfiguracji. Scentralizowany system zarządzania konfiguracją Zliska.
· Moduł konfiguracji Zlocka poprzez zasadę grupy. Moduł do instalacji i aktualizacji systemu za pomocą zasad grupy.
Przede wszystkim konieczne jest danie, gdzie zainstalowane są moduły. Oczywiste jest, że konsola kontroli musi być zainstalowana na administratorowi komputera lub pracownikowi odpowiedzialnym za odpowiedzi bezpieczeństwo informacji Firmy. Ten proces nie różni się od instalowania żadnego innego oprogramowania, dlatego nie zatrzymamy się szczegółowo.
Serwer magazynu i serwer konfiguracji w zasadzie nie są wymagane do obsługi systemu. Zlock może skutecznie poradzić sobie z zadaniami przypisanymi do niego i bez nich. Jednak serwer dziennika jest bardzo wygodny do natychmiastowego przeglądania zdarzeń dla wszystkich stacji roboczych. Cóż, serwer konfiguracji jest niezbędny w dużych sieciach korporacyjnych. Dzięki nim możesz łatwo zarządzać ustawieniami modułów klientów na dużej liczbie stacji roboczych. Są ponownie zainstalowane jako zwykłe oprogramowanie. Ta procedura jest wykonywana lokalnie z dystrybucji w pakiecie Zlock.
Ostatnim etapem instalacji systemu rozważanego jest instalacja modułów klientów do wszystkich komputerów, które wymagają monitorowania. Możesz to zrobić na dwa sposoby (opcja z instalacją ręczną, nie uważamy za oczywiste powody). Pierwszy z nich obejmuje użycie konsoli zarządzającej. Po rozpoczęciu, kilka grup znajduje się na lewym okienku głównego okna. Musisz znaleźć wśród nich i otworzyć drzewo "Komputery i aplikacje", a następnie ujawniają gałąź "bez aplikacji". Zostanie podany pełna lista Komputery zawarte w lokalnej sieci, dla której system Zlock nie jest zainstalowany.
Aby rozpocząć procedurę instalacji części klientów, administrator musi wybrać komputer lub komputery (w tym, w tym można określić całą domenę) docelowego i kliknąć przycisk "Zainstaluj lub aktualizuj żakiet ..." znajdujący się na pasku narzędzi. W otwartym oknie należy określić folder z dystrybucją programu (optymalna opcja będzie folderem sieciowym, do którego wszyscy użytkownicy mają dostęp), a także wybrać opcję instalacji. Istnieją trzy ze wszystkich trzech: z ręcznymi lub wymuszonymi ponownymi komputerami, a także bez ponownego uruchomienia. Warto zauważyć, że ten ostatni, najwygodniejsza opcja nie może zostać zastosowana do aktualizacji zainstalowanych części klienta. Podsumowując, wybierzesz tylko komputer, do którego zostanie przeprowadzona instalacja (nie możesz instalować Zliska do wszystkich komputerów sieciowych), a także określić użytkownika z prawami lokalnego administratora. Ponadto program w przypadku braku autorytetu może poprosić o wpis danych innego użytkownika.
Inną opcją wdrażającą system ochrony stacji roboczych korporacyjnych jest stosowanie zasad grupy. W tym celu pakiet Zlock zawiera specjalny pakiet instalacyjny. Sama procedura instalacji jest zaznajomieni z prawie wszystkimi administratorami systemu. Najpierw musisz stworzyć folder sieciowy., Kopiuj w plikach Zlock30. MSI i Zlockssi. Ini i zapewnij dostęp do wszystkich użytkowników domeny. Jeśli już masz plik konfiguracyjny., można go umieścić w tym samym katalogu. W takim przypadku zostanie automatycznie zastosowany do wszystkich zainstalowanych modułów klientów. Jeśli nie ma takiego pliku, system zastosuje domyślne polisy, które będą musiały zostać skonfigurowane w przyszłości.
Po tym, w właściwościach domeny korporacyjnej (dostęp do nich jest przeprowadzany przez konsolę Active Directory.) Musisz przejść do zakładki zasad grupy i utworzyć nową politykę. W oknie tej polityki należy otworzyć drzewo konfiguracji komputera, wybierz "Instalowanie programów" i utwórz nowy pakiet, w których właściwościach, aby określić ścieżkę sieciową do pliku Zlock30. MSI. W rezultacie instalacja systemu Zlock przeprowadza się przez standardowy system operacyjny.
Ustawianie dostępu do polityki
Najbardziej ważną operacją w procesie wdrażania systemu ochrony Zlock jest skonfigurowanie zasad dostępu. To oni określają możliwość współpracy z tymi lub innymi urządzeniami. Każda polityka składa się z trzech części. Pierwsza jest listam urządzeń lub ich grup, dla których przeliterowano prawa dostępu do różnych użytkowników. Drugą częścią polityki jest skonfigurowanie plików kopiowania cienia skopiowanych do różnych dysków. Cóż, trzecia część określa ustawienia kopiowania cienia dokumentów wydrukowanych na drukarkach. Ponadto każda polityka ma wiele dodatkowych właściwości, które rozważamy poniżej.
Zasada polityki jest następująca. Każda stacja robocza jest jedną lub więcej zasadami przypisanymi przez administratora. Jeśli wystąpią jakiekolwiek zdarzenie sterowane przez system ochrony (podłączenie urządzenia, próba skopiowania pliku do napędu wymiennego, wydruku dokumentu itp.), Moduł klienta sprawdza go do zgodności ze wszystkimi zasadami z kolei (kolejność jest ustanowiony przez system priorytetowy) i stosuje pierwszy, który odpowiada. Oznacza to, że Zlock nie ma zwykłego systemu wyjątku. Jeśli na przykład musisz zablokować wszystkie dyski flash USB, z wyjątkiem jednego konkretnego, musisz użyć dwóch zasad. Pierwszy niski priorytet zabrania stosowania dysków wymiennych. A drugi, z wyższym, pozwala na użycie określonej instancji. Oprócz administratora utworzonego przez administratora, nadal istnieje domyślna polityka. Określa prawa dostępu do tych urządzeń, które nie są opisane w innych politykach.
Cóż, przeanalizujmy teraz procedurę tworzenia polityki. Aby go uruchomić, musisz wybrać żądaną stację roboczą w drzewie konsoli zarządzania i zainstaluj połączenie z nim. Po tym musisz wybrać menu zasad "Dodaj". Okno, które pojawiają się w tym przypadku składa się z pięciu zakładek. Pierwszy z nich nazywa się "dostępem". Ustawia nazwę utworzonej polityki, jej priorytet i prawa dostępu do urządzeń. Tutaj dostępne są cztery opcje: Pełny dostęp dla wszystkich użytkowników, dostęp do urządzeń, aby przeczytać dla wszystkich użytkowników, zakazujących urządzeń dla wszystkich użytkowników i indywidualnych ustawień praw dostępu do urządzeń dla użytkowników i grup. Spotkania pierwszych trzech są zrozumiałe z ich nazwisk. Ale ostatnia opcja jest warta odnotowania oddzielnie. Dzięki nim możesz ustawić różne prawa dla poszczególnych użytkowników, co jest bardzo wygodne, ponieważ różne pracownicy mogą często pracować na jednym komputerze. Aby wprowadzić prawa dostępu, należy kliknąć na przycisk "Edytuj" i dodaj wymagane konta w oknie, które otwierają się ( komputer lokalny lub domena), określając uprawnienia dla każdego z nich.
Po wprowadzeniu podstawowych parametrów należy określić listę urządzeń i grup, do których zostanie zastosowana polityka. Aby to zrobić, użyj zakładki "Urządzenia". W przypadku wprowadzania sprzętu w Zlockiej są cztery sposoby.
· Typowe urządzenia. Opcja ta obejmuje wybór wszystkich urządzeń określonego typu, na przykład, wszystkie dyski wymienne, dyski CD / DVD, dyski twarde itp.
· Urządzenie USB o określonych cechach. Umożliwia określenie urządzeń USB według typu, producenta, nazwy produktu, numer seryjny urządzenia itp.
· Drukarki. Używane do wprowadzania niektórych lokalnych lub sieciowych drukarek.
Korzystając z tych metod, możesz utworzyć bardzo dokładną i elastyczną listę urządzeń. Warto zauważyć, że możesz wybrać nie tylko sprzęt podłączony do komputera ten momentAle ten, który kiedyś był używany (bardzo istotne dla dysków wymiennych). Ponadto administrator może utworzyć tak zwany katalog urządzeń. Jest to plik, w którym znajdują się wszystkie urządzenia podłączone do komputerów sieciowych. Może być tworzony zarówno ręcznie, jak i automatycznie, skanując wszystkie stacje robocze.
Zasadniczo mamy już całkowicie skuteczną politykę. Jednak Zlock zapewnia szereg dodatkowych ustawień, które rozszerzają funkcjonalność systemu ochrony. Tak więc, na przykład, jeśli tworzona jest polityka, która nie powinna stale działać, konieczne jest zadać harmonogram swojej pracy. Odbywa się na karcie o tej samej nazwie. Może określić interwały, podczas których polityka jest ważna. Administrator może wprowadzić ważność polityki, czasu, dni tygodnia lub liczby miesięcy, do których będzie aktywny.
Jeśli komputer jest tworzony, może być rozłączony od sieci korporacyjnej i / lub podłączyć do niego przez Internet, możesz zdefiniować parametry specjalne. Aby to zrobić, musisz przejść do karty "Zasady aplikacji". Wymienia trzy elementy stanu komputera PC w stosunku do domeny korporacyjnej: domena jest dostępna lokalnie, domena jest dostępna za pośrednictwem VPN, domena nie jest dostępna. Aby wyłączyć politykę dla każdego z nich, wystarczy po prostu dezaktywować odpowiednie pole wyboru. Na przykład, jeśli chcesz wydrukować z komputera odłączony od sieci korporacyjnej, było niemożliwe do wydrukowania czegoś, wystarczy stworzyć politykę, która zabrania stosowania drukarek oraz w regułach aplikacji do aktywacji elementów "jest niedostępne "i" domena jest dostępna za pośrednictwem VPN. "
Po utworzeniu jednej lub więcej zasad na jednym z komputerów można szybko rozłożyć je do innych komputerów. Aby to zrobić, w konsoli zarządzania, musisz nawiązać połączenie ze wszystkimi niezbędnymi stacjami i wybierz element "Usuń konfigurację" w menu "Serwis". W oknie, które otwierają się, sprawdź "Niezbędne zasady i komputery", aktywuj CEMBOX "Dystrybucja w tle polityki" i wybierz akcję, którą program musi wykonać, gdy polityka zostanie wykryta tymi samymi nazwami (pytając, nadpisanie, czy nie nadpisany). Następnie kliknij przycisk "OK" i poczekaj na zakończenie procesu.
W przyszłości każda polityka może zostać zmieniona. Aby to zrobić, wystarczy połączyć się z komputerem, na którym został pierwotnie utworzony, znajdź go w "Drzewie" i kliknij dwukrotnie na nim myszą. Będzie to otwarte już znane do procedury tworzenia bloku okna, w którym można zmienić określone parametry. Należy pamiętać, że jeśli edytowana z edycji polityki została dystrybuowana do innych komputerów w jednym czasie, wtedy, zanim zmienia go, aby wstępnie ustalić połączenie ze wszystkimi tymi komputerami. W tym przypadku, gdy zapisujesz zmiany, sam program Zlock sugeruje synchronizację przestarzałych zasad z nowym. Podobnie usuwanie polityka.
Konfigurowanie logowania i kopiowania cienia
W systemie Zlock zapewnia system bankucji. Dzięki temu administratorowi lub inna osoba odpowiedzialna za bezpieczeństwo informacji mogą przeglądać i analizować wszystkie zdarzenia śledzenia. Aby go włączyć, należy wybrać element "Ustawienia" w menu "Serwis" i przejdź do okna, które otwiera się na karcie rejestrowania. Wymienia wszystkie możliwe zdarzenia (zakazujące nagranie urządzenia, zmieniając dostęp do sieci, zmianę konfiguracji, zastosowanie zasad dostępu itp.), A także ich status pod względem rejestrowania.
Aby włączyć rejestrowanie jednego lub więcej zdarzeń, należy kliknąć na liście "Plus" i wybierz opcję rejestrowania: Nagrywanie do pliku (dziennik zdarzeń systemu lub dowolnego pliku formatu TXT lub XML), do bazy danych na serwerze SQL lub LOG serwer, wysyłając list do wiadomości e-mail.
Po tym, w oknie, które otwierają się, musisz skonfigurować parametry dziennika (zależą od wybranej opcji: nazwa pliku, parametry dostępu do bazy danych itp.), Zaznacz żądane zdarzenia i kliknij przycisk "OK".
Oddzielnie skonfiguruj operacje plików rejestrowania. W nim oznacza takie działania, jak tworzenie, modyfikowanie i edytowanie plików, tworzenie i usuwanie katalogów itp. Jest oczywiste, że takie dzienniki mają sens do prowadzenia tylko podczas stosowania napędów wymiennych. Dlatego tego typu dziennik jest związany, aby uzyskać dostęp do polityki. Aby go skonfigurować, musisz wybrać "Operacje plików" w konsoli sterowania w menu "Serwis". W oknie, które się otwierają, przede wszystkim należy zauważyć zasady, dla których prowadzi się dziennik. Zdobywa sens do wyboru tych, którzy kontrolują stosowanie napędów wymiennych: Urządzenia USB, napędy CD / DVD itp. Następnie musisz wprowadzić działania, w których system będzie wykryty podczas wykrycia operacji plików. Aby dodać każdy z nich, musisz kliknąć na "Plus" i wybierz żądaną opcję. Trzy działania odnoszą się do rejestrowania to rekord informacji o zdarzeniu do pliku, do bazy danych lub wysyłania wiadomości e-mail. Ta ostatnia opcja jest uruchomienie określonego programu lub skryptu.
Następnie możesz przejść do konfigurowania kopiowania cienia. Jest to bardzo ważna funkcja systemu Zlock, który nie powinien być zaniedbywany. Zapewnia niewidoczną dla kopiowanych lub drukowanych plików lub drukowanych plików użytkownika do specjalnego przechowywania. Kopiowanie cienia jest konieczne, gdy korzystanie z drukarek lub dysków wymiennych dla pracowników musi spełniać swoje obowiązki zawodowe. W takich przypadkach zapobiegaj wyciekom informacyjnym Środki techniczne Prawie niemożliwe. Ale kopia cienia umożliwi szybkie reagowanie na to i zatrzymanie przyszłych incydentów.
Aby ustawić parametry kopiowania cienia, należy wybrać element w menu "Serwis". Przede wszystkim możesz skonfigurować lokalne przechowywanie. Aby to zrobić, musisz określić folder, w którym pliki zostaną zapisane, wprowadź dostępną kwotę (w megabajtach lub procentach z wolnego miejsca na dysku twardym), a także wybierz akcję podczas przepełnienia (nadpisywanie plików w repozytorium, zabronić lub włączyć kopiowanie i drukowanie).
W razie potrzeby możesz skonfigurować kopiowanie cienia do pamięci sieciowej. Aby to zrobić, przejdź do zakładki "Kopiuj do serwera" i aktywuj pole wyboru "Prześlij informacje o kopiowaniu cienia i plików na serwer". Jeśli transfer musi być wykonany natychmiast, konieczne jest wybranie "przesyłania plików już w miarę możliwości". Możliwa jest inna opcja - system kopiuje pliki o danej częstotliwości. Następnie musisz wybrać folder sieciowy, w którym pliki zostaną nagrane. Należy pamiętać, że ma sens, aby wybrać taki katalog, do którego można uzyskać dostęp tylko u administratora. W przeciwnym razie pracownik będzie mógł przejść do niego i usunąć lub przynajmniej przeglądać zapisane pliki. Jeśli wybierzesz taki folder, musisz wprowadzić nazwę użytkownika i hasło użytkownika, który ma uprawnienia do pisania informacji do niego.
Cóż, w zakończeniu ustawienia pozostaje do zakładki "Polityki" i określa te zasady, gdy kopia cienia będzie działać.
System zezwoleń tymczasowych
Zasadniczo proces wprowadzenia Zloku jesteśmy z tobą, Drodzy Czytelnicy, już zdemontowali. Po zakończeniu system ochrony przed inaiderami będzie działać, pomagając firmie, aby uniknąć wycieku danych handlowych i osobistych. Jednak w Zloct znajduje się kolejna bardzo interesująca okazja, która pozwala ci ułatwić ułatwienie życia administratora. Mówimy o systemie wydawania tymczasowych zezwoleń na korzystanie z niektórych urządzeń.
Dlaczego chcesz skupić się na tej chwili? Wszystko jest bardzo proste. Praktyka pokazuje, że często istnieją sytuacje dość często, gdy ktoś z pracowników musi korzystać z urządzenia zwykle dla nich. Co więcej, taka potrzeba może pojawić się pilnie. W rezultacie pojawia się panika, administrator pilnie poszukuje, co powinno zmienić politykę dostępu i, co najważniejsze, nie zapomnij, a następnie wróć. Oczywiście jest to bardzo niewygodne. Dużo lepiej jest korzystać z systemu wydawania tymczasowych zezwoleń.
Aby go użyć, musisz najpierw wygenerować certyfikat administratora. Aby to zrobić, musisz wybrać element "Certyfikat ..." w menu "Serwis", aw oknie, które zostanie otwarte, kliknij przycisk "Zmień certyfikat". Następnie w kreatorze wybierz przełącznik "Utwórz nowy certyfikat" i wprowadź go. Następnie pozostaje tylko po to, aby połączyć się zdalne komputery, Wybierz element "Narzędzia" w menu "Serwis", przejdź do zakładki "Ogólne" i kliknij przycisk Zainstaluj.
W Zlockiej, tymczasowe uprawnienia mogą być używane na dwa sposoby - za pomocą wiadomości e-mail i telefonicznie. W pierwszym przypadku utworzenie zapytania jest wykonywane w następujący sposób. Użytkownik musi kliknąć prawym przyciskiem myszy na ikonie Zliska w zasobniku systemowym i wybierz element "Utwórz żądanie" w menu rozwijanym. W oknie, które otwiera się, musi wybrać żądane urządzenie i prawa dostępu (tylko do odczytu lub pełny dostęp), wprowadź adres administratora, a jeśli to konieczne, krótki komentarz. Jednocześnie wygenerowano w tym samym kliencie poczty e-mail w systemie domyślnym, zostanie wygenerowana litera z zapytań plików. Po otrzymaniu go administrator musi go dwukrotnie kliknąć. Spowoduje to otwarcie okna z informacjami o żądaniu. Jeśli administrator zgodzi się przetworzyć go, musi kliknąć przycisk "Dalej". Spowoduje to otwarcie okna do utworzenia nowej polityki, w której żądane urządzenie zostało już wprowadzone. Administrator pozostaje tylko po to, aby ustawić harmonogram tej polityki. Może być zarówno stała, jak i jednorazowa. W drugim przypadku polityka będzie działać tylko do momentu zakończenia użytkownika przez sesję Windows lub aż do pobierania urządzenia (zależy od wyboru administratora). Ta polityka może zostać przeniesiona do komputera pracownika w zwykły sposób lub za pomocą specjalnego pliku e-mail (będzie chroniony za pomocą certyfikatu administratora). Gdy otrzymał użytkownik, wystarczy uruchomić go, po czym otrzyma dostęp do żądanego urządzenia.
System wydawania zezwoleń przez telefon działa w podobny sposób. Po pierwsze, użytkownik musi utworzyć żądanie. Ta procedura jest prawie identyczna powyżej. Tylko na ostatnim etapie nie jest e-mailem, ale specjalnym kodem składającym się z pięciu bloków liczb i liter. Pracownik musi zadzwonić do administratora i dyktować ten zestaw znaków. Od administratora należy wprowadzić ten kod w specjalne okno (nazywany jest za pomocą pozycji menu "Żądanie karty"). W tym przypadku na ekranie pojawi się szczegółowe żądanie. Następnie Administrator może tworzyć zasady już znane nam. Jedyną różnicą jest na ostatnim etapie, system utworzy inny kod. Jego administrator zostaje złapany, aby dyktować pracownik, który, wprowadzając go w specjalne pole, może aktywować dostęp do urządzenia.
Podsumujmy
Tak więc, jak widzimy, procedura wdrażania systemu ochrony przed insiderami, zasadniczo nie jest trudna. Za jego wykonanie, nie musisz mieć pewnych umiejętności specjalnych. Pewność z nią każdy administrator systemu z podstawową wiedzą technologie sieciowe.. Warto jednak zauważyć, że skuteczność ochrony całej ochrony i całkowicie zależy od tego, jak poprawnie skomponowana jest polityka dostępu. Jest to w tym momencie warto zbliżyć się z maksymalną powagą i spełnieniem tej pracy powinno być odpowiedzialnym pracownikiem.
Zlock: Dostęp do urządzeń USB
Test Zlock.
Główne szacowane zalety systemu, wraz z podstawowymi cechami funkcjonalnymi, musi istnieć prostota wprowadzenia i intuicji działania, aby ją skonfigurować i skonfigurować.
Rysunek 1. Domyślna polityka dostępu
Po tym, jak musisz rozważyć politykę dostępu do samego serwisu Zlock, który będzie również dystrybuowany podczas instalacji w miejscach klientów. Edytuj zasadę dostępu do części klienta programu, umożliwiając lub zakazanie użytkowników do zobaczenia ikony i otrzymuje ostrzeżenia dotyczące zmiany zasad dostępu. Z jednej strony dane ostrzegawcze są wygodne, ponieważ wysyłając dostęp do administratora, aby otrzymać dostęp, użytkownik zostanie powiadomiony, jeśli zmieniona polityka zostanie zastosowana do stacji roboczej. Z drugiej strony często administratorzy systemowi wolą nie dostarczać użytkownikom niepotrzebnych potwierdzeń wizualnych pracy na stacji roboczej usług ochronnych.
Następnie utworzona polityka (w tym przypadku pozostaje lokalna dla stacji roboczej konsoli) jest zapisywana jako plik z domyślną nazwą. ZCFG w folderze z zestawem dystrybucji części klienta.
Wszystko. To globalne przygotowanie systemu do instalacji masowej jest zakończone. Produkt zachwyca prostotę stworzenia polityk związanych ze stosowaniem standardowej zasady tworzenia praw użytkowników typu ACL.
Aby zainstalować na wszystkich komputerach, użytkownicy wysłali wyskakujące komunikat, aby włączyć wszystkie sieciowe stacje robocze znajdujące się w pobliżu, ale obecnie nie używane. Wybierając komputery z listy, aby podłączyć wszystkie stacje robocze sieciowe (lub raczej wybierając wszystko, a następnie wykluczyć serwery), uruchomiłem proces połączenia do dalszej instalacji części klienta. Łączenie się z taką liczbą komputerów (150), oczywiście, trwało to stosunkowo długi czas, ponieważ jest przeprowadzany sekwencyjnie, a jeśli komputer jest wyłączony - włączona jest limit czasu na połączenie. Jednak procedura będzie musiała być przeprowadzona tylko w początkowej instalacji, wówczas polityka będzie monitorowana na podstawie osobistych potrzeb użytkowników. Podczas próby "od razu" ustaw część klienta dla wszystkich 150 lokalnych komputerów sieciowych, wpadłem w niewielkie problemy na kilku stacjach roboczych, ale system został zainstalowany automatycznie na większości komputerów. Problem w samej instalacji był jedną - Niezgodność Zliska z przestarzałymi wersjami sterownika napędu CD - Starforce. Aby uzyskać poprawną interakcję, musisz uaktualnić sterownik Starforce, pobierając go z witryny producenta. Zostało to również wykonane zdalnie za pomocą usługi zdalnej instalacji. Wyjaśnienie przyczyn tej niezgodności, moim zdaniem, ma prawo do życia - przecież, Zlock współdziała z podsystemem we / wy na niższym poziomie, a nie funkcjonowanie aplikacji OS, - tak jak ochrona przed kopiowaniem CD.
Po wybraniu stacji roboczych otrzymasz, aby określić, gdzie można uruchomić zestaw dystrybucji instalatora. To jest ta funkcja, która umożliwia ustanowienie innych programów w ten sposób bez przechodzenia od miejsca pracy. Uważaj, gdy opcja instalacji jest wybrana - "z rest Reboot" lub "Restart wymaga". Jeśli wybierzesz "Za pomocą Reboot" - po zakończeniu instalacji, stacje robocze klienta zostaną ponownie uruchomione automatycznie bez zadawania potwierdzenia użytkownika.
Ta wstępna instalacja jest zakończona, a po ponownym uruchomieniu części klienta Zliska rozpocznie realizację przepisanej polityki bezpieczeństwa. Jednocześnie ikona usługi Zlock pojawia się w tacy, która zapewnia użytkownikom możliwość tworzenia żądań dostępu, a niezależnie edytować zasady, chyba że jest oczywiście dozwolone przez nas domyślne polisy.
W celu wypełnienia poufności ...
Po tym, w rzeczywistości zaczyna się dostrajać system Zlock. Jeśli w Twojej firmie pracownicy często muszą zaoszczędzić coś na mediach wymiennych, a polityka bezpieczeństwa chciałaby utrzymać na najbardziej ścisłym poziomie, a następnie koordynować harmonogram pracy, aby móc uczestniczyć w następnym miejscu, jak to możliwe. Aby utrzymać maksymalną wagę polityki dostępowej, zaleca się tworzenie reguł dla określonych urządzeń wymiennych, ponieważ Zlock umożliwia dostęp do urządzeń nawet na podstawie jego pełnych cech, takich jak marka, model, numer seryjny itp. Jest bardziej skomplikowany w firmach IT, ponieważ pracownicy stale muszą rejestrować wszelkiego rodzaju informacje na płytach CD / DVD-R / RW. W tym przypadku możesz polecić korzystanie z wybranych stacji roboczych z napędami nagrywania, na których zasady zostaną utworzone przez zasady bezpieczeństwa systemu, które nie pozwalają uzyskać dostęp do sieci z tych komputerów. Jednak takie subtelności wykraczają poza artykuły poświęcone Zlock.
Jak działa w praktyce?
Teraz zobaczmy, jak to wszystko wygląda w pracy. Przypominam, że polityka dostępu stworzona przeze mnie pozwala użytkownikom odczytywać ze wszystkich urządzeń wymiennych i zabrania na nich wpisu. Pracownik Departamentu Służby przychodzi do Urzędu, aby przejść raporty i rejestrować zadania zadań. Gdy urządzenie wymienne jest podłączone, system ogranicza dostęp i wyświetla odpowiednie ostrzeżenie (patrz rys. 2).
Rysunek 2. OSTRZEŻENIE Aby ograniczyć dostęp
Pracownik odczytuje informacje od niego, po czym nie powiodło się, aby nagrać zadanie otrzymane od głowy. Jeśli chcesz uzyskać dostęp do dostępu, jest to powiązane z administratorem telefonicznie, albo generuje automatyczne zapytanie za pomocą apletu Zlock Taca z wskazaniem urządzenia, do którego chciałby zdobyć, wzywa swoje konto i motywuje potrzebę takiego dostępu .
Administrator, otrzymający taki wniosek, decyduje o dostarczeniu / nie zapewniając takiego dostępu, jak i z dodatnim rozwiązaniem zmienia politykę dla tej stacji roboczej. W tym przypadku utworzone zapytanie zawiera wszystkie informacje o urządzeniu, w tym producenta, modelu, numeru seryjnego itp., A system Zlock umożliwia tworzenie jakichkolwiek zasad w oparciu o te dane. Dlatego możliwość zapewnienia prawa do zapisania określonego użytkownika do określonego urządzenia, jeśli to konieczne, prowadzenie dziennika wszystkich operacji plików (patrz rys. 3).
Rysunek 3. Tworzenie polityki na podstawie żądania użytkownika
W związku z tym proces tworzenia dodatkowych zasad uprawniających jest ułatwiony dla administratora do limitu i sprowadza się do zasady Check & Click, która jest niewątpliwie zadowolona.
Problemy
Nie otwiera portów w Firevol administracja zdalna Zlock?
W przypadku zdalnego administrowania Zliska w zaporze, wystarczy otworzyć jeden port. Domyślnie jest to port 1246, ale można go zmienić, jeśli ten numer nie nadaje się do jakiegokolwiek powodu. Nawiasem mówiąc, nasz produkt jest korzystny dla niektórych analogów, które korzystają z administracji usługi. wywołanie zdalne Połączenia z procedurą zdalną - RPC, które domyślnie wymaga otwarcia wielu portów i jest dość wrażliwe na ataki zewnętrzne. Jak wiesz, większość nowoczesnych wirusów używała tylko luk w RPC, aby wprowadzić do komputera i otrzymywać uprawnienia administracyjne w nim.
2) problem
Mieliśmy następną sytuację. W jednym dziale, dwóch pracowników pracuje na jednym komputerze. Każdy ma dysk flash. Jest warta zadania, aby pierwszy przeczytał napęd flash pracownika, ale nie ma dysku flash USD. Głównym problemem jest to, że te dyski flash mają te same numery (Vid_058F i PID_6387), transcend 256 MB i 1 GB napędów flash. Powiedz mi, co robić w tej sytuacji? Wielkie dzięki.
Numery, o których mówisz, są identyfikatorami produktu (ID produktu) i producentem (ID dostawcy). Aby ograniczyć dostęp do urządzeń z tymi samymi identyfikatorami produktów i producentem w polityce Zlockiej, musisz określić swój numer seryjny. Warto zauważyć, że nie wszyscy producentów dysków USB są przypisywane do ich produktów unikalnych numerów seryjnych, zazwyczaj brak numery seryjnych grzech noname-producentów.
II. Recenzja Securitzgate.
W tej recenzji rozpoczynamy szczegółową historię o Securit Zgate, rozwiązanie korporacyjne przeznaczone do analizy ruchu internetowego na poziomie bramy w celu wykrycia i blokowania prób przecieków poufnych danych lub innych nieautoryzowanych działań pracowników.
Wprowadzenie
Według koncepcji kompleksowej ochrony przed zagrożeniami wewnętrznymi, promowany przez Securit, produkt Securit Zgate Gateway jest ważną częścią systemu IPC. Koncepcja IPC obejmuje DLP (zapobieganie utraty danych) i rozwiązania do ochrony danych podczas przechowywania. Po raz pierwszy, łącząc różne technologie na pierwszy rzut oka, został zaproponowany przez analityk IDC Brian Burk w raporcie o ochronie informacji i kontroli: zapobieganie utraty danych i trendy szyfrowania.
W systemach IPC standardowa lista kanałów kanałów jest monitorowana: e-mail, zasoby internetowe (poczta internetowa, portale społecznościowe, blogi), ICQ, urządzenia USB i drukarki. W IPC szyfrowanie danych na serwerach, taśmach magnetycznych i punktach końcowych na komputerach PC, laptopy i dyski mobilne są dodawane do tych funkcji. Oprócz listy kontrolowanych kanałów i zaszyfrowanych mediów IPC znacznie różni się znacznie od metody wykrywania poufnych danych.
W ten sposób system Securit ZGate umożliwia zapobieganie wycieku poufnych informacji na kanałach sieciowych, jest ważne, jeśli nie mówisz klucza, części jednego systemu IPC. Securit Zgate analizuje wszystkie dane przesyłane przez pracowników poza siecią informacji organizacji. SECURIT ZGATE wykorzystuje nowoczesne automatyczne technologie wykrywania, które niezmiennie określają poziom prywatności przesyłane informacje Biorąc pod uwagę specyfikę biznesu i wymagań różnych standardów branżowych.
1. Wymagania systemowe.
Minimalne wymagania systemowe dla Securit ZGate Solutions przedstawiono w poniższej tabeli.
2. Główne cechy Securit Zgate:
Filtrowanie przychodzącego, wychodzącego i wewnętrznego ruchu.
Analiza treści przesyłanych wiadomości i plików przy użyciu dowolnej kombinacji automatycznych metod kategoryzacji.
Kompatybilność z dowolnym system pocztowy (MTA), pracujący na SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer., Community Pro, SendMail, Postfix itp.
Pracuj w trybie monitorowania pasywnego z usunięciem kopii przesyłanych danych lub w aktywnym trybie blokowania incydentów w czasie rzeczywistym.
Elastyczna polityka weryfikacyjna, dane blokujące i archiwizujące z możliwością ustawienia do 30 parametrów.
Zastosowanie zasad, w zależności od czasu transmisji, kierunków ruchu i lokalizacji użytkownika.
Wygodne narzędzia do sterowania słowników opisujących różne kategorie dokumentów.
Możliwość ręcznego sprawdzania podejrzanych wiadomości i plików.
Modyfikacja wiadomości i możliwość powiadamiania użytkowników o wynikach filtrowania.
Integracja Co. aplikacje innych firm Do dodatkowego przetwarzania z antywirusowymi systemami sterowania spamem.
Możliwość utrzymania pełnego archiwum przesyłanych danych, w tym plików załączników, w Microsoft SQL. Baza danych serwera lub Oracle.
Skalowalność i modułowa architektura, umożliwiająca uwzględnienie najbardziej rygorystycznych wymagań dotyczących wydajności.
Instalacja i zarządzanie za pomocą jednej konsoli dla wszystkich produktów Securit.
Rozległe możliwości oddzielania ról administratora.
Wsparcie dla importu informacji statystycznych w różnych konstrukcjach raportów, takich jak raporty krystaliczne lub fastreport.
3. Instalacja SECURIT ZGATE
Ważny!Jeśli planujesz użyć wiadomości Securit ZGATE przetwarzania narzędzi wewnątrz Microsoft Exchange 2007/2010, część serwera Securit ZGate musi być zainstalowana na tym samym komputerze, w którym zainstalowany jest Microsoft Exchange.
Securit Zgate do instalacji wykorzystuje standardową instalację Installshield. Warto zauważyć, że całe ustawienie jest proste, a trudności nie powodują.
Rysunek 1: Rozpocznij instalację SECURIT ZGATE
Uwaga Rysunek 2, domyślny serwer dziennika nie jest zainstalowany. Można go wdrożyć na innym komputerze. Dziennik zdarzeń może być przechowywany w pliku XML, użyj oddzielnego serwera dziennika lub użyj serwera MSSQL lub bazy danych Oracle.
Rysunek 2: Wybór modułów do instalacji Securit Zgate
Praca z Securit Zgate jest prowadzona przez konsolę zarządzania. Aby komunikować się z serwerem Securit Zgate, konsola zarządzania używa protokołu TCP / IP i Port i Port 1246. Nie zapomnij otworzyć tego portu w zaporze. W przyszłości możesz zmienić ten port, jeśli to konieczne.
Jeśli chcesz użyć Securit Zgate w trybach Sniffer, musisz zainstalować sterownik WinPCap do komputera za pomocą zainstalowanego serwera Securit ZGate. Sterownik WinPCap jest dostarczany z rozkładem Securit Zgate.
Konsola kontroli może być zainstalowana na tym samym komputerze, w którym Securit Zgate jest już zainstalowany lub oddzielnie.
Więc zacznij pracować z ZGate Securit.
4. Rozpoczęcie pracy i początkową konfigurację Securit ZGate
Rysunek 3: Ogólny widok konsoli zarządzania Securit ZGate
Aby rozpocząć pracę, należy ustalić połączenie z komputerem, na którym znajduje się część serwera systemu. Lista komputerów znajduje się po lewej stronie konsoli sterowania w elemencie drzewa "bez aplikacji". W naszym przykładzie zainstalowaliśmy serwer Securit Zgate na komputerze VM-2003Test, wybierzemy go.
Po wybraniu potrzebnego komputera, a połączenie z nim przekazywało pomyślnie, przenosi się z sekcji "Brak aplikacji" do węzłów tych aplikacji, które są zainstalowane na nim (w naszym przypadku jest on Securit Zgate) i otwiera się Lista drzewa ustawień i możliwości (Rysunek 4).
Rysunek 4: Połączenie złożone przekazało pomyślnie - dostępne są nowe funkcje.
Należy zauważyć, że lista komputerów w domenie jest określana przez przez NetBIOS lub jest ładowana z Active Directory. Jeśli masz dużą liczbę komputerów w sieci, możesz użyć opcji wyszukiwania.
Jeśli komputer brakuje na liście "Bez aplikacji", połączenie można ustawić ręcznie. Aby to zrobić, konieczne jest w konsoli zarządzania, aby ujawnić menu "Połączenie" i wybierz element "Utwórz połączenie". W otwartym oknie wprowadź nazwę komputera, adres IP, port (domyślnie 1246) i dane użytkownika (Rysunek 5). Domyślnie prawa dostępu do konfiguracji SECURIT ZGATE są skonfigurowane w taki sposób, aby użytkownicy wprowadzili grupę lokalnych administratorów mają pełny dostęp do wszystkich funkcji systemu.
Rysunek 5: Tworzenie połączenia ręcznego
Spójrzmy więc na ustawienia serwera Securit ZGate.
Generał. W tej sekcji ustawiono ustawienia serwera poczty wewnętrznej, port serwera poczty wewnętrznej, tryb serwera, katalog do tymczasowego przechowywania przetworzonych komunikatów i wskazuje maksymalną głośność tego katalogu.
Rysunek 6: Ustawienia główne Serwery do serwera poczty w Securit Zgate
Jak widać na rysunku, "filtrowanie poczty wewnątrz Microsoft Exchange 2007/2010" i "Logowanie poczty wewnątrz Microsoft Exchange 2007/2010 nie są dostępne, ponieważ obecnie aktualnie zainstalowaliśmy i skonfigurowaliśmy Microsoft Exchange. Dostępny jest tryb lustrzania (kopia przesyłanego ruchu), ponieważ sterownik WinPCap jest zainstalowany.
Wiadomości odzwierciedlane przesyłane za pomocą szyfrowanego ruchu SMTP (utworzone za pomocą polecenia Protokół TLS Protocol StartTTLS) i za pomocą protokołu ESMTP EXMTP EXMTP XexCh50.
Przyjęcie. Ta sekcja zawiera ustawienie odbioru poczty do pracy w różnych trybach pracy serwera (Rysunek 7).
Rysunek 7: Konfigurowanie odbioru poczty do pracy w trybie proxy (Kronika)
Podczas konfigurowania filtrowania lub rejestracji w trybie proxy, interfejs sieciowy i numer portu (domyślnie 25) są ustawione na odbieranie poczty spoza systemu Securit ZGate; Interfejs sieciowy i numer portu, który służy do odbierania poczty z serwera poczty wewnętrznej; Katalog do wiadomości przychodzących i jego maksymalna objętość. Katalog wiadomości przychodzących zapisuje litery otrzymane przez Securit Zgate, zanim przetwarzają lub wysłane.
W tej samej karcie ochrona przed atakami ataków "odmowy konserwacji". Jak widać na rysunku 7, ochrona przed atakami w służbie składa się z wielu warunków, gdy nie jest porównywana, z którymi nie jest akceptowana wiadomość. Warunki te mogą być włączone lub odłączone w zależności od potrzeby lub nieustannej weryfikacji.
Jeśli serwer Securit ZGate działa w trybie dublowania (włączony na karcie Ustawienia Generał) następnie zakładka Przyjęcie Posiada następujący formularz (rysunek 8).
Rysunek 8: Ustawianie odbioru poczty w trybie dublowania
W nalewkach tej operacji interfejs sieciowy jest ustawiony, do którego ruch lustrzany jest wykonywany, adres IP serwera poczty DROLLING, porty, których serwer lustrzany używa do odbierania i wysyłania poczty, a także katalog do przechowywania wiadomości przychodzących i jego objętość.
Ważny!Aby pracować Securit ZGate w trybie dublowania, konieczne jest, aby podłączony jest przełącznik sieciowy, który komputer z Securit Zgate jest podłączony, obsługuje funkcję dublowania. Porty lustrzane (porty portowe) umożliwia kopiowanie ruchu do portu sterującego, dzięki czemu można go przeanalizować bez zakłócania strumienia.
Ale obecność przełącznika z możliwością odbicia portu nie jest obowiązkowe, jeśli Securit Zgate jest zainstalowany na serwerze proxy organizacji lub jeśli Securit Zgate jest zainstalowany na tym komputerze, ruch, z którego jest monitorowany.
Wybierając na karcie Generał Tryby działania serwera Filtrowanie poczty wewnątrz Microsoft Exchange 2007/2010 lub Logowanie poczty Wewnątrz Microsoft Exchange 2007/2010, Tabs Przyjęcie i Nadawanie Wymieniony karta Microsoft Exchange.
Na karcie. Microsoft Exchange. Skonfigurowano przychodzące i wychodzące katalog wiadomości, a ich maksymalna głośność (katalogi są zaprojektowane tak, aby zorganizować kolejkę wiadomość wysyłaną do przetwarzania lub adresu adresowego). Również na tej zakładce możesz wybrać opcję "Kontrola poczty wewnętrznej". W tym trybie zostaną sprawdzone litery wewnętrzne między klientami sterowanego serwera poczty. Ta funkcja jest bardzo ważna, ponieważ możliwe jest kontrolowanie wewnętrznej korespondencji pracowników.
Na dole zakładki wyświetlane są błędy lub ostrzeżenia.
Nadawanie. Ustawienia transmisji poczty nie zależą od trybu pracy serwera i tak samo dla filtrowania, jak i rejestrowania trybu proxy i do odzwierciedlania (Rysunek 9).
Rysunek 9: Ustawienia przesyłania poczty w Securit Zgate
Następujące parametry są tutaj skonfigurowane: maksymalna liczba jednoczesnych związków wychodzących; Schematy prób związanych; Lista domen poczty, która serwuje wewnętrzny serwer poczty; Serwer dostawy, do którego przesyłana jest poczta, wysyłana na zewnątrz (jeśli serwer dostawy nie jest określony, a domena docelowa nie jest wewnętrzna, a mail dostarcza samego Securit ZGate, łącząc bezpośrednio do serwera poczty adresowej); Inteligentny host, na którym litery są wysyłane dla adresatów z serwisowanych domen, ale brakujące listy licencyjne; Katalog wiadomości wychodzących i jego maksymalna objętość. Ponadto, litery są wysyłane do hosta inteligentnego, dla których Securit Zgate nie mógł określić adresu serwera e-mail za pośrednictwem DNS, czy serwer poczty zgłosił, że odbiorca nie istnieje.
Schemat połączenia z serwerem poczty docelowej składa się z serii. Seria składa się z pewnej liczby prób połączenia z serwerem odbiorcy i interwałem w minutach między próbami. Jeśli nie udało ci się ustalić połączenia zgodnie z schematem, list zostanie usunięty, a wyświetlana jest odpowiednia wiadomość. Jednocześnie nadawca jest wysyłany list do komunikatu o błędzie.
Zakładka Zgate Web. Ma na przykład zapobieganie wyciekom informacji przez Internet, na przykład w przypadku, gdy pracownicy celowo lub przypadkowo wysyłać poufne dane za pośrednictwem swojej strony internetowej, publikuje na forum lub blogu lub wysyła do ICQ.
Operacja sieci ZGATE jest dostarczana przez port odzwierciedlający na przełączniku lub przechwytywaniu ruchu sieciowego na komputerze, na którym zainstalowany jest Securit Zgate. Aby użyć sieci ZGATE do komputera, na którym zainstalowany jest serwer Securit ZGate, sterownik WinPCap musi być zainstalowany.
W obecnej wersji ZGATE wstęgi przechwytywla ruch przenoszony przez następujące protokoły i zasoby:
protokół serwisowy ICQ ICQ;
protokół transferu plików FTP;
protokół transferu danych HTTP;
usługi pocztowe: Mail.ru, Yandex.ru, POCHTA.RU, RAMBLER.RU, HOTMAIL.com, Google.com, Yahoo.com;
usługi wysyłające SMS / MMS: Megafon, Beeline, MTS, Tele2, Skylink, SMS-y;
fora realizowane na podstawie phpBB, Ipboard, VBulletin.
Jak widać, możliwości kontroli ruchu są imponujące.
Dla każdej wiadomości moduł przechwytywania ZGATE generuje literę zawierającą informacje o komunikatu i zestaw dodatkowych parametrów związanych z używanym serwisem. List ten jest umieszczony w wiadomościach przychodzących i jest przetwarzany przez system Securit ZGate, a także zwykły list, który natknął się na protokół SMTP.
Ustawienia sieci ZGATE są wyświetlane na rysunku 10.
Rysunek 10: Ustawienia WWW ZGate
Na tej karcie można włączyć lub wyłączyć sieć ZGATE, a także określić interfejs sieciowy, z którego ruch jest skopiowany, przeglądać i edytować listę zakresów adresów analizowanych pakietów (możliwe jest dodanie zakresów), wybierz A Katalog do przechowywania plików tymczasowych i jego wolumin, a także wybrać niezbędne moduły analizy.
Aby dodać zakres adresów analizowanych pakietów, musisz kliknąć przycisk "+", który znajduje się po prawej stronie listy analizowanych pakietów, to okno zostanie otwarte (Rysunek 11).
Rysunek 11: Dodawanie szeregu adresów analizowanych pakietów w QSecurit Zgate
Po określeniu adresów i potrzebnych portów, a także wybrać akcję (analizuj lub wykluczyć z analizy), naciśnij przycisk OK. Nowa gra gotowa do pracy.
Archiwum.. Archiwum jest przeznaczony do scentralizowanego przechowywania kopii liter, przeglądania i wysyłki. Ponadto, litery umieszczone w kwarantannie są przechowywane w archiwum. Archiwum bazy danych można zorganizować przez serwer Oracle lub Microsoft SQL (Rysunek 12). Częścią ustawień związanych z ustawieniami archiwum znajduje się na karcie Zaawansowane (Ustawienia w menu Serwisowe).
Rysunek 12: Wybierz bazę danych i skonfiguruj parametry archiwum w Securit Zgate
Aby korzystać z archiwum, musimy zainstalować i skonfigurować MSSQL Express lub Oracle (wskazany w minimalnych wymaganiach systemowych).
Po określeniu niezbędnych ustawień i użytkownika Aby uzyskać dostęp do bazy danych, możesz sprawdzić połączenie z samej bazy danych. Aby to zrobić, przycisk "Connection" jest zaprojektowany (Rysunek 13). Możesz także określić możliwość kompresji danych. Wybierz "złoty środek" między prędkością a ilością danych.
Rysunek 13: Wszystko jest gotowe do pracy z bazą danych - połączenie jest ustalone
Licencja. Celem zakładki jest jasne z samej nazwy. Liczba licencjonowanych adresów e-mail, licencja jest tutaj wyświetlana, lista licencjonowanych modułów Securit ZGate - sterowanie e-mail (poczta e-mailowa) i sterowanie ruchem internetowym (ZGATE Web). Licencjonowane moduły są oznaczone zielonym kleszczem (Rysunek 14).
Rysunek 14: Wyświetlanie i zarządzanie licencjami w Securit Zgate
Statystyka. Z tym kartą wszystko jest jasne. Tutaj wyświetla statystyki serwera Securit Zgate (Rysunek 15).
Rysunek 15: Statystyki Securit ZGate Server
dodatkowo. Ta karta jest wyświetlana dodatkowe ustawienia Systemy (Rysunek 16). Szczegółowy opis każdego z parametrów znajduje się w dokumentacji produktu.
Rysunek 16: Ustawienia operacji zaawansowanych Securit ZGate
Dostęp. System Securit ZGate zapewnia możliwość rozróżnienia zarządzania i pracującymi z archiwum wiadomości między wieloma użytkownikami. Ta karta skonfigurowana do uzyskania dostępu do systemu (Rysunek 17).
Rysunek 17: System kontroli dostępu Securit ZGate
Jak powiedzieliśmy domyślnie, prawami dostępu do konfigurowania Securit Zgate są skonfigurowane w taki sposób, aby użytkownicy wprowadzili grupę lokalnych administratorów mają pełny dostęp do wszystkich funkcji.
Aby dodać użytkownika lub grupy użytkowników do listy dostępu, kliknij przycisk "+" i wybierz żądane konto lub grupę. Następnie, na dole okna określ prawa, które chcesz poświęcić określone konto. Ikona "V" oznacza, że \u200b\u200bużytkownik otrzymuje prawo do tej operacji "X" oznacza, że \u200b\u200bużytkownik jest zabroniony dostęp do tej funkcji. Prawa użytkownika i Grupa, w której zawiera, zostaje podsumowany podobnie do systemu kontroli dostępu w systemie Windows.
Jako przykład wybraliśmy użytkownika gościa i dał mu prawo do przeglądania parametrów i statystyk (Rysunek 18).
Rysunek 18: Wybór użytkownika i powołanie odpowiednich praw
Księgarstwo. System Securit ZGate umożliwia wdrożenie dodatkowego przetwarzania operacji wykonywanych przez niego przez mechanizm przetwarzania zdarzeń. Jedną z opcji takich przetwarzania jest rejestrowanie Securit Zgate do dziennika Windows, do pliku lub serwera Microsoft SQL.
Domyślnie zdarzenia rejestrowania są wyłączone (Rysunek 19). Możesz niezależnie włączyć rejestrowanie określonego zdarzenia i wybrać dokładnie, jak zostanie wykonany dziennik zdarzeń.
Rysunek 19: Lista zdarzeń, które będą monitorowane przez Securit Zgate
Włączanie rejestrowania dla każdego zdarzenia jest bardzo proste. Aby to zrobić, wybierz potrzebną zdarzenie, a następnie kliknij przycisk "+" po prawej stronie listy zdarzeń, a następnie wybierz żądaną opcję rejestrowania. Jako przykład, wybierz opcję "Rejestrowanie" (Rysunek 20).
Rysunek 20: Konfiguruj ustawienia rejestrowania zdarzeń do pliku lub dziennika systemowego
Można go zobaczyć, że w tym przypadku możesz wybrać wersję rejestrowania do dziennika systemowego, a można wybrać dowolny lokalny komputer sieciowy, aby zapisać ten dziennik lub wybierz opcję rejestrowania do pliku. Ponadto dostępne są trzy opcje formatu pliku: tekst ANSI, Unicode tekstu i XML. Różnica między wpisem XML Log w formacie XML w przeciwieństwie do wpisu do pliku tekstowego, jest to, że plik dziennika XML może być analizowany przez Securit ZGate System. Dla pliki tekstowe. Taka okazja jest wykluczona.
Można również wybrać lokalizację pliku dziennika i prawa użytkownika, w imieniu, które będą dziennikom.
Rysunek 21: Wybieranie zdarzeń do logowania Securit Zgate
Po wybraniu niezbędnych zdarzeń pozostaje tylko do kliknięcia przycisku "Zakończ". Wynik jest widoczny na rysunku 22. Powiązane ikony pojawiły się w pobliżu wydarzeń dotyczących dzienników, wskazując parametry rejestrowania i lokalizacje, w których magazyn zostanie zarejestrowany.
Rysunek 22: Możesz zobaczyć trzy imprezy, które dziennicy w pliku XML
Możesz także dziennik logowania na serwerze dziennika i na serwerze Microsoft SQL. Skupienie się na serwerze SQL, rekord informacji o zdarzeniu jest wykonany przez moduł przetwarzania do bazy danych organizowanych przez narzędzia Microsoft SQL Server.
Jeśli wybierzesz logowanie serwera Microsoft SQL, musisz wybrać serwer za pomocą MSSQL, określ parametry użytkownika i sprawdź połączenie z bazą danych. Jeśli wszystko jest prawdziwe, a następnie sprawdzając połączenie, zostaniesz poproszony o utworzenie nowej bazy danych, nazwa jest określona przez Securit ZGate System (Rysunek 23).
Rysunek 23: Wybierz serwer bazy danych i określa parametry połączenia
Rysunek 24: Potwierdzenie wewnętrznej struktury bazy danych dziennika
Rysunek 25: Wskazać zdarzenia, które zostaną zamknięte
Rysunek 26: Widzimy zdarzenia, które zostaną zalogowane na określonym serwerze SQL
Skrypty. Inny rodzaj dodatkowego przetwarzania operacji wykonanych przez Securit ZGate można wykonać skrypty (skrypty) i uruchomić pliki wykonywalne.
Po pojawieniu wybranego zdarzenia określona zostanie podana aplikacja, a skrypt przypadkowy zostanie wykonany. Lista zdarzeń jest podobna do listy zdarzeń do księgowania.
Ta opcja może być używana, na przykład, aby wysłać SMS na zdarzeniu lub blokując stację roboczą przed przybyciem oficera bezpieczeństwa.
Rysunek 27: Wybierz plik wykonywalny
W tym samym oknie można określić ścieżkę do pliku skryptu, określić użytkownika, w imieniu, którego plik lub skrypt zostanie wykonany. Należy zauważyć, że domyślne aplikacje są uruchamiane z na koncie systemu.
Rysunek 28: Lista wydarzeń, z pochodzeniem, z którego zostanie uruchomiona aplikacja
W tym celu kończymy krok wstępnie skonfigurowania systemu Securit i przejdź do ustawiania podsystemów filtrowania.
Konfigurowanie zawartości i analizy filtrowania
Teraz rozważ możliwość konfigurowania systemu analizy treści.
Słowniki.. Pod słowami w Zgate rozumie się jako grupy słów połączone przez dowolny znak (kategoria). Z reguły obecność w liście słów z danego słownika z dużą częścią prawdopodobieństwa umożliwia list do kategorii charakteryzującej się tym słownikiem. Słowniki w systemie ZGATE są używane podczas filtrowania w "Analizie słownika" oraz "Przetwarzanie przez Bayes".
Rysunek 29: Słownik słowników w Securit Zgate
Odkąd Securit Zgate wykorzystuje te same słowniki, zarówno podczas analizowania komunikacji pocztowej, jak i podczas przetwarzania metodą bayesa, a następnie tworząc słowniki, słowniki jest zawsze przypisywane do dwóch parametrów: wagi w kategorii i wagi w rencerycerii. Domyślnie oba parametry są 50.
Aby dodać słownik, należy kliknąć na okno zarządzania słownikami "+", a aby dodać słowa do słownika, musisz podświetlić niezbędny słownik i kliknij przycisk za pomocą "ołówkiem" (Rysunek 30, 31) .
Rysunek 30: Dodawanie quest słowniku Zgate
Rysunek 31: Dodawanie słowa do słownika w Securit Zgate
Podczas wprowadzania słów można użyć specjalizacji:
dowolna liczba dowolnych liter lub cyfr;
Jeden dowolny symbol (litera lub cyfra);
^ - Jeden symbol separatora (przestrzeń, zakładka, tłumaczenie wiersza);
Jeden separator symbol lub znak interpunkcyjny;
# - jedna cyfra znaków;
@ - jedna litera-litera.
Symbole słownika są uważane za symbole (,),<, >, (), -, _, specjaliści i specjaliści jako proste znaki (Każdy specjalny system może być wykonany przez zwykły symbol, dodając warstwę odwrotną). Na przykład test * oznacza, że \u200b\u200btest słów * jest w słowniku. I test * oznacza, że \u200b\u200bw słowniku są wszystkie słowa zaczynające się od testu - test, testów, testów itp.
Oprócz tworzenia i napełniania w słowniku ręcznie można utworzyć słownik, importowanie słów z wstępnie przygotowanego pliku, a także możliwość automatycznego generowania słownika.
Podczas importowania słów z pliku, każde importowane słowo zostanie przypisany domyślnie masę w kategorii i antykektory. Nieprawidłowe domyślne symbole słownika są zastępowane separatorem (przestrzenią).
Automatyczne pokolenia słownika z pliku jest możliwe przy użyciu specjalnie przygotowanego pliku tekstowego z odpowiednim zestawem słów, a także rzeczywiste dokumenty, które odnoszą lub nie odnoszą się do określonej kategorii.
Oprócz metod analizy językowej metody "wydruków cyfrowych" może być stosowany do takiej klasy produktów - jest to metoda wyszukiwania kopii kontrolowanych dokumentów lub części dokumentów w raporcie pocztowym. W takim przypadku żądany tekst może być modyfikowany lub tylko część może być obecna w liście.
Metoda drukowania jest to, że wszystkie poufne dokumenty tworzą swoje "wydruki cyfrowe". Obserwowane wydruki są przechowywane we zaktualizowanej (trybie automatycznym) i uzupełnioną bazę danych. Jeśli chcesz zweryfikować dowolny dokument, obliczany jest "druk cyfrowy", a następnie wyszukiwanie podobnego nadruku wśród poufnych dokumentów zapisanych w bazie danych. Jeśli odcisk sprawdzany plik jest podobny do odcisku zapisanego w bazie danych, wystawiane jest odpowiednie ostrzeżenie (alert).
Aby rozpocząć pracę z bazą druku, musisz przejść do menu "Serwis" i wykonaj polecenie "Drukuje".
Rysunek 32: Cyfrowa kontrola podstawy odcisków palców w Securit Zgate
Aby dodać nową kategorię dokumentów, aby usunąć wydruki, musisz kliknąć
przycisk "+". Aby edytować, naciśnij przycisk "Ołówek" i przycisk "X" - aby usunąć kategorię.
Rysunek 33: Tworzenie kategorii w Securit Zgate
Również podczas tworzenia kategorii wskazuje czas aktualizacji bazy druku, parametry użytkownika są określone, w imieniu dostępu pliki i pliki zawierające wspólne słowa wykluczone z testu.
Aby utworzyć wydruki, możesz użyć następujących plików :. TEKST ,. Dok. DOCX. XLS. XLSX ,. Ppt ,. PPTX. Pdf, .html. Rtf. Odt. ODS. ODP. DBF. WPS. XML * (format XML jest analizowany jako zwykły dokument tekstowy).
Utworzona kategoria może być poddana kontroli testowej. Weryfikacja plików testowych metodą drukowania ma na celu określenie poprawności ustawień drukowania cyfrowych i poprawności opisu kategorii. Podczas sprawdzania określono, czy druk cyfrowy sprawdzony pliku (dokument) jest podobny do cyfrowego odcisku palca dokumentu zapisanego w bazie danych utworzonej przez określoną kategorię. Szukanie podobnych dokumentów odbywa się ze względu na fakt, że część lub wszystkie rosyjskie postacie w sprawdzonym dokumencie mogą zostać zastąpione przez symbole angielskiego podobne do pisania i odwrotnie.
Aby sprawdzić, należy kliknąć przycisk "Sprawdź" od dołu w oknie Base Drukuj i wybierz sprawdzane plik, określając procent prawdopodobieństwa podobieństwa.
Taki rozwinięty system kategoryzacji umożliwia tworzenie indywidualnych kategorii dla różnych zawartości treści. Z kolei umożliwia to kompetentnie kategoryzować powiadomienia incydentów w dzienniku i pozwól, aby funkcjonariusza ochrony wystawić priorytety i odpowiedzieć na zdarzenia, aby odpowiedzieć.
Rysunek 35: Ustawianie parametrów kontroli ruchu w Securit Zgate
Rysunek 36: Sprawdź wynik
Ochrona przed insiderami za pomocą wiązki z ZGATE i Zliska
Do tej pory istnieją dwa główne kanały do \u200b\u200bwycieków informacji poufnych: urządzenia podłączone do komputera (wszystkie rodzaje napędów wymiennych, w tym "napędy flash", CD / DVD itp., Drukarki) i Internet (e-mail, ICQ, sieci społecznościowe itd.? D.). Dlatego, gdy Spółka "dojrzewa" do wprowadzenia systemu ochrony przed nimi, pożądane jest podejście do rozwiązania do tego kompleksu. Problem polega na tym, że różne podejścia są używane do pokrywania różnych kanałów. W jednym przypadku najbardziej efektywny sposób Ochrona będzie kontrolować nad zastosowaniem napędów wymiennych, aw drugim - różne opcje filtrowania treści, umożliwiając blokowanie transmisji poufnych danych do sieci zewnętrznej. Dlatego przedsiębiorstwa do ochrony przed insiderami muszą korzystać z dwóch produktów, które w sumie tworzą kompleksowy system bezpieczeństwa. Oczywiście korzystne jest użycie jednego narzędzia programistyczne. W tym przypadku ułatwiono proces ich wdrażania, administracji, a także szkolenie pracowników. Przykładowo możesz przynieść produkty Securit: Zlock i Zgate.
Zlock: Obrona przed wyciekami przez wyjmowane dyski
Program Zlock pojawił się na rynku przez długi czas. I już opisaliśmy swoje główne możliwości. Zasadniczo nie ma punktu powtarzania. Jednak od momentu opublikowania artykułu opublikowano dwie nowe wersje Zliska, w którym pojawił się wiele ważnych funkcji. To właśnie powinieneś powiedzieć, nawet jeśli jest bardzo krótka.
Przede wszystkim warto zauważyć możliwość przypisywania wielu zasad do komputera, które są niezależnie stosowane w zależności od tego, czy komputer jest podłączony do sieci korporacyjnej bezpośrednio, poprzez VPN lub działa autonomicznie. Umożliwia to w szczególności, aby automatycznie blokować napędy USB i napędy CD / DVD, gdy komputer jest odłączony od sieci lokalnej. Ogólnie ta cecha Zwiększa bezpieczeństwo informacji opublikowanych na laptopach, które pracownicy mogą przetrwać z biura na wycieczki lub do pracy w domu.
Drugą nową szansą jest zapewnienie tymczasowego dostępu do zablokowanych urządzeń, a nawet grup telefonicznych. Zaskąą jego pracy jest wymiana generowanego programu tajne kody Między użytkownikiem a odpowiedzialnym za bezpieczeństwo informacji przez pracownika. Warto zauważyć, że zezwolenie użycia może być wydawane nie tylko stałe, ale także tymczasowe (przez pewien czas lub przed zakończeniem sesji). Narzędzie można uznać za pewny relaks w systemie ochronnym, jednak pozwala zwiększyć wydajność odpowiedzi Departamentu IT na żądania biznesowe.
Poniższa ważna innowacja w nowych wersjach Zlock kontroluje stosowanie drukarek. Po jego konfiguracji system ochrony zapisuje wszystkie obsługę użytkownika do urządzeń drukowanych. Ale to nie wszystko. Zliska pojawił się kopiowanie cienia wszystkich drukowanych dokumentów. Są rejestrowane format PDF. I są kompletną kopią stron wyświetlanych stron, niezależnie od tego, który plik został wysłany do drukarki. Pozwala to zapobiegać wyciekom poufnych informacji na arkuszach papierowych, gdy Insider drukuje dane w celu ich depozytów z biura. Również kopiowanie cienia informacji zapisanych na płytach CD / DVD w systemie ochronnym.
Ważną innowacją był wygląd serwera zarządzania komponentami Server Component Zlock Enterprise. Zapewnia scentralizowaną pamięć i dystrybucję zasad bezpieczeństwa i innych ustawień programu i znacząco ułatwia podawanie Zlocka w dużych i rozproszonych systemach informacyjnych. Niemożliwe jest również nie wspominając o pojawieniu własnego systemu uwierzytelniania, który, jeśli to konieczne, pozwala na rezygnację z użytkowania domeny i lokalnych użytkowników systemu Windows.
Ponadto w ostatnia wersja Zliska pojawiła się lekko nie tak godne uwagi, ale wystarczająco ważne funkcje: monitorowanie integralności modułu klienta z możliwością zablokowania wejścia użytkownika, gdy wykryto interwencje, rozszerzona zdolność do wdrożenia systemu ochrony, wsparcia dla Oracle DBMS itp.
Zgate: Ochrona przed wyciekami przez Internet
Więc Zgate. Jak mówiliśmy, ten produkt jest systemem ochrony informacji poufnych przez Internet. Strukturalnie Zgate składa się z trzech części. Główny jest komponentem serwera, który zapewnia wszystkie operacje przetwarzania danych. Można go zainstalować zarówno na oddzielnym komputerze, jak iw już pracującym w korporacyjnych węzłach systemowych informacji - bramy internetowej, kontrolera domeny, bramy pocztowej itp. Ten moduł z kolei składa się z trzech komponentów: Aby sterować ruchem SMTP, sterowanie wewnętrznym serwerem poczty MicrosoftExchange 2007/2010, a także ZGATE Web (jest odpowiedzialny za kontrolę nad HTTP-FTP - i IM-ruchu).
Drugą częścią systemu ochrony jest serwer bankulek. Służy do gromadzenia informacji o wydarzeniach z jednego lub więcej serwerów ZGATE, przetwarzania i przechowywania. Moduł ten jest szczególnie przydatny w dużych i geograficznie dystrybuowanych systemy korporacyjne.Ponieważ zapewnia scentralizowany dostęp do wszystkich danych. Trzecią częścią jest konsola zarządzania. Wykorzystuje standardowy standard konsoli dla firmy Securit Products, dlatego nie zatrzymamy się szczegółowo. Należy pamiętać, że dzięki temu modułowi możesz zarządzać systemem nie tylko lokalnie, ale także zdalnie.
Kontrola konsoli.
System ZGATE może działać w kilku trybach. Ponadto ich dostępność zależy od sposobu wdrażania produktu. Pierwsze dwa tryby sugerują pracę jako serwer proxy Post. Aby je wdrożyć, system jest zainstalowany między serwerem poczty korporacyjnej a "światem zewnętrznym" (lub między serwerem poczty a serwerem wysyłającym, jeśli są podzielone). W takim przypadku Zgate można przesączyć przez ruch (naruszenie opóźnienia i wątpliwe wiadomości) i zaloguj się tylko (pomiń wszystkie wiadomości, ale zapisz je w archiwum).
Drugim sposobem wdrożenia wiąże się z wykorzystaniem systemu ochrony w połączeniu z Microsoft Exchange 2007 lub 2010. Aby to zrobić, musisz zainstalować ZGate bezpośrednio do serwera poczty korporacyjnej. Dostępne są również dwa tryby: filtrowanie i rejestrowanie. Ponadto jest inny przykład wykonania. Rozmawiamy o wiadomościach logowania w trybie dublowania. Oczywiście konieczne jest przyznać się do komputera, na którym zainstalowany jest ZGATE, ten bardzo dublowcowy ruch (jest zwykle prowadzony za pomocą sprzętu sieciowego).
Wybór trybu ZGate.
Oddzielna historia zasługuje na komponent ZGATE Web. Jest instalowany bezpośrednio do korporacyjnej bramy internetowej. W tym przypadku podsystem ten jest w stanie kontrolować ruch HTTP-, FTP - i IM, czyli, aby przetworzyć go w celu wykrycia prób wysyłania informacji poufnych za pośrednictwem interfejsów internetowych pocztowych i "ICQ", publikując go na forach, serwerach FTP , sieci społecznościowe i pr. Nawiasem mówiąc o "ICQ". Funkcja blokowania IM-Messengers jest w wielu podobnych produktach. Jednak jest w nich "ICQ". Tylko dlatego, że był w krajach rosyjskojęzycznych, które zyskała największą dystrybucję.
Zasada działania komponentu ZGATE jest dość prosta. Jeśli wysyłasz informacje w dowolnej z kontrolowanych usług, system wygeneruje wiadomość specjalną. Zawiera samo informacje i niektóre dane serwisowe. Przechodzi do głównego serwera ZGATE i przetworzone zgodnie z określonymi zasadami. Oczywiście, wysyłanie informacji w samym serwisie nie jest zablokowany. Oznacza to, że Web Zgate działa tylko w trybie dziennikarskim. Dzięki temu nie można zapobiec przeniesieniu pojedynczych danych, ale można je szybko wykryć i zatrzymać aktywność wolnego lub mimowolnego napastnika.
Ostatnio problem ochrony przed zagrożeniami wewnętrznymi stało się prawdziwym wyzwaniem dla zrozumiałego i ustalonego świata korporacyjnego IB. Prasa informuje o insiderach, badaczach i analitykach ostrzegają o możliwych stratach i kłopotach, a kanały informacyjne są zafascynowane wiadomościami o następnym incydencie, co prowadzi do wycieku setek tysięcy rekordów klientów z powodu błędu lub nieuważności pracownika. Spróbujmy to zrozumieć, czy ten problem jest poważny, konieczne jest radzenie sobie z nim, a co dostępne środki i technologie istnieją, aby go rozwiązać.
Po pierwsze, warto określić, że zagrożenie poufności danych jest wewnętrzne, jeśli jego źródło jest pracownikiem przedsiębiorstwa lub innej osoby z dostępem do tych danych. Tak więc, kiedy rozmawiamy o zagrożeniach wewnętrznych, mówimy o wszelkich możliwych działaniach użytkowników prawnych, celowych lub losowych, co może prowadzić do wycieku informacji poufnych poza siecią korporacyjną przedsiębiorstwa. Aby uzyskać kompletność, obraz należy dodać, że taki użytkownicy są często nazywani insiders, chociaż ten termin ma inne znaczenia.
Znaczenie problemu zagrożeń wewnętrznych jest potwierdzone wyników najnowszych badań. W szczególności, w październiku 2008 r. Ogłoszono wyniki wspólnego badania instytucji kompuwarzy i ponownej instytucji ponownej, zgodnie z którym inaidery są najczęstszą przyczyną wycieków danych (75% incydentów amerykańskich), podczas gdy hakerzy były w piątym miejscu. W rocznym badaniu Instytutu Security Computer (CSI) na 2008 r. Figurki mówców o liczbie incydentów związanych z zagrożeniami wewnętrznymi wyglądają:
Liczba incydentów w procentach oznacza, że \u200b\u200bod całkowitej liczby respondentów, ten rodzaj incydentu miały miejsce we wskazanym procentach organizacji. Jak widać z tych liczb, ryzyko cierpienia z powodu zagrożeń wewnętrznych jest prawie każdą organizacją. Dla porównania, zgodnie z tym samym sprawozdaniem, wirusy uderzyły 50% badanych organizacji, oraz w przenikanie hakerów do sieci lokalnej, tylko 13% zderzył się w sieci lokalnej.
Tak więc zagrożenia wewnętrzne są dziś rzeczywistością, a mit nie wynalazł analityków i dostawców. Więc ci, którzy są w starym sposobie myśleć, że korporacyjny IB jest zaporą i antywirusem, musisz spojrzeć na problem tak szybko, jak to możliwe.
Zwiększa stopień napięcia i ustawy "na danych osobowych", zgodnie z którym w przypadku niewłaściwej obsługi danych osobowych organizacje i urzędnicy będą musieli odpowiedzieć nie tylko ich przywództwem, a także przed ich klientami i przed prawem.
Model skrzynkowy
Tradycyjnie, biorąc pod uwagę zagrożenia i środki ochrony przed nimi, należy rozpocząć od analizy modelu intruza. Jak już wspomniano, porozmawiamy o Insider - pracownicy organizacji i innych użytkowników, którzy mają dostęp prawny do informacji poufnych. Z reguły, z tymi słowami, każdy przychodzi na myśl pracownika biurowego pracującego na komputerze w ramach sieci korporacyjnej, co w trakcie pracy nie pozostawia granic biura organizacji. Jednak taka reprezentacja jest niekompletna. Konieczne jest rozszerzenie go kosztem innych rodzajów osób z dostępem do informacji do informacji, które mogą opuścić biuro organizacji. Może być towarowy z laptopami lub pracującymi oraz w biurze i domu, kurierach przewożących nośnik z informacjami, przede wszystkim taśmy magnetyczne z kopią zapasową itp.
Takie rozszerzone uwzględnienie modelu intruza, po pierwsze, ułożone w koncepcji, ponieważ zagrożenia wynikające z tych naruszeń również należą do wewnętrznego, a po drugie, pozwala na dokładniejsze przeanalizowanie problemu, po uznaniu wszystkich możliwych opcji walki te zagrożenia.
Można wyróżnić następujące główne typy wewnętrznych intruzów:
- Pracownik z odbudowy / urażony. Naruszenicy związani z tą kategorią mogą działać celowo, na przykład, zmieniając pracę i chcą złapać poufne informacje w celu odsetek nowego pracodawcę lub emocjonalnie, na wypadek, gdyby uważali za obrażone, chcą zemścić się. Są niebezpieczne w tym najbardziej zmotywowani do powodowania uszkodzenia organizacji, w której obecnie pracują. Z reguły liczba incydentów obejmujących nielojalnych pracowników jest niewielka, ale może wzrosnąć w sytuacji niekorzystnych warunków gospodarczych i masywnych redukcji personelu.
- Zaimplementowany, przewidywalny lub manipulowany pracownik. W takim przypadku mówimy o wszelkich działaniach dotyczących ukierunkowanych działań, w odniesieniu do celów szpiegostwa przemysłowego w warunkach ostrej konkurencji. Aby zebrać informacje poufne w firmie konkurencyjnej lub przedstawić własną osobę z pewnymi celami, albo nie stwierdzono, że nie są najbardziej lojalnym pracownikiem i przekupieniem, czy lojalnym, ale urzędnikiem zmysłowym z narzędziami inżynierii społecznej wymuszając poufne informacje. Liczba incydentów tego rodzaju jest zwykle nawet mniej niż poprzednie, ze względu na fakt, że w większości segmentów gospodarki w Federacji Rosyjskiej konkurencja nie jest zbyt opracowana ani wdrażana przez inne metody.
- Pracownik pasa. Ten typ intruza jest lojalny, ale nieuważny lub niedbałowy pracownik, który może naruszać politykę wewnętrznego bezpieczeństwa przedsiębiorstwa ze względu na jej ignorancję lub zapomnienie. Taki pracownik może ostatecznie wysłać wiadomość e-mail na e-mail z załączonym tajnym plikiem, nie jest przeznaczony, lub zabrać do domu dysk flash z poufnymi informacjami, aby pracować z nim w weekend i stracić go. Ten sam typ obejmuje pracowników, którzy tracą laptopy i taśmy magnetyczne. Według wielu ekspertów, insiders tego typu są odpowiedzialne za większość wycieków poufnych informacji.
Zatem motywy, a zatem obraz działania potencjalnych intruzów mogą się znacząco różnić. W zależności od tego należy podchodzić do rozwiązywania zadania zapewnienia wewnętrznego bezpieczeństwa organizacji.
Technologie ochrony przed zagrożeniami wewnętrznymi
Pomimo względnej młodości tego segmentu rynku, klienci już mają już wybrać w zależności od ich zadań i możliwości finansowych. Warto zauważyć, że obecnie istnieją praktycznie żadnych dostawców na rynku, co specjalizuje się wyłącznie na zagrożeniach wewnętrznych. Sytuacja ta opracowała nie tylko z powodu niedojrzałości tego segmentu, ale także dzięki agresywnej i czasami chaotycznej polityce fuzji i przejęć, które prowadzi się przez producentów tradycyjnego sprzętu ochronnego i innych dostawców zainteresowanych obecnością tego segmentu. Warto przypomnieć o bezpieczeństwie danych firmy RSA, która stała się jednostką EMC w 2006 r., Zakup NetApp Spółki Rozpoczynającej Secru zaangażowany w rozwój systemów ochrony pamięci serwera i kopie zapasowe W 2005 r. Kupowanie firmy Symantec DLP-Vendor Vontu w 2007 r. Itd.
Pomimo faktu, że duża liczba podobnych transakcji mówi o dobrych perspektywach rozwoju tego segmentu, nie zawsze prowadzą do jakości produktów, które poruszają się pod skrzydłem dużych korporacji. Produkty zaczynają rozwijać wolniej, a deweloperzy nie reagują tak szybko na wymagania rynkowe w porównaniu z wąską spółką specjalistyczną. Jest to znana choroba dużych firm, o których wiadomo, że utrata mobilności i wydajności dla ich mniejszych braci. Z drugiej strony ulepszono jakość usług i dostępność produktów dla klientów w różnych punktach kulinarni ze względu na rozwój ich serwisu i sieci sprzedaży.
Rozważ główne technologie obecnie używane do neutralizacji zagrożeń wewnętrznych, ich zalet i wad.
Kontrola dokumentów
Technologia kontroli dokumentów jest zawarta w produktach klasy nowoczesnych zarządzania prawami, takich jak Windows Microsoft. Usługi zarządzania prawami, zarządzanie prawami Adobe LiveCecle ES i zarządzania prawami informacyjnymi Oracle.
Zasada działania tych systemów jest przypisanie reguł użytkowania każdego dokumentu i kontroli tych praw w aplikacjach pracujących z dokumentami danych typu. Na przykład możesz utworzyć dokument Microsoft Word. I poproś o to, że zasady, które mogą go przeglądać, komu, aby edytować i utrzymać zmiany, a kto ma drukować. Zasady te pod względem systemu Windows RMS nazywane są licencjami i przechowywane wraz z plikiem. Zawartość pliku jest szyfrowana, aby zapobiec jej wyświetlaniu przez nieautoryzowanego użytkownika.
Teraz, jeśli którykolwiek użytkownik próbuje otworzyć taki bezpieczny plik, aplikacja jest powiązana z specjalnym serwerem RMS, potwierdza urząd użytkownika, a jeśli dostęp do tego użytkownika jest dozwolony, serwer przesyła aplikację do deszyfrowania tego pliku i prawa ten użytkownik.. Aplikacja oparta na tych informacjach umożliwia tylko te funkcje dla użytkownika, dla których ma prawa. Na przykład, jeśli użytkownik jest zabroniony do wydrukowania pliku, funkcja drukowania w aplikacji nie będzie dostępna.
Okazuje się, że informacje w takim pliku są bezpieczne, nawet jeśli plik spada poza siecią korporacyjną - jest szyfrowany. Funkcje RMS są już wbudowane w profesjonalne wydanie Microsoft Office 2003. Aby osadzić funkcje RMS w aplikacjach innych programistów Microsoft oferuje specjalny SDK.
System sterowania dokumentów z Adobe jest wbudowany w podobny sposób, ale koncentruje się na dokumentach w formacie PDF. System Oracle IRM jest zainstalowany na komputerach klienckich w postaci agenta i integrację z aplikacjami na etapie wykonania.
Kontrola dokumentów jest ważną częścią ogólnej koncepcji ochrony przed zagrożeniami wewnętrznymi, ale konieczne jest uwzględnienie naturalnych ograniczeń tej technologii. Po pierwsze, jest przeznaczony wyłącznie do sterowania plikami dokumentów. Jeśli rozmawiamy o niestrukturalnych plikach lub bazach danych, ta technologia nie działa. Po drugie, jeśli atakujący, przy użyciu SDK z tego systemu, stworzy najprostszą aplikację, która będzie komunikować się z serwerem RMS, odbierać stamtąd klucz szyfrowania i zapisz dokument w formularzu otwartym i rozpoczyna tę aplikację w imieniu użytkownika, który ma minimalny poziom Dostęp do dokumentu, to ten system zostanie przytłoczony. Ponadto należy wziąć pod uwagę trudności w realizacji systemu kontroli dokumentów, jeśli wiele dokumentów zostało już utworzonych w organizacji - zadanie początkowej klasyfikacji dokumentów i cel ich stosowania może wymagać znacznego wysiłku.
Nie oznacza to, że systemy kontroli dokumentów nie spełniają zadania, jest po prostu konieczne, aby pamiętać, że ochrona informacji jest problemem złożonym i rozwiązać go tylko jednym narzędziem, z reguły, nie może być.
Ochrona przed wyciekami
Termin ochrona przed wyciekami (zapobieganie utraty danych, DLP) pojawił się w słownictwie specjalistów IB stosunkowo niedawno i już udało się stać, bez przesady, najgorętszego tematu ostatnich lat. Z reguły, skrót DLP oznaczający systemy, które kontrolują możliwe kanały wycieku i zablokować je w przypadku próby wysłania tych kanałów wszelkich poufnych informacji. Ponadto funkcja takich systemów często obejmuje możliwość archiwizacji informacji przekazywania na nich dla kolejnego badania, dochodzenia incydentów i retrospektywnej analizy potencjalnych zagrożeń.
Istnieją dwa typy systemów DLP: Network DLP i HOSTR DLP.
Sieć DLP. Pracuj nad zasadą bramki sieciowej, która filtruje wszystkie przechodzące dane. Oczywiście, oparte na zadaniu zwalczania wewnętrznych zagrożeń, głównym interesem takiego filtrowania jest możliwość kontrolowania danych przekazanych poza siecią korporacyjną w Internecie. Sieć DLP umożliwiają kontrolowanie wychodzącego poczty, ruchu HTTP i ruchu FTP, usługi wiadomości błyskawicznej itp. Podczas wykrywania informacji poufnych, sieci DLPS może zablokować przesyłany plik. Istnieją również możliwości ręcznego przetwarzania podejrzanych plików. Podejrzane pliki są umieszczane w kwarantannie, które okresowo skanuje oficera bezpieczeństwa i umożliwia przeniesienie pliku lub zabrania go. Prawda, że \u200b\u200bto przetwarzanie z powodu funkcji protokołu jest możliwe tylko dla wiadomości e-mail. Dodatkowe możliwości audytu i incydenty dochodzeniowe zapewniają archiwizację wszystkich przechodzących przez bramę informacyjną, pod warunkiem że archiwum jest okresowo widoczne, a jego zawartość jest analizowana w celu zidentyfikowania statków wycieków.
Jednym z głównych problemów związanych z wdrażaniem i wdrażaniem systemów DLP jest metodą wykrywania informacji poufnych, czyli moment podjęcia decyzji o tym, czy informacje są przekazywane do poufnych i podstawowych, które są brane pod uwagę przy tworzeniu takiego a decyzja. Z reguły analizuje zawartość przesyłanych dokumentów, zwana również analizą treści. Rozważ główne podejścia do wykrywania poufnych informacji.
- Tagi. Metoda ta jest podobna do omówionych powyżej systemów kontroli dokumentów. Dokumenty są wprowadzane przez etykiety opisujące stopień poufności informacji, które można wykonać za pomocą tego dokumentu, a komu do wysłania. Zgodnie z wynikami etykiet analizy, system DLP jest rozwiązaniem, czy można wysłać ten dokument lub nie. Niektóre systemy DLP początkowo dokonują kompatybilności z systemami zarządzania prawami do korzystania z etykiet, które ustawiają te systemy, inne systemy używają formatu etykiety.
- Podpis. Ta metoda polega na zadaniu sekwencji jednej lub więcej znaków, której obecność w tekście przesyłanego pliku musi powiedzieć system DLP, który ten plik zawiera informacje poufne. Duża liczba podpisów może być zorganizowana w słowniki.
- Metoda Bayesa. Ta metoda stosowana podczas zwalczania spamu można pomyślnie zastosować w systemach DLP. Aby zastosować tę metodę, utworzona jest lista kategorii, a lista słów z prawdopodobieństwami wskazuje, że jeśli słowo spotkało się w pliku, plik o podanym prawdopodobieństwie należy lub nie należy do określonej kategorii.
- Analiza morfologiczna. Metoda analizy morfologicznej jest podobna do podpisu, różnica polega na tym, że przeanalizowany jest w 100% zbieg okoliczności z podpisem, a słowa jednoręczne są również brane pod uwagę.
- Druki cyfrowe. Istotą tej metody jest to, że pewna funkcja Hash jest obliczana dla wszystkich poufnych dokumentów w taki sposób, że jeśli dokument zostanie nieznacznie zmieniony, funkcja Hash pozostanie taka sama, albo również zmieni. W ten sposób proces wykrywania poufnych dokumentów jest znacznie uproszczony. Pomimo entuzjastycznych dyffilionów tej technologii przez wielu dostawców i niektórych analityków, jej niezawodność pozostawia wiele do życzenia, i biorąc pod uwagę fakt, że sprzedawcy pod różnymi przyimkami wolą pozostawić szczegółowe informacje na temat wdrażania cyfrowego algorytmu linii papilarnych w cieniu, Zaufanie do niego nie zwiększa się.
- Wyrażenia regularne. Znani dla wszystkich, którzy zajmowali się programowaniem, wyrażenia regularne ułatwiają znalezienie danych szablonów w tekście, takich jak telefony, dane paszportowe, numery kont bankowych, numery ubezpieczenia społecznego itp.
Łatwo jest pamiętać z listy, że metody wykrywania albo nie gwarantują 100% definicji informacji poufnych, ponieważ poziom błędów zarówno pierwsze, jak i drugie rodzaje w nich są dość wysokie lub wymagają stałej gry bezpieczeństwa Usługa aktualizacji i utrzymywania aktualizacji listy podpisów lub zadania. Tagi poufnych dokumentów.
Ponadto pewny problem w działaniu sieci DLP może tworzyć szyfrowanie ruchu. Jeśli wymagania zabezpieczeń muszą szyfrować wiadomości e-mail lub używać protokołu SSL po podłączeniu do dowolnych zasobów internetowych, problem określenia obecności poufnych informacji w przesyłanych plikach może być bardzo złożony. Nie zapominaj, że w niektórych usługach błyskawicznych, na przykład w Skype, Szyfrowanie jest domyślnie zbudowany. Z korzystania z takich usług będzie musiała odmówić lub użyć hosta DLP, aby je kontrolować.
Jednak pomimo wszystkich trudności, z odpowiednią konfiguracją i poważnym podejściem, sieci DLPS może znacznie zmniejszyć ryzyko wycieku informacji poufnych i dawać organizację wygodne środki do kontroli wewnętrznej.
Host DLP. Zainstalowany na każdym hoście w sieci (na stacjach roboczych klienta i, jeśli to konieczne, na serwerze) i może być również używany do sterowania ruchem internetowym. Jednakże, w tej pojemności, DLP Host otrzymał mniej dystrybucji i są obecnie stosowane głównie do sterowania urządzeniami zewnętrznymi i drukarek. Jak wiecie, pracownik, który doprowadził do pracy z napędem flash lub z odtwarzaczem MP3 przedstawia znacznie większe zagrożenie dla bezpieczeństwa informacji niż wszystkie hakerzy łącznie. Nawet te systemy nazywane są narzędziami bezpieczeństwa dla punktów końcowych sieci (bezpieczeństwo Endpoint Security), choć często ten termin jest używany szerzej, na przykład, czasami nazywany jest narzędziami antywirusowymi.
Jak wiesz, problem z użyciem urządzeń zewnętrznych można rozwiązać bez użycia jakichkolwiek środków, wyłączenie portów lub fizycznie lub za pomocą systemu operacyjnego lub administracyjnego, zakazującego pracowników do uiszczenia urzędu do biura. Jednak w większości przypadków podejście "tanie i zły" jest niedopuszczalne, ponieważ właściwa elastyczność usług informacyjnych nie zapewnia procesów biznesowych.
Z tego powodu pojawiło się pewne zapotrzebowanie na środki specjalne, z którymi możesz bardziej elastycznie rozwiązać problem korzystania z urządzeń zewnętrznych i drukarek przez pracowników firm. Takie środki pozwalają skonfigurować prawa dostępu dla użytkowników do różnych typów urządzeń, na przykład, dla jednej grupy użytkowników, aby zabronić współpracę z mediami i rozwiązać z drukarek, a dla innego - umożliwiają pracę z nośnikiem w trybie "tylko odczytu". Jeśli chcesz zapisać informacje do urządzeń zewnętrznych dla osób poszczególnych użytkowników, można użyć technologii kopiowania cienia, która zapewnia kopiowanie do serwera wszystkich informacji, które są zapisywane w urządzeniu zewnętrznym. Informacje o kopiowaniu mogą być następnie analizowane w celu analizy działań użytkownika. Ta technologia kopiuje wszystko z rzędu, a obecnie nie ma systemów, które umożliwiają utrzymywanie analizy treści zapisanych plików w celu zablokowania funkcjonowania i zapobiegania wycieku, jak to robią sieć DLP. Jednak archiwum kopii cienia zapewni śledztwo w zakresie incydentów i retrospektywnej analizy zdarzeń w sieci, a obecność takich archiwum oznacza potencjalne informacje na temat złapania i ukarania za ich działania. Może to być niezbędna przeszkoda i znaczący powód do porzucenia wrogich działań.
Wciąż warto wspomnieć o kontroli użycia drukarek - stałe kopie dokumentów mogą być również źródłem wycieku. Hosty DLP umożliwiają kontrolowanie dostępu użytkownika do drukarek, a także innych urządzeń zewnętrznych i zapisywać kopie drukowanych dokumentów w formacie graficznym do późniejszej analizy. Ponadto technologia znaków wodnych (znakami wodnymi) otrzymał pewną dystrybucję, która implementuje druk na każdej stronie unikalnego dokumentu kodu, który można określić, kto dokładnie wtedy, gdy i gdzie ten dokument wydrukowany.
Pomimo niewątpliwego zalet Hosta DLP, mają szereg wad związanych z potrzebą instalacji oprogramowania agencyjnego na każdym komputerze, który ma być kontrolowany. Po pierwsze, może spowodować pewne trudności w zakresie wdrażania systemów i zarządzania ich. Po drugie, użytkownik z prawami administratora może spróbować wyłączyć to oprogramowanie do wprowadzenia jakichkolwiek działań, które nie są dozwolone przez polityki bezpieczeństwa.
Jednak dla niezawodnej kontroli urządzeń zewnętrznych bez hosta DLP, nie jest to konieczne, a wymienione problemy nie są związane z rozładowaniem nierozpuszczalnego. W ten sposób można stwierdzić, że koncepcja DLP jest obecnie pełnoprawnym środkiem w arsenale usług bezpieczeństwa korporacyjnego w warunkach stale rosnącej nacisk na ich w celu zapewnienia kontroli wewnętrznej i ochrony przed wyciekami.
Koncepcja IPC.
W trakie wynalezienia nowych środków zwalczania zagrożeń wewnętrznych, badań i myślenia inżynieryjnego nowoczesne społeczeństwo Nie zatrzymuje się, a biorąc pod uwagę pewne wady funduszy, które zostały uwzględnione powyżej, rynek systemów ochrony informacji z wycieku informacji przyszedł do koncepcji IPC (ochrona informacji i kontroli). Termin ten pojawił się stosunkowo niedawno, uważa się, że po raz pierwszy został użyty w przeglądaniu firmy analitycznej IDC w 2007 roku.
Istotą tej koncepcji jest łączenie metod i szyfrowania DLP. W tej koncepcji, informacja opuszczająca sieć korporacyjną na kanałach technicznych jest monitorowana za pomocą DLP, a szyfrowanie służy do ochrony przewoźników danych, które fizycznie spadają lub mogą dostać się do rąk osób nieupoważnionych.
Rozważ najczęstsze technologie szyfrowania, które można zastosować w koncepcji IPC.
- Szyfrowanie taśm magnetycznych. Pomimo archaicznej tego typu przewoźnika nadal jest aktywnie używany kopia rezerwowa I do przeniesienia dużych ilości informacji, ponieważ przy określonej wartości przechowywanego megabajte nie było jeszcze równe. W związku z tym przecieki związane z utratą taśm magnetycznego nadal zachwycają redaktorów pasy wiadomościOdtwarzanie informacji o nich dla pierwszych pasków i zdenerwowanych dyrektorów IT i usługi bezpieczeństwa dla przedsiębiorstw, które stały się bohaterami takich wiadomości. Sytuacja jest zaostrzona przez fakt, że takie taśmy zawierają bardzo duże ilości danych, a zatem duża liczba osób może stać się ofiarami oszustów.
- Przechowywanie serwera szyfrowania. Pomimo faktu, że magazyny serwera są bardzo rzadko transportowane, a ryzyko ich straty jest niezmiernie niższe niż taśma magnetyczna, oddzielny dysk twardy z pamięci można dostać w ręce intruzów. Naprawa, utylizacja, aktualizacja - zdarzenia te powstają z wystarczającą regularnością w celu napisania tego ryzyka z kont. Tak, a sytuacja przenikania do biura osób nieupoważnionych nie jest całkowicie niemożliwe wydarzenie.
Warto tu zrobić trochę rekolekcji i wspomnieć o wspólnym nieporozumieniu, że jeśli dysk znajduje się w tablicy RAID, a następnie rzekomo nie możesz się martwić o to, co spada na obce ręce. Wydawałoby się, że alteracja nagranych danych na kilka twarde dyskiKtóre regasy RAID kontrolery zapewnia nieczytelny typ danych, które znajdują się w jednym twardym formularzu. Niestety, to nie jest tak. Napój się naprawdę ma miejsce, ale w większości nowoczesnych urządzeniach jest wykonywane na poziomie bloków 512 bajtów. Oznacza to, że pomimo naruszenia struktury i formatów plików, poufne informacje można usunąć z takiego dysku twardego. Dlatego też, jeśli wymóg zapewnienia poufności informacji podczas przechowywania w tablicy RAID, szyfrowanie pozostaje jedyną niezawodną opcją.
- Laptopy szyfrowania. Stwierdzono to już niezliczone czasy, ale wciąż utrata laptopów z poufnymi informacjami nie wychodzi z pierwszych pięciu hitowych parady incydentów.
- Szyfrowanie nośników wymiennych. W takim przypadku rozmawiamy o przenośnych urządzeniach USB i czasami o zapisywalnych płytach CD i DVD, jeśli są one używane w procesach biznesowych przedsiębiorstwa. Takie systemy, a także wymienione powyżej, systemy szyfrowania dysków twardych w laptopach mogą często działać jako składnik systemów HOST DLP. W tym przypadku mówią o rodzaju kryptoperymetru, który zapewnia automatyczne przejrzyste szyfrowanie przewoźników wewnątrz, a niemożność odszyfrowania danych poza.
W ten sposób szyfrowanie może znacznie rozszerzyć możliwości systemów DLP i zmniejszyć ryzyko wycieku poufnych danych. Pomimo faktu, że koncepcja IPC została wykonana stosunkowo niedawno, a wybór zintegrowanych rozwiązań IPC na rynku nie jest zbyt szeroki, branża aktywnie opanuje ten obszar i możliwe, że po chwili koncepcja stanie się standardem de facto rozwiązać problemy bezpieczeństwa wewnętrznego i kontroli wewnętrznej.
wnioski
Jak widać z tej recenzji, zagrożenia wewnętrzne są dość nowym obszarem w IB, który jednak jest aktywnie rozwija i wymaga zwiększonej uwagi. Rozważane technologie sterowania dokumentów, DLP i IPC umożliwiają budowę dość niezawodnego systemu kontroli wewnętrznej i zmniejszyć ryzyko wycieku do dopuszczalnego poziomu. Bez wątpienia ten obszar IB będzie nadal oferowany, nowsze i bardziej zaawansowane technologie będą oferowane, ale dziś wiele organizacji dokonuje wyboru na rzecz tego lub tej decyzji, ponieważ nieostrożność w zakresie bezpieczeństwa informacji może być zbyt drogi.
Alexey raevsky.
Dyrektor generalny Securit.
W dziedzinie bezpieczeństwa informacji największą uwagę organizacji jest podawana z reguły, ochrona przed atakami zewnętrznymi, więc prawie wszystkie środki przydzielone w celu zapewnienia bezpieczeństwa są wysyłane w celu ochrony wrażliwych punktów obwodu sieci przedsiębiorstwa. Obecna sytuacja znalazła odpowiednią refleksję i na rynku rozwiązań bezpieczeństwa IT - w ostatnich latach oferuje szeroką gamę różnych środków ochrony przed wirusami, robakami, trojanami i innymi zagrożeniami z zewnątrz.
Jednak stopniowo przedsiębiorstwa zaczynają być świadomi nowego niebezpieczeństwa. Nie ma nie od hakerów, nie ze spamu ani losowych wirusów, ale od ich własnych pracowników. Insiders znajdują się w samej organizacji i są obdarzone z dość prawnymi uprawnieniami, więc jest znacznie łatwiejsze, aby uzyskać dostęp do informacji, które są zainteresowane niż jakimkolwiek atakującym z boku. Aby lepiej radzić sobie z problemem, odnosząc się do badania amerykańskiej firmy analitycznej Aberdeen Group "Raport benchmarku zagrożenia Insider - strategie ochrony danych", podczas których przeprowadzono 88 dużych korporacji amerykańskich.
Główne wyniki badania dużych korporacji
Zagrożenie dla insiderów wzrasta. Nowoczesny biznes nie może już ignorować tego niebezpieczeństwa i staje się trudno przeciwdziałać. Firmy, które wolą nie być zauważone lub zapisywane przy wprowadzeniu nowych systemów bezpieczeństwa, jesteśmy poważnie stratami. Wiele firm wymienione w badaniu było poważnie ranne z przecieków danych i tylko wtedy zadbali o środki zapobiegawcze. Ich przykład powinien służyć jako lekcja dla innych firm.
Przedsiębiorstwa pragnące chronić się przed przeciekami poufnych informacji, powinny być pełną odpowiedzialnością za rozwiązanie problemu. Irracjonalne oszczędności na placówkach zabezpieczeń wpadnie w stałe straty w najbliższej przyszłości. Najlepsza opcja zostanie uciekana do pomocy specjalistów specjalizujących się w systemach ochrony insiders. Takie systemy mogą łatwo zintegrować się z już istniejącą infrastrukturą. Ponadto sprzedawcy nie tylko zapewniają wykonywanie decyzji, ale gwarantują również jego wysoką wydajność.
Jako taki nie ma środków przeciwko inaiderom. Tylko wykorzystanie całego kompleksu środków i rozwiązań pomoże wiarygodnie. Pomimo bezwładności dużych dostawców, istnieje wystarczająca ilość gotowych kompleksów, które chronią przed insiderami i wyciekami.
Jeden z najważniejszych nowoczesne technologie. Ochrona informacji jest filtrowania ruchu sieciowego (już wdrożone w 53% respondentów). Kolejny 28% planu ustanowienia takich filtrów w bieżącym roku. Ponadto klasyfikacja danych jest bardzo obiecującą technologią. Chociaż dziś używa tylko 42% korporacji, w tym roku ich liczba wzrośnie o 44% (to znaczy do 86%). Jednak poważne obawy jest fakt, że nieuzasadniowo niewielka liczba respondentów wykorzystuje inne skuteczne rozwiązania do ochrony przed wyciekami i wskaźnikami, takimi jak monitorowanie pracowników.
Dla wielu przedsiębiorstw jeden z głównych przeszkód (44%) na ścieżce wdrażania dodatkowe środki Ochrona przed wyciekami informacji jest ograniczenia zasobów IT. Jednocześnie wprowadzenie takiego sprzętu ochronnego pozwala nie tylko znacząco zmniejszyć ryzyko utraty ważnych danych, ale także zauważalne (o 17,5%) w celu zmniejszenia kosztów jednostek IT.
aktualna pozycja
Nie ma nic zaskakującego w fakcie, że konsekwencje incydentów poufnych często okazują się znacznie bardziej wyróżniający niż nawet udany atak hakerów. Istnieje wiele powodów. Łatwy łatwy do uzyskania dostępu do różnych zasobów informacyjnych, aby nie wyjaśnić. Faktem jest, że informacje skradzione przez insiders jest zazwyczaj ważniejsze niż hakerzy są w stanie uzyskać. Jednym z najważniejszych powodów wzrostu zagrożenia dla inaiderów i łatwością wykonywania nielegalnych działań jest zaniedbanie wewnętrznych usług bezpieczeństwa IT (jeśli istnieją). Organizacje nie są gotowe do oporności inaiderów, ponieważ po prostu nie mają odpowiednich narzędzi. Nawet jeśli zagrożenie zostanie zidentyfikowane, pracownicy sfery bez niebezpieczeństwa nie mogą być właściwie przeciwni temu, ponieważ nie gromadzą noszenia w stosunku do określonej kuli. Ogólnie rzecz biorąc na rynku, możesz znaleźć kompleksowe rozwiązania w celu ochrony poufnych informacji od inaiderów. Niestety, często odpowiedzialni menedżerowie nie rozumieją powagi zagrożenia. Nadal angażują się w wysiłki w odwrocie, aby chronić obwód swojej organizacji spoza niebezpieczeństwa zewnętrznego.
Tymczasem agencje informacyjne i środki medialne więcej uwagi To problem insiders. Specjaliści mówią o zwiększeniu liczby wycieków poufnych informacji i ich smutnych konsekwencji: utratę czasu, straty finansowej i wpływu na reputację. Ponadto istnieje globalny trend w fakcie, że biznes zaczyna przełączać się na problem wewnętrznych bezpieczeństwa IT.
W trakcie badania Raport benchmarku zagrożenia Insider - Strategie Data Pro Tecction ", analitycy udało się dowiedzieć, co ostatni rok Wielu dostawców i wyłączenia to doprawnicy jakościowo zmieniły nomenklaturę proponowanych rozwiązań. Jednocześnie wzrosła udział produktów przeznaczonych do walki z insiderami. Jednak w tym samym czasie, największy dostawcy IT nadal rozszerza ich tradycyjny zakres, zachowując proporcje rozwiązań na tym samym poziomie. Mówi to albo niedocenianie potencjału odpowiedniej linii produktów, albo mały prąd. Niemniej jednak 41% amerykańskich respondentów już wdrożyło narzędzia ochronne w taki czy inny sposób decydujący problem Insiders.
Należy zauważyć, że rosyjscy klienci mogą stawić czoła osobie w fakcie, że odsetki w systemach walki z przeciekami i wskaźnikami z dostawców i integratorów systemowych wyrosło mocno. Na przykład Kaspersky Lab wyróżnił swoją działalność w dziedzinie wewnętrznych bezpieczeństwa IT w oddzielnej firmie - Infokatch i prawie wszystkie rosyjskie integratorzy systemów obejmowały decyzje tej firmy do swojej linii produktów. Według Denis Zenkina, dyrektor marketingowy Infokatch, na 2005 r. Zysk Spółki wzrósł o 120%, aw 2006 r. Zaobserwowano podobny obraz. I to jest pomimo tego rosyjskie firmy Znacznie opóźnione za nami w stosowaniu systemów w celu ochrony przed insiderami. Według badania "krajowe zagrożenia IT w Rosji 2005", podczas których Infokatch przeprowadził wywiad z ponad 300 organizacjami krajowymi, tylko 2% respondentów używa systemów do zwalczania insiders i wycieków. Jednak wzrost zysków dostawców jednoznacznie wskazuje, że sytuacja stopniowo się zmienia.
Ponadto, inna główna firma antywirusowa - McAfee została niedawno pokazana w systemach do zwalczania insiders. W październiku 2006 roku, kupiła Izraelską firmę Onigma, której jedyna decyzja ma być wykryta i zapobiegająca wyciekom. Według komunikatu prasowego McAfee integruje technologie ONIGMA do własnego rozwiązania, a zatem rozpocznie ekspansję na rynku wewnętrznych rozwiązań informatycznych.
Możliwe, że w najbliższej przyszłości rynek ochrony przed wyciekami pojawi się największy w dziedzinie bezpieczeństwa IT - Symantec. Ogólnie rzecz biorąc, można bezpiecznie argumentować, że włączenie w asortyment produktów do insiderów bojowych jest niezwykle obiecującym kierunkiem dywersyfikacji dla wszystkich powiązań rozkładu rozwiązań bezpieczeństwa IT.
Bok
Wróćmy teraz do wyników badania "Raport benchmarku zagrożenia insidentem - strategie ochrony danych" i spójrz na systemy ochrony przed inaiderami i wyciekami przez oczy klienta. Wszystkie amerykańskie firmy można podzielić na trzy nierówne grupy w składzie ilościowym Grupy: opóźnione w tyle (30%), średnich chłopów (50%) i przywódców (20%). W luźnych przedsiębiorstwach wskaźniki wydajności są ogólnie niższe niż średnia branża, a przywódcy są odpowiednio wyższe. Okazuje się, że absolutnie wszystkie udane organizacje (100% respondentów) rozważają ochronę danych poufnych do najważniejszego kierunku w walce z insiders. Ponadto najlepsze firmy są znacznie szersze stosowane przez politykę identyfikacyjną i delimitacyjną (75%). Charakterystyka różnych grup w dziedzinie bezpieczeństwa IT są prezentowane na rysunku.
Z diagramów jasne jest, że wiodące firmy wolą wziąć pod uwagę realizację projektu systemu ochrony poufności jako pełnoprawny zadanie biznesowe. W takim przypadku zwracają szczególne znaczenie dla kompleksu towarzyszących usług. Umożliwia to budowanie maksimum skuteczny system Bezpieczeństwo wewnętrzne i nie przesuwają nietypowych zadań na ramionach własnych pracowników. Ponadto najlepsze przedsiębiorstwa w ich branży próbują zminimalizować czynnik ludzki poprzez wykorzystanie w pełni zautomatyzowanych procesów. Wreszcie, przywódcy na czele rozdziału umieściły integrację produktów do jednego i zarządzanego systemu, tak doceniły elastyczność wdrożonego rozwiązania do ochrony przed insiderami.
Spróbujmy ocenić problem bezpieczeństwa wewnętrznego pod względem technologii (tabela 1). Po studiowaniu kilku branż okazało się, że główne wykorzystane technologie to: hasła, systemy identyfikacyjne, biometryczne, skanowanie ruchu sieciowego i kontroli dostępu do użytkownika do informacji poufnych.
Tabela 1. Technologie ochrony bezpieczeństwa: aktualny status i prognoza
|
Technologie. |
Odsetek respondentów przy użyciu technologii jest teraz% |
Udział respondentów planujących wprowadzenie technologii w ciągu najbliższych 12 miesięcy% |
|
Wyrafinowane hasła |
||
|
Listy kontroli dostępu |
||
|
Filtrowanie ruchu sieciowego |
||
|
Skanowanie obwodowe |
||
|
Automatyczne monitorowanie dostępu pracowników |
||
|
Klasyfikacja danych (zgodnie z prywatnością) |
||
|
Pojedynczy punkt wejścia. |
||
|
Identyfikacja z żądaniem i potwierdzeniem |
||
|
Uwierzytelnianie za pośrednictwem połączenia z telefonem komórkowym |
Dokładnie 50% najlepszych firm stosuje złożone hasła, filtrowania ruchu sieciowego i listy kontroli dostępu. Ponadto firmy zamierzają znacznie zwiększyć stosowanie tych technologii. W ten sposób udział złożonych haseł wzrośnie o 26% i osiągnie 93%; Popularność list kontroli dostępu wzrośnie o 24% i dostanie się do znaku 90%, a udział filtrowania ruchu sieciowego wzrośnie z 53 do 81%. Tymczasem wykorzystanie kart ID, pomimo ich częstości występowania, nie może być uważany za popularny kierunek. Tylko 13% respondentów planuje wdrożyć ta technologia W tym roku.
Jest ciekaw, że najbardziej obiecujące technologie są automatyczne monitorowanie pracowników do ważnych danych (spodziewana jest wzrost 72%) i klasyfikacji danych (od 42% w 2006 r. Do 86% w bieżącej). Tutaj wyniki badania pokrywają się z opinią krajowych specjalistów w dziedzinie ochrony informacji. Centrum Analityczne Infoodpatch uważa, że \u200b\u200bjest to automatyczne monitorowanie działań ds. Insiders i klasyfikacji tych firm, było niezgrabnie skupione w ostatnich latach. Tymczasem bez tego nie można zbudować niezawodnego systemu ochrony.
Następnie, zgodnie z ankietą, tym samym 53%, które wykorzystują filtrowanie ruchu, uważa, że \u200b\u200bjedna ochrona obwodowa nie jest wystarczająca, aby zapewnić bezpieczeństwo wewnętrzne. Konieczne jest między innymi opracować wirtualne sieci prywatne, aby nie zmniejszyć poziomu bezpieczeństwa podczas komunikacji z partnerami zewnętrznymi.
Wymienione technologie zapewniają podejście wielopoziomowe i umożliwiają poprawę bezpieczeństwa poufnych danych. Jednak oprócz strony technologicznej nie zapomnij o banalnym fizycznym bezpieczeństwie informacji. Wiele przykładów tego, jak ważne dokumenty spadły do \u200b\u200brąk napastników po hakowaniu biura i kradzieży sprzętu komputerowego. Ponadto wstążki tworzenia kopii zapasowych i media mobilne z zawartością poufną są często utracone podczas transportu lub na wycieczki biznesowe.
Ochrona przed insiders.
Obecnie nie ma jednolitego punktu widzenia, jak regulować dostęp do użytkownika. Musza tę organizację, aby zapewnić scentralizowane zarządzanie danymi w środowisku rozproszonym. Technologie mogą wprowadzać łatwość zarządzania, odpowiedzialnością i bezpieczeństwem danych, ale dla tego musisz zastosować je prawidłowo. Z kolei stosować metody zależą od specyfiki klienta przedsiębiorstwa. Dlatego konieczne jest przeprowadzenie głębokiej i kompleksowej analizy infrastruktury IT, na której ma na celu wdrażanie systemu bezpieczeństwa. Wielu klientów absolutnie dość ładowało przypadek oceny i wybierania technologii specjalnie stworzonych grupach, które obejmuje specjalistów o różnych profilach.
Nowoczesne technologie i metody przeciwdziałania insiders różnią się znacznie. Faktem jest, że dostawcy nie mogą zaoferować uniwersalnych środków od insiderów. Zapewniają całą gamę rozwiązań w celu określenia odchyleń, klasyfikowania danych w zależności od stopnia prywatności i ograniczania dostępu.
Pomimo faktu, że tylko 51% firm z tych badanych w trakcie badania uważa, że \u200b\u200bkompleksowe rozwiązania ochrony przed insiderami są niezwykle ważne, pozostałe 49% nie oceniają ich roli tak wysokiej. Jednak znaczenie tego wyniku jest w fakcie, że co najmniej połowa respondentów preferuje kompleksowe rozwiązania. Sugeruje to, że naprawdę są zaniepokojeni tego problemu i rozumieją znaczenie wspólnych środków.
Ponadto, w niektórych branżach uczestnicy muszą większyć poufność danych klientów. Stale zmieniające przepisy na poziomie federalnym i regionalnym, coraz więcej uwagi płaci za ochronę danych osobowych (takich jak pełna nazwa, data urodzenia, adres domowyPokoje karty kredytowe, polityka medyczna itp.).
Organizacje muszą być świadome znaczenia zleceń legislacyjnych w dziedzinie ochrony osobowości. Według uczestników ankiety, aby poprawić zarządzanie, musisz zautomatyzować autoryzowany dostęp. Firmy, które nie automatyzację list kontroli dostępu, przygotowanie i klasyfikację danych mogą stawić czoła poważnym problemom. 78% respondentów rozważa informacje w celu ochrony najważniejszego powodu ochrony budynku przed insiders. Tak więc przedsiębiorstwa dopiero zaczynają być świadomi zagrożenia od inaiderów, a na mocy różnych powodów, próbują dokładnie oznaczać wartość incydentów wewnętrznych. Jednak nie można ukryć trendu ryzyka niebezpieczeństwa z insiderów.
Problemy z sposobem wdrażania ochrony przed insiders
Rozważ dwa bardziej interesujące wyniki badań. W zakładce. 2 przedstawia pięć najpoważniejszych, według respondentów, problemy wynikające z wdrażania systemu ochrony przed zagrożeniami wewnętrznymi, a także ich rozwiązania. Stół. 3 symulowana tabela. 2 W strukturze, ale skompilowany na podstawie respondentów, którzy są członkami grupy wiodących firm. Porównując uzyskane dane, łatwo jest zauważyć różnice w podejściu do tego problemu średnio i najbardziej udanych przedstawicieli biznesowych. Jeśli dla liderów głównym problemem jest nałożenie wprowadzonej decyzji w sprawie już zastosowanych technologii (75%), a następnie dla wszystkich respondentów, jest to ograniczone zasoby IT (44%). W trakcie badania okazało się, że zaawansowane organizacje wdrożyły już zintegrowaną ochronę infrastruktury IT, a tym samym obejmowały samą sieć, a także zabezpieczyć na poziomie wniosku. Teraz firmy te szukają sposobów wzmocnienia ustalonego systemu bezpieczeństwa. Organizacje, dla których główny jest problem ograniczania zasobów IT jest poważnie ograniczony w działaniach. Jest to alarmujące, ponieważ oszczędności bezpieczeństwa mogą prowadzić do znacznie większych strat. Oczywiście usługi IT, takie jak usługi bezpieczeństwa IT, powinny otrzymywać finansowanie w całości. W końcu przygotowują bazę, na której wszystkie inne jednostki będą działać z powodzeniem.
Tabela 2. Najpoważniejsze problemy w realizacji systemów ochrony insiders
I ich możliwe rozwiązanie (na podstawie wszystkich respondentów)
|
Problem |
Udział odpowiedzi,% |
Rozwiązaniem problemu |
Udział odpowiedzi,% |
|
Ograniczone zasoby IT do wdrożenia rozwiązań i zarządzania nimi |
Określ wymagania przed wdrożeniem |
||
|
Kompletność rozwiązania oprogramowania |
Określ właścicieli danych i procesów |
||
|
Rozwiązania nakładkowe dla istniejących procesów |
Prowadzić szkolenia na temat korzystania z nowych procesów i procedur |
Analizując tabele, można również zauważyć następny raczej interesujący fakt: personel wiodących firm pokazuje swoje niezadowolenie z innowacji znacznie częściej niż pracownicy średniego przedsiębiorstw (50 na 38%). Jednak nic w tym nic dziwnego. W dziedzinie bezpieczeństwa IT czynnik ludzki jest co najmniej połowa problemu. Jeśli na przykład każda organizacja pozwala żołnierze kontraktowi, partnerom lub dostawcom, aby korzystać z sieci, ale nie dba o procedury regulacji dostępu do informacji, można bezpiecznie argumentować, że problemy w tym kierunku będą miały koniecznie.
Tabela 3. Najpoważniejsze problemy w realizacji systemów ochrony inaiders
I ich możliwe rozwiązanie (na podstawie firm liderowych)
|
Problem |
Udział odpowiedzi,% |
Rozwiązaniem problemu |
Udział odpowiedzi,% |
|
Rozwiązania nakładkowe do już wdrożonych technologii |
Skup się na krótkich projektach z szybkim powrotem |
||
|
Odporność na pracowników w innowacjach |
Stopniowo roll i powoli dystrybuuj nowe rozwiązania wśród użytkowników |
||
|
Brak środków na imprezy |
Wprowadź "Top Down", od Departamentu Technicznego i IT i zakończenie wszystkimi innymi działami |
||
|
Ograniczenia zasobów informatycznych do wdrożenia i zarządzania rozwiązaniem |
Zademonstruj możliwości i cechy rozwiązań szefów podziałów |
||
|
Słabe narzędzia do oceny ryzyka |
Prowadzić szkolenia na temat korzystania z nowych procesów i procedur |
Ogólnie rzecz biorąc, spółka opóźniająca i średnich chłopów, w przeciwieństwie przywódcy, w mniejszym stopniu wykorzystują automatyzacji i integracji rozwiązań, a ponadto mają w stanie znacznych pracowników. Wszystko to wpływa na skuteczność analizy procedur bezpieczeństwa i interpretacji jego wyników. Często tylko wprowadzenie zautomatyzowanych procesów i zaawansowanego szkolenia pracowników prowadzi do przezwyciężenia czynnika ludzkiego. Zgodnie z wynikami badania, około 25% najlepszych przedsiębiorstw wykorzystuje całkowicie automatyczne systemy. Jednocześnie tylko 9% przypadków automatyzacji można przypisać przemysłowi.
Bezpieczeństwo informacyjne wzrasta, ponieważ nowe technologie są wykorzystywane zgodnie z wymogami działalności gospodarczej. Ciągłe doskonalenie systemów ochrony przyniesie niewątpliwe korzyści. Zgodnie z badaniem, organizacje wprowadzone systemy ochrony insiders otrzymały średnio następującego efektu:
- skargi i odwołania do działów IT i usług wsparcia - o 3,5%;
- liczba incydentów IT zmniejszyła się o 13%;
- koszty pracy w działach IT spadły o 17,5%.
W ten sposób analitycy przychodzą do wniosku, że organizacje, które zajmują się ochroną zewnętrzną, są skazane na porażkę. Rzeczywiście, zapewniając bezpieczeństwo przez obwód organizacji, pomaga odzwierciedlić atak hakerów, podczas gdy firmy, które wdrożyły systemy ochrony przed wyciekami i wskaźnikami, mogą naprawdę udajeczyć się zmniejszyć liczbę incydentów i zmniejszyć koszty IT.
Wniosek
W oparciu o wyniki badań i oceny sytuacji sugeruje się następujące wnioski. Po pierwsze, nie ma jednolitych technologii dla ochrony przed insiders. Upewnij się, że bezpieczeństwo może być zapewnione tylko przez zestaw środków. Rozrzucone produkty, jak były one dobre, z pewnością nie rozwiąże problemów wynikających z budowy kompleksowej ochrony. Tak, jedna z kierunków może, ale trudność polega na tym, że istnieje ogromna liczba różnych zagrożeń. Atakujący działają różne metody, a tylko w celu wyeliminowania wszystkich możliwych luki, musisz utworzyć system wielopoziomowy.
Po drugie, odpowiedzialność za bezpieczeństwo informacji poufnych nie powinna być powierzona jedna osoba lub nawet w podziale. W tym kierunku pracownicy usług IT i działy bezpieczeństwa IT powinny być ściśle interakcji. Jeszcze bardziej skutecznym sposobem jest przyciąganie specjalistów z bogatym doświadczeniem w dziedzinie ochrony przed wyciekami. Ten ostatni oferuje głęboką analizę istniejącej sytuacji i zapewnić rozwiązania dla klientów. Budowany jest niezawodny system, który może obsługiwać personel firmy z niezbędnym wsparciem dla integratora.
Po trzecie, dane dostępne w organizacji muszą być starannie badane i strukturalne zgodnie z stopniem prywatności. Następnie na podstawie tej klasyfikacji zbuduj system ograniczenia dostępu. Użytkownicy nie powinni mieć dostępu do danych, których nie muszą spełniać oficjalne obowiązki. Ponadto konieczne jest okresowe przeglądanie uprawnień do utrzymania systemu separacji w bieżącym stanie.
Czwarty, czynnik ludzki jest jedną z krytycznych informacji w systemie ochrony informacji. Niestety, to ludzie, którzy stają się najsłabszym łańcuchem łącza. Często Insider są pracownikami odpowiedzialnymi, jeśli nie do ochrony poufnych informacji, przynajmniej do zachowania poufności informacji. Dla ignorancji lub rozproszenia, ze złym zamiarem lub bez niego, ale mogą przynieść znaczną szkodę dla swoich pracodawców. Sytuacja jest znacznie bardziej niebezpieczna, gdy insider jest osobą z jednostki IT lub z usług bezpieczeństwa IT. Jego moce, oczywiście, wiele szerszych niż większość innych pracowników i ma wystarczającą wiedzę i możliwości niezauważalnie "scalania" danych. W rezultacie wymagane są te powody udanej pracy, wymagane są profesjonalne systemy monitorowania pracowników. Powinny być tak zautomatyzowane, niezależnie od człowieka, tak że istnieje okazja do kontroli pracownika. Najbardziej występują rozwiązania oprogramowania i kompleksy skuteczna metoda Ochrona przed zwiększonym zagrożeniem od insiderów. Oczywiście nie zapomnij o metodach pracy z pracownikami. Należy powiedzieć o potrzebie zgodności z normami bezpieczeństwa i wymagać ich do spełnienia istniejących dyrektyw do pracy z informacjami poufnych. Jednak tylko oprogramowanie i sprzęt są w stanie zapobiec możliwym przypadkom o defraudacji wewnętrznych.
Do tej pory istnieją dwa główne kanały do \u200b\u200bwycieków informacji poufnych: urządzenia podłączone do komputera (wszystkie rodzaje napędów wymiennych, w tym "napędy flash", CD / DVD itp., Drukarki) i Internet (e-mail, ICQ, sieci społecznościowe itd. D.). Dlatego, gdy firma "dojrzewa" do wprowadzenia z nich systemu ochrony, pożądane jest podejście do rozwiązania do tego kompleksu. Problem polega na tym, że różne podejścia są używane do pokrywania różnych kanałów. W jednym przypadku, najskuteczniejszym sposobem ochrony stosowania napędów wymiennych, aw drugim - różne opcje filtrowania treści, umożliwiając blokowanie transmisji poufnych danych do sieci zewnętrznej. Dlatego przedsiębiorstwa do ochrony przed insiderami muszą korzystać z dwóch produktów, które w sumie tworzą kompleksowy system bezpieczeństwa. Oczywiście korzystne jest użycie jednego narzędzia programistyczne. W tym przypadku ułatwiono proces ich wdrażania, administracji, a także szkolenie pracowników. Przykładowo możesz przynieść produkty Securit: Zlock i Zgate.
Zlock: Obrona przed wyciekami przez wyjmowane dyski
Program Zlock pojawił się na rynku przez długi czas. I już my. Zasadniczo nie ma punktu powtarzania. Jednak od momentu opublikowania artykułu opublikowano dwie nowe wersje Zliska, w którym pojawił się wiele ważnych funkcji. To właśnie powinieneś powiedzieć, nawet jeśli jest bardzo krótka.
Przede wszystkim warto zauważyć możliwość przypisywania wielu zasad do komputera, które są niezależnie stosowane w zależności od tego, czy komputer jest podłączony do sieci korporacyjnej bezpośrednio, poprzez VPN lub działa autonomicznie. Umożliwia to w szczególności, aby automatycznie blokować napędy USB i napędy CD / DVD, gdy komputer jest odłączony od sieci lokalnej. Ogólnie rzecz biorąc, ta funkcja zwiększa bezpieczeństwo informacji opublikowanych na laptopach, które pracownicy mogą przetrwać z biura lub do pracy w domu.
Drugą nową szansą jest zapewnienie tymczasowego dostępu do zablokowanych urządzeń, a nawet grup telefonicznych. Zasada swojej pracy leży w wymianie programu generowanego przez tajne kody między użytkownikiem a pracownikiem odpowiedzialnym za bezpieczeństwo informacji. Warto zauważyć, że zezwolenie użycia może być wydawane nie tylko stałe, ale także tymczasowe (przez pewien czas lub przed zakończeniem sesji). Narzędzie można uznać za pewny relaks w systemie ochronnym, jednak pozwala zwiększyć wydajność odpowiedzi Departamentu IT na żądania biznesowe.
Poniższa ważna innowacja w nowych wersjach Zlock kontroluje stosowanie drukarek. Po jego konfiguracji system ochrony zapisuje wszystkie obsługę użytkownika do urządzeń drukowanych. Ale to nie wszystko. Zliska pojawił się kopiowanie cienia wszystkich drukowanych dokumentów. Są one nagrane w formacie PDF i są kompletną kopią stron drukowania, niezależnie od tego, który plik został wysłany do drukarki. Pozwala to zapobiegać wyciekom poufnych informacji na arkuszach papierowych, gdy Insider drukuje dane w celu ich depozytów z biura. Również kopiowanie cienia informacji zapisanych na płytach CD / DVD w systemie ochronnym.
Ważną innowacją był wygląd serwera zarządzania komponentami Server Component Zlock Enterprise. Zapewnia scentralizowaną pamięć i dystrybucję zasad bezpieczeństwa i innych ustawień programu i znacząco ułatwia podawanie Zlocka w dużych i rozproszonych systemach informacyjnych. Niemożliwe jest również nie wspominając o pojawieniu własnego systemu uwierzytelniania, który, jeśli to konieczne, pozwala na rezygnację z użytkowania domeny i lokalnych użytkowników systemu Windows.
Ponadto, w najnowszej wersji Zliska, kilka nie jest możliwe, ale także wystarczające funkcje: Kontrola integralności modułu klienta z możliwością blokowania wejścia użytkownika, gdy wykryto interwencje, rozszerzona zdolność do wdrożenia systemu ochrony, Wsparcie dla Oracle DBMS itp.
Zgate: Ochrona przed wyciekami przez Internet
Więc Zgate. Jak mówiliśmy, ten produkt jest systemem ochrony informacji poufnych przez Internet. Strukturalnie Zgate składa się z trzech części. Główny jest komponentem serwera, który zapewnia wszystkie operacje przetwarzania danych. Można go zainstalować zarówno na oddzielnym komputerze, jak i już uruchomionych w węzłach systemowych informacji korporacyjnych - bramy internetowej, kontrolera domeny, bramy pocztowej itp. Ten moduł z kolei składa się z trzech komponentów: Aby kontrolować ruch SMTP, kontrola Wewnętrzna poczta Microsoft Exchange Server 2007/2010, a także Web ZGATE (jest odpowiedzialna za kontrolowanie HTTP, FTP i IM-Ruch).
Drugą częścią systemu ochrony jest serwer bankulek. Służy do gromadzenia informacji o wydarzeniach z jednego lub więcej serwerów ZGATE, przetwarzania i przechowywania. Moduł ten jest szczególnie przydatny w dużych i geograficznych systemach korporacyjnych, ponieważ zapewnia scentralizowany dostęp do wszystkich danych. Trzecią częścią jest konsola zarządzania. Wykorzystuje standardowy standard konsoli dla firmy Securit Products, dlatego nie zatrzymamy się szczegółowo. Należy pamiętać, że dzięki temu modułowi możesz zarządzać systemem nie tylko lokalnie, ale także zdalnie.
Kontrola konsoli.
System ZGATE może działać w kilku trybach. Ponadto ich dostępność zależy od sposobu wdrażania produktu. Pierwsze dwa tryby sugerują pracę jako serwer proxy Post. Aby je wdrożyć, system jest zainstalowany między serwerem poczty korporacyjnej a "światem zewnętrznym" (lub między serwerem poczty a serwerem wysyłającym, jeśli są podzielone). W takim przypadku Zgate można przesączyć przez ruch (naruszenie opóźnienia i wątpliwe wiadomości) i zaloguj się tylko (pomiń wszystkie wiadomości, ale zapisz je w archiwum).
Drugim sposobem wdrożenia wiąże się z wykorzystaniem systemu ochrony w połączeniu z Microsoft Exchange 2007 lub 2010. Aby to zrobić, musisz zainstalować ZGate bezpośrednio do serwera poczty korporacyjnej. Dostępne są również dwa tryby: filtrowanie i rejestrowanie. Ponadto jest inny przykład wykonania. Rozmawiamy o wiadomościach logowania w trybie dublowania. Oczywiście konieczne jest przyznać się do komputera, na którym zainstalowany jest ZGATE, ten bardzo dublowcowy ruch (jest zwykle prowadzony za pomocą sprzętu sieciowego).
Wybór trybu ZGate.
Oddzielna historia zasługuje na komponent ZGATE Web. Jest instalowany bezpośrednio do korporacyjnej bramy internetowej. W tym przypadku podsystem ten jest w stanie kontrolować ruch HTTP-FTP i IM, czyli, aby przetworzyć go w celu wykrycia prób wysyłania poufnych informacji za pośrednictwem interfejsów internetowych pocztowych i ICQ, publikowanie go na forach, serwerach FTP, Social Sieci i pr. Nawiasem mówiąc o "ICQ". Funkcja blokowania IM-Messengers jest w wielu podobnych produktach. Jednak to jest "ICQ" w nich. Tylko dlatego, że był w krajach rosyjskojęzycznych, które zyskała największą dystrybucję.
Zasada działania komponentu ZGATE jest dość prosta. Jeśli wysyłasz informacje w dowolnej z kontrolowanych usług, system wygeneruje wiadomość specjalną. Zawiera samo informacje i niektóre dane serwisowe. Przechodzi do głównego serwera ZGATE i przetworzone zgodnie z określonymi zasadami. Oczywiście, wysyłanie informacji w samym serwisie nie jest zablokowany. Oznacza to, że Web Zgate działa tylko w trybie dziennikarskim. Dzięki temu nie można zapobiec przeniesieniu pojedynczych danych, ale można je szybko wykryć i zatrzymać aktywność wolnego lub mimowolnego napastnika.
Konfigurowanie komponentu internetowego ZGate
Metody przetwarzania informacji w kolejności ZGATE i filtrowania ustawia politykę, która jest opracowywana przez oficera dla bezpieczeństwa lub innego odpowiedzialnego pracownika. Reprezentuje szereg warunków, z których każdy odpowiada pewnemu działaniu. Wszystkie wiadomości przychodzące są "napędzane" dla nich konsekwentnie po sobie. A jeśli niektóre warunki zostaną wykonane, wówczas akcja związana z nim jest uruchomiona.
System filtracji.
W sumie system zapewnia 8 rodzajów warunków, jak mówią "na wszystkie okazje". Pierwszy z nich jest typem pliku mocowania. Dzięki nim możesz wykryć próby wysyłania obiektów formatu. Warto zauważyć, że analiza nie jest prowadzona przez ekspansję, ale przez wewnętrzną strukturę pliku i można określić zarówno specyficzne typy obiektów, jak i ich grupy (na przykład wszystkie archiwa, nagrywania wideo itp.). Drugie warunki - weryfikacja Zewnętrzna aplikacja. Jako aplikacja może działać jako normalny program., Zaczął się od wiersza poleceń i skryptu.
Warunki w systemie filtrowania
Ale kolejny warunek warto powstrzymać się bardziej szczegółowo. Mówimy o analizie treści przesyłanych informacji. Przede wszystkim konieczne jest zanotowanie ZGAT "Omnivore". Faktem jest, że program "Rozumie" dużą liczbę różne formaty. Dlatego może przeanalizować nie tylko prosty tekst, ale także prawie wszelkie inwestycje. Kolejną cechą analizy treści jest jego wielkie możliwości. Może zostać uwięziony proste wyszukiwanie Konieczne jest wprowadzenie tekstu wiadomości lub dowolnej innej dziedziny określonego słowa i w pełnej analizie, w tym z uwzględnieniem formularzy słów gramatycznych, płukania i tłumaczenia. Ale to nie wszystko. Oddzielna wzmianka zasługuje na system analizy szablonów i wyrażeń regularnych. Dzięki niemu można łatwo wykryć dostępność wiadomości określonego formatu, takich jak numery serii i paszportu, numer telefonu, numer kontraktowy, numer konta bankowego itp. To między innymi, pozwala na wzmocnienie ochrony danych osobowych w przetwarzaniu firmy.
Szablony do identyfikacji różnych informacji poufnych
Czwarte warunki Typ - Analiza adresów określonych w liście. Oznacza to, że wyszukiwanie jest pewnymi liniami. Piąta - analiza zaszyfrowanych plików. Gdy jest wykonywany, sprawdzane są atrybuty wiadomości i / lub zagnieżdżonych obiektów. Szósty typ warunków jest weryfikacja różnych parametrów liter. Siódme to analiza słowa. W trakcie tego system określa obecność słów z wstępnie utworzonych słowników. Cóż, wreszcie ostatni, ósmy rodzaj stanu - kompozyt. Reprezentuje dwa lub więcej innych warunków łączonych przez operatorów logicznych.
Nawiasem mówiąc, na temat słowników wymienionych przez nas w opisie warunków należy powiedzieć oddzielnie. Są to grupy słów połączone jedną cechą i są stosowane w różnych metodach filtrowania. Lrama, aby utworzyć słowniki, które z dużą ilością prawdopodobieństwa umożliwia przypisanie wiadomości do jednej kategorii lub drugiej. Ich zawartość można wprowadzić ręcznie lub importować dane z istniejących plików tekstowych. Istnieje kolejna wersja generacji słowników - automatyczna. Podczas korzystania z niego administrator po prostu określa folder zawierający odpowiednie dokumenty. Sam program przeanalizuje je, wybierz niezbędne słowa i umieść ich cechy wagi. W przypadku słowników wysokiej jakości konieczne jest określenie nie tylko poufnych plików, ale także obiektów, które nie zawierają zamkniętych informacji. Ogólnie rzecz biorąc, proces automatycznego pokolenia jest najbardziej podobny do szkolenia antyspamu na reklamach i zwykłych liter. I to nie jest zaskakujące, na tam, a są podobne technologie.
Przykład słownika na temat finansowego
Mówiąc o słownikach, nie można również wspomnieć o innej technologii do wykrywania poufnych danych realizowanych w ZGATE. Mówimy o cyfrowych odciskach palców. Istota tej metody jest następująca. Administrator może określić system folderów, w którym zawiera poufne dane. Program przeanalizuje wszystkie dokumenty w nich i utwórz "Druki cyfrowe" - zestawy danych, które umożliwiają zdefiniowanie próby przeniesienia nie tylko całej zawartości pliku, ale także oddzielnych części. Należy pamiętać, że system automatycznie śledzi stan określonych folderów i niezależnie tworzy "wydruki" dla wszystkich, które pojawiły się w nich.
Tworzenie kategorii z drukowanami plików cyfrowych
Cóż, teraz pozostaje tylko do czynienia z działaniami realizowanymi w rozpatrywanym systemie. Wszystkie są realizowane w Zgate aż 14 sztuk. Jednak większość działań wykonywanych wiadomościami. Obejmują one w szczególności usunięcie bez wysyłania (w rzeczywistości, blokując transfer litery), pomieszczenie w archiwum, dodawaniu lub usuwaniu załączników, zmian w różnych dziedzinach, wkładając tekst itp. Wśród nich, Szczególnie warto zwrócić uwagę na umieszczenie liter do kwarantanny. Ta akcja umożliwia "odroczenie" wiadomości dla ręcznego funkcjonariusza bezpieczeństwa, który zdecyduje się na jego dalszej losie. Bardzo interesująca jest również działanie, które pozwala zablokować połączenie IM. Może być używany do natychmiastowego zablokowania kanału, który został przekazany wiadomość z poufnymi informacjami.
Istnieje kilka rezydencji o dwóch działaniach - przetwarzanie sposobem bayesa i przetwarzania przez drukowanie. Oba mają na celu weryfikację wiadomości dla ich poufnych informacji. Tylko w pierwszych są słowniki i analiza statystyczna, aw drugim - druki cyfrowe. Działania te można wykonać podczas wykonywania określonego warunku, na przykład, jeśli adres odbiorcy nie znajduje się w domenie korporacyjnej. Ponadto są (jednak jak każdy inny) można ustawić do wszystkich wiadomości wychodzących. W tym przypadku system przeanalizuje litery i przypisuje je do jednej lub innej kategorii (chyba że oczywiście możliwe jest). Ale dla tych kategorii można wprowadzić warunki z wykonywaniem określonych działań.
Działania w systemie ZGATE
Cóż, pod koniec naszej dzisiejszej rozmowy o Zgate, możesz podsumować mały wynik. Ten system ochrony oparty jest głównie na analizie treści. Takie podejście jest najczęściej chronić przed wyciekiem poufnych informacji przez Internet. Oczywiście analiza treści nie pozwala na stu procent stopnia ochrony i jest raczej probabilistyczna. Jednak jego użycie pozwala zapobiec większości przypadków nieautoryzowanej transmisji tajnych danych. Stosować się do swoich firm, czy nie? Ten musi sam zdecydować, ocenę kosztów wdrażania i możliwych problemów w przypadku wycieku informacji. Warto zauważyć, że ZGate jest doskonale radzi sobie z "łapiących" wyrażeń regularnych, co czyni go bardzo skutecznym sposobem ochrony danych osobowych, które są przetwarzane z firmy.
Według różnych firm analitycznych, wyciek informacyjny jest bardzo często nie z powodu jego defraudacji z zewnątrz, ale przekazując informacje poufne do swoich pracowników do przedstawicieli organizacji konkurentów. Dzisiaj jest wiele różne urządzeniaktóre jakiekolwiek dokumenty przechowywane w lokalnej sieci organizacji można skopiować.
Według różnych firm analitycznych, wyciek informacyjny jest bardzo często nie z powodu jego defraudacji z zewnątrz, ale przekazując informacje poufne do swoich pracowników do przedstawicieli organizacji konkurentów. Dziś istnieje wiele różnych urządzeń, do których można skopiować jakiekolwiek dokumenty przechowywane w lokalnej sieci organizacji. I to nie tylko zewnętrzne nośniki USB lub CD / DVD. Możesz skopiować informacje do odtwarzaczy MP3, telefony komórkoweTo, że bezpośrednio do komputera nie może połączyć się z zewnętrznym sprzętem, który można podłączyć do sieci lokalnej za pośrednictwem Wi-Fi iw inny sposób. Ponadto jest to e-mail, programy wiadomości błyskawicznych, za pomocą forów, blogów, czatów. Istnieje wiele opcji, czy można chronić przed nimi?
Dla ochrona danych przed insiders Zastosuj różne metody, wśród których korzystanie z programów specjalnych przeznaczonych do sterowania użyciem urządzeń peryferyjnych. W tym artykule będziemy spojrzeć na kilka programów, zarówno zagranicznych producentów, jak i krajowych, i spróbujemy określić, gdzie i kiedy powinny być stosowane.
Program jest przeznaczony do ograniczenia dostępu Do różnych urządzeń peryferyjnych, z możliwością tworzenia list "białych", monitorowanie funkcjonowania użytkowników, pliki kopiowania cienia skopiowane do lub z kontrolowanych urządzeń. Istnieje okazja do scentralizowanej instalacji sterowników śledzenia i ich lokalnej instalacji.
Instalacja programowa może być przeprowadzona zarówno centralnie, jak i lokalnie, jeśli dostęp do chronionego komputera jest ograniczona przez sieć lub niemożliwa. Pojedyncza dystrybucja zawiera kilka modułów: serwer, zainstalowany na biurze Local Network Server pozwala / zabrania pewnych działań, zapisuje informacje do bazy danych; Klient, realizowany w formie sterownika śledzenia; Administrator i baza danych, która jest używana przez SQLite.
Śledzenie podróży zapewnia kontrola różne porty Usb., CIM, LPT, WiFi, IR i inne. W zależności od typu portu można całkowicie zabronić dostępu, zezwalaj na czytanie lub otwarcie pełnego dostępu do urządzenia. Nie ma rozkładu dostępu na czas. Zauważono również, że przy pozwalaniu dostępu do odczytu tylko do urządzeń, takich jak USB Flash Drives, możliwość edycji zwykłych plików tekstowych na tych urządzeniach z możliwością zapisywania ich na tym samym przewoźniku pozostałości.
Pokazuje urządzenia USB podłączone do komputerów i utrzymują działania użytkownika z zewnętrznym przechowywaniem informacji. Informacje o podłączeniu / wyłączaniu urządzeń i które pliki i po odczytaniu lub nagraniu są przechowywane w bazie danych. Zaimplementowano kopiowanie cienia plików, które odczytywane lub nagrane na urządzeniach USB zostało wdrożone. Nie ma kopiowania cienia plików wysłanych do drukowania lub innych urządzeń, istnieje tylko ich dziennik.
Istnieje koncepcja "biała lista", która obejmuje urządzenia USB, dostęp do którego należy zawsze otwierać na wszystkich komputerach (na przykład kluczy USB). Ta lista jest zjednoczona dla wszystkich komputerów, poszczególne listy dla poszczególnych użytkowników nie jest dostępne.
Zapewnia dostęp do różnych urządzeń zewnętrznych, ale nie zaznacza drukarek podłączonych do tych portów z całkowitej listy urządzeń USB. Jednocześnie wyróżnia nośnik wymienny i może ustanowić różne rodzaje dostępu do nich. Wymienne nośniki są automatycznie wprowadzane do bazy danych urządzeń (program wprowadzi wszystkie nośniki USB do bazy danych, zawsze podłączony do określonego komputera), co pozwala na zastosowanie praw dostępu przypisanych do nich do dowolnego komputerowego oprogramowania.
Ma możliwość korzystania z scentralizowanej instalacji części klientów za pomocą zasad grupy Active Directory. Oszczędza to możliwość zainstalowania ich lokalnie i za pośrednictwem panelu administratora programu. Delimitacja praw dostępu prowadzi się jednak na podstawie zasad kontroli dostępu, jednak może tworzyć kilka polityk, które można stosować indywidualnie różne komputery.. Oprócz funkcji kontroli dostępu umożliwia rejestrowanie użycia urządzeń na komputerze lokalnym.
Program obsługuje funkcję CHADIN COPY - możliwość zapisywania dokładnej kopii plików skopiowanych przez użytkownika do zewnętrznych urządzeń do przechowywania informacji. Dokładne kopie wszystkich plików są zapisywane w specjalnej pamięci i później można analizować za pomocą wbudowanego systemu analizy. Kopiowanie cienia można określić dla poszczególnych użytkowników i grup użytkowników. Po włączeniu funkcji "Vesti LOG" podczas kopiowania plików, zostaną zapisane tylko informacje o nich (bez zapisywania dokładnej kopii pliku).
Program nie ma koncepcji "białej listy" urządzeń. Zamiast tego w ogólnej polityce można określić nośnik wymienny i zezwalaj na dostęp do niej z dowolnego komputera. Zauważ, że nie ma możliwości zastosowania tych samych ustawień na indywidualne płyty CD / DVD.
Program firmowy GFI. Znacząco przekracza swoje możliwości i - w nim, na przykład, znacznie bardziej kontrolowane urządzenia niż w poprzednich programach (odtwarzacze Media iPod, kreatywne Zen, telefony komórkowe, aparaty cyfrowe, taśmy magnetyczne i dyski zip, kamery internetowe, skanery).
Program zapewnia trzy typowe ustawienia praw dostępu - dla serwerów, stacji roboczych i komputerów przenośnych. Oprócz urządzenia blokujące, Program ma możliwość blokowanie dostępu Do plików w zależności od ich typu. Na przykład można otworzyć dostęp do odczytu do plików dokumentów, ale aby zabronić dostępu do plików wykonywalnych. Możliwe jest również blokowanie dostępu do urządzeń nie tylko przez ich typ, ale także przez port fizyczny, do którego podłączony są urządzenia zewnętrzne. Jeszcze jeden ustawianie praw dostępu jest prowadzony na unikalnych identyfikatorach urządzeń.
Administrator programu może prowadzić dwa typy listy urządzeń - tych dostępu, do którego jest dozwolone domyślnie ("biała lista"), a te dostęp do którego jest zabronione ("czarna lista"). Specjalista IT może dać tymczasowe zezwolenia na dostęp do urządzeń lub grup urządzeń na komputerze osobno (zaimplementowanym poprzez generowanie specjalnego kodu, który może być przekazywany użytkownikowi, nawet jeśli jego komputer zostanie odłączony od sieci, a agent programu nie ma zdolności Aby połączyć się z serwerem).
Program implementuje obsługę nowej funkcji szyfrowania używanej w systemie Windows 7, który nazywa się BitLocker, aby przejść. Ta funkcja służy do ochrony i szyfrowania danych na urządzeniach wymiennych. GFI EndpointSecurity może rozpoznać takie urządzenia i zapewnić dostęp do plików zapisanych na nich w zależności od ich typów.
Zapewnia potężny system raportowania administratora. Podsystem statystyk (GFI EndpointSecurity Reportpack) pokazuje (w tekście i graficzny) Codzienne urządzenie korzystanie z urządzeń zarówno dla wybranych komputerów, jak i ogólnie wszystkich komputerów. Możesz także uzyskać dane statystyczne dotyczące aktywności użytkownika w kontekście dnia, tygodni, miesiąc podziału za pomocą używanych aplikacji, urządzeń, sposobów dostępu do plików.
Jednym z najczęstszych programów do ochrony informacji od inaiderów dzisiaj w Rosji. Opublikowano w Rosji pod marką "1C: Dystrybucja"
Program zapewnia kontrola nie tylko urządzenia biegną Windows Mobile., ale także urządzenia działające system operacyjny iPhone OS i Palm OS. W tym samym czasie, zarówno kopiowanie cienia wszystkich plików wielokrotnego zapisu, jak i danych, niezależnie od tego, z których porty są podłączone do sterowanej sieci, przez który port. Kopiowanie cienia można skonfigurować nie tylko przez urządzenia, ale także według typów plików, podczas gdy typ zostanie określony na podstawie rozszerzeń, ale na podstawie ich treści.
Możliwe jest zainstalowanie dostępu "tylko czytanie" do wymiennych mediów, w tym napędy taśmowe. Jako dodatkowa opcja - ochrona mediów z losowego lub celowego formatowania. Możesz także przeprowadzić protokół wszystkich działań użytkownika z obu urządzeń i plików (nie tylko kopiowanie lub czytanie, ale także usuwanie, zmianę i tak dalej).
Aby zmniejszyć obciążenie w sieci podczas przesyłania danych odebranych od agentów i plików kopiowania cienia, można użyć kompresji strumieniowej. Dane kopiowania cienia w dużych sieciach można zapisać na wielu serwerach. Program automatycznie wybiera optymalny serwer, biorąc pod uwagę przepustowość sieci i ładowanie serwera.
W wielu organizacjach w celu ochrony danych, napędy chronione przez specjalne programy szyfrowania - VIPNET Safedisk, PGP całe dyski, Drivecrypt i TrueCrypt. W przypadku takich dysków program może ustawić specjalne "zasady szyfrowania", co pozwala na zezwolenie tylko na zaszyfrowane dane na urządzeniach wymiennych. Obsługiwane operację z napędami Flash LEXAR JUGDIVE SOCE S3000 i LEXAR Safe PSD obsługujące szyfrowanie danych sprzętowych. Najbliższa wersja będzie również wspierać i współpracować z wbudowanymi narzędziami do szyfrowania danych na wymiennym bitLocker do mediów.
Kopiowanie cienia jest przeznaczone nie tylko do zapisywania kopii plików, ale także do analizy przesiedlonych informacji. Może przeprowadzać pełnotekstowe wyszukiwanie w treści plików, automatycznie rozpoznawania i indeksowania dokumentów w różnych formatach.
Wyjście nowej wersji programu, w którym, oprócz pełnego wyszukiwania, pliki filtrowania zawartości skopiowane do zdejmowanych urządzeń pamięci masowej dowolnych typów, a także monitorowanie zawartości obiektów danych przesyłanych z komputera za pośrednictwem kanałów komunikacyjnych sieci , w tym aplikacje e-mail, interaktywna internetowa -Service, sieci społecznościowe, fora i konferencje, najpopularniejsze usługi wiadomości błyskawicznych (Messengers Instant), wymiany plików FTP, a także sesje Telnet
Nowa wersja jest wyjątkowa w nowej wersji, jest technologia filtrowania danych tekstowych w kanale sieci i lokalnego drukowania dokumentów do zadań w formatach PCL i PostScript, co pozwala blokować lub zezwolić na drukowanie dokumentów w zależności od ich zawartości informacji.
wnioski
|
Zdalne zarządzanie klientami | ||||
|
MMC Snap Control. | ||||
|
Scentralizowana instalacja polityki, kontrola i przywrócenie | ||||
|
Kontroluj urządzenia zewnętrzne |
Tylko USB. | |||
|
Kontrola Adaptery WiFi. | ||||
|
Kontrola urządzeń Palm OS. iPhone / iPod. |
Ograniczony |
Ograniczony |
||
|
Wsparcie dla technologii "White List" | ||||
|
Wsparcie dla technologii "White List" nośników danych | ||||
|
Obsługa zewnętrznych dysków zaszyfrowanych | ||||
|
Blokowanie Keyloggers. | ||||
|
Ograniczanie woluminów skopiowanych danych | ||||
|
Kontrola danych według typów | ||||
|
Scentralizowane logowanie | ||||
|
Kopiowanie cienia |
Tylko USB. |
Tylko USB. |
Częściowo | |
|
Shadow Copy Drukuj dane | ||||
|
Raporty graficzne dzienników i kopiowania cienia | ||||
|
Wyszukiwanie pełnotekstowe w tych kopiowaniu cienia |
Do dwóch pierwszych programów można wykorzystać ochrona informacji Z drodzania, ale ich możliwości są ograniczone. Są one w różnym stopni "Zamknij" standardowe urządzenia zewnętrzne, ale ich możliwości są ograniczone - i pod względem ustawień, oraz pod względem analizy operacji użytkowników. Programy te mogą być zalecane "do próbki", aby wyjaśnić proces samej ochrony. W przypadku dużych organizacji, w których stosowany jest zróżnicowany urządzeń peryferyjnych, a wymagana jest analiza aktywności użytkownika, wspomniane powyżej programy będą wyraźnie niewystarczające.
Dla nich lepiej jest zwrócić uwagę na programy - i. Są to profesjonalne rozwiązania, które można zastosować w firmach zarówno małych, jak i z dużą liczbą komputerów. Oba programy zapewniają kontrolę nad różnych urządzeń peryferyjnych i portów, mają potężne systemy analizy i raportowania. Ale istnieją znaczące różnice między nimi, dlatego program Spółki GFI. W takim przypadku możesz wziąć na podstawową. Może kontrolować nie tylko urządzenia i działanie danych, ale także korzystać z oprogramowania. Ta funkcja "ciągnie" go z niszu "Kontrola urządzenia" w segmencie "Content-Aware Endpoint DLP". NOWE, stwierdziły możliwości pozwalają na drastycznie oderwanie od konkurentów poprzez pojawienie się możliwości analizy treści w momencie użytkownika wykonywania różnych działań z danymi, w tym strumieniowo, a także poprzez kontrolę wielu sieci Parametry kontekstowe komunikacyjne, w tym adresy e-mail, adresy IP, identyfikatory użytkowników i zasoby aplikacji sieciowych itp. Możesz mieć partnerów 1Soft.
Michaił Abramon.
Wszelkie prawa zastrzeżone. Do korzystania z artykułu kontakt administratorzy witryny
