Az információ típusa

Elhelyezkedés

Termelés

Gyártási tervek, szellemi tulajdon, technológiai leírások, házon belüli fejlesztések

Fájlszerverek, DBMS

Bizalmas

infrastruktúra

Informatikai infrastruktúra kártyák, informatikai rendszerek, bejelentkezések

Helyileg

érzékeny

Pénzügyi

Számviteli információk, pénzügyi tervek, jelentések, mérlegek

Base 1C vagy más környezet a pénzügyi osztály számára

Bizalmas

Személyzet

Személyi kártyák

Helyileg, fájlszerver

érzékeny

Fájlok és dokumentumok belső megosztáshoz

Személyes

Vállalaton belüli

Találkozói jelentések, parancsok, utasítások, cikkek

Fájlszerver

Nyilvános

Szórakoztató

Fényképek, videók, filmek, hangoskönyvek

Kibővített mappák vagy dedikált fájlszerver

A mindenféle cserélhető meghajtó elterjedésével a bennfentes probléma, amely korábban igencsak aktuális volt, valóban globális léptéket öltött. És ebben egyáltalán nincs semmi meglepő. Manapság minden alkalmazott, aki hozzáfér bizalmas információkhoz, könnyen, és ami a legfontosabb, diszkréten átmásolhatja azokat magának, és a jövőben különféle célokra felhasználhatja. És az is jó, ha emögött ott van az otthoni szerződésekkel való munkavégzés vágya. Bár egy ilyen akció a behatoló szándékától függetlenül is drámaian megnöveli az adatkompromittálódás kockázatát (az otthoni számítógépek általában kevésbé védettek, különböző emberek ülhetnek rájuk, és a meghajtó elveszhet). De végül is az alkalmazott másolhat információkat annak érdekében, hogy azokat a versenytársaknak továbbítsa, vagy saját személyes céljaira felhasználhassa. Ennek legegyszerűbb és legkézenfekvőbb példája az ügyfélkör (vagy a velük kötött szerződések) lemásolása távozás előtt, hogy átcsábítsa őket egy másik céghez.

A fő probléma az, hogy az információlopás ezen módszere ellen szabványos eszközökkel, azaz az operációs rendszerekbe épített eszközökkel nem lehet védekezni. Vegyünk legalább USB flash meghajtókat. Aprók, olcsók és nagyon tágasak. Segítségükkel a dolgozók csendben "kivehetnek" gigabájtnyi információt a vállalati információs rendszerből. A munkaállomásokon azonban nem lehet egyszerűen letiltani az USB-portokat – ma már számos eszköz csatlakoztatásához szükségesek: nyomtatók, billentyűzetek, egerek, szoftverkulcsok stb. Ezen kívül nem szabad megfeledkeznünk az információlopás egyéb lehetőségeiről sem, például CD-használatról. / DVD-k, mobiltelefonok stb. Még egy hagyományos nyomtató is veszélyt jelenthet. Hiszen a munkavállalónak lehetősége van bizalmas információkat kinyomtatni és a kinyomtatott anyagokat hazavinni. Kikapcsolni azonban ezeket sem lehet majd, mert általában ezek az eszközök mind szükségesek ahhoz, hogy a dolgozók hivatali feladataikat el tudják látni.

Az egyetlen módja annak, hogy megvédje a vállalatot a bizalmas információk különféle cserélhető meghajtókon keresztül történő ellopásától, ha olyan rendszert vezetünk be, amely korlátozza és ellenőrzi azok használatát. Speciális szoftverrel valósítják meg. Valamilyen oknál fogva sok cég úgy gondolja, hogy az ilyen termékek nagyon összetettek, és ezek megvalósításához és karbantartásához speciális képesítésekre van szükség. Ez azonban egyáltalán nem így van. A számítógép külső és belső eszközeihez való hozzáférési jogok elhatárolásának rendszere olyan egyszerű, hogy nem csak egy képzett rendszergazda, hanem egy tapasztalt PC-felhasználó is meg tudja kezelni. És ezeknek a szavaknak a megerősítéseként ma egy példát fogunk megvizsgálni a Zlock termék SecurIT vállalati IS-be való bevezetésére. Érdemes megjegyezni, hogy nem képes megvédeni a bizalmas információk interneten keresztüli kiszivárgását (például e-mailben az ICQ-n keresztül stb.), ehhez más termékekre van szükség, amelyek teljesen eltérő működési elvűek (például a Zgate ugyanabból). fejlesztő). A Zlock azonban megbirkózik azzal a feladattal, hogy mindenféle cserélhető meghajtót és nyomtatót sikeresen vezéreljen.

Zlock szerkezet

Mielőtt elkezdené a beszélgetést a kérdéses rendszer telepítési eljárásáról, meg kell értenie annak szerkezetét. A Zlock öt részből áll.

· Menedzsment konzol. Olyan program, amely lehetővé teszi az adminisztrátor számára a teljes rendszerfelügyelet elvégzését, beleértve a munkaállomásokra történő telepítést, a hozzáférési szabályzatok módosítását, a napló- és konfigurációs szerverekkel való munkát stb.

· Kliens modul. A munkaállomásokra telepített segédprogram. Ő szabályozza és blokkolja a hozzáférést a megadott házirendekkel összhangban. Ezenkívül a kliens modul együttműködik a naplószerverrel, ellenőrzi a Zlock integritását stb.

· Naplószerver. A kliensmodulok által továbbított eseményekkel kapcsolatos információk fogadására, tárolására és feldolgozására szolgáló rendszer. Kényelmes rendszergazdai hozzáférést biztosít az összes adathoz.

· Konfigurációs szerver. Központi konfigurációkezelő rendszer, Zlock.

· Zlock konfigurációs modul a csoportházirenden keresztül. Modul a rendszer telepítéséhez és frissítéséhez csoportházirendeken keresztül.

Mindenekelőtt ki kell találnia, hogy mely modulok vannak telepítve. Nyilvánvaló, hogy a felügyeleti konzolt egy rendszergazda vagy a vállalat információbiztonságáért felelős alkalmazott számítógépére kell telepíteni. Ez a folyamat nem különbözik bármely más szoftver telepítésétől, ezért nem foglalkozunk vele részletesen.

A naplószerver és a konfigurációs szerver elvileg nem szükségesek a rendszer működéséhez. A Zlock sikeresen megbirkózik a hozzá rendelt feladatokkal és azok nélkül is. A naplószerver azonban nagyon kényelmes az események egyidejű megtekintésére az összes munkaállomáson. Nos, a konfigurációs szerver nélkülözhetetlen a nagy vállalati hálózatokban. Ezzel nagyszámú munkaállomáson könnyedén kezelheti a kliensmodulok beállításait. A szokásos módon újra telepítve vannak. szoftver. Ezt az eljárást helyileg, a Zlockhoz mellékelt terjesztési csomagból hajtják végre.

A kérdéses rendszer telepítésének utolsó szakasza a kliens modulok telepítése minden olyan számítógépen, amely felügyeletet igényel. Ezt kétféleképpen lehet megtenni (opció: kézi telepítés nyilvánvaló okokból nem vesszük figyelembe). Az első a felügyeleti konzol használatát foglalja magában. Indítása után több csoport található a főablak bal oldali ablaktáblájában. Meg kell találnia köztük, és meg kell nyitnia a „Számítógépek és alkalmazások” fát, majd a „Nincs alkalmazások” ágat. Ez biztosítja a helyi hálózat azon számítógépeinek teljes listáját, amelyeken nincs telepítve a Zlock rendszer.

Az ügyfélrészek telepítési folyamatának elindításához a rendszergazdának ki kell választania a célszámítógépet vagy számítógépeket (beleértve a teljes tartományt is), és az eszköztáron található "Zlock telepítése vagy frissítése..." gombra kell kattintania. A megnyíló ablakban adja meg a mappát a program terjesztési csomagjával ( a legjobb lehetőség lesz egy hálózati mappa, amelyhez minden felhasználó hozzáférhet), és válassza ki a telepítési lehetőséget is. Három közülük van: a számítógépek kézi vagy kényszerített újraindításával, valamint újraindítás nélkül. Érdemes megjegyezni, hogy az utolsó, legkényelmesebb lehetőség nem használható a korábban telepített ügyfélrészek frissítésére. Összefoglalva, csak ki kell választani azokat a számítógépeket, amelyeken a telepítés megtörténik (talán nem szeretné telepíteni a Zlockot a hálózat összes számítógépére), és meg kell adni egy helyi rendszergazdai jogokkal rendelkező felhasználót. Sőt, a program jogosultság hiányában más felhasználótól is kérhet adatbevitelt.

Egy másik lehetőség a védelmi rendszer vállalati munkaállomásokon történő telepítésére a csoportházirendek használata. Ehhez a Zlock speciális telepítőcsomaggal érkezik. Maga a telepítési eljárás szinte minden rendszergazdának ismerős. Először is létre kell hozni hálózati mappa, másolja bele a Zlock30 fájlokat. msi és Zlockmsi. ini fájlt, és tegye elérhetővé az összes domain felhasználó számára. Ha már rendelkezik konfigurációs fájllal, akkor elhelyezheti ugyanabba a könyvtárba. Ebben az esetben a rendszer automatikusan alkalmazza az összes telepített ügyfélmodulra. Ha nincs ilyen fájl, a rendszer az alapértelmezett házirendet alkalmazza, amelyet a jövőben be kell állítani.

Ezt követően a vállalati tartomány tulajdonságaiban (az Active Directory konzolon keresztül) lépjen a "Csoportházirend" fülre, és hozzon létre egy új házirendet. Ennek a házirendnek az ablakában ki kell bontania a "Számítógép konfigurációja" fát, ki kell választania a "Szoftver telepítése" elemet, és létre kell hoznia egy új csomagot, amelynek tulajdonságaiban adja meg a Zlock30 fájl hálózati elérési útját. msi. Ennek eredményeként a Zlock rendszer telepítése megtörténik szabvány azt jelenti OS.

Hozzáférési házirendek konfigurálása

A Zlock biztonsági rendszer bevezetése során talán a legfontosabb művelet a hozzáférési szabályzatok beállítása. Meghatározzák, hogy minden felhasználó képes-e dolgozni bizonyos eszközökkel. Mindegyik szabályzat három részből áll. Az első az eszközök vagy csoportjaik listája, amelyek mindegyike különböző felhasználók számára rendelkezik hozzáférési jogokkal. A házirend második része a különböző meghajtókra másolt fájlok árnyékmásolásának beállításai. Nos, a harmadik rész határozza meg a nyomtatókon nyomtatott dokumentumok árnyékmásolásának beállításait. Ezen túlmenően, minden politika számos további tulajdonságok amelyeket az alábbiakban megvizsgálunk.

A házirend működési elve a következő. Minden munkaállomáshoz egy vagy több, a rendszergazda által hozzárendelt házirend tartozik. Bármilyen, a védelmi rendszer által vezérelt esemény bekövetkeztekor (eszköz csatlakoztatása, fájl másolási kísérlete cserélhető meghajtóra, dokumentum kinyomtatása stb.) a kliens modul sorra ellenőrzi, hogy minden szabályzatnak megfelel-e (a sorrend a prioritási rendszer által beállított), és az elsőt alkalmazza azok közül, amelyekkel egyezik. Vagyis a Zlockban nincs a szokásos kivételrendszer. Ha például egy adott kivételével az összes USB flash meghajtót le kell tiltania, két házirendet kell alkalmaznia. Az első alacsony prioritású letiltja a cserélhető meghajtók használatát. És a második, egy magasabb, lehetővé teszi egy adott példány használatát. A rendszergazda által létrehozottakon kívül létezik egy alapértelmezett házirend is. Meghatározza a hozzáférési jogokat azokhoz az eszközökhöz, amelyeket más házirendek nem írnak le.

Nos, most nézzük meg a szabályzat létrehozásának eljárását. Az elindításához ki kell választania a kívánt munkaállomást a felügyeleti konzolfában, és kapcsolatot kell létesítenie vele. Ezt követően válassza a "Szabályzat" menü "Hozzáadás" elemét. A kapott ablak öt lapból áll. Az elsőt "Hozzáférés"-nek hívják. Meghatározza a létrehozandó házirend nevét, prioritását és az eszközök hozzáférési jogait. Négy lehetőség áll rendelkezésre itt: teljes hozzáférés az összes felhasználó számára, csak olvasási hozzáférés minden felhasználó számára, megtagadják az eszközökhöz való hozzáférést minden felhasználótól, és egyéni eszköz-hozzáférési jogok a felhasználók és csoportok számára. Az első három célja egyértelműen a nevükből következik. De az utolsó lehetőséget érdemes külön megjegyezni. Ezzel különböző jogosultságokat állíthat be az egyes felhasználók számára, ami nagyon kényelmes, mivel gyakran különböző alkalmazottak dolgozhatnak ugyanazon a számítógépen. A hozzáférési jogok megadásához kattintson a "Szerkesztés" gombra, és a megnyíló ablakban adja meg a szükséges fiókokat (helyi számítógép vagy tartomány), és mindegyikhez meg kell adnia az engedélyeket.

Az alapbeállítások megadása után meg kell adnia azon eszközök és csoportok listáját, amelyekre a házirend vonatkozik. Ehhez használja az "Eszközök" lapot. Négyféleképpen lehet bevinni a berendezéseket a Zlockba.

· Tipikus eszközök. Ez az opció egy bizonyos típusú összes eszközt kiválaszt, például az összes cserélhető meghajtót, CD/DVD-meghajtót, merevlemezek stb.

· Meghatározott jellemzőkkel rendelkező USB-eszköz. Lehetővé teszi az USB-eszközök megadását típus, gyártó, terméknév, eszköz sorozatszáma stb. szerint.

· Nyomtatók. Adott helyi vagy hálózati nyomtatók megadására szolgál.

Ezekkel a módszerekkel nagyon pontos és rugalmas eszközlistát hozhat létre. Figyelemre méltó, hogy nem csak azt a berendezést választhatja ki, amely jelenleg csatlakozik a számítógéphez, hanem azt is, amelyet egykor használtak (nagyon fontos a cserélhető meghajtók esetében). Ezenkívül az adminisztrátor létrehozhat egy úgynevezett eszközkatalógust. Ez egy olyan fájl, amely felsorolja a vállalati hálózaton lévő számítógépekhez csatlakoztatott összes eszközt. Kézzel és automatikusan is létrehozható az összes munkaállomás átvizsgálásával.

Elvileg ezután már van egy teljesen működőképes politikánk. A Zlock azonban számos további beállítást biztosít, amelyek bővülnek funkcionalitás védelmi rendszerek. Így például, ha olyan házirend jön létre, amelynek nem kellene állandóan érvényben lennie, akkor ütemezést kell beállítani a működéséhez. Ez az azonos nevű lapon történik. Ezen meghatározhatja azokat az időközöket, amelyek alatt a házirend érvényes. Az adminisztrátor megadhatja a házirend időtartamát, az időpontot, a hét napjait vagy a hónap azon napjait, amikor az aktív lesz.

Ha a számítógép, amelyre a házirend készül, le tud kapcsolódni a vállalati hálózatról és/vagy csatlakozni az interneten keresztül, akkor speciális beállításokat adhat meg. Ehhez lépjen az "Alkalmazási szabályok" fülre. Három pontot sorol fel a lehetséges PC-státuszhoz a vállalati tartományhoz képest: a tartomány elérhető helyileg, a tartomány elérhető VPN-en keresztül, a tartomány nem elérhető. Bármelyik házirend-művelet letiltásához egyszerűen kapcsolja ki a megfelelő jelölőnégyzetet. Ha például lehetetlenné szeretné tenni a nyomtatást a vállalati hálózatról leválasztott számítógépről, elegendő egy nyomtatóhasználatot tiltó házirendet létrehozni, és aktiválni a „Domain not available” és „Domain accessible via VPN” (VPN-n keresztül elérhető tartomány) beállításokat. pontokat a pályázati szabályzatban.

Miután létrehozott egy vagy több házirendet az egyik számítógépen, gyorsan kioszthatja azokat más számítógépekre. Ehhez létre kell hoznia a kapcsolatot az összes szükséges állomással a kezelőkonzolon, és a "Szolgáltatás" menüben válassza ki a "Konfiguráció terjesztése" elemet. A megnyíló ablakban jelölje be a szükséges házirendek és számítógépek jelölőnégyzeteit, jelölje be a "Háttérszabályok terjedése" jelölőnégyzetet, és válassza ki azt a műveletet, amelyet az alkalmazásnak végre kell hajtania, ha egyező nevű házirendeket észlel (kérdezze meg, hogy felül kell-e írni vagy sem) . Ezután kattintson az "OK" gombra, és várja meg, amíg a folyamat befejeződik.

Bármilyen politika módosítható a jövőben. Ehhez csak csatlakozzon ahhoz a számítógéphez, amelyen eredetileg létrehozta, keresse meg a „fában”, és kattintson rá duplán az egérrel. Ekkor megnyílik egy, a házirend létrehozásának folyamatából már ismert ablak, amelyben bizonyos paramétereket módosíthatunk. Kérjük, vegye figyelembe, hogy ha az Ön által szerkesztett házirendet egykor más számítógépekre terjesztették, akkor a módosítás előtt először létre kell hoznia egy kapcsolatot ezekkel a számítógépekkel. Ebben az esetben a változtatások mentésekor maga a Zlock program felajánlja az elavult házirendek szinkronizálását az újjal. A házirendek ugyanígy törlődnek.

Naplózás és árnyékmásolás beállítása

A Zlocknak ​​van naplózó rendszere. Ennek köszönhetően az adminisztrátor vagy más információbiztonságért felelős személy megtekintheti és elemzi az összes megfigyelt eseményt. Az engedélyezéséhez válassza a "Beállítások" elemet az "Eszközök" menüben, és a megnyíló ablakban lépjen a "Journaling" fülre. Felsorolja az összes lehetséges eseményt (az eszközre való írás megtagadása, a hálózati hozzáférés megváltoztatása, a konfiguráció megváltoztatása, a hozzáférési szabályzatok alkalmazása stb.), valamint ezek állapotát a naplózás szempontjából.

Egy vagy több esemény naplózásának engedélyezéséhez kattintson a plusz jelre, és válassza ki a naplózási lehetőséget: írás fájlba (rendszereseménynapló vagy tetszőleges fájl TXT vagy XML formátumban), SQL szerveren vagy naplószerveren lévő adatbázisba , levelet küld e-mailben.

Ezt követően a megnyíló ablakban be kell állítani a naplóparamétereket (a kiválasztott opciótól függenek: fájlnév, adatbázis-hozzáférési paraméterek stb.), meg kell jelölni a szükséges eseményeket, és kattintani az "OK" gombra.

A fájlműveletek naplózása külön van konfigurálva. Olyan műveleteket jelentenek, mint a fájlok létrehozása, módosítása és szerkesztése, könyvtárak létrehozása és törlése stb. Nyilvánvaló, hogy az ilyen naplóknak csak cserélhető meghajtók használata esetén van értelme. Ezért az ilyen típusú naplózás hozzáférési szabályzatokhoz van kötve. A konfiguráláshoz válassza a "Fájlműveletek" lehetőséget a kezelőkonzol "Eszközök" menüjében. A megnyíló ablakban mindenekelőtt ki kell választania azokat a házirendeket, amelyekhez a naplózás végrehajtásra kerül. Érdemes kiválasztani azokat, amelyek vezérlik a cserélhető meghajtók használatát: USB-eszközök, CD-/DVD-meghajtók stb. Ezt követően meg kell adnia azokat a műveleteket, amelyeket a rendszer végrehajt a fájlműveletek észlelésekor. Mindegyik hozzáadásához kattintson a "plusz" gombra, és válassza ki a kívánt lehetőséget. Három művelet kapcsolódik a naplózáshoz: eseményinformációk írása fájlba, adatbázisba vagy e-mail üzenet küldése. Az utolsó lehetőség a megadott program vagy parancsfájl futtatása.

Ezután folytathatja az árnyékmásolás beállítását. Ez egy nagyon fontos funkciója a Zlock rendszernek, amit nem szabad elhanyagolni. A másolt vagy nyomtatott fájlokat egy speciális tárhelyre teszi, amely a felhasználó számára észrevehetetlen. Az árnyékmásolásra akkor van szükség, ha az alkalmazottaknak nyomtatókat vagy cserélhető meghajtókat kell használniuk szakmai feladataik ellátásához. Ilyen esetekben akadályozza meg az információszivárgást technikai eszközöket szinte lehetetlen. De az árnyékmásolás lehetővé teszi, hogy gyorsan reagáljon rá, és megállítsa a jövőbeni eseményeket.

Az árnyékmásolás paramétereinek beállításához válassza ki az "Eszközök" menü azonos nevű elemét. Először is beállíthatja a helyi tárhelyet. Ehhez meg kell adnia a mappát, ahová a fájlok mentésre kerülnek, meg kell adni a rendelkezésre álló mennyiséget (megabájtban vagy a merevlemez szabad területének százalékában), és ki kell választani a túlcsordulás esetén a műveletet (a tárolóban lévő fájlok felülírása) , tiltják vagy engedélyezik a másolást és nyomtatást).

Ha szükséges, beállíthatja az árnyékmásolást a hálózati tárhelyre. Ehhez lépjen a "Másolás kiszolgálóra" fülre, és jelölje be az "Árnyékmásolással és fájlokkal kapcsolatos információk továbbítása a szerverre" jelölőnégyzetet. Ha az átvitelt azonnal végre kell hajtani, akkor válassza a "Fájlok átvitele a lehető leghamarabb" lehetőséget. Egy másik lehetőség is lehetséges - a rendszer a fájlokat másolja adott gyakorisággal. Ezt követően ki kell választania egy hálózati mappát, amelybe a fájlok íródnak. Vegye figyelembe, hogy célszerű olyan könyvtárat választani, amelyhez csak a rendszergazda férhet hozzá. Ellenkező esetben az alkalmazott beléphet, és törölheti vagy legalább megtekintheti a mentett fájlokat. Egy ilyen mappa kiválasztásakor meg kell adnia annak a felhasználónak a felhasználónevét és jelszavát, aki jogosult arra, hogy információkat írjon a mappába.

Nos, a beállítások végén a „Szabályok” lapra kell lépni, és megadni azokat a házirendeket, amelyek alapján az árnyékmásolás működni fog.

Ideiglenes engedélyezési rendszer

Elvileg mi, kedves olvasók, már elemeztük a Zlock megvalósítási folyamatát. Elkészülése után a bennfentes védelmi rendszer működik, segít a cégnek elkerülni a kereskedelmi és a Személyes adat. A Zlocknak ​​van azonban egy másik nagyon érdekes funkciója, amely megkönnyíti a rendszergazda életét. Egyes eszközök használatára vonatkozó ideiglenes engedélyek kiadásának rendszeréről beszélünk.

Miért szeretnél erre a pillanatra koncentrálni? Minden nagyon egyszerű. A gyakorlat azt mutatja, hogy meglehetősen gyakran adódnak olyan helyzetek, amikor az egyik alkalmazottnak olyan eszközt kell használnia, amely általában tiltott számára. Ráadásul sürgősen felmerülhet egy ilyen igény. Emiatt pánik támad, sürgősen rendszergazdát keresnek, akinek módosítania kell a hozzáférési szabályzatot, és ami a legfontosabb, ne felejtse el később visszaküldeni. Természetesen ez nagyon kényelmetlen. Sokkal jobb az ideiglenes engedélyezési rendszer alkalmazása.

Használatához először rendszergazdai tanúsítványt kell generálnia. Ehhez az "Eszközök" menüben válassza a "Tanúsítvány..." menüpontot, majd a megnyíló ablakban kattintson a "Tanúsítvány módosítása" gombra. Ezután a varázslóban válassza ki az "Új tanúsítvány létrehozása" választógombot, és írja be a nevét. Már csak a csatlakozás marad hátra távoli számítógépek, válassza ki a "Beállítások" elemet az "Eszközök" menüben, lépjen az "Általános" fülre a megnyíló ablakban, és kattintson a "Telepítés" gombra.

A Zlockban az ideiglenes engedélyek kétféleképpen használhatók - e-mailben és telefonon. Az első esetben a kérés a következőképpen jön létre. A felhasználónak jobb gombbal kell kattintania a Zlock ikonra a tálcán, és a legördülő menüből ki kell választania a "Lekérdezés létrehozása" lehetőséget. A megnyíló ablakban ki kell választania a kívánt eszközt és hozzáférési jogosultságokat (csak olvasási vagy teljes hozzáférés), meg kell adnia a rendszergazda címét, és szükség esetén egy rövid megjegyzést. Ebben az esetben a rendszerbe telepített levelezőkliensben alapértelmezés szerint létrejön egy levél, amelyhez egy kérésfájlt csatoltak. Miután megkapta a rendszergazdát, kattintson rá duplán az egérrel. Ekkor megnyílik egy ablak a kéréssel kapcsolatos információkkal. Ha az adminisztrátor beleegyezik a feldolgozásba, akkor a „Tovább” gombra kell kattintania. Ezzel megnyílik egy ablak egy új házirend létrehozásához, amelyben már megadta a kívánt eszközt. A rendszergazdának csak az ütemezést kell beállítania ehhez a házirendhez. Ez lehet állandó vagy egyszeri. A második esetben a házirend csak addig lesz érvényben, amíg a felhasználó be nem fejezi a Windows munkamenetet, vagy amíg az eszközt el nem távolítják (a rendszergazda választásától függően). Ezt a házirendet a megszokott módon, illetve felhasználásával át lehet vinni a munkavállaló számítógépére speciális fájl e-mailben (rendszergazdai tanúsítvánnyal lesz védve). Miután megkapta, a felhasználónak egyszerűen le kell futtatnia, majd hozzáférhet a kívánt eszközhöz.

A telefonos engedélyezési rendszer is hasonlóan működik. Először a felhasználónak létre kell hoznia egy kérést. Ez az eljárás szinte teljesen megegyezik a fentebb tárgyalt eljárással. Csak az utolsó szakaszban nem egy e-mail jön létre, hanem egy speciális kód, amely öt szám- és betűblokkból áll. Az alkalmazottnak fel kell hívnia az adminisztrátort, és be kell diktálnia neki ezt a karakterkészletet. Ezt a kódot az adminisztrátornak egy speciális ablakban kell megadnia (ez a "Szabályzat" menü "Kérés feldolgozása" menüpontjával hívható meg). Ezzel egyidejűleg megjelenik a képernyő részletes információk a kéréssel kapcsolatban. Ezután az adminisztrátor létrehozhat egy szabályzatot a már ismert módon. Az egyetlen különbség az, hogy az utolsó szakaszban a rendszer egy másik kódot generál. Adminisztrátorának le kell diktálnia egy alkalmazottnak, aki egy speciális mezőbe beírva aktiválhatja a készülékhez való hozzáférést.

Összegezve

Tehát, mint látjuk, a bennfentes védelmi rendszer üzembe helyezésének eljárása elvileg nem bonyolult. Elvégzéséhez nincs szükség különleges képességekre. Bármely alapismeretekkel rendelkező rendszergazda megbirkózik vele. hálózati technológiák. Mindazonáltal érdemes megjegyezni, hogy a védelem hatékonysága teljes mértékben attól függ, hogy a hozzáférési politikákat mennyire hozzáértően és teljes körűen dolgozzák ki. Ebben a pillanatban érdemes a legnagyobb komolysággal hozzáállni, és ezt a munkát egy felelős munkatársnak kell elvégeznie.

Zlock: Az USB-eszközökhöz való hozzáférés szabályozása

Zlock tesztelése

A rendszer fő várható előnyei a főbb funkcionális jellemzőkkel együtt a könnyű implementáció, valamint a beállítási és konfigurálási lépések intuitívsége.

1. ábra: Alapértelmezett hozzáférési szabályzat

Ezt követően át kell gondolnia magának a Zlock szolgáltatásnak a hozzáférési szabályzatát, amelyet a telepítés során az ügyféloldalakra is elosztanak. Szerkessze az alkalmazás kliens részének beállításaihoz tartozó hozzáférési házirendet, engedélyezve vagy letiltva a felhasználók számára az ikon megtekintését és a hozzáférési házirend módosításával kapcsolatos figyelmeztetéseket. Ezek a figyelmeztetések egyrészt kényelmesek, mert az adminisztrátorhoz intézett hozzáférési kérelem elküldésével a felhasználó értesítést kap, ha a megváltozott házirend alkalmazásra kerül a munkaállomásán. Másrészt a rendszergazdák gyakran nem részesítik előnyben a felhasználók számára a munkaállomáson futó védelmi szolgáltatások szükségtelen vizuális megerősítését.

Ezután a létrehozott házirend (ebben az esetben egyelőre helyi marad a konzolmunkaállomáson) alapértelmezett nevű fájlként kerül mentésre. zcfg fájlt az ügyfél terjesztési mappájába.

Minden. Ezzel befejeződik a rendszer globális előkészítése a tömeges telepítéshez. A termék lenyűgözi a házirendek létrehozásának egyszerűségét a felhasználói jogok létrehozásának szabványos elvével, például az ACL-lel.

Az összes számítógépre történő telepítéshez egy felugró üzenetet küldtek a felhasználóknak, amelyben arra kérték, hogy kapcsolják be az összes közeli, de jelenleg nem használt hálózati munkaállomást. Miután kiválasztottam az összes hálózati munkaállomást a csatlakoztatni kívánt számítógépek listájáról (vagy inkább az összes kijelölést, majd a szerverek kizárását), elindítottam a csatlakozási folyamatot a kliens rész további telepítéséhez. Az ilyen számú számítógéphez (150) való csatlakozás természetesen viszonylag sokáig tartott, mivel szekvenciálisan történik, és ha a számítógépet kikapcsolják, akkor a csatlakozási időtúllépés várható. Az eljárást azonban csak a kezdeti telepítés során kell végrehajtani, a további házirendeket a felhasználók személyes igényei alapján szabályozzuk. Amikor megpróbáltam "egyszerre" telepíteni a kliens részt a helyi hálózat mind a 150 számítógépére, több munkaállomáson kisebb problémákba ütköztem, de a rendszer a legtöbb számítógépen automatikusan telepítésre került. Csak egy probléma volt a telepítéssel: a Zlock nem kompatibilis a StarForce CD-védő illesztőprogram elavult verzióival. A helyes interakció érdekében frissítenie kell a StarForce illesztőprogramot úgy, hogy letölti a gyártó webhelyéről. Ez távolról is megtörtént a távoli telepítési szolgáltatás segítségével. Az inkompatibilitás okának magyarázata véleményem szerint élethez fűződik - elvégre a Zlock az OS alkalmazási funkcióinál alacsonyabb szinten kommunikál az I / O alrendszerrel - akárcsak a CD-másolásvédelem.

A munkaállomások kiválasztása után a rendszer felkéri, hogy adja meg, honnan kívánja futtatni a telepítő disztribúciót. Ez a funkció teszi lehetővé más programok ilyen módon történő telepítését anélkül, hogy elhagyná a munkahelyét. Legyen óvatos, amikor kiválasztja a telepítési lehetőséget - „Újraindítással” vagy „Újraindítás szükséges”. Ha az "Újraindítással" lehetőséget választja - a telepítés befejezése után a kliens munkaállomások automatikusan újraindulnak anélkül, hogy a felhasználó megerősítését kérnék.

Ezzel befejeződik a kezdeti telepítés, és az újraindítás után a Zlock kliens elkezdi végrehajtani az előírt biztonsági szabályzatot. Ezzel egyidejűleg a tálcán megjelenik a Zlock szolgáltatás ikonja, amely lehetőséget ad a felhasználóknak hozzáférési kérelmek létrehozására, valamint saját maguk szerkeszthetik a házirendeket, ha természetesen ezt az általunk létrehozott alapértelmezett házirend lehetővé tette számukra.

Elkötelezett a teljes adatvédelem mellett...

Ezt követően tulajdonképpen megkezdődik a Zlock rendszer finomhangolása. Ha a cég alkalmazottainak gyakran spórolniuk kell valamit cserélhető adathordozó, és szeretné a legszigorúbb szinten tartani a biztonsági szabályzatot, majd egyeztetni a munkarendjét, hogy a telepítést követő héten minél gyakrabban tudjon a munkahelyén tartózkodni. A hozzáférési szabályzat maximális szigorúságának megőrzése érdekében ajánlatos szabályokat létrehozni bizonyos cserélhető eszközökre, mivel a Zlock lehetővé teszi, hogy hozzáférést biztosítson az eszközökhöz, még annak alapján is. teljes jellemzői például márka, modell, sorozatszám stb. Az informatikai cégeknél bonyolultabb a helyzet, mivel az alkalmazottaknak folyamatosan mindenféle információt CD / DVD-R / RW lemezekre kell írniuk. Ebben az esetben ajánlott rögzítőmeghajtókkal ellátott dedikált munkaállomások használata, amelyeken a rendszerbiztonsági házirendek olyan szabályokat hoznak létre, amelyek nem teszik lehetővé a hálózathoz való hozzáférést ezekről a számítógépekről. Az ilyen finomságok azonban túlmutatnak a Zlock cikkén.

Hogyan működik a gyakorlatban?

Most pedig lássuk, hogyan is néz ki mindez a gyakorlatban. Emlékeztetlek arra, hogy az általam létrehozott hozzáférési szabályzat lehetővé teszi a felhasználók számára, hogy minden cserélhető eszközről olvassanak, és tiltja az írást. A szerviz részleg munkatársa az irodába érkezik, hogy jelentéseket küldjön el és feladatokat írjon lemezre. Cserélhető eszköz csatlakoztatásakor a rendszer korlátozza a hozzáférést, és megfelelő figyelmeztetést ad ki (lásd 2. ábra).

2. ábra: Hozzáféréskorlátozási figyelmeztetés

A dolgozó elolvassa a tőle hozott információkat, majd sikertelenül próbálja meg felírni a vezetőtől kapott feladatokat. Ha hozzáférésre van szükség, akkor vagy telefonon felveszi a kapcsolatot az adminisztrátorral, vagy a Zlock Tray Applet segítségével automatikus kérést generál, amelyben megjelöli, hogy melyik eszközhöz szeretne hozzáférni, megnevezi a fiókját és indokolja a hozzáférés szükségességét.

Az adminisztrátor, miután megkapta az ilyen kérelmet, döntést hoz a hozzáférés megadásáról/megtagadásáról, és pozitív döntés esetén módosítja az adott munkaállomásra vonatkozó szabályzatot. Ugyanakkor a létrehozott kérés tartalmazza az eszközre vonatkozó összes információt, beleértve a gyártót, a modellt, a sorozatszámot stb., és a Zlock rendszer lehetővé teszi, hogy ezen adatok alapján bármilyen házirendet hozzon létre. Így lehetőséget kapunk arra, hogy a megadott eszközön egy adott felhasználónak írási jogosultságot adjunk, szükség esetén naplózva az összes fájlműveletet (lásd 3. ábra).

3. ábra Házirend létrehozása felhasználói kérés alapján

Így a további megengedő házirendek létrehozásának folyamata a végletekig leegyszerűsödik az adminisztrátor számára, és a Check&Click elvhez vezet, ami kétségtelenül örömet okoz.

Problémák

Nem tudja megnyitni a tűzfal portjait a Zlock távoli adminisztrációjához?

A Zlock távoli adminisztrációjához a tűzfalban elegendő egy portot megnyitni. Alapértelmezés szerint ez a 1246-os port, de ez megváltoztatható, ha ez a szám valamilyen okból nem megfelelő. Ez egyébként megkülönbözteti termékünket néhány olyan analógtól, amelyek a Remote Procedure Calls (RPC) szolgáltatást használják az adminisztrációhoz, amely alapértelmezés szerint sok port megnyitását igényli, és meglehetősen sebezhető a külső támadásokkal szemben. Mint ismeretes, a legtöbb modern vírus az RPC sebezhetőségeit használta arra, hogy behatoljon a számítógépbe, és rendszergazdai jogosultságokat szerezzen rajta.

2) Probléma

Nálunk a következő a helyzet. Két alkalmazott dolgozik ugyanazon a számítógépen ugyanazon az osztályon. Mindenkinek van pendrive. A feladat az, hogy az első alkalmazott pendrive-ját olvashatóvá tegyük, a másodiké viszont nem. A fő probléma az, hogy ezeknek a pendrive-oknak ugyanaz a száma (VID_058F&PID_6387), Transcend 256 Mb és 1 Gb flash meghajtók. Kérem, mondja meg, hogyan kell eljárni ebben a helyzetben? Nagyon szépen köszönjük.

A számok, amelyekről beszélünk, termékazonosítók és szállítóazonosítók. Az azonos termék- és gyártóazonosítókkal rendelkező eszközökhöz való hozzáférés korlátozásához meg kell adnia sorozatszámukat a Zlock-házirendekben. Érdemes megjegyezni, hogy nem minden USB-meghajtó gyártó rendel egyedi sorozatszámot termékeihez, általában a noname gyártók vétkeznek a sorozatszámok hiánya miatt.

II. A SecurITZgate áttekintése

Ebben az áttekintésben a SecurIT Zgate-ről kezdünk egy részletes történetet, amely egy olyan vállalati megoldás, amely az internetes forgalmat az átjáró szintjén elemzi annak érdekében, hogy észlelje és blokkolja a bizalmas adatok kiszivárogtatására irányuló kísérleteket vagy az alkalmazottak egyéb jogosulatlan tevékenységeit.

Bevezetés

A SecurIT által népszerűsített belső fenyegetések elleni átfogó védelem koncepciója szerint a SecurIT Zgate gateway termék az IPC rendszer fontos része. Az IPC koncepció DLP-t (Data Loss Prevention) és adatvédelmi megoldásokat tartalmaz a tárolás során. Első alkalommal javasolta a látszólag eltérő technológiák kombinációját az IDC elemzője, Brian Burk az Information Protection and Control Survey: Data Loss Prevention and Encryption Trends jelentésében.

Az IPC-rendszerek szabályozzák a DLP-rendszerekhez szabványos csatornalistát: e-mail, webes erőforrások (webes levelezés, közösségi hálózatok, blogok), ICQ, USB-eszközök és nyomtatók. Az IPC-ben ezekhez a képességekhez adattitkosítást adnak a szervereken, mágnesszalagokon és hálózati végpontokon – PC-ken, laptopokon és mobil meghajtókon. A vezérelt csatornák és a titkosított adathordozók listája mellett az IPC jelentősen különbözik a bizalmas adatok észlelésének módszerei között.

Így a SecurIT Zgate rendszer, amely lehetővé teszi a bizalmas információk hálózati csatornákon történő kiszivárgását, fontos, ha nem kulcsfontosságú része egyetlen IPC-rendszernek. A SecurIT Zgate elemzi a külső alkalmazottak által továbbított összes adatot információs hálózat szervezetek. A SecurIT Zgate modern automatikus észlelési technológiákat használ, amelyek pontosan meghatározzák a továbbított információk titkosságának szintjét, figyelembe véve az üzleti jellemzőket és a különböző iparági szabványok követelményeit.

1. Rendszerkövetelmények

Minimális rendszerkövetelmények A SecurIT Zgate megoldást az alábbi táblázat mutatja be.

2. A SecurIT Zgate főbb jellemzői:

Bejövő, kimenő és belső forgalom szűrése.

Továbbított üzenetek és fájlok tartalomelemzése az automatikus kategorizálási módszerek bármilyen kombinációjával.

Kompatibilis minden SMTP protokollt használó levelezőrendszerrel (MTA): Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix stb.

Dolgozz be passzív mód monitorozás a továbbított adatok másolatának eltávolításával vagy az események valós idejű blokkolásának aktív üzemmódjában.

Rugalmas házirendek az adatok ellenőrzéséhez, blokkolásához és archiválásához, akár 30 beállítás konfigurálására is.

Alkalmazzon házirendeket az átviteli idő, a forgalom iránya és a felhasználó helye alapján.

Kényelmes eszközök a különböző dokumentumkategóriákat leíró szótárak kezelésére.

Lehetőség a gyanús üzenetek és fájlok kézi ellenőrzésére.

Üzenetek módosítása és a felhasználók értesítésének lehetősége a szűrés eredményeiről.

Integráció harmadik féltől származó alkalmazásokkal a víruskereső és levélszemétszűrő rendszerek általi további feldolgozás érdekében.

Lehetőség az átvitt adatok teljes archívumának karbantartására, beleértve a csatolt fájlokat is, a Microsoft SQL Server vagy az Oracle Database rendszerben.

Skálázható és moduláris architektúra, hogy megfeleljen a legigényesebb teljesítménykövetelményeknek.

Telepítés és kezelés egyetlen konzolon keresztül az összes SECURIT termékhez.

Széles körű lehetőségek az adminisztrátorok szerepeinek szétválasztására.

Statisztikai adatok importálásának támogatása különböző jelentéstervezőkbe, például a Crystal Reports vagy a FastReport.

3. A SecurIT Zgate telepítése

Fontos! Ha a SecurIT Zgate levélfeldolgozó eszközeit tervezi használni a Microsoft Exchange 2007/2010-ben, akkor a SecurIT Zgate szerverrészt ugyanarra a számítógépre kell telepíteni, amelyen a Microsoft Exchange is telepítve van.

A SecurIT Zgate a szabványos InstallShield-et használja a telepítéshez. Figyelemre méltó, hogy a teljes telepítés egyszerű és nem okoz nehézségeket.

1. ábra: A SecurIT Zgate telepítésének kezdete

A 2. ábrán látható megjegyzés, hogy a naplókiszolgáló alapértelmezés szerint nincs telepítve. Egy másik számítógépre is telepíthető. Az eseménynapló XML-fájlban tárolható, külön naplószerver vagy adatbázis (MSSQL Server vagy Oracle Database) használható.

2. ábra: A SecurIT Zgate telepítéséhez szükséges modulok kiválasztása

A SecurIT Zgate-tel való munkavégzés a felügyeleti konzolon keresztül történik. A SecurIT Zgate szerverrel való kommunikációhoz a felügyeleti konzol a TCP/IP protokollt és az 1246-os portot használja. Ne felejtse el megnyitni ezt a portot a tűzfalban. Ezt a portot később módosíthatja, ha szükséges.

Ha a SecurIT Zgate-et szippantó módban szeretné használni, akkor telepítenie kell a WinPcap illesztőprogramot egy olyan számítógépre, amelyen már telepített SecurIT Zgate szerver. A WinPcap illesztőprogram a SecurIT Zgate disztribúciójával van csomagolva.

A felügyeleti konzol telepíthető ugyanarra a számítógépre, amelyre a SecurIT Zgate már telepítve van, vagy egy másikra is.

Tehát kezdjük a Zgate SecurIT-tel.

4. Kezdő lépések és kezdeti beállítás SecurIT Zgate

3. ábra: A SecurIT Zgate felügyeleti konzol általános képe

A kezdéshez kapcsolatot kell létesítenie azzal a számítógéppel, amelyen a rendszer szerver része található. A számítógépek listája a kezelőkonzol bal oldalán, az „Alkalmazások nélkül” faelemben található. Példánkban a SecurIT Zgate szervert telepítettük a VM-2003TEST számítógépre, amelyet mi választunk.

Miután kiválasztottuk a szükséges számítógépet, és sikeres volt a csatlakozás, az "Alkalmazások nélkül" részből átkerül a rá telepített alkalmazások csomópontjaira (esetünkben ez a SecurIT Zgate) és egy megnyílik a beállítások és szolgáltatások faszerű listája (4. ábra).

4. ábra: A számítógéphez való csatlakozás sikeres volt – új szolgáltatások állnak rendelkezésre

Megjegyzendő, hogy a tartomány számítógépeinek listáját vagy a NetBIOS határozza meg, vagy az Active Directoryból töltik be. Ha sok számítógépe van a hálózaton, használhatja a keresési lehetőséget.

Ha a számítógép nem szerepel a „Nincs alkalmazások” listában, a kapcsolat manuálisan is létrehozható. Ehhez nyissa meg a "Kapcsolat" menüt a kezelőkonzolon, és válassza a "Kapcsolat létrehozása" elemet. A megnyíló ablakban adja meg a számítógép nevét, IP-címét, portját (alapértelmezés szerint 1246) és felhasználói információkat (5. ábra). Alapértelmezés szerint a SecurIT Zgate konfigurálásához szükséges hozzáférési jogok úgy vannak beállítva, hogy a helyi rendszergazdák csoportjába tartozó felhasználók teljes hozzáféréssel rendelkezzenek az összes rendszerfunkcióhoz.

5. ábra: Kapcsolat létrehozása manuálisan

Nézzük tehát egyenként a SecurIT Zgate szerver beállításait.

Gyakoriak. Ez a rész (6. ábra) adja meg a belső levelezőszerver beállításait, a belső levelezőszerver portját, a szerver működési módját, a feldolgozott üzenetek ideiglenes tárolására szolgáló könyvtárat, valamint maximális hangerő ezt a könyvtárat.

6. ábra: Általános beállítások szerver levelezőszerverhez a SecurIT Zgate-ben

Amint az ábrán látható, a "Levelezés szűrése a Microsoft Exchange 2007/2010-ben" és a "Levelezés naplózása a Microsoft Exchange 2007/2010-ben" üzemmód nem érhető el, mert jelenleg nincs telepítve és konfigurálva a Microsoft Exchange. A tükrözési mód (az átvitt forgalom másolatának elemzése) azért érhető el, mert telepítve van a WinPcap illesztőprogram.

A titkosított SMTP-forgalommal (a STARTTTLS paranccsal létrehozott TLS protokollal) és az Exchange ESMTP protokoll XEXCH50 kiterjesztésével küldött üzenetek tükrözése nem támogatott.

Recepció. Ebben a részben a levélfogadást úgy állíthatja be, hogy a kiszolgáló különféle üzemmódjaiban működjön (7. ábra).

7. ábra: A levelek fogadásának konfigurálása proxy módban történő működésre (naplózás)

A szűrés vagy proxy módban történő naplózás konfigurálásakor állítsa be hálózati felületés portszám (alapértelmezett 25) a SecurIT Zgate rendszeren kívülről érkező levelek fogadásához; hálózati interfész és portszám, amelyet a belső levelezőszervertől érkező levelek fogadására használnak; a bejövő üzenetek címtárát és annak maximális méretét. A beérkezett üzenetek könyvtára tárolja a SecurIT Zgate által feldolgozás vagy továbbítás előtt kapott üzeneteket.

Ugyanezen a lapon van beállítva a szolgáltatásmegtagadási támadások elleni védelem. Amint a 7. ábrán látható, a támadások elleni védelem a szolgáltatásban számos feltételből áll, ha nem teljesül, az üzenetet nem fogadják el. Ezek a feltételek engedélyezhetők vagy letilthatók egy adott ellenőrzés szükségességétől vagy haszontalanságától függően.

Ha a SecurIT Zgate szerver tükrözött forgalomelemzési módban működik (a beállítások lapon engedélyezve Gyakoriak), majd a tabulátort Recepció a következő formájú (8. ábra).

8. ábra: Levélfogadás konfigurálása tükrözött forgalomelemzés módban

Ennek a működési módnak a beállításai meghatározzák a hálózati interfészt, amelyen a tükrözött forgalom fogad, a tükrözött levelezőszerver IP-címét, a portokat, amelyeket a tükrözött szerver a levelek fogadására és küldésére használ, valamint a bejövő üzenetek tárolására szolgáló könyvtárat és a mérete.

Fontos! Ahhoz, hogy a SecurIT Zgate tükrözési módban működjön, az szükséges hálózati kapcsoló, amelyhez a SecurIT Zgate-tel rendelkező számítógép csatlakozik, támogatta a tükrözési funkciót. A porttükrözés lehetővé teszi a forgalom másolását egy vezérlőportra, így az elemezhető az áramlás megzavarása nélkül.

A porttükrözési képességgel rendelkező kapcsoló megléte azonban nem szükséges, ha a SecurIT Zgate telepítve van a szervezet proxyszerverén, vagy ha a SecurIT Zgate telepítve van arra a számítógépre, amelyről a forgalom figyelhető.

A lapon kiválasztva Gyakoriak szerver működési módok Levélszűrés a Microsoft Exchange 2007/2010-ben vagy Levélnaplózás a Microsoft Exchange 2007/2010-ben, lapok RecepcióÉs Adás lecserélik Microsoft Exchange lapon.

A lapon Microsoft Exchange a bejövő és kimenő üzenetek katalógusa és azok maximális mennyisége be van állítva (a katalógusok a feldolgozásra vagy a címzett levelezőszerverére küldött üzenetek sorának rendezésére szolgálnak). Ezen a lapon is kiválaszthatja a „Belső levelezés vezérlése” lehetőséget. Ebben a módban a vezérelt levelezőszerver kliensei közötti belső üzenetek is vizsgálatra kerülnek. Ez a funkció nagyon fontos, mivel lehetővé válik az alkalmazottak belső levelezésének ellenőrzése.

A lap alján a hibák és figyelmeztetések információi jelennek meg.

Adás. A levéltovábbítási beállítások nem függenek a szerver működési módjától, és megegyeznek mind a szűrés, mind a naplózás proxy módban, mind a tükrözés esetén (9. ábra).

9. ábra: Levelezési beállítások a SecurIT Zgate-ben

Itt a következő paraméterek vannak konfigurálva: az egyidejűleg kimenő kapcsolatok maximális száma; csatlakozási kísérleti sémák; a belső levelezőszerver által kiszolgált levelezési tartományok listája; kézbesítő szerver, amelyre a kifelé küldött levelek továbbításra kerülnek (ha a kézbesítési szerver nincs megadva, és a címzett domainje nem belső, akkor a SecurIT Zgate maga kézbesíti a leveleket, közvetlenül csatlakozva a címzett levelezőszerveréhez); egy intelligens gazdagép, amelyre az e-maileket továbbítják az elfogadott domain címzettjei számára, de nem szerepelnek az engedélyezési listákon; a kimenő üzenetek címtárát és annak maximális méretét. Azok az e-mailek is továbbításra kerülnek az intelligens gazdagépre, amelyeknél a SecurIT Zgate nem tudta DNS-en keresztül meghatározni a levelezőszerver címét, vagy a levelezőszerver jelezte, hogy a címzett nem létezik.

A kapcsolati séma a címzett levelezőszerverével sorozatokból áll. A sorozat az üzenet címzettjének szerveréhez való kapcsolódási kísérletből és a kísérletek közötti percekben eltelt időből áll. Ha a séma szerint nem sikerült kapcsolatot létesíteni, akkor az üzenet törlődik, és a megfelelő üzenet jelenik meg a naplóban. Ebben az esetben hibaüzenetet küld a feladónak.

Zgate Web lap célja, hogy megakadályozza az információszivárgást az interneten, például amikor az alkalmazottak szándékosan vagy véletlenül bizalmas adatokat küldenek a webmailjükön keresztül, közzétesznek egy fórumon vagy blogon, vagy küldenek az ICQ-n keresztül.

A Zgate Web működését a kapcsolón található porttükrözés vagy a hálózati forgalom elfogása biztosítja azon a számítógépen, amelyre a SecurIT Zgate telepítve van. A Zgate Web használatához a számítógépen, amelyre a SecurIT Zgate szerver telepítve van, telepíteni kell a WinPcap illesztőprogramot.

A jelenlegi verzióban a Zgate Web elfogja a következő protokollok és erőforrások használatával továbbított forgalmat:

AOL ICQ azonnali üzenetküldő protokoll;

FTP fájlátviteli protokoll;

HTTP adatátviteli protokoll;

levelezési szolgáltatások: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

SMS/MMS üzenetküldő szolgáltatások: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;

PhpBb, IpBoard, Vbulletin szoftverek alapján megvalósított fórumok.

Mint látható, a forgalomirányítási képességek lenyűgözőek.

A Zgate Web elfogó modul minden egyes üzenethez létrehoz egy levelet, amely információkat tartalmaz az üzenetről, valamint a használt szolgáltatáshoz kapcsolódó további paramétereket. Ez a levél a bejövő üzenetek közé kerül, és a SecurIT Zgate rendszere ugyanúgy feldolgozza, mint az SMTP protokollon keresztül érkező hagyományos leveleket.

A Zgate Web beállításai a 10. ábrán láthatók.

10. ábra: Zgate webbeállítások

Ezen a lapon engedélyezheti vagy letilthatja a Zgate Webet, valamint megadhatja a hálózati interfészt, amelyről a forgalom másolásra kerül, megtekintheti és szerkesztheti az elemzett csomagok címtartományainak listáját (saját tartományok hozzáadására van lehetőség), válasszon ki egy könyvtárat ideiglenes fájlok és azok kötetének tárolására, valamint a munkához szükséges elemző modulok kiválasztására.

Az elemzett csomagok címtartományának hozzáadásához kattintson a "+" gombra, amely az elemzett csomagok listájától jobbra található, megnyílik egy ilyen ablak (11. ábra).

11. ábra: Címtartomány hozzáadása az elemzett csomagokhoz a SecurIT Zgate-hez

Miután megadtuk a szükséges címeket és portokat, valamint kiválasztottunk egy műveletet (elemzés vagy kizárás az elemzésből), nyomjuk meg az OK gombot. Az új sorozat használatra kész.

Archívum. Az archívum a levélmásolatok központi tárolására, azok megtekintésére és továbbítására szolgál. Ezenkívül a karanténba helyezett üzenetek az archívumban tárolódnak. Egy adatbázis formájú archívum Oracle vagy Microsoft SQL Server segítségével szervezhető (12. ábra). Az archiválási beállításokkal kapcsolatos beállítások egy része a Speciális lapon található (az Eszközök menü Beállítások menüpontja).

12. ábra: Adatbázis kiválasztása és archív paraméterek beállítása a SecurIT Zgate programban

Az archívum használatához telepítenünk és konfigurálnunk kell az MSSQL Express-t vagy az Oracle-t (ezt a minimális rendszerkövetelmények határozzák meg).

Miután megadtuk a szükséges beállításokat és az adatbázis eléréséhez szükséges felhasználót, tesztelhetjük magával az adatbázissal a kapcsolatot. A „Kapcsolat ellenőrzése” gomb erre szolgál (13. ábra). Megadhatja az adattömörítés lehetőségét is. Válassza az "arany középutat" a munka sebessége és az adatmennyiség között.

13. ábra: Minden készen áll az adatbázissal való együttműködésre - a kapcsolat létrejött

Engedély. A lap célja magából a névből kiderül. Megjeleníti a licencelt e-mail címek számát, a licenc érvényességi idejét, a licencelt SecurIT Zgate modulok listáját - Email Control (Zgate Mail) és Web Traffic Control (Zgate Web). A licencelt modulok zöld pipával vannak jelölve (14. ábra).

14. ábra: Licencek megtekintése és kezelése a SecurIT Zgate-ben

Statisztika. Ezzel a lappal is minden világos. Megjeleníti a SecurIT Zgate szerver statisztikáit (15. ábra).

15. ábra: SecurIT Zgate szerver statisztikák

Továbbá. Ez a lap további rendszerbeállításokat jelenít meg (16. ábra). Részletes leírás minden beállításnál megtalálható a termék dokumentációjában.

16. ábra: SecurIT Zgate speciális beállításai

Hozzáférés. A SecurIT Zgate rendszer lehetővé teszi a hozzáférési jogok megkülönböztetését az üzenetek archívumának kezeléséhez és kezeléséhez több felhasználó között. Ezen a lapon van konfigurálva a rendszerhez való hozzáférés (17. ábra).

17. ábra: A SecurIT Zgate rendszerhez való hozzáférés kezelése

Mint már említettük, alapértelmezés szerint a SecurIT Zgate konfigurálásához szükséges hozzáférési jogok úgy vannak beállítva, hogy a helyi rendszergazdák csoportjába tartozó felhasználók teljes hozzáféréssel rendelkezzenek minden funkcióhoz.

Ha egy felhasználót vagy felhasználócsoportot szeretne hozzáadni a hozzáférési listához, kattintson a „+” gombra, és válassza ki a kívánt fiókot vagy csoportot. Ezután az ablak alsó részében adja meg a megadott fiókhoz hozzárendelni kívánt jogosultságokat. A "V" ikon azt jelenti, hogy a felhasználó jogosult erre a műveletre, az "X" azt jelenti, hogy a felhasználó nem fér hozzá ehhez a funkcióhoz. A felhasználó és a hozzá tartozó csoport jogai a Windowsban elfogadott beléptetőrendszerhez hasonlóan vannak összefoglalva.

Példaként a Vendég felhasználót választottuk ki, és megadtuk neki a paraméterek és statisztikák megtekintésének jogát (18. ábra).

18. ábra: Felhasználó kiválasztása és a megfelelő jogosultságok hozzárendelése

Naplózás. A SecurIT Zgate rendszer lehetővé teszi az általa végzett műveletek további feldolgozását az eseményfeldolgozási mechanizmuson keresztül. Az ilyen feldolgozás egyik lehetősége a SecurIT Zgate működésének naplózása a Windows rendszernaplójába, egy fájlba vagy a Microsoft SQL Serverbe.

Alapértelmezés szerint az eseménynaplózás le van tiltva (19. ábra). Önállóan is engedélyezheti az események naplózását, és kiválaszthatja, hogyan történjen az eseménynaplózás.

19. ábra: A SecurIT Zgate-ben figyelendő események listája

A naplózás engedélyezése bármely eseményhez nagyon egyszerű. Ehhez válassza ki a számunkra szükséges eseményt, és kattintson az események listájától jobbra található "+" gombra, majd válassza ki a kívánt naplózási lehetőséget. Vegyük például a „naplózás” opciót (20. ábra).

20. ábra: Eseménynaplózási beállítások konfigurálása fájl- vagy rendszernaplóba

Látható, hogy ebben az esetben kiválaszthatja a rendszernaplóba való naplózás lehetőségét, és a helyi hálózat bármely számítógépét kiválaszthatja ennek a naplónak a tárolására, vagy választhat egy fájlba történő naplózást. Ezenkívül három lehetőség áll rendelkezésre a fájlformátumhoz: szöveges ANSI, szöveges Unicode és XML. A napló XML formátumban történő írása között az a különbség, hogy a szöveges fájlba írással ellentétben az XML formátumú naplófájl a SecurIT Zgate rendszer segítségével elemezhető. Szöveges fájlok esetében ez a lehetőség kizárt.

Kiválaszthatja a naplófájl helyét és a felhasználó jogait is, akinek nevében a naplózás történik.

21. ábra: Események kiválasztása a SecurIT Zgate-be való bejelentkezéshez

A szükséges események kiválasztása után már csak a „Befejezés” gombra kell kattintani. Az eredmény a 22. ábrán látható. A naplózott események mellett megjelentek a megfelelő ikonok, jelezve a naplózási paramétereket és a napló írási helyét.

22. ábra: Három eseményt láthat, amelyek az XML fájlba vannak naplózva

A naplókiszolgálóra és a Microsoft SQL Serverre is bejelentkezhet. Az SQL szerverre történő naplózást, az esemény információinak rögzítését a feldolgozó modul végzi a szervezett adatbázisban Microsoft eszközök SQL szerver.

A Microsoft SQL Serverre való bejelentkezés kiválasztásakor ki kell választania magát a szervert MSSQL-lel, meg kell adnia a felhasználói paramétereket, és ellenőriznie kell az adatbázishoz való kapcsolódást. Ha minden rendben van, akkor a kapcsolat ellenőrzésekor egy új adatbázis létrehozását kéri, a nevet a SecurIT Zgate rendszer adja meg (23. ábra).

23. ábra: Adatbázis-kiszolgáló kiválasztása és a csatlakozás paramétereinek megadása

24. ábra: A napló tárolására szolgáló belső adatbázis-struktúra létrehozásának megerősítése

25. ábra: A naplózandó események megadása

26. ábra: Látjuk azokat az eseményeket, amelyek a megadott SQL szerverre kerülnek naplózásra

Szkriptek. A SecurIT Zgate által végzett műveletek további feldolgozásának másik típusa lehet a szkriptek (scriptek) végrehajtása és a végrehajtható fájlok indítása.

Amikor a kiválasztott esemény elindul, a megadott alkalmazás elindul, vagy a megadott parancsfájl végrehajtásra kerül. Az események listája hasonló a naplózáshoz szükséges események listájához.

Ezzel az opcióval például SMS-t küldhet egy eseményről, vagy blokkolhat egy munkaállomást a biztonsági tiszt megérkezéséig.

27. ábra: A végrehajtható fájl kiválasztása

Ugyanebben az ablakban megadhatja a szkriptfájl elérési útját, megadhatja azt a felhasználót, akinek nevében a fájl vagy szkript végrehajtásra kerül. Felhívjuk figyelmét, hogy alapértelmezés szerint az alkalmazások alulról indulnak el fiókot RENDSZER.

28. ábra: Az alkalmazást elindító események listája

Ezzel lezárul a SecurIT rendszer előzetes konfigurálása, és továbblép a szűrő alrendszerek konfigurálásához.

Tartalomelemzés és szűrés beállítása

Most pedig nézzük meg a tartalomelemző rendszer beállítási lehetőségeit.

Szótárak. A zgatei szótárak valamilyen attribútum (kategória) szerint egyesített szócsoportokat értendők. Általános szabály, hogy egy adott szótárból származó szavak nagy valószínűséggel jelenléte a betűben lehetővé teszi, hogy a betűt a szótár által jellemzett kategóriához rendeljük. A Zgate rendszer szótárait a "Szótárelemzés" és a "Bayes-féle feldolgozás" módszerek szűrésére használják.

29. ábra: Szótárkezelő ablak a SecurIT Zgate-ben

Mivel a SecurIT Zgate ugyanazokat a szótárakat használja mind a levelek elemzésekor, mind a Bayes-módszerrel történő feldolgozáskor, szótárak készítésekor mindig két paraméter van hozzárendelve egy szóhoz: súly a kategóriában és súly az anti-kategóriában. Alapértelmezés szerint mindkét paraméter 50-re van állítva.

Szótár hozzáadásához meg kell nyomni a "+" gombot a szótárkezelő ablakban, a szótárba való szavak hozzáadásához pedig ki kell választani a kívánt szótárt és meg kell nyomni a "ceruza" gombot (30., 31. ábra) .

30. ábra: Szótár hozzáadása a SecurIT Zgate-hez

31. ábra: Szó hozzáadása a SecurIT Zgate szótárhoz

Szavak beírásakor speciális karaktereket használhat:

tetszőleges számú betű vagy szám;

Bármely karakter (betű vagy szám);

^ - egy elválasztó karakter (szóköz, tabulátor, soremelés);

Egy elválasztó vagy írásjel;

# - egy karakter-számjegy;

@ - egy karakter-betű.

A szótár érvényes karakterei a (,),<, >, (, ), - , _, speciális karakterek és speciális karakterek egyszerű karakterként (bármely speciális karakter normál karakterré tehető fordított perjel hozzáadásával). Például a teszt* azt jelenti, hogy a szótár tartalmazza a teszt* szót. A teszt* pedig azt jelenti, hogy a szótár tartalmazza az összes teszt szóval kezdődő szót – teszt, tesztek, teszt stb.

A szótár kézi létrehozása és kitöltése mellett szótárt készíthetünk egy korábban elkészített fájlból szavak importálásával, illetve lehetőség van szótár automatikus generálására is.

Szavak fájlból történő importálásakor minden importált szó súlyt kap az alapértelmezett kategóriában és anti-kategóriában. A szótárban helytelen karaktereket az importálás során alapértelmezés szerint elválasztó (szóköz) helyettesíti.

Az automatikus szótár generálás egy fájlból lehetséges egy speciálisan elkészített szövegfájl segítségével a megfelelő szókészlettel, valamint olyan valódi dokumentumokkal, amelyek egyik vagy másik kategóriába tartoznak vagy nem tartoznak.

A nyelvi elemzési módszerek mellett használhatja a "digitális ujjlenyomat" módszert, amely népszerű ebben a termékosztályban - ez egy olyan módszer, amellyel ellenőrzött dokumentumok vagy dokumentumrészek másolatai kereshetők e-mail üzenetben. Ebben az esetben a kívánt szöveg módosítható, vagy annak csak egy része lehet a levélben.

Az imprint módszer abból áll, hogy minden bizalmas dokumentum megkapja a "digitális ujjlenyomatát". A fogadott nyomatok egy frissített (in automatikus üzemmód) és a frissített adatbázis. Ha valamelyik dokumentumot ellenőrizni kell, akkor "digitális ujjlenyomatot" számítanak ki, majd az adatbázisban tárolt bizalmas dokumentumok ujjlenyomatai között is hasonló ujjlenyomatot keresnek. Ha a beolvasott fájl ujjlenyomata hasonló az adatbázisban tárolt ujjlenyomathoz, akkor ennek megfelelő figyelmeztetés (értesítés) történik.

Az ujjlenyomatok adatbázisával való munka megkezdéséhez lépjen az "Eszközök" menübe, és futtassa a "Lábnyomok" parancsot.

32. ábra: Az ujjlenyomat-adatbázis kezelése a SecurIT Zgate-ben

Új dokumentumkategória hozzáadásához ujjlenyomat-vételhez kattintson a gombra

"+" gomb. A szerkesztéshez nyomja meg a "ceruza" gombot és az "X" gombot a kategória törléséhez.

33. ábra: Dokumentumkategória létrehozása a SecurIT Zgate programban

Ezenkívül egy kategória létrehozásakor meg kell adni az ujjlenyomat-adatbázis frissítésének idejét, megadják annak a felhasználónak a paramétereit, akinek nevében a fájlokhoz hozzáférnek, és hozzáadják azokat a fájlokat, amelyek gyakran használt szavakat tartalmaznak, amelyeket kizárnak a szkennelésből.

Ujjlenyomatok létrehozásához a következő fájlformátumokat használhatja: . txt. doc. docx. xls. xlsx,. ppt. pptx,. pdf,.html,. rtf. odt. ods. odp. dbf. wps. xml* (az .xml formátum normál szöveges dokumentumként kerül elemzésre).

A létrehozott kategória tesztellenőrzésnek vethető alá. Az ujjlenyomat módszerrel végzett tesztfájl-ellenőrzés célja a digitális ujjlenyomat-beállítások helyességének és a kategóriák leírásának helyességének megállapítása. Az ellenőrzés során megállapítják, hogy az ellenőrzött állomány (dokumentum) digitális lenyomata hasonló-e egy bizonyos kategóriájú, korábban létrehozott adatbázisban tárolt dokumentum digitális lenyomatához. A hasonló dokumentumok keresése annak figyelembevételével történik, hogy az ellenőrzött dokumentumban szereplő orosz karakterek egy része vagy mindegyike helyettesíthető helyesírásukban hasonló angol karakterekkel, és fordítva.

Az ellenőrzéshez kattintson az ujjlenyomat-adatbázis-kezelő ablak alján található "Ellenőrzés" gombra, és válassza ki az ellenőrizni kívánt fájlt, jelezve a hasonlóság valószínűségének százalékos arányát.

Egy ilyen fejlett kategorizáló rendszer lehetővé teszi, hogy külön kategóriákat hozzon létre a különböző üzenettartalomhoz. Ez viszont lehetővé teszi az incidensértesítések helyes kategorizálását a naplóban, és lehetővé teszi a biztonsági tiszt számára, hogy prioritásokat állítson fel, és gyorsan reagáljon az eseményekre.

35. ábra: Forgalmi ellenőrzési paraméterek beállítása a SecurIT Zgate-ben

36. ábra: Eredmény ellenőrzése

Védelem a bennfentesektől a Zgate és a Zlock kombinációjával

Manapság két fő csatorna létezik a bizalmas információk kiszivárogtatására: a számítógéphez csatlakoztatott eszközök (mindenféle cserélhető meghajtó, beleértve a flash meghajtókat, CD / DVD meghajtók stb., nyomtatók) és az internet (e-mail, ICQ, közösségi hálózatok) stb.). ?d.). Ezért amikor egy cég „érik” az ellenük való védekezési rendszer bevezetésére, célszerű ezt a megoldást átfogóan megközelíteni. A probléma az, hogy különböző megközelítéseket alkalmaznak a különböző csatornák átfedésére. Az egyik esetben a védelem leghatékonyabb módja a cserélhető meghajtók használatának ellenőrzése, a másodikban pedig a tartalomszűrés különféle lehetőségei, amelyek lehetővé teszik a bizalmas adatok külső hálózatra történő átvitelének blokkolását. Így a cégeknek két terméket kell használniuk a bennfentesek elleni védekezésre, amelyek együttesen egy átfogó biztonsági rendszert alkotnak. Természetesen célszerű egy fejlesztő eszközeit használni. Ebben az esetben a végrehajtásuk, adminisztrációjuk és a dolgozók képzése is megkönnyíthető. Példa erre a SecurIT termékei: Zlock és Zgate.

Zlock: szivárgás elleni védelem a kivehető meghajtókon keresztül

A Zlock program már régóta a piacon van. És már leírtuk főbb jellemzőit. Elvileg nincs értelme ismételni. A cikk megjelenése óta azonban a Zlock két új verziója is megjelent, amelyek számos fontos funkcióval rendelkeznek. Érdemes beszélni róluk, még ha nagyon röviden is.

Mindenekelőtt érdemes megjegyezni, hogy egy számítógéphez többféle házirend hozzárendelhető, amelyeket egymástól függetlenül alkalmaznak attól függően, hogy a számítógép közvetlenül, VPN-en keresztül csatlakozik-e a vállalati hálózathoz, vagy offline módban működik. Ez különösen lehetővé teszi az USB-portok és a CD/DVD-meghajtók automatikus blokkolását, amikor a számítógépet leválasztják a helyi hálózatról. Általánosságban elmondható, hogy ez a funkció növeli a laptopokon tárolt információk biztonságát, amelyeket az alkalmazottak utazás vagy otthoni munkavégzés céljából kivihetnek az irodából.

A második újdonság, hogy a vállalati alkalmazottak ideiglenes hozzáférést biztosítanak a lezárt eszközökhöz vagy akár eszközcsoportokhoz telefonon keresztül. Működésének elve a program által generált titkos kódok cseréje a felhasználó és az információbiztonságért felelős munkatárs között. Figyelemre méltó, hogy a felhasználási engedély nem csak állandó, hanem ideiglenes is (bizonyos időre vagy a munkamenet végéig) adható ki. Ez az eszköz némi könnyítésnek tekinthető a biztonsági rendszerben, de lehetővé teszi az informatikai részleg üzleti kérésekre való reagálásának növelését.

A következő fontos újítás a Zlock új verzióiban a nyomtatók használatának ellenőrzése. A beállítást követően a védelmi rendszer egy speciális naplóba rögzíti az összes felhasználói kérést a nyomtatóeszközökhöz. De ez még nem minden. A Zlocknak ​​van árnyékmásolata az összes nyomtatott dokumentumról. PDF formátumban készültek, és a nyomtatott oldalak teljes másolata, függetlenül attól, hogy melyik fájlt küldték el a nyomtatónak. Ez megakadályozza, hogy bizalmas információk szivárogjanak ki papírlapokra, amikor egy bennfentes kinyomtatja az adatokat, hogy kivigye azokat az irodából. A védelmi rendszerben megjelent a CD / DVD-lemezekre rögzített információk árnyékmásolása is.

Fontos újítás volt a Zlock Enterprise Management Server szerverkomponens megjelenése. Ez biztosítja a biztonsági szabályzatok és egyéb programbeállítások központosított tárolását és elosztását, és nagyban megkönnyíti a Zlock adminisztrációját nagy és elosztott információs rendszerekben. Nem is beszélve a saját hitelesítési rendszer megjelenéséről, amely szükség esetén lehetővé teszi a tartományi és helyi Windows-felhasználók használatának megtagadását.

Ezen túlmenően a Zlock legújabb verziója számos, nem annyira észrevehető, de meglehetősen fontos funkcióval is rendelkezik: ügyfélmodul integritás-ellenőrzése azzal a lehetőséggel, hogy blokkolja a felhasználó bejelentkezését, ha behatolást észlel, speciális biztonsági rendszer megvalósítási lehetőségek, Oracle DBMS támogatása, stb.?

Zgate: Internet Leak Protection

Szóval Zgate. Mint már említettük, ez a termék egy olyan rendszer, amely megvédi a bizalmas információk interneten keresztüli kiszivárgását. Szerkezetileg a Zgate három részből áll. A fő komponens a szerver komponens, amely minden adatfeldolgozási műveletet végrehajt. Telepíthető mind külön számítógépre, mind a vállalati információs rendszerben már működő csomópontokra - internetes átjáróra, tartományvezérlőre, levelezési átjáróra stb. Ez a modul pedig három részből áll: az SMTP forgalom vezérlésére, a Microsoft Exchange 2007/2010 szerver belső levelezésének vezérlésére és a Zgate Webre (a HTTP, FTP és IM forgalom vezérléséért felelős).

A védelmi rendszer második része a naplózószerver. Arra használják, hogy információkat gyűjtsenek az eseményekről egy vagy több Zgate szerverről, feldolgozzák és tárolják. Ez a modul különösen hasznos nagy és földrajzilag elosztott vállalati rendszerekben, mivel központi hozzáférést biztosít minden adathoz. A harmadik rész a felügyeleti konzol. A SecurIT termékekhez a szabványos konzolt használja, ezért nem fogunk vele foglalkozni. Csak annyit jegyzünk meg, hogy ennek a modulnak a segítségével nem csak helyben, hanem távolról is kezelheti a rendszert.

Menedzsment konzol

A Zgate rendszer többféle üzemmódban is működhet. Ezenkívül elérhetőségük a termék megvalósításának módjától függ. Az első két mód levélproxyszerverként működik. Megvalósításukhoz a rendszer a vállalati levelezőszerver és a "külvilág" (vagy a levelezőszerver és a küldőszerver közé, ha el vannak választva) kerül telepítésre. Ebben az esetben a Zgate vagy szűrheti a forgalmat (visszatarthatja a jogsértő és megkérdőjelezhető üzeneteket), vagy csak naplózhatja (az összes üzenetet kihagyja, de az archívumban tartja).

A második megvalósítási mód szerint a védelmi rendszert a Microsoft Exchange 2007 vagy 2010 programokkal együtt kell használni. Ehhez közvetlenül a vállalati levelezőszerverre kell telepítenie a Zgate-et. Ebben az esetben két mód is elérhető: szűrés és naplózás. Ezen kívül van még egy megvalósítási lehetőség. Üzenetek naplózásáról beszélünk tükrözött forgalom módban. Természetesen a használatához biztosítani kell, hogy a számítógép, amelyre a Zgate telepítve van, fogadja ezt a nagyon tükrözött forgalmat (általában ez hálózati eszközök segítségével történik).

Zgate üzemmód kiválasztása

A Zgate Web komponens külön történetet érdemel. Közvetlenül a vállalati internetes átjáróra van telepítve. Ugyanakkor ez az alrendszer lehetőséget kap a HTTP, FTP és IM forgalom szabályozására, azaz feldolgozására annak érdekében, hogy észlelje a bizalmas információk webes levelezőfelületeken és ICQ-n keresztüli küldésére irányuló kísérleteket, közzétegye azokat fórumokon, FTP szervereken, ill. közösségi hálózatok stb. Egyébként az "ICQ"-ról. Az IM-üzenetküldők blokkolásának funkciója sok hasonló termékben megtalálható. Azonban pontosan az "ICQ" nincs bennük. Egyszerűen azért, mert az orosz nyelvű országokban terjedt el leginkább.

A Zgate Web komponens működési elve meglehetősen egyszerű. Valahányszor információt küldenek valamelyik ellenőrzött szolgáltatásnak, a rendszer egy speciális üzenetet generál. Magát az információt és néhány szolgáltatási adatot tartalmazza. A rendszer a fő Zgate szerverre küldi és a megadott szabályok szerint dolgozza fel. Természetesen magában a szolgáltatásban az információ küldése nincs blokkolva. Vagyis a Zgate Web csak naplózási módban működik. Segítségével lehetetlen megakadályozni az egyes adatszivárgásokat, másrészt viszont gyorsan észlelheti azokat, és megállíthatja egy szabad vagy akaratlan támadó tevékenységét.

Az utóbbi időben a belső fenyegetésekkel szembeni védelem problémája igazi kihívássá vált a vállalati információbiztonság világos és jól bevált világa számára. A sajtó bennfentesekről beszél, a kutatók és elemzők figyelmeztetnek az esetleges veszteségekre és bajokra, a hírfolyamok pedig tele vannak újabb incidensekkel, amelyek több százezer ügyfélnyilvántartáshoz vezettek egy alkalmazott hibájából vagy figyelmetlenségéből. Próbáljuk meg kitalálni, hogy ez a probléma olyan súlyos-e, kell-e foglalkozni vele, és milyen eszközök és technológiák állnak rendelkezésre a megoldására.

Mindenekelőtt érdemes megállapítani, hogy az adattitok védelmét fenyegető belső veszély, ha annak forrása a vállalkozás alkalmazottja vagy bármely más személy, aki jogszerűen hozzáfér ezen adatokhoz. Így amikor belső fenyegetésekről beszélünk, akkor a jogszerű felhasználók szándékos vagy véletlenszerű cselekedeteiről beszélünk, amelyek bizalmas információk kiszivárgásához vezethetnek a vállalat vállalati hálózatán kívülre. Hogy teljes legyen a kép, érdemes hozzátenni, hogy az ilyen felhasználókat gyakran bennfenteseknek nevezik, bár ennek a kifejezésnek más jelentése is van.

A belső fenyegetések problémájának relevanciáját a legújabb tanulmányok eredményei is megerősítik. Konkrétan 2008 októberében jelentették be a Compuware és a Ponemon Institue közös tanulmányának eredményeit, amelyek szerint a bennfentesek az adatszivárgások leggyakoribb okai (az USA-ban az incidensek 75%-a), míg a hackerek csak az ötödik helyen állnak. . A Computer Security Institute (CSI) 2008-as éves felmérésében a bennfentes fenyegetésekkel kapcsolatos incidensek számai a következők:

Az incidensek százalékos aránya azt jelenti, hogy a válaszadók teljes számából az ilyen típusú incidens a szervezetek meghatározott százalékában történt. Amint az ezekből a számokból látható, szinte minden szervezetet fenyeget a belső fenyegetések veszélye. Összehasonlításképpen ugyanezen jelentés szerint a vírusok a megkérdezett szervezetek 50%-át sújtották, és csak 13%-uk volt szembesülve hackerek behatolásával a helyi hálózatba.

Így a belső fenyegetések a mai valóság, nem pedig elemzők és gyártók által kitalált mítosz. Tehát azoknak, akik a régi módon azt hiszik, hogy a vállalati információbiztonság tűzfal és vírusirtó, annak minél előbb szélesebb körben kell szemlélnie a problémát.

Növeli a feszültség mértékét a „Személyes adatokról” szóló törvény is, amely szerint a szervezeteknek, tisztségviselőknek nemcsak a menedzsmentjüknek, hanem ügyfeleiknek és a törvény előtt is felelniük kell a személyes adatok nem megfelelő kezeléséért.

Betolakodó modell

Hagyományosan a fenyegetések és az ellenük való védekezés módjainak mérlegelésekor a behatoló modell elemzésével kell kezdeni. Amint már említettük, a bennfentesekről - a szervezet alkalmazottairól és más felhasználókról, akik törvényesen hozzáférnek a bizalmas információkhoz, beszélünk. Általában ezekkel a szavakkal mindenki eszébe jut a vállalati hálózaton lévő számítógépen dolgozó irodai alkalmazott, aki a munkafolyamat során nem hagyja el a szervezet irodáját. Ez az ábrázolás azonban hiányos. Ki kell terjeszteni más típusú, információkhoz legális hozzáféréssel rendelkező személyekre is, akik elhagyhatják a szervezet irodáját. Ilyenek lehetnek a laptoppal rendelkező üzleti utazók, az irodában és otthon egyaránt dolgozó, információs adathordozókat, elsősorban mágnesszalagot hordozó futárok stb.

A behatoló modell ilyen kiterjesztett mérlegelése egyrészt beleillik a koncepcióba, hiszen az ilyen behatolók által jelentett fenyegetések is belsőek, másrészt lehetővé teszi a probléma szélesebb körű elemzését, figyelembe véve a fenyegetések leküzdésének minden lehetséges lehetőségét.

A belső jogsértők következő fő típusai különböztethetők meg:

• Hűtlen/sértődött alkalmazott.Az ebbe a kategóriába tartozó jogsértők céltudatosan cselekszenek, például munkahelyet váltanak, és bizalmas információkat akarnak ellopni egy új munkáltató felkeltése érdekében, vagy érzelmileg, ha sértve érezték magukat, így bosszút akarnak állni. Veszélyesek, mert leginkább arra késztetnek, hogy kárt okozzanak abban a szervezetben, amelyben jelenleg dolgoznak. A hűtlen munkavállalókat érintő incidensek száma általában csekély, de kedvezőtlen gazdasági körülmények és tömeges létszámleépítések esetén növekedhet.
• Beágyazott, megvesztegetett vagy manipulált alkalmazott.Ebben az esetben beszélgetünk minden olyan céltudatos cselekedetről, amely főszabály szerint ipari kémkedést céloz meg erős versenykörnyezetben. A konkurens cégben bizalmas információk gyűjtéséhez vagy bemutatják saját személyüket meghatározott célból, vagy találnak egy nem a leghűségesebb alkalmazottat és megvesztegetik őt, vagy egy lojális, de nem éber munkavállaló kénytelen bizalmas információkat átadni. szociális tervezés. Az ilyen jellegű incidensek száma általában még az előzőeknél is kevesebb, mivel az Orosz Föderáció gazdaságának legtöbb szegmensében a verseny nem túl fejlett, vagy más módon valósul meg.
• Gazember alkalmazott.Ez a fajta szabálysértő a lojális, de figyelmetlen vagy hanyag alkalmazott, aki tudatlanságból vagy feledékenységből adódóan megsértheti a vállalkozás belső biztonsági politikáját. Egy ilyen alkalmazott tévedésből olyan e-mailt küldhet, amelyben egy titkos fájl nem a megfelelő személynek van csatolva, vagy egy bizalmas információkat tartalmazó pendrive-ot hazavihet a hétvégén, és elveszíti azt. Ugyanebbe a típusba tartoznak az alkalmazottak, akik elveszítik a laptopjukat és a mágnesszalagokat. Sok szakértő szerint az ilyen típusú bennfentesek felelősek a legtöbb bizalmas információ kiszivárogtatásáért.

Így a potenciális szabálysértők indítékai, és ebből következően cselekvési iránya is jelentősen eltérhet. Ennek függvényében kell megközelíteni a szervezet belső biztonságának biztosításával kapcsolatos probléma megoldását.

Bennfentes fenyegetés elleni védelmi technológiák

A piaci szegmens viszonylagos fiatalsága ellenére az ügyfeleknek már most is bőven van miből válogatniuk feladataiktól és anyagi lehetőségeiktől függően. Megjegyzendő, hogy jelenleg gyakorlatilag nincs olyan szállító a piacon, amely kizárólag a belső fenyegetésekre szakosodott volna. Ez a helyzet nemcsak e szegmens éretlenségéből adódik, hanem a hagyományos védelmi eszközök gyártói és más, a szegmensben jelenlétben érdekelt szállítók agresszív és olykor kaotikus összeolvadásoknak és felvásárlásoknak is. Érdemes felidézni az RSA Data Security-t, amely 2006-ban az EMC részlege lett, a NetApp megvásárolta a Decru-t, a szerverek tárolási és biztonsági mentési védelmi rendszereit fejlesztő startupot 2005-ben, a Symantec 2007-ben megvásárolta a DLP-t gyártó Vontu-t stb.

Annak ellenére, hogy az ilyen tranzakciók nagy száma jó kilátásokat jelez ennek a szegmensnek a fejlődésére, ezek nem mindig kedveznek a nagyvállalatok szárnya alá tartozó termékek minőségének. A termékek lassabban kezdenek fejlődni, és a fejlesztők nem annyira reagálnak a piaci követelményekre, mint egy magasan specializálódott vállalatnál. Ez a nagyvállalatok jól ismert betegsége, amelyek, mint tudják, elveszítik mobilitásukat és hatékonyságukat kisebb testvéreik számára. Másrészt a szolgáltatás minősége és a termékek elérhetősége a világ különböző pontjain a vásárlók számára javul a szerviz- és értékesítési hálózatuk fejlesztésének köszönhetően.

Tekintsük a belső fenyegetések semlegesítésére jelenleg használt főbb technológiákat, azok előnyeit és hátrányait.

Dokumentum ellenőrzés

A dokumentum-ellenőrzési technológia a modern jogkezelési osztályú termékekben testesül meg, mint pl Microsoft Windows Jogkezelési szolgáltatások, Adobe LiveCycle Rights Management ES és Oracle Information Rights Management.

Ezeknek a rendszereknek a működési elve az, hogy minden dokumentumhoz használati szabályokat rendelnek, és ezeket a jogokat szabályozzák az ilyen típusú dokumentumokkal működő alkalmazásokban. Például létrehozhat egy dokumentumot Microsoft Wordés szabályokat állíthat fel rá, ki tekintheti meg, ki szerkesztheti és mentheti el a változtatásokat, és ki nyomtathatja ki. Ezeket a szabályokat a Windows RMS feltételei szerint licencnek nevezik, és a fájllal együtt tárolják. A fájl tartalma titkosítva van, hogy illetéktelen felhasználó ne nézhesse meg.

Most, ha bármelyik felhasználó megpróbál megnyitni egy ilyen védett fájlt, az alkalmazás kapcsolatba lép egy speciális RMS-kiszolgálóval, megerősíti a felhasználó jogosultságát, és ha engedélyezve van a hozzáférést ehhez a felhasználóhoz, a szerver átadja a visszafejtő kulcsot az alkalmazásnak. adott fájlés információkat a felhasználó jogairól. Ezen információk alapján az alkalmazás csak azokat a funkciókat teszi elérhetővé a felhasználó számára, amelyekhez jogosultsága van. Például, ha a felhasználó nem nyomtathat ki egy fájlt, az alkalmazás nyomtatási funkciója nem lesz elérhető.

Kiderült, hogy egy ilyen fájlban lévő információ akkor is biztonságban van, ha a fájl a vállalati hálózaton kívülre kerül - titkosítva van. Az alkalmazásokba már beépített RMS-funkciók Microsoft iroda 2003-as szakmai kiadás. Az RMS-funkciók harmadik féltől származó alkalmazásokba való beágyazásához a Microsoft speciális SDK-t biztosít.

Az Adobe dokumentumvezérlő rendszere hasonló módon épül fel, de a PDF dokumentumokra koncentrál. Az Oracle IRM ügynökként van telepítve az ügyfélszámítógépekre, és futás közben integrálódik az alkalmazásokkal.

A dokumentumok ellenőrzése fontos része a bennfentes fenyegetések elleni védelem átfogó koncepciójának, de figyelembe kell venni ennek a technológiának a természetes korlátait. Először is, kizárólag a dokumentumfájlok vezérlésére szolgál. Ha strukturálatlan fájlokról vagy adatbázisokról van szó, ez a technológia nem működik. Másodszor, ha egy támadó ennek a rendszernek az SDK-ját használva létrehoz egy egyszerű alkalmazást, amely kommunikál az RMS-kiszolgálóval, titkosítási kulcsot kap onnan, és tiszta szövegben menti a dokumentumot, és egy felhasználó nevében futtatja ezt az alkalmazást. akkor a dokumentumhoz való hozzáférés szintje ezt a rendszert megkerülik. Ezenkívül figyelembe kell venni a dokumentum-ellenőrző rendszer bevezetésének nehézségeit, ha a szervezet már sok dokumentumot készített - a dokumentumok kezdeti osztályozása és a felhasználási jogok hozzárendelése jelentős erőfeszítést igényelhet.

Ez nem jelenti azt, hogy a dokumentum-ellenőrző rendszerek nem látják el a feladatot, csak emlékezni kell arra, hogy az információvédelem összetett probléma, amelyet általában egyetlen eszközzel nem lehet megoldani.

Szivárgás elleni védelem

Az adatvesztés-megelőzés (DLP) kifejezés viszonylag nemrég jelent meg az információbiztonsági szakemberek lexikonjában, és már túlzás nélkül az elmúlt évek legfelkapottabb témájává vált. Általános szabály, hogy a DLP rövidítés olyan rendszereket jelöl, amelyek figyelik a lehetséges szivárgási csatornákat, és blokkolják azokat abban az esetben, ha ezeken a csatornákon keresztül bármilyen bizalmas információt küldenek. Ezen túlmenően az ilyen rendszerek funkciói gyakran magukban foglalják a rajtuk áthaladó információk archiválásának lehetőségét a későbbi audit, az incidensek kivizsgálása és a lehetséges kockázatok retrospektív elemzése céljából.

Kétféle DLP rendszer létezik: hálózati DLP és gazda DLP.

Hálózati DLP a hálózati átjáró elvén működik, amely minden rajta áthaladó adatot kiszűr. Nyilvánvalóan a belső fenyegetések elleni küzdelem feladata alapján az ilyen szűrés fő érdeke a vállalati hálózaton kívülről az internetre továbbított adatok ellenőrzésének képessége. A hálózati DLP lehetővé teszi a kimenő levelek, a http és ftp forgalom, az azonnali üzenetküldő szolgáltatások stb. szabályozását. Ha érzékeny információkat észlel, a hálózati DLP blokkolhatja a fájl átvitelét. Lehetőségek vannak a gyanús fájlok kézi feldolgozására is. A gyanús fájlokat karanténba helyezik, amelyet egy biztonsági tiszt rendszeresen felülvizsgál, és vagy engedélyezi az irattovábbítást, vagy megtiltja azt. Igaz, ilyen feldolgozás a protokoll sajátosságai miatt csak e-mailre lehetséges. További jellemzők Az Audit and Incident Investigation az átjárón áthaladó összes információ archiválását biztosítja, feltéve, hogy ezt az archívumot rendszeresen felülvizsgálják, és annak tartalmát elemzik a megtörtént szivárgások azonosítása érdekében.

A DLP rendszerek megvalósításának és megvalósításának egyik fő problémája a bizalmas információk felderítésének módja, vagyis az a pillanat, amikor eldöntik, hogy a továbbított információ bizalmas-e, és milyen okokat vesznek figyelembe a döntés meghozatalakor. Ez általában a továbbított dokumentumok tartalmának elemzésével, más néven tartalomelemzéssel történik. Tekintsük a bizalmas információk felderítésének főbb módjait.

• Címkék. Ez a módszer hasonló a fent tárgyalt dokumentum-ellenőrző rendszerekhez. A címkék olyan dokumentumokba vannak beágyazva, amelyek leírják az információk titkosságának fokát, azt, hogy mit lehet tenni ezzel a dokumentummal, és kinek kell elküldeni. A címkeanalízis eredményei alapján a DLP rendszer eldönti, hogy lehetséges-e ez a dokumentum kiküldeni vagy sem. Egyes DLP-rendszereket kezdetben kompatibilissé tettek a jogkezelési rendszerekkel, hogy az általuk beállított címkéket használják, míg más rendszerek saját címkeformátumukat használják.
• Aláírások. Ez a módszer egy vagy több karaktersorozat meghatározásából áll, amelyek jelenléte az átvitt fájl szövegében jelezze a DLP-rendszernek, hogy ez a fájl bizalmas információkat tartalmaz. Nagyszámú aláírás szótárakba rendezhető.
• Bayes módszer. Ez a spam elleni küzdelemben alkalmazott módszer sikeresen alkalmazható DLP rendszerekben. Ennek a módszernek az alkalmazásához létrejön egy kategórialista, és megadunk egy szólistát azzal a valószínűséggel, hogy ha egy szó előfordul egy fájlban, akkor a fájl adott valószínűséggel tartozik vagy nem tartozik a megadott kategóriába.
• Morfológiai elemzés.A morfológiai elemzés módszere hasonló az aláírás módszeréhez, a különbség abban rejlik, hogy nem 100%-os egyezést végeznek az aláírással, hanem az egygyökerű szavakat is figyelembe veszik.
• Digitális nyomatok.Ennek a módszernek az a lényege, hogy minden bizalmas dokumentumra úgy számítanak ki valamilyen hash függvényt, hogy ha a dokumentumot kismértékben módosítják, akkor a hash függvény változatlan marad, vagy kissé megváltozik. Így a bizalmas dokumentumok felderítésének folyamata jelentősen leegyszerűsödik. Annak ellenére, hogy számos gyártó és egyes elemzők lelkesen dicsérik ezt a technológiát, megbízhatósága sok kívánnivalót hagy maga után, és tekintettel arra, hogy a gyártók különféle ürügyekkel inkább árnyékban tartják a digitális ujjlenyomat-algoritmus megvalósításának részleteit, annak hitelességét. nem növekszik.
• Reguláris kifejezések.A programozással foglalkozó mindenki által ismert reguláris kifejezések megkönnyítik a mintaadatok szövegben történő megtalálását, például telefonszámokat, útlevéladatokat, bankszámlaszámokat, társadalombiztosítási számokat stb.

A fenti listából jól belátható, hogy az észlelési módszerek vagy nem garantálják a bizalmas információk 100%-os felderítését, mivel mind az első, mind a második típusú hibaszintek meglehetősen magasak, vagy a biztonság állandó éberségét igénylik. szolgáltatás az aláírások vagy megbízások listájának frissítéséhez és naprakészen tartásához.

Ezenkívül a forgalom titkosítása bizonyos problémákat okozhat a hálózati DLP működésében. Ha biztonsági okokból szükséges az e-mail üzenetek titkosítása vagy használata SSL protokoll amikor bármilyen webes erőforráshoz csatlakozik, nagyon nehéz lehet megoldani a bizalmas információk jelenlétének meghatározását a továbbított fájlokban. Ne felejtse el, hogy néhány azonnali üzenetküldő szolgáltatás, például a Skype, alapértelmezés szerint beépített titkosítással rendelkezik. Meg kell tagadnia az ilyen szolgáltatások használatát, vagy a gazdagép DLP-t kell használnia a vezérlésükhöz.

Azonban minden nehézség ellenére, helyes beállítás Ha komolyan vesszük, a hálózati DLP-k nagyban csökkenthetik a bizalmas információk kiszivárgásának kockázatát, és kényelmes belső ellenőrzési eszközöket biztosíthatnak a szervezet számára.

Gazda DLP A hálózat minden gazdagépére telepítve vannak (kliens munkaállomásokon és szükség esetén szervereken), és az internetes forgalom vezérlésére is használhatók. A gazdagép DLP-k azonban kevésbé terjedtek el ebben a minőségben, és jelenleg elsősorban külső eszközök és nyomtatók vezérlésére használják. Mint ismeretes, az a munkavállaló, aki pendrive-ról vagy MP3-lejátszóról hoz munkába, sokkal nagyobb veszélyt jelent egy vállalat információbiztonságára, mint a hackerek együttvéve. Ezeket a rendszereket hálózati végpont biztonsági eszközöknek is nevezik ( végpont biztonság), bár ezt a kifejezést gyakran szélesebb körben használják, például néha víruskereső eszközöknek nevezik.

Mint ismeretes, a külső eszközök használatának problémája minden eszköz nélkül megoldható, a portok fizikai, vagy operációs rendszer segítségével, vagy adminisztratív letiltásával, megtiltva az alkalmazottaknak, hogy bármilyen adathordozót bevigyenek az irodába. Az "olcsó és vidám" megközelítés azonban a legtöbb esetben elfogadhatatlan, mivel az információs szolgáltatások megfelelő rugalmassága, amelyet az üzleti folyamatok megkövetelnek, nem biztosítottak.

Emiatt megnőtt az igény olyan speciális szerszámokra, amelyekkel rugalmasabban tudja megoldani a vállalati alkalmazottak külső eszközeinek, nyomtatóinak használatát. Az ilyen eszközök lehetővé teszik a felhasználók hozzáférési jogainak konfigurálását különféle típusú eszközökhöz, például a felhasználók egyik csoportja számára, hogy megtiltsák az adathordozókkal való munkát és engedélyezzék a nyomtatókat, egy másik csoport számára pedig engedélyezzék az adathordozókkal való munkavégzést csak olvasható módban. Ha az egyes felhasználók számára külső eszközökön kell információkat rögzíteni, árnyékmásolási technológia használható, amely biztosítja, hogy a külső eszközön tárolt összes információ a szerverre másolásra kerül. A másolt információk utólag elemezhetők a felhasználói műveletek elemzése céljából. Ez a technológia mindent lemásol, és jelenleg nincs olyan rendszer, amely lehetővé tenné az elmentett fájlok tartalomelemzését a működés blokkolása és a szivárgás megakadályozása érdekében, ahogy azt a hálózati DLP teszi. Az árnyékmásolat-archívum azonban lehetővé teszi az incidensek kivizsgálását és a hálózaton történt események retrospektív elemzését, és egy ilyen archívum azt jelenti, hogy a potenciális bennfenteseket elkaphatják és megbüntetik tetteikért. Ez jelentős akadálynak bizonyulhat számára, és nyomós okot jelenthet az ellenséges akciók feladására.

Érdemes megemlíteni a nyomtatók használatának ellenőrzését is - a dokumentumok nyomtatott példányai is szivárgási forrássá válhatnak. A Host DLP lehetővé teszi a nyomtatókhoz való felhasználói hozzáférés szabályozását ugyanúgy, mint a többi külső eszközhöz, és a kinyomtatott dokumentumok másolatainak mentését grafikus formátum további elemzéshez. Emellett elterjedt a vízjelek (watermarks) technológiája, amely egy dokumentum minden oldalára egyedi kódot nyomtat, amellyel pontosan meghatározható, hogy ki, mikor és hol nyomtatta ezt a dokumentumot.

A gazdagép DLP kétségtelen előnyei ellenére számos hátránnyal jár, amelyek az ügynökszoftver telepítésének szükségességével járnak minden egyes felügyelt számítógépre. Először is, bizonyos nehézségeket okozhat az ilyen rendszerek telepítése és kezelése terén. Másodszor, egy rendszergazdai jogokkal rendelkező felhasználó megpróbálhatja letiltani ezt a szoftvert, hogy olyan műveleteket hajtson végre, amelyeket a biztonsági szabályzat nem engedélyez.

Ennek ellenére a külső eszközök megbízható vezérléséhez nélkülözhetetlen a gazdagép DLP, és az említett problémák sem megoldhatatlanok. Így arra a következtetésre juthatunk, hogy a DLP-koncepció ma már teljes értékű eszköz a vállalati biztonsági szolgáltatások arzenáljában a belső ellenőrzés és a szivárgások elleni védelem érdekében rájuk nehezedő, folyamatosan növekvő nyomással szemben.

IPC koncepció

A belső fenyegetések leküzdésére szolgáló új eszközök feltalálása során a modern társadalom tudományos és mérnöki gondolkodása nem áll meg, és a fent tárgyalt eszközök bizonyos hiányosságai miatt az információszivárgás elleni védelmi rendszerek piaca eljutott az IPC koncepciójához. Információvédelem és ellenőrzés). Ez a kifejezés viszonylag nemrég jelent meg, úgy gondolják, hogy először az IDC elemző cég 2007-es áttekintésében használták.

Ennek a koncepciónak a lényege a DLP és a titkosítási módszerek kombinálása. Ebben a koncepcióban a DLP ellenőrzi a vállalati hálózatból technikai csatornákon keresztül távozó információkat, és titkosítással védik azokat az adathordozókat, amelyek fizikailag illetéktelen személyek kezébe kerülnek vagy kerülhetnek.

Fontolja meg az IPC koncepcióban használható leggyakoribb titkosítási technológiákat.

• Mágnesszalagok titkosítása.Az ilyen típusú adathordozók archaizmusa ellenére továbbra is aktívan használják biztonsági mentésre és nagy mennyiségű információ átvitelére, mivel a tárolt megabájt egységköltségét tekintve még mindig nincs párja. Ennek megfelelően az elveszett szalagokkal kapcsolatos kiszivárogtatások továbbra is örömet okoznak a címlap hírszerkesztőinek, és frusztrálják az informatikai igazgatókat és a vállalati biztonsági tiszteket, akikről az ilyen jelentések vonatkoznak. A helyzetet súlyosbítja, hogy az ilyen szalagok nagyon nagy mennyiségű adatot tartalmaznak, és ennek következtében nagyszámú ember válhat csalók áldozatává.
• A szerver tárolóinak titkosítása.Annak ellenére, hogy a szervertárat nagyon ritkán szállítják, és az elvesztésének kockázata mérhetetlenül kisebb, mint a mágnesszalagnál, külön HDD a tárolás rossz kezekbe kerülhet. Javítás, ártalmatlanítás, frissítés – ezek az események kellő rendszerességgel fordulnak elő ahhoz, hogy leírják ezt a kockázatot. Az illetéktelen személyek irodájába való behatolás helyzete pedig nem teljesen lehetetlen esemény.

Itt érdemes egy kis kitérőt megemlíteni, és megemlíteni azt a gyakori tévhitet, hogy ha egy lemez egy RAID tömb része, akkor állítólag nem kell attól tartani, hogy illetéktelen kezekbe kerül. Úgy tűnik, hogy a több merevlemezre írt adatok RAID-vezérlők által végrehajtott csíkozása olvashatatlan megjelenést biztosít az egyetlen merevlemezen lévő adatok számára. Sajnos ez nem teljesen igaz. Az interleaving megtörténik, de a legtöbb modern eszközben 512 bájtos blokkszinten történik. Ez azt jelenti, hogy a szerkezet és a fájlformátumok megsértése ellenére a bizalmas információk továbbra is kinyerhetők egy ilyen merevlemezről. Ezért, ha követelmény az információk titkosságának biztosítása, amikor azokat RAID-tömbben tárolják, a titkosítás marad az egyetlen megbízható lehetőség.

• Laptopok titkosítása.Ez már számtalanszor elhangzott, de ennek ellenére a bizalmas információkat tartalmazó laptopok elvesztése hosszú évek óta az incidensek top ötös slágerparádéjában szerepel.
• Cserélhető adathordozó titkosítás.Ebben az esetben hordozható USB-eszközökről és esetenként írható CD-kről és DVD-kről beszélünk, ha azokat a vállalat üzleti folyamataiban használják. Az ilyen rendszerek, valamint a fent említett laptop merevlemez-titkosítási rendszerek gyakran a gazdagép DLP-rendszerek összetevőjeként működhetnek. Ebben az esetben egyfajta kriptoperiméterről beszélünk, amely biztosítja a benne lévő médiák automatikus transzparens titkosítását, és a rajta kívüli adatok visszafejtésének képtelenségét.

Így a titkosítás jelentősen növelheti a DLP-rendszerek képességeit, és csökkentheti a bizalmas adatok kiszivárgásának kockázatát. Annak ellenére, hogy az IPC koncepció viszonylag nemrégiben alakult ki, és az integrált IPC megoldások választéka a piacon nem túl széles, az iparág aktívan fejleszti ezt a területet, és nagyon valószínű, hogy egy idő után ez a koncepció lesz a de. a belső biztonsági és belső biztonsági problémák megoldásának ténybeli szabványa.

következtetéseket

Amint az től látható ezt a felülvizsgálatot, a belső fenyegetések meglehetősen új terület az információbiztonságban, amely ennek ellenére aktívan fejlődik és fokozott figyelmet igényel. A figyelembe vett dokumentum-ellenőrzési technológiák, a DLP és az IPC lehetővé teszik egy meglehetősen megbízható belső ellenőrzési rendszer kiépítését és a szivárgás kockázatának elfogadható szintre csökkentését. Kétségtelen, hogy az információbiztonságnak ez a területe tovább fog fejlődni, újabb és fejlettebb technológiákat kínálnak majd, de ma már sok szervezet választ ilyen vagy olyan megoldást, hiszen az információbiztonsági kérdésekben való figyelmetlenség túl költséges lehet.

Alekszej Raevszkij
A SecurIT vezérigazgatója

Hasonló hozzászólások

CI (CAM) Tricolor modulok beállítása különböző márkájú TV-ken Cam modul kódolt TV-csatornák megtekintéséhez

2022-10-20 03:58:46

Helyreállítás ellenőrzőpontból

2022-10-20 03:58:46

A Windows telepítése Mac rendszeren háromféleképpen A Windows telepítése imac rendszerre

2022-10-20 03:58:46