حفاظت نرم افزار در برابر اینسایدر pdf. محافظت از خودی ها با استفاده از سیستم Zlock. سیستم های مبتنی بر مسدود کردن دستگاه استاتیک

حفاظت نرم افزار در برابر اینسایدر pdf. محافظت از خودی ها با استفاده از سیستم Zlock. سیستم های مبتنی بر مسدود کردن دستگاه استاتیک

"مشاور"، 1390، شماره 9

"کسی که صاحب اطلاعات است صاحب جهان است" - این تعبیر معروف وینستون چرچیل بیش از هر زمان دیگری در جامعه مدرن مرتبط است. دانش، ایده ها و فناوری به منصه ظهور می رسند و رهبری بازار به این بستگی دارد که یک شرکت تا چه اندازه بتواند سرمایه فکری خود را مدیریت کند.

در این شرایط امنیت اطلاعات یک سازمان اهمیت ویژه ای پیدا می کند.

هر گونه نشت اطلاعات به رقبا یا انتشار اطلاعات در مورد فرآیندهای داخلی فوراً موقعیت هایی را که شرکت در بازار اشغال می کند تحت تأثیر قرار می دهد.

سیستم امنیت اطلاعاتباید در برابر انواع تهدیدات : فنی، سازمانی و تهدیدات ناشی از عامل انسانی محافظت کند.

همانطور که تمرین نشان می دهد، کانال اصلی نشت اطلاعات، خودی ها هستند.

دشمن در عقب

به طور معمول، یک خودی یک کارمند شرکت است که با افشای اطلاعات محرمانه به شرکت آسیب وارد می کند.

با این حال، اگر سه شرط اصلی را در نظر بگیریم، که تامین آن هدف امنیت اطلاعات است - محرمانه بودن، یکپارچگی، در دسترس بودن - این تعریف قابل بسط است.

یک خودی را می توان کارمندی نامید که دسترسی رسمی رسمی به اطلاعات محرمانه یک شرکت دارد که باعث افشای، تحریف، آسیب یا عدم دسترسی به اطلاعات می شود.

این تعمیم قابل قبول است زیرا دنیای مدرننقض یکپارچگی و در دسترس بودن اطلاعات اغلب عواقب بسیار شدیدتری نسبت به افشای اطلاعات محرمانه برای تجارت به دنبال دارد.

برای بسیاری از بنگاه ها، توقف فرآیندهای تجاری، حتی برای مدت کوتاه، زیان های مالی قابل توجهی را تهدید می کند و اختلال در عملکرد در عرض چند روز می تواند ضربه محکمی به بار آورد که عواقب آن می تواند کشنده باشد.

سازمان های مختلفی که ریسک کسب و کار را مطالعه می کنند به طور منظم نتایج تحقیقات خود را منتشر می کنند. به گفته آنها، اطلاعات داخلی به طور مداوم رتبه اول را در فهرست دلایل نقض امنیت اطلاعات برای چندین سال به خود اختصاص داده است.

با توجه به افزایش مداوم تعداد کل حوادث، می‌توان نتیجه گرفت که ارتباط مشکل همیشه در حال افزایش است.

مدل تهدید

به منظور ایجاد یک سیستم امنیت اطلاعات لایه لایه قابل اعتماد که به مبارزه موثر با مشکل کمک می کند، قبل از هر چیز لازم است یک مدل تهدید ایجاد شود.

شما باید درک کنید که افراد داخلی چه کسانی هستند و چه چیزی آنها را تحریک می کند، چرا آنها اقدامات خاصی را انجام می دهند.

روش های مختلفی برای ایجاد چنین مدل هایی وجود دارد، اما برای اهداف عملی می توانید از طبقه بندی زیر استفاده کنید که شامل تمام انواع اصلی اینسایدرها می شود.

هکر داخلی

چنین کارمندی معمولاً دارای مدارک مهندسی بالاتر از حد متوسط ​​است و ساختار منابع سازمانی ، معماری سیستم ها و شبکه های رایانه ای را درک می کند.

او از روی کنجکاوی، علاقه ورزشی، کاوش در مرزهای توانایی های خود اقدامات هک انجام می دهد.

معمولاً او از آسیب احتمالی اعمال خود آگاه است، بنابراین به ندرت باعث آسیب ملموس می شود.

درجه خطر متوسط ​​است، زیرا اقدامات او ممکن است باعث توقف موقت برخی از فرآیندهایی شود که در شرکت اتفاق می افتد. شناسایی فعالیت ها در درجه اول از طریق ابزارهای فنی امکان پذیر است.

کارمند بی مسئولیت و کم صلاحیت

می تواند مهارت های مختلفی داشته باشد و در هر بخش از شرکت کار کند.

خطرناک است زیرا عادت ندارد به عواقب اقدامات خود فکر کند، می تواند با منابع اطلاعاتی شرکت "با آزمون و خطا" کار کند و ناخواسته اطلاعات را تخریب و تحریف کند.

معمولاً دنباله اعمال خود را به خاطر نمی آورد و وقتی متوجه عواقب منفی می شود، ممکن است به سادگی در مورد آنها سکوت کند.

ممکن است در مکالمه شخصی با یک دوست یا حتی هنگام برقراری ارتباط در تالارهای گفتگوی اینترنتی و در در شبکه های اجتماعی.

درجه خطر بسیار زیاد است، مخصوصاً با توجه به اینکه این نوع مجرم بیشتر از سایرین است. عواقب فعالیت های او می تواند بسیار جدی تر از یک مهاجم آگاه باشد.

برای جلوگیری از عواقب اقدامات وی، لازم است طیف وسیعی از اقدامات مختلف، هم فنی (مجوز، تقسیم اجباری جلسات کار بر اساس حساب) و هم سازمانی (کنترل مداوم مدیریت بر روند و نتیجه کار) انجام شود. .

فردی که از نظر روانی ناپایدار است

درست مانند یک نماینده از نوع قبلی، او می تواند در هر موقعیتی کار کند و شرایط بسیار متفاوتی داشته باشد. خطرناک به دلیل تمایل به اقدامات با انگیزه ضعیف در شرایط ناراحتی روانی: در شرایط شدید، فشار روانی از سوی سایر کارمندان یا به سادگی تحریک شدید.

در حالت عاطفی، می تواند اطلاعات محرمانه را فاش کند، به داده ها آسیب برساند و روند معمول کار افراد دیگر را مختل کند.

درجه خطر متوسط ​​است، اما این نوع مجرم چندان رایج نیست.

برای جلوگیری از عواقب منفی اقدامات وی، استفاده از اقدامات اداری موثرتر است - شناسایی چنین افرادی در مرحله مصاحبه، محدود کردن دسترسی به اطلاعات و حفظ جو روانی راحت در تیم.

کارمند توهین شده، توهین شده

گسترده ترین گروه از ناقضان احتمالی رژیم امنیت اطلاعات.

از نظر تئوری، اکثریت قریب به اتفاق کارمندان قادر به ارتکاب اعمال غیر دوستانه با شرکت هستند.

این می تواند زمانی اتفاق بیفتد که مدیریت به شخصیت یا ویژگی های حرفه ای کارمند بی احترامی کند و این امر بر سطح دستمزد تأثیر می گذارد.

به طور بالقوه، این نوع از خودی خطر بسیار بالایی دارد - هم نشت و هم آسیب به اطلاعات امکان پذیر است و ضرر آنها برای کسب و کار قابل توجه خواهد بود، زیرا کارمند آگاهانه آن را ایجاد می کند و تمام آسیب پذیری ها را به خوبی می داند.

برای شناسایی فعالیت ها هم اقدامات اداری و هم فنی مورد نیاز است.

کارمند نجس

کارمندی که سعی می کند ثروت شخصی خود را به قیمت اموال شرکتی که برای آن کار می کند تکمیل کند. در میان موارد اختصاص داده شده ممکن است رسانه های مختلف اطلاعات محرمانه (هارد دیسک، درایوهای فلش، لپ تاپ های شرکتی) وجود داشته باشد.

در این حالت، خطر رسیدن اطلاعات به افرادی که برای آنها در نظر گرفته نشده است، با انتشار بعدی یا انتقال به رقبا وجود دارد.

خطر متوسط ​​است، اما این نوع غیر معمول نیست.

برای شناسایی ابتدا اقدامات اداری لازم است.

نماینده رقیب

به عنوان یک قاعده، او دارای صلاحیت بالایی است و موقعیت هایی را اشغال می کند که فرصت های زیادی را برای به دست آوردن اطلاعات، از جمله اطلاعات محرمانه، فراهم می کند. این یا یک کارمند موجود است که استخدام شده، توسط رقبا خریداری شده است (اغلب)، یا یک شخص داخلی است که به طور ویژه به شرکت معرفی شده است.

درجه خطر بسیار زیاد است، زیرا آسیب آگاهانه و با درک عمیق از ارزش اطلاعات و همچنین آسیب پذیری های شرکت ایجاد می شود.

برای شناسایی فعالیت ها، هم اقدامات اداری و هم فنی مورد نیاز است.

چی میدزدیم؟

درک مشکل اطلاعات داخلی بدون در نظر گرفتن ماهیت اطلاعات سرقت شده غیرممکن است.

طبق آمار، داده های شخصی مشتریان و همچنین اطلاعات مربوط به شرکت ها و شرکای مشتری بیشترین تقاضا را دارند و در بیش از نیمی از موارد به سرقت رفته اند. جزئیات معاملات، شرایط قراردادها و تحویل در ادامه می آید. گزارش های مالی نیز بسیار مورد توجه است.

هنگام تشکیل مجموعه ای از اقدامات حفاظتی، هر شرکت ناگزیر با این سوال روبرو می شود: چه اطلاعات خاصی نیاز به اقدامات حفاظتی خاصی دارد و چه چیزی به آنها نیاز ندارد؟

البته مبنای چنین تصمیماتی، داده های به دست آمده در نتیجه تحلیل ریسک است. با این حال، اغلب یک شرکت دارای منابع مالی محدودی است که می تواند برای یک سیستم امنیت اطلاعات خرج شود و ممکن است برای به حداقل رساندن همه خطرات کافی نباشد.

دو رویکرد

متأسفانه، هیچ پاسخ آماده ای برای این سؤال وجود ندارد: "اول از چه چیزی محافظت کنیم."

این مشکل از دو جهت قابل بررسی است.

ریسک یک شاخص پیچیده است که هم احتمال یک تهدید خاص و هم آسیب احتمالی ناشی از آن را در نظر می گیرد. بر این اساس، هنگام تعیین اولویت های امنیتی، می توانید روی یکی از این شاخص ها تمرکز کنید. این بدان معنی است که اطلاعاتی که ابتدا محافظت می شود، راحت ترین سرقت است (مثلاً اگر تعداد زیادی از کارمندان به آن دسترسی داشته باشند) و اطلاعاتی که سرقت یا مسدود شدن آنها منجر به شدیدترین عواقب خواهد شد.

یکی از جنبه های مهم مشکل خودی، کانال انتقال اطلاعات است. هر چه فرصت های فیزیکی بیشتری برای انتقال اطلاعات غیرمجاز به خارج از شرکت وجود داشته باشد، احتمال وقوع این اتفاق بیشتر می شود.

مکانیزم های انتقال

مکانیسم های انتقال را می توان به صورت زیر طبقه بندی کرد:

طبق تحقیقات در زمان ما، رایج ترین کانال ها برای انتقال داده های محرمانه (به ترتیب نزولی): ایمیل، دستگاه های تلفن همراه (از جمله لپ تاپ)، شبکه های اجتماعی و سایر خدمات اینترنتی (مانند سیستم های پیام رسانی فوری) و غیره هستند.

برای کنترل کانال های فنی می توان از وسایل مختلفی استفاده کرد، طیف وسیعی از محصولات در حال حاضر در بازار امنیت موجود است.

مثلا، سیستم های فیلتر محتوا (سیستم های مسدود کننده پویا)، ابزارهای محدود کردن دسترسی به رسانه های اطلاعاتی (CD، DVD، بلوتوث).

اقدامات اداری نیز اعمال می شود: فیلتر کردن ترافیک اینترنت، مسدود کردن پورت های فیزیکی ایستگاه های کاری، تضمین رژیم اداری و امنیت فیزیکی.

هنگام انتخاب وسایل فنیحفاظت از اطلاعات محرمانه نیاز به یک رویکرد سیستماتیک دارد. تنها از این طریق می توان بیشترین بهره وری را از اجرای آنها به دست آورد.

همچنین باید درک کنید که چالش‌های پیش روی هر شرکت منحصر به فرد است و استفاده از راه‌حل‌هایی که توسط سازمان‌های دیگر استفاده می‌شود، اغلب غیرممکن است.

مبارزه با اطلاعات داخلی نباید به تنهایی انجام شود، این یک جزء مهم از فرآیند کلی کسب و کار با هدف تضمین یک رژیم امنیت اطلاعات است.

این باید توسط متخصصان انجام شود و شامل یک چرخه کامل از فعالیت ها باشد: توسعه یک خط مشی امنیت اطلاعات، تعیین دامنه، تجزیه و تحلیل ریسک، انتخاب اقدامات متقابل و اجرای آنها، و همچنین ممیزی سیستم امنیت اطلاعات.

اگر یک شرکت امنیت اطلاعات را در کل مجموعه تضمین نکند، خطرات ناشی از نشت و آسیب به اطلاعات به شدت افزایش می یابد.

به حداقل رساندن خطرات

معاینه

  1. بررسی کامل متقاضیانی که برای هر موقعیتی در شرکت درخواست می کنند. توصیه می شود تا حد امکان اطلاعات مربوط به داوطلب از جمله محتوای صفحات وی در شبکه های اجتماعی جمع آوری شود. همچنین ممکن است درخواست یک مرجع از محل کار قبلی کمک کند.
  2. کاندیداهای سمت مهندس IT باید تحت غربالگری ویژه قرار گیرند. عمل نشان می دهد که بیش از نیمی از افراد داخلی هستند مدیران سیستمو برنامه نویسان
  3. هنگام استخدام، حداقل باید یک بررسی روانی از نامزدها انجام شود. این به شناسایی متقاضیانی با سلامت روانی ناپایدار کمک می کند.

اجازه دسترسی

  1. دسترسی به سیستم اشتراک گذاری منابع شرکتی. شرکت باید اسناد نظارتی ایجاد کند که اطلاعات را بر اساس سطح محرمانه بودن رتبه بندی کند و حقوق دسترسی به آن را به وضوح تعریف کند. دسترسی به هر منبعی باید شخصی باشد.
  2. حقوق دسترسی به منابع باید بر اساس اصل «حداقل کفایت» تخصیص داده شود. دسترسی به نگهداری تجهیزات فنی، حتی با داشتن حقوق مدیر، همیشه نباید با دسترسی به مشاهده خود اطلاعات همراه باشد.
  3. نظارت عمیق بر اقدامات کاربر، با مجوز اجباری و ثبت اطلاعات مربوط به عملیات انجام شده در گزارش. هرچه گزارش ها با دقت بیشتری نگهداری شوند، مدیریت بر وضعیت شرکت کنترل بیشتری دارد. همین امر در مورد اقدامات کارمند هنگام استفاده از دسترسی رسمی به اینترنت صدق می کند.

استاندارد ارتباطات

  1. سازمان باید استانداردهای ارتباطی خود را اتخاذ کند که تمام اشکال رفتار نامناسب کارکنان نسبت به یکدیگر (پرخاشگری، خشونت، آشنایی بیش از حد) را حذف کند. اول از همه، این در مورد رابطه "مدیر و زیردست" صدق می کند.

کارمند تحت هیچ شرایطی نباید احساس کند که با او ناعادلانه رفتار می شود، به اندازه کافی برای او ارزش قائل نیست، بی جهت مورد استثمار قرار می گیرد، یا فریب می خورد.

پیروی از این قانون ساده به شما این امکان را می دهد که از اکثریت قریب به اتفاق موقعیت هایی که کارکنان را به ارائه اطلاعات داخلی تحریک می کند اجتناب کنید.

محرمانه بودن

قرارداد عدم افشا نباید یک امر رسمی باشد. باید توسط همه کارکنانی که به مهم ترین موارد دسترسی دارند امضا شود منابع اطلاعاتشرکت ها

علاوه بر این، حتی در مرحله مصاحبه، باید به کارکنان بالقوه توضیح داده شود که چگونه شرکت امنیت اطلاعات را کنترل می کند.

کنترل وجوه

نشان دهنده کنترل وسایل فنی است که توسط یک کارمند برای اهداف کاری استفاده می شود.

مثلا، استفاده از یک لپ تاپ شخصی نامطلوب است، زیرا هنگامی که یک کارمند ترک می کند، به احتمال زیاد نمی توان متوجه شد که چه اطلاعاتی در آن ذخیره شده است.

به همین دلیل، استفاده از جعبه ها نامطلوب است پست الکترونیکدر مورد منابع خارجی

روال داخلی

شرکت باید مقررات داخلی را رعایت کند.

داشتن اطلاعاتی در مورد زمانی که کارکنان در محل کار می گذرانند ضروری است.

کنترل حرکت دارایی های مادی نیز باید تضمین شود.

رعایت تمامی قوانین فوق خطر آسیب یا نشت اطلاعات از طریق اطلاعات داخلی را کاهش می دهد و در نتیجه به جلوگیری از ضررهای مالی یا اعتباری قابل توجه کمک می کند.

شریک مدیریت

گروهی از شرکت ها جامعه میزبانی


امروزه دو کانال اصلی برای نشت اطلاعات محرمانه وجود دارد: دستگاه های متصل به رایانه (انواع وسایل ذخیره سازی قابل جابجایی، از جمله درایوهای فلش، درایوهای CD/DVD و غیره، چاپگرها) و اینترنت (ایمیل، ICQ، شبکه اجتماعی). شبکه ها و غیره). و بنابراین، هنگامی که یک شرکت برای اجرای یک سیستم حفاظتی در برابر آنها "کامل" است، توصیه می شود به طور جامع به این راه حل نزدیک شود. مشکل این است که از رویکردهای متفاوتی برای پوشش کانال های مختلف استفاده می شود. در یک مورد بیشترین راه موثرحفاظت استفاده از درایوهای قابل جابجایی را کنترل می کند و دومی شامل گزینه های مختلفی برای فیلتر محتوا است که به شما امکان می دهد انتقال داده های محرمانه را به یک شبکه خارجی مسدود کنید. بنابراین، شرکت ها مجبورند از دو محصول برای محافظت در برابر افراد داخلی استفاده کنند که با هم یک سیستم امنیتی جامع را تشکیل می دهند. به طور طبیعی، استفاده از ابزارهای یک توسعه دهنده ترجیح داده می شود. در این صورت، روند اجرای آنها، مدیریت و آموزش کارکنان ساده می شود. به عنوان مثال می توان به محصولات SecurIT: Zlock و Zgate اشاره کرد.

Zlock: محافظت در برابر نشت از طریق درایوهای قابل جابجایی

برنامه Zlock مدتی است که در بازار وجود دارد. و ما قبلا اصولا تکرار حرفم فایده ای نداره. با این حال، از زمان انتشار مقاله، دو نسخه جدید از Zlock منتشر شده است که تعدادی ویژگی مهم به آن اضافه شده است. ارزش آن را دارد که در مورد آنها صحبت کنیم، حتی اگر به طور خلاصه.

اول از همه، شایان ذکر است که امکان تخصیص چندین خط مشی به یک کامپیوتر وجود دارد که بسته به اینکه کامپیوتر به آن متصل است یا خیر، به طور مستقل اعمال می شود. شبکه شرکتیبه طور مستقیم، از طریق VPN، یا به طور مستقل کار می کند. این به ویژه اجازه می دهد تا به طور خودکار پورت های USB و درایوهای CD/DVD را هنگامی که کامپیوتر از شبکه محلی جدا می شود مسدود کند. بطور کلی این تابعامنیت اطلاعات ذخیره شده در لپ‌تاپ‌ها را افزایش می‌دهد که کارمندان می‌توانند آن‌ها را در سفرها یا برای کار در خانه از دفتر خارج کنند.

دومین فرصت جدید- امکان دسترسی موقت کارکنان شرکت به دستگاه های مسدود شده یا حتی گروه هایی از دستگاه ها از طریق تلفن. اصل عملکرد آن مبادله برنامه تولید شده است کدهای مخفیبین کاربر و کارمند مسئول امنیت اطلاعات. قابل ذکر است که مجوز استفاده نه تنها به صورت دائم، بلکه به صورت موقت (برای مدت معین یا تا پایان جلسه کاری) قابل صدور است. این ابزار را می توان یک آرامش جزئی در سیستم امنیتی در نظر گرفت، اما به شما امکان می دهد پاسخگویی بخش فناوری اطلاعات به درخواست های تجاری را افزایش دهید.

نوآوری مهم بعدی در نسخه های جدید Zlock کنترل استفاده از چاپگرها است. پس از راه‌اندازی، سیستم امنیتی تمام درخواست‌های کاربر به دستگاه‌های چاپ را در یک گزارش ویژه ثبت می‌کند. اما این همه ماجرا نیست. Zlock اکنون کپی سایه تمام اسناد چاپ شده را ارائه می دهد. ثبت نام می کنند فرمت PDFو یک کپی کامل از صفحات چاپ شده بدون در نظر گرفتن اینکه کدام فایل برای چاپگر ارسال شده است. این به جلوگیری از نشت اطلاعات محرمانه روی برگه‌های کاغذی کمک می‌کند زمانی که یک شخص داخلی داده‌ها را به منظور خارج کردن آنها از دفتر چاپ می‌کند. سیستم امنیتی همچنین شامل کپی سایه ای از اطلاعات ضبط شده بر روی دیسک های CD/DVD می باشد.

یک نوآوری مهم ظاهر مولفه سرور Zlock Enterprise Management Server بود. ذخیره سازی و توزیع متمرکز سیاست های امنیتی و سایر تنظیمات برنامه را فراهم می کند و به طور قابل توجهی مدیریت Zlock را در سیستم های اطلاعاتی بزرگ و توزیع شده تسهیل می کند. همچنین نمی توان به ظهور سیستم احراز هویت خود اشاره نکرد که در صورت لزوم به شما امکان می دهد استفاده از دامنه و کاربران محلی ویندوز را رها کنید.

علاوه بر این، در آخرین نسخه Zlock اکنون دارای چندین عملکرد کمتر قابل توجه، اما همچنین بسیار مهم است: نظارت بر یکپارچگی ماژول مشتری با توانایی مسدود کردن ورود کاربر به هنگام تشخیص دستکاری، قابلیت های گسترش یافته برای اجرای یک سیستم امنیتی، پشتیبانی از Oracle DBMS و غیره.

Zgate: محافظت در برابر نشت اینترنت

بنابراین، Zgate. همانطور که قبلاً گفتیم این محصول سیستمی برای محافظت در برابر نشت اطلاعات محرمانه از طریق اینترنت است. از نظر ساختاری، Zgate از سه بخش تشکیل شده است. اصلی ترین جزء سرور است که تمام عملیات پردازش داده را انجام می دهد. می توان آن را هم بر روی یک رایانه جداگانه و هم بر روی رایانه هایی که قبلاً در یک شرکت در حال اجرا هستند نصب کرد سیستم اطلاعاتگره ها - دروازه اینترنت، کنترل کننده دامنه، دروازه پست و غیره. این ماژول به نوبه خود از سه جزء تشکیل شده است: برای نظارت بر ترافیک SMTP، نظارت بر نامه های داخلی سرور Microsoft Exchange 2007/2010، و همچنین Zgate Web (مسئول کنترل است. ترافیک HTTP، FTP و IM).

بخش دوم سیستم امنیتی سرور ورود به سیستم است. برای جمع آوری اطلاعات رویداد از یک یا چند سرور Zgate، پردازش و ذخیره آن استفاده می شود. این ماژول به ویژه در پراکندگی بزرگ و جغرافیایی مفید است سیستم های شرکتی، زیرا دسترسی متمرکز به تمام داده ها را فراهم می کند. قسمت سوم کنسول مدیریت است. از یک کنسول استاندارد برای محصولات SecurIT استفاده می کند و بنابراین ما در مورد آن با جزئیات صحبت نمی کنیم. ما فقط توجه می کنیم که با استفاده از این ماژول می توانید سیستم را نه تنها به صورت محلی، بلکه از راه دور نیز کنترل کنید.

کنسول مدیریت

سیستم Zgate می تواند در چندین حالت کار کند. علاوه بر این، در دسترس بودن آنها به روش اجرای محصول بستگی دارد. دو حالت اول شامل کار به عنوان یک سرور پروکسی ایمیل است. برای پیاده سازی آنها، سیستم بین سرور پست الکترونیکی شرکت و "جهان بیرون" (یا بین سرور پست الکترونیکی و سرور ارسال کننده، در صورت جدا شدن آنها) نصب می شود. در این حالت، Zgate می‌تواند هم ترافیک را فیلتر کند (پیام‌های نقض‌کننده و مشکوک را به تأخیر بیندازد) و هم فقط آن را ثبت کند (همه پیام‌ها را ارسال کند، اما آنها را در بایگانی ذخیره کند).

روش پیاده سازی دوم شامل استفاده از سیستم حفاظتی در ارتباط با Microsoft Exchange 2007 یا 2010 است. برای انجام این کار، شما باید Zgate را مستقیماً بر روی شرکت نصب کنید. سرور پست الکترونیکی. همچنین دو حالت موجود است: فیلتر کردن و ورود به سیستم. علاوه بر این، گزینه اجرایی دیگری نیز وجود دارد. ما در مورد ثبت پیام ها در حالت ترافیک آینه ای صحبت می کنیم. به طور طبیعی، برای استفاده از آن، لازم است اطمینان حاصل شود که رایانه ای که Zgate روی آن نصب شده است، همان ترافیک آینه ای را دریافت می کند (معمولاً این کار با استفاده از تجهیزات شبکه انجام می شود).


انتخاب حالت عملیاتی Zgate

مؤلفه وب Zgate شایسته یک داستان جداگانه است. مستقیماً روی دروازه اینترنتی شرکت نصب می شود. در عین حال، این زیرسیستم توانایی نظارت بر ترافیک HTTP، FTP و IM را به دست می آورد، یعنی پردازش آن به منظور شناسایی تلاش برای ارسال اطلاعات محرمانه از طریق واسط های ایمیل وب و ICQ، انتشار آن در انجمن ها، سرورهای FTP و شبکه های اجتماعی. شبکه ها و غیره. به هر حال، در مورد ICQ. عملکرد مسدود کردن پیام‌رسان‌های فوری در بسیاری از محصولات مشابه موجود است. با این حال، هیچ "ICQ" در آنها وجود ندارد. صرفاً به این دلیل که در کشورهای روسی زبان است که بیشترین شیوع را دارد.

اصل عملکرد کامپوننت وب Zgate بسیار ساده است. هر بار که اطلاعات به هر یک از سرویس های کنترل شده ارسال می شود، سیستم پیام خاصی تولید می کند. این شامل خود اطلاعات و برخی از داده های خدمات است. به سرور اصلی Zgate ارسال می شود و طبق قوانین مشخص شده پردازش می شود. طبیعتا ارسال اطلاعات در خود سرویس مسدود نمی شود. یعنی Zgate Web فقط در حالت Logging کار می کند. با کمک آن، نمی توانید از نشت داده های جدا شده جلوگیری کنید، اما می توانید به سرعت آنها را شناسایی کرده و فعالیت های یک مهاجم داوطلب یا ناخواسته را متوقف کنید.


راه اندازی کامپوننت وب Zgate

نحوه پردازش اطلاعات در Zgate و روش فیلتر کردن توسط خط مشی تعیین می شود که توسط افسر امنیتی یا سایر کارمندان مسئول ایجاد می شود. این یک سری شرایط را نشان می دهد که هر کدام مربوط به یک عمل خاص است. همه پیام های دریافتی به صورت متوالی یکی پس از دیگری از طریق آنها "اجرا" می شوند. و اگر هر یک از شرایط برآورده شود، اقدام مرتبط با آن راه اندازی می شود.


سیستم فیلتراسیون

در کل، سیستم 8 نوع شرایط را فراهم می کند، همانطور که می گویند، "برای همه موارد". اولین مورد از آنها نوع فایل پیوست است. با کمک آن می توانید تلاش برای ارسال اشیاء با فرمت خاص را شناسایی کنید. شایان ذکر است که تجزیه و تحلیل نه با پسوند، بلکه توسط ساختار داخلی فایل انجام می شود و می توانید هر دو نوع خاص از اشیاء و گروه های آنها (به عنوان مثال، تمام بایگانی ها، فیلم ها و غیره) را مشخص کنید. نوع دوم شرایط تأیید توسط یک برنامه خارجی است. به عنوان یک برنامه کاربردی، می تواند به عنوان یک برنامه معمولی عمل کند که از آن راه اندازی شده است خط فرمانو فیلمنامه


شرایط در سیستم فیلتراسیون

اما شرط بعدی ارزش دارد که با جزئیات بیشتری در مورد آن صحبت کنیم. ما در مورد تحلیل محتوای اطلاعات ارسالی صحبت می کنیم. اول از همه، لازم است به "همه چیزخواری" Zgate توجه شود. واقعیت این است که برنامه تعداد زیادی فرمت های مختلف را "درک" می کند. بنابراین، می تواند نه تنها متن ساده، بلکه تقریباً هر پیوست را نیز تجزیه و تحلیل کند. یکی دیگر از ویژگی های تحلیل محتوا، قابلیت های فوق العاده آن است. این می تواند شامل یک جستجوی ساده برای یک رخداد در متن یک پیام یا هر زمینه دیگری از یک کلمه خاص، یا یک تجزیه و تحلیل کامل، از جمله در نظر گرفتن اشکال دستوری کلمه، ریشه و آوانویسی باشد. اما این همه ماجرا نیست. سیستم تجزیه و تحلیل الگوها و عبارات منظم شایسته ذکر ویژه است. با کمک آن می توانید به راحتی وجود داده ها را در قالب خاصی در پیام ها تشخیص دهید، به عنوان مثال، سری و شماره گذرنامه، شماره تلفن، شماره قرارداد، شماره حساب بانکی و غیره. حفاظت از داده های شخصی پردازش شده توسط شرکت


الگوهایی برای شناسایی اطلاعات محرمانه مختلف

نوع چهارم شرایط، تجزیه و تحلیل آدرس های ذکر شده در نامه است. یعنی جستجو در میان آنها برای رشته های خاصی. پنجم - تجزیه و تحلیل فایل های رمزگذاری شده. هنگام اجرا، ویژگی های پیام و/یا اشیاء تودرتو بررسی می شوند. نوع ششم شرایط بررسی پارامترهای مختلف حروف است. هفتم تحلیل فرهنگ لغت است. در طی این فرآیند، سیستم وجود کلمات را از دیکشنری های از پیش ساخته شده در پیام تشخیص می دهد. و بالاخره آخرین نوع هشتم شرط مرکب است. این دو یا چند شرط دیگر را نشان می دهد که توسط عملگرهای منطقی ترکیب شده اند.

ضمناً در مورد لغت نامه هایی که در شرح شرایط ذکر کردیم، باید جداگانه بگوییم. آنها گروهی از کلمات هستند که توسط یک مشخصه ترکیب شده اند و در روش های مختلف فیلتر استفاده می شوند. منطقی ترین کار ایجاد فرهنگ لغت است که به احتمال زیاد به شما امکان می دهد یک پیام را در یک دسته یا دسته دیگر طبقه بندی کنید. محتویات آنها را می توان به صورت دستی وارد کرد یا از موارد موجود وارد کرد فایل های متنی. گزینه دیگری برای تولید فرهنگ لغت وجود دارد - خودکار. هنگام استفاده از آن، مدیر به سادگی باید پوشه ای را که حاوی اسناد مربوطه است را مشخص کند. خود برنامه آنها را تجزیه و تحلیل می کند، کلمات لازم را انتخاب می کند و ویژگی های وزن آنها را تعیین می کند. برای گردآوری لغت نامه ها با کیفیت بالا، لازم است نه تنها فایل های محرمانه، بلکه اشیایی که حاوی اطلاعات حساس نیستند نیز مشخص شوند. به طور کلی، فرآیند تولید خودکار بیشتر شبیه به آموزش آنتی اسپم در تبلیغات و نامه های معمولی است. و این تعجب آور نیست، زیرا هر دو کشور از فناوری های مشابهی استفاده می کنند.


نمونه ای از فرهنگ لغت در مورد یک موضوع مالی

وقتی صحبت از فرهنگ لغت شد، نمی توان از یکی دیگر از فناوری تشخیص داده های محرمانه که در Zgate پیاده سازی شده است غافل شد. ما در مورد اثر انگشت دیجیتال صحبت می کنیم. اصل این روشبه شرح زیر است. مدیر می تواند به پوشه های سیستم که حاوی داده های محرمانه هستند نشان دهد. این برنامه تمام اسناد موجود در آنها را تجزیه و تحلیل می کند و "اثر انگشت دیجیتال" را ایجاد می کند - مجموعه ای از داده ها که به شما امکان می دهد تلاشی را برای انتقال نه تنها کل محتویات فایل، بلکه بخش های جداگانه آن تعیین کنید. لطفاً توجه داشته باشید که سیستم به طور خودکار وضعیت پوشه های مشخص شده در آن را نظارت می کند و به طور مستقل برای همه اشیایی که دوباره در آنها ظاهر می شوند "اثر انگشت" ایجاد می کند.


ایجاد یک دسته با اثر انگشت دیجیتال فایل ها

خوب، اکنون تنها چیزی که باقی می ماند این است که اقدامات انجام شده در سیستم حفاظتی مورد نظر را مشخص کنیم. در مجموع، در حال حاضر 14 مورد از آنها در Zgate فروخته شده است. با این حال، بیشتر آن اقداماتی را که با پیام انجام می شود تعیین می کند. این موارد به ویژه شامل حذف بدون ارسال (یعنی در واقع جلوگیری از ارسال نامه)، قرار دادن آن در بایگانی، افزودن یا حذف پیوست‌ها، تغییر فیلدهای مختلف، درج متن و غیره است. شایان ذکر است قرار دادن نامه در قرنطینه. این اقدامبه شما امکان می دهد یک پیام را برای تأیید دستی توسط یک افسر امنیتی "به تعویق بیندازید" که در مورد سرنوشت بعدی آن تصمیم می گیرد. همچنین بسیار جالب عملی است که به شما امکان می دهد اتصال IM را مسدود کنید. می توان از آن برای مسدود کردن فوری کانالی که از طریق آن یک پیام حاوی اطلاعات محرمانه منتقل شده است استفاده کرد.

دو عمل تا حدودی از هم جدا هستند - پردازش با روش بیزی و پردازش با روش اثر انگشت. هر دوی آنها برای بررسی پیام ها طراحی شده اند تا ببینند آیا آنها حاوی اطلاعات حساس هستند یا خیر. فقط اولی از فرهنگ لغت و تجزیه و تحلیل آماری استفاده می کند و دومی از اثر انگشت دیجیتال استفاده می کند. این اقدامات می تواند زمانی انجام شود که یک شرط خاص برآورده شود، به عنوان مثال، اگر آدرس گیرنده در یک دامنه شرکتی نباشد. علاوه بر این، آنها (مانند سایرین) را می توان تنظیم کرد که بدون قید و شرط برای همه پیام های خروجی اعمال شوند. در این صورت، سیستم حروف را تجزیه و تحلیل می کند و آنها را به دسته های خاصی اختصاص می دهد (البته اگر این امکان وجود داشته باشد). اما برای این دسته ها می توانید با اجرای اقدامات خاصی شرایطی را ایجاد کنید.


اقدامات در سیستم Zgate

خوب، در پایان گفتگوی امروز ما در مورد Zgate، می توانیم آن را کمی خلاصه کنیم. این سیستم حفاظتی اساسا بر تحلیل محتوای پیام ها استوار است. این روش رایج ترین روش برای محافظت در برابر نشت اطلاعات محرمانه از طریق اینترنت است. به طور طبیعی، تجزیه و تحلیل محتوا یک درجه حفاظتی 100٪ ارائه نمی دهد و ماهیت نسبتاً احتمالی دارد. با این حال، استفاده از آن از اکثر موارد انتقال غیرمجاز داده های حساس جلوگیری می کند. آیا شرکت ها باید از آن استفاده کنند یا خیر؟ هرکسی باید برای خودش تصمیم بگیرد، هزینه های اجرا و مشکلات احتمالیدر صورت نشت اطلاعات شایان ذکر است که Zgate کار بسیار خوبی در گرفتن عبارات منظم انجام می دهد، که آن را به وسیله ای بسیار موثر برای محافظت از داده های شخصی پردازش شده توسط شرکت تبدیل می کند.

مطالعات اخیر امنیت اطلاعات، مانند بررسی سالانه CSI/FBI CrimeAndSecurityComputerCrimeAndSecurity، نشان داده است که زیان های مالی شرکت ها از بیشتر تهدیدات سال به سال در حال کاهش است. با این حال، خطرات متعددی وجود دارد که ضرر و زیان ناشی از آن در حال افزایش است. یکی از آنها سرقت عمدی اطلاعات محرمانه یا نقض قوانین رسیدگی به آن توسط کارکنانی است که دسترسی به داده های تجاری برای انجام وظایف رسمی آنها ضروری است. به آنها خودی می گویند.

در اکثریت قریب به اتفاق موارد، سرقت اطلاعات محرمانه با استفاده از رسانه های تلفن همراه انجام می شود: سی دی و دی وی دی، دستگاه های ZIP و مهمتر از همه، انواع درایوهای USB. این توزیع انبوه آنها بود که به شکوفایی درونگرایی در سراسر جهان منجر شد. رؤسای اکثر بانک ها به خوبی از خطرات، به عنوان مثال، یک پایگاه داده با داده های شخصی مشتریان خود یا به علاوه تراکنش های حساب های آنها به دست ساختارهای جنایی آگاه هستند. و سعی دارند با استفاده از روش های سازمانی که در اختیار دارند با سرقت احتمالی اطلاعات مبارزه کنند.

با این حال، روش های سازمانی در این مورد بی اثر هستند. امروز می توانید با استفاده از یک درایو فلش مینیاتوری انتقال اطلاعات بین رایانه ها را سازماندهی کنید. تلفن همراه، پخش کننده mp3، دوربین دیجیتال ... البته، می توانید سعی کنید همه این وسایل را از ورود به دفتر منع کنید، اما این اولاً بر روابط با کارمندان تأثیر منفی می گذارد و ثانیاً برقراری واقعاً غیرممکن خواهد بود. کنترل موثر بر مردم بسیار دشوار است - بانک نمی کند " صندوق پستی" و حتی غیرفعال کردن تمام دستگاه‌های رایانه‌ای که می‌توان از آنها برای نوشتن اطلاعات در رسانه‌های خارجی (دیسک‌های FDD و ZIP، درایوهای CD و DVD و غیره) و پورت‌های USB استفاده کرد، کمکی نخواهد کرد. از این گذشته ، اولی برای کار مورد نیاز است و دومی به تجهیزات جانبی مختلفی متصل است: چاپگرها ، اسکنرها و غیره. و هیچ کس نمی تواند مانع از خاموش کردن چاپگر برای یک دقیقه، قرار دادن فلش درایو در پورت رایگان و کپی کردن در آن شود. اطلاعات مهم. البته می توانید راه های اصلی برای محافظت از خود پیدا کنید. به عنوان مثال، یک بانک این روش را برای حل مشکل امتحان کرد: آنها محل اتصال درگاه USB و کابل را با رزین اپوکسی پر کردند و دومی را محکم به رایانه "بستند". اما خوشبختانه امروزه روش های کنترل مدرن، قابل اعتماد و انعطاف پذیرتری وجود دارد.

موثرترین وسیله برای به حداقل رساندن ریسک های مرتبط با خودی ها، ابزار ویژه است نرم افزار، که به صورت پویا تمام دستگاه ها و پورت های کامپیوتر را که می توان از آنها برای کپی اطلاعات استفاده کرد، کنترل می کند. اصل کار آنها به شرح زیر است. مجوزهای استفاده از پورت ها و دستگاه های مختلف برای هر گروه کاربری یا برای هر کاربر به صورت جداگانه تنظیم شده است. بزرگترین مزیت چنین نرم افزاری انعطاف پذیری است. می‌توانید محدودیت‌هایی را برای انواع خاصی از دستگاه‌ها، مدل‌های آنها و نمونه‌های جداگانه وارد کنید. این به شما اجازه می دهد تا سیاست های توزیع حقوق دسترسی بسیار پیچیده را پیاده سازی کنید.

برای مثال، ممکن است بخواهید به برخی از کارمندان اجازه دهید از چاپگرها یا اسکنرهای متصل به پورت USB استفاده کنند. با این حال، تمام دستگاه های دیگری که در این پورت قرار داده شده اند غیرقابل دسترس باقی می مانند. اگر بانک از سیستم احراز هویت کاربر بر اساس توکن ها استفاده می کند، در تنظیمات می توانید مدل کلید مورد استفاده را مشخص کنید. سپس کاربران مجاز خواهند بود فقط از دستگاه های خریداری شده توسط شرکت استفاده کنند و سایر دستگاه ها بی فایده خواهند بود.

بر اساس اصل عملکرد سیستم های حفاظتی که در بالا توضیح داده شد، می توانید متوجه شوید که هنگام انتخاب برنامه هایی که مسدود کردن پویا دستگاه های ضبط و پورت های رایانه را اجرا می کنند، چه نکاتی مهم است. اولا، همه کاره بودن است. سیستم حفاظتی باید کل محدوده پورت های احتمالی و دستگاه های ورودی/خروجی را پوشش دهد. در غیر این صورت، خطر سرقت اطلاعات تجاری به طور غیرقابل قبولی بالاست. ثانیاً، نرم‌افزار مورد نظر باید انعطاف‌پذیر باشد و به شما امکان می‌دهد با استفاده از مقدار زیادی اطلاعات مختلف در مورد دستگاه‌ها، قوانین ایجاد کنید: انواع آنها، تولیدکنندگان مدل، شماره‌های منحصربه‌فردی که هر نمونه دارد و غیره. و ثالثاً، سیستم حفاظت از خودی باید بتواند با سیستم اطلاعاتی بانک، به ویژه با ActiveDirectory یکپارچه شود. در غیر این صورت، مدیر یا افسر امنیتی باید دو پایگاه داده از کاربران و رایانه ها را حفظ کند که نه تنها ناراحت کننده است، بلکه خطر خطا را نیز افزایش می دهد.

حفاظت از اطلاعات از خودی ها با استفاده از نرم افزار

الکساندر آنتیپوف

امیدوارم که خود مقاله و به ویژه بحث آن به شناسایی تفاوت های ظریف مختلف استفاده از ابزارهای نرم افزاری کمک کند و به نقطه شروعی در ایجاد راه حلی برای مشکل توصیف شده برای متخصصان امنیت اطلاعات تبدیل شود.


نحنا

مدت‌هاست که بخش بازاریابی شرکت Infowatch تمام علاقه‌مندان - متخصصان فناوری اطلاعات و همچنین پیشرفته‌ترین مدیران فناوری اطلاعات را متقاعد می‌کند که بیشترین آسیب ناشی از نقض امنیت اطلاعات شرکت متوجه خودی‌ها - کارمندان فاش می‌شود. اسرار تجارت. هدف روشن است - ما باید تقاضا برای محصول در حال تولید ایجاد کنیم. و استدلال ها کاملا محکم و قانع کننده به نظر می رسند.

فرمول بندی مسئله

سیستمی برای محافظت از اطلاعات در برابر سرقت توسط پرسنل بر روی یک شبکه محلی بسازید اکتیو دایرکتوریویندوز 2000/2003. ایستگاه های کاری کاربر در زیر کنترل ویندوز XP. مدیریت و حسابداری سازمانی بر اساس محصولات 1C.
اطلاعات محرمانه به سه روش ذخیره می شود:
  1. DB 1C - دسترسی به شبکه از طریق RDP ( دسترسی به ترمینال);
  2. پوشه های مشترک در سرورهای فایل - دسترسی به شبکه.
  3. به صورت محلی در رایانه شخصی کارمند؛
کانال های نشت - اینترنت و رسانه های قابل جابجایی (درایوهای فلش، تلفن، پخش کننده و غیره). استفاده از اینترنت و رسانه های متحرک را نمی توان ممنوع کرد، زیرا برای انجام وظایف رسمی ضروری هستند.

آنچه در بازار است

من سیستم های مورد نظر را به سه دسته تقسیم کردم:
  1. سیستم‌های مبتنی بر تحلیل‌گر زمینه - Surf Control، MIME Sweeper، InfoWatch Traffic Monitor، Dozor Jet و غیره.
  2. سیستم های مبتنی بر قفل دستگاه استاتیک - DeviceLock، ZLock، InfoWatch Net Monitor.
  3. سیستم‌های مبتنی بر مسدود کردن دستگاه پویا - SecrecyKeeper، Strazh، Accord، SecretNet.

سیستم های مبتنی بر تحلیلگر زمینه

اصل عمل:
کلمات کلیدی در اطلاعات ارسال شده جستجو می شوند و بر اساس نتایج جستجو در مورد لزوم مسدود کردن انتقال تصمیم گیری می شود.

به نظر من، InfoWatch Traffic Monitor (www.infowatch.ru) حداکثر قابلیت ها را در بین محصولات ذکر شده دارد. اساس این موتور به خوبی اثبات شده Kaspersky Antispam است که به طور کامل ویژگی های زبان روسی را در نظر می گیرد. برخلاف سایر محصولات، InfoWatch Traffic Monitor هنگام تجزیه و تحلیل، نه تنها وجود ردیف های خاصی در داده های بررسی شده، بلکه وزن از پیش تعیین شده هر ردیف را نیز در نظر می گیرد. بنابراین، هنگام تصمیم گیری نهایی، نه تنها وقوع کلمات خاص در نظر گرفته می شود، بلکه ترکیباتی که در آنها رخ می دهد نیز در نظر گرفته می شود، که باعث افزایش انعطاف پذیری تحلیلگر می شود. ویژگی های باقی مانده برای این نوع محصول استاندارد هستند - تجزیه و تحلیل بایگانی ها، اسناد MS Office، امکان مسدود کردن انتقال فایل های با فرمت ناشناخته یا بایگانی های محافظت شده با رمز عبور.

معایب سیستم های در نظر گرفته شده بر اساس تحلیل زمینه:

  • فقط دو پروتکل نظارت می شود - HTTP و SMTP (برای InfoWatch Traffic Monitor و برای ترافیک HTTP فقط داده های ارسال شده با استفاده از درخواست های POST بررسی می شود که به شما امکان می دهد با استفاده از روش GET یک کانال نشت را سازماندهی کنید).
  • دستگاه های انتقال داده کنترل نمی شوند - فلاپی دیسک، سی دی، دی وی دی، درایو USB و غیره. (InfoWatch یک محصول برای این مورد دارد: InfoWatch Net Monitor).
  • برای دور زدن سیستم های ساخته شده بر اساس تجزیه و تحلیل محتوا، کافی است از ساده ترین رمزگذاری متن (به عنوان مثال: مخفی -> с1е1к1р1е1т) یا استگانوگرافی استفاده کنید.
  • مشکل زیر را نمی توان با روش تحلیل محتوا حل کرد - هیچ توضیح رسمی مناسبی به ذهنم نمی رسد، بنابراین فقط یک مثال می زنم: دو فایل اکسل وجود دارد - در اولی قیمت های خرده فروشی (اطلاعات عمومی) وجود دارد، در دوم - قیمت عمده فروشی برای یک مشتری خاص (اطلاعات خصوصی)، محتویات فایل ها فقط اعداد متفاوت است. این فایل ها را نمی توان با استفاده از تحلیل محتوا تشخیص داد.
نتیجه:
تحلیل زمینه فقط برای ایجاد آرشیو ترافیک و مقابله با نشت اطلاعات تصادفی مناسب است و مشکلی را حل نمی کند.

سیستم های مبتنی بر مسدود کردن دستگاه استاتیک

اصل عمل:
به کاربران حقوق دسترسی به دستگاه های کنترل شده، مشابه حقوق دسترسی به فایل ها، اختصاص داده شده است. در اصل، تقریباً همان اثر را می توان با استفاده از مکانیزم های استاندارد ویندوز به دست آورد.

Zlock (www.securit.ru) - این محصول نسبتاً اخیراً ظاهر شده است ، بنابراین دارای حداقل عملکرد است (من چیزهای ظریف را حساب نمی کنم) و به خصوص عملکرد خوبی ندارد ، به عنوان مثال ، کنسول مدیریت گاهی اوقات هنگام تلاش برای ذخیره خراب می شود تنظیمات.

DeviceLock (www.smartline.ru) محصول جالب تری است؛ مدت زیادی است که در بازار وجود داشته است، بنابراین بسیار پایدارتر کار می کند و عملکردهای متنوع تری دارد. به عنوان مثال، امکان کپی سایه اطلاعات ارسال شده را فراهم می کند، که می تواند به بررسی یک حادثه کمک کند، اما نه در جلوگیری از آن. علاوه بر این، چنین تحقیقاتی به احتمال زیاد زمانی انجام خواهد شد که نشت مشخص شود، یعنی. یک دوره زمانی قابل توجه پس از وقوع.

InfoWatch Net Monitor (www.infowatch.ru) متشکل از ماژول‌هایی است - DeviceMonitor (مشابه Zlock)، FileMonitor، OfficeMonitor، AdobeMonitor و PrintMonitor. DeviceMonitor یک آنالوگ از Zlock، عملکرد استاندارد، بدون کشمش است. FileMonitor - کنترل دسترسی به فایل ها. OfficeMonitor و AdobeMonitor به شما این امکان را می دهند که نحوه مدیریت فایل ها در برنامه های مربوطه خود را کنترل کنید. در حال حاضر ارائه یک برنامه کاربردی به جای اسباب بازی، برای FileMonitor، OfficeMonitor و AdobeMonitor بسیار دشوار است، اما در نسخه های آینده باید امکان تجزیه و تحلیل زمینه داده های پردازش شده وجود داشته باشد. شاید در آن صورت این ماژول ها پتانسیل خود را آشکار کنند. اگرچه شایان ذکر است که وظیفه تجزیه و تحلیل متنی عملیات فایل بی اهمیت نیست، به خصوص اگر پایه فیلتر محتوا همانند Traffic Monitor باشد، یعنی. شبکه.

به طور جداگانه، لازم است در مورد محافظت از عامل در برابر یک کاربر با حقوق مدیر محلی گفته شود.
ZLock و InfoWatch Net Monitor به سادگی چنین محافظتی ندارند. آن ها کاربر می تواند عامل را متوقف کند، داده ها را کپی کند و عامل را دوباره راه اندازی کند.

DeviceLock دارای چنین محافظتی است که یک مزیت قطعی است. این مبتنی بر رهگیری تماس های سیستمی برای کار با رجیستری است، سیستم فایلو مدیریت فرآیند مزیت دیگر این است که محافظت در حالت ایمن نیز کار می کند. اما یک نکته منفی نیز وجود دارد - برای غیرفعال کردن حفاظت، کافی است جدول توصیفگر سرویس را بازیابی کنید، که می تواند با دانلود یک درایور ساده انجام شود.

معایب سیستم های در نظر گرفته شده بر اساس مسدود کردن دستگاه استاتیک:

  • انتقال اطلاعات به شبکه کنترل نمی شود.
  • - نمی داند چگونه اطلاعات طبقه بندی شده را از اطلاعات غیر سری تشخیص دهد. بر این اصل کار می کند که یا همه چیز ممکن است یا هیچ چیز غیرممکن نیست.
  • حفاظت در برابر تخلیه عامل وجود ندارد یا به راحتی قابل دور زدن است.
نتیجه:
پیاده سازی چنین سیستم هایی توصیه نمی شود، زیرا آنها مشکل را حل نمی کنند.

سیستم های مبتنی بر قفل دستگاه پویا

اصل عمل:
دسترسی به کانال های انتقال بسته به سطح دسترسی کاربر و میزان محرمانه بودن اطلاعاتی که با آن کار می شود مسدود می شود. برای اجرای این اصل، این محصولات از مکانیزم کنترل دسترسی معتبر استفاده می کنند. این مکانیسم اغلب اتفاق نمی افتد، بنابراین من در مورد آن با جزئیات بیشتر صحبت خواهم کرد.

کنترل دسترسی معتبر (اجباری)، بر خلاف اختیاری (اجرا شده در سیستم امنیتی ویندوز NT و بالاتر)، این است که صاحب یک منبع (به عنوان مثال، یک فایل) نمی تواند الزامات دسترسی به این منبع را تضعیف کند، اما می تواند فقط آنها را در محدوده سطح خود تقویت کنید. فقط یک کاربر با اختیارات ویژه - یک افسر امنیت اطلاعات یا مدیر - می تواند الزامات را کاهش دهد.

هدف اصلی از توسعه محصولاتی مانند Guardian، Accord، SecretNet، DallasLock و برخی دیگر، امکان تایید سیستم های اطلاعاتی بود که این محصولات برای انطباق با الزامات کمیسیون فنی دولتی (اکنون FSTEC) در آن نصب خواهند شد. چنین گواهی برای سیستم های اطلاعاتی که داده های دولتی در آنها پردازش می شود اجباری است. رازی که عمدتاً تقاضا برای محصولات شرکت های دولتی را تضمین می کرد.

بنابراین مجموعه عملکردهای پیاده سازی شده در این محصولات بر اساس الزامات اسناد مربوطه تعیین شد. که به نوبه خود منجر به این واقعیت شد که بیشتر عملکردهای پیاده سازی شده در محصولات یا استاندارد را تکرار می کند عملکرد ویندوز(تمیز کردن اشیا پس از حذف، تمیز کردن RAM)، یا استفاده ضمنی از آن (کنترل دسترسی تبعیض آمیز). و توسعه دهندگان DallasLock با اجرای کنترل دسترسی اجباری برای سیستم خود از طریق مکانیسم کنترل اختیاری ویندوز، حتی فراتر رفتند.

استفاده عملی از چنین محصولاتی بسیار ناخوشایند است؛ به عنوان مثال، DallasLock برای نصب نیاز به پارتیشن بندی مجدد دارد. هارد دیسک، که باید با استفاده از نرم افزارهای شخص ثالث نیز انجام شود. اغلب، پس از صدور گواهینامه، این سیستم ها حذف یا غیرفعال می شوند.

SecrecyKeeper (www.secrecykeeper.com) محصول دیگری است که مکانیزم کنترل دسترسی معتبر را پیاده سازی می کند. به گفته توسعه دهندگان، SecrecyKeeper به طور خاص برای حل یک مشکل خاص - جلوگیری از سرقت اطلاعات در یک سازمان تجاری - توسعه یافته است. بنابراین، باز هم به گفته توسعه دهندگان، در طول توسعه توجه ویژه ای به سادگی و سهولت استفاده، هم برای مدیران سیستم و هم برای کاربران عادی شده است. این که چقدر موفقیت آمیز بود، قضاوت مصرف کننده است، یعنی. ما علاوه بر این، SecrecyKeeper تعدادی مکانیسم را پیاده سازی می کند که در سایر سیستم های ذکر شده وجود ندارد - به عنوان مثال، توانایی تنظیم سطح حریم خصوصی برای منابع با دسترسی از راه دور و مکانیزم حفاظت از عامل.
کنترل حرکت اطلاعات در SecrecyKeeper بر اساس سطح محرمانه اطلاعات، سطوح مجوز کاربر و سطح امنیت رایانه اجرا می‌شود که می‌تواند مقادیر عمومی، سری و فوق سری را بگیرد. سطح امنیت اطلاعات به شما امکان می دهد اطلاعات پردازش شده در سیستم را به سه دسته طبقه بندی کنید:

عمومی - اطلاعات مخفی نیست، هنگام کار با آن هیچ محدودیتی وجود ندارد.

مخفی - اطلاعات مخفی، هنگام کار با آن، بسته به سطوح مجوز کاربر، محدودیت هایی اعمال می شود.

فوق سری - اطلاعات فوق محرمانه؛ هنگام کار با آن، بسته به سطوح مجوز کاربر، محدودیت هایی اعمال می شود.

سطح امنیت اطلاعات را می توان برای یک فایل تنظیم کرد، درایو شبکهو پورت رایانه ای که برخی از سرویس ها در آن اجرا می شوند.

سطوح پاکسازی کاربر به شما این امکان را می دهد که تعیین کنید کاربر چگونه می تواند اطلاعات را بر اساس سطح امنیتی خود جابجا کند. سطوح مجوز کاربر زیر وجود دارد:

سطح مجوز کاربر - حداکثر سطح امنیتی اطلاعاتی که یک کارمند می تواند به آن دسترسی داشته باشد را محدود می کند.

سطح دسترسی به شبکه - حداکثر سطح امنیتی اطلاعاتی را که یک کارمند می تواند از طریق شبکه منتقل کند، محدود می کند.

سطح دسترسی به رسانه های قابل جابجایی - حداکثر سطح امنیتی اطلاعاتی را که کارمند می تواند در رسانه خارجی کپی کند، محدود می کند.

سطح دسترسی چاپگر - حداکثر سطح امنیتی اطلاعاتی که یک کارمند می تواند چاپ کند را محدود می کند.

سطح امنیت رایانه - حداکثر سطح امنیتی اطلاعات قابل ذخیره و پردازش در رایانه را تعیین می کند.

دسترسی به اطلاعات با سطح امنیت عمومی می تواند توسط یک کارمند با هر مجوز امنیتی ارائه شود. چنین اطلاعاتی را می توان از طریق شبکه منتقل کرد و بدون محدودیت در رسانه های خارجی کپی کرد. سابقه کار با اطلاعات طبقه بندی شده به عنوان عمومی ردیابی نمی شود.

دسترسی به اطلاعات با سطح امنیتی محرمانه فقط توسط کارمندانی که سطح ترخیص آنها برابر با سری یا بالاتر است می تواند بدست آید. فقط کارمندانی که سطح دسترسی به شبکه آنها مخفی یا بالاتر است می توانند چنین اطلاعاتی را به شبکه منتقل کنند. فقط کارمندانی که سطح دسترسی آنها به رسانه های قابل جابجایی مخفی یا بالاتر است می توانند چنین اطلاعاتی را در رسانه های خارجی کپی کنند. فقط کارمندانی که سطح دسترسی چاپگر آنها مخفی یا بالاتر است می توانند چنین اطلاعاتی را چاپ کنند. تاریخچه کار با اطلاعات با سطح مخفی، یعنی. تلاش برای دسترسی به آن، تلاش برای انتقال آن از طریق شبکه، تلاش برای کپی کردن آن در رسانه خارجی یا چاپ آن ثبت می شود.

دسترسی به اطلاعات با سطح محرمانه محرمانه فقط توسط کارمندانی امکان پذیر است که سطح مجوز آنها برابر با فوق سری باشد. فقط کارمندانی که سطح دسترسی آنها به شبکه برابر با محرمانه است می توانند چنین اطلاعاتی را به شبکه منتقل کنند. فقط کارمندانی که سطح دسترسی آنها به رسانه های قابل جابجایی برابر با محرمانه است می توانند چنین اطلاعاتی را در رسانه های خارجی کپی کنند. فقط کارمندانی که سطح دسترسی پرینترشان برابر با محرمانه است می توانند چنین اطلاعاتی را چاپ کنند. تاریخچه کار با اطلاعات با سطح فوق سری، یعنی. تلاش برای دسترسی به آن، تلاش برای انتقال آن از طریق شبکه، تلاش برای کپی کردن آن در رسانه خارجی یا چاپ آن ثبت می شود.

به عنوان مثال: اجازه دهید یک کارمند یک سطح مجوز برابر با محرمانه، یک سطح دسترسی به شبکه برابر با مخفی، یک سطح دسترسی به رسانه قابل جابجایی برابر با عمومی و یک سطح دسترسی چاپگر برابر با فوق سری داشته باشد. در این حالت، یک کارمند می تواند به یک سند با هر سطح از محرمانه دسترسی پیدا کند، کارمند می تواند اطلاعات را با سطح محرمانه ای که بالاتر از مخفی نیست به شبکه منتقل کند، مثلاً روی فلاپی دیسک کپی کند، کارمند فقط می تواند اطلاعات را با سطح رازداری عمومی، و کارمند می تواند هر اطلاعاتی را در چاپگر چاپ کند.

برای مدیریت انتشار اطلاعات در سرتاسر سازمان، به هر رایانه ای که به یک کارمند اختصاص داده می شود، یک سطح امنیت رایانه اختصاص داده می شود. این سطح حداکثر سطح امنیتی اطلاعاتی را که هر کارمندی می تواند از یک رایانه مشخص به آن دسترسی داشته باشد، صرف نظر از سطوح مجوز کارمند، محدود می کند. که اگر یک کارمند دارای سطح مجوز برابر با کاملا محرمانه باشد و رایانه ای که در حال حاضر روی آن کار می کند دارای سطح امنیتی برابر با عمومی باشد، در این صورت کارمند نمی تواند به اطلاعاتی با سطح امنیتی بالاتر از عمومی از این ایستگاه کاری دسترسی داشته باشد.

با تئوری، بیایید سعی کنیم از SecrecyKeeper برای حل مشکل استفاده کنیم. اطلاعات پردازش شده در سیستم اطلاعاتی شرکت انتزاعی مورد بررسی (به بیان مشکل مراجعه کنید) را می توان با استفاده از جدول زیر به روشی ساده توصیف کرد:

کارکنان شرکت و حوزه مورد علاقه شغلی آنها با استفاده از جدول دوم شرح داده شده است:

اجازه دهید سرورهای زیر در شرکت استفاده شوند:
سرور 1C
سرور فایل با توپ:
SecretDocs - حاوی اسناد مخفی است
PublicDocs - حاوی اسناد در دسترس عموم است

لطفاً توجه داشته باشید که از قابلیت های استاندارد برای سازماندهی کنترل دسترسی استاندارد استفاده می شود سیستم عاملو نرم افزار کاربردی، یعنی به منظور جلوگیری از دسترسی مدیر به اطلاعات شخصی کارکنان، نیازی به معرفی سیستم های حفاظتی اضافی نیست. ما به طور خاص در مورد مقابله با انتشار اطلاعاتی صحبت می کنیم که کارمند به آنها دسترسی قانونی دارد.

بیایید به پیکربندی واقعی SecrecyKeeper برویم.
من روند نصب کنسول مدیریت و عوامل را شرح نمی دهم ، همه چیز تا حد امکان ساده است - به مستندات برنامه مراجعه کنید.
راه اندازی سیستم شامل انجام مراحل زیر است.

مرحله 1. عوامل را روی همه رایانه‌های شخصی به جز سرورها نصب کنید - این کار بلافاصله از دریافت اطلاعاتی که سطح مخفی کاری بالاتر از عمومی تنظیم شده است جلوگیری می‌کند.

مرحله 2. طبق جدول زیر سطوح ترخیص را به کارکنان اختصاص دهید:

سطح مجوز کاربر سطح دسترسی به شبکه سطح دسترسی به رسانه های قابل جابجایی سطح دسترسی چاپگر
کارگردان راز راز راز راز
مدیر راز عمومی عمومی راز
افسر پرسنل راز عمومی عمومی راز
حسابدار راز عمومی راز راز
دبیر، منشی عمومی عمومی عمومی عمومی

مرحله 3. سطوح امنیت رایانه را به صورت زیر تعیین کنید:

مرحله 4. پیکربندی سطوح امنیت اطلاعات در سرورها:

مرحله 5. سطوح امنیت اطلاعات را در رایانه های شخصی کارمندان برای فایل های محلی پیکربندی کنید. این زمان‌برترین بخش است، زیرا باید به وضوح درک کرد که کدام کارمندان با چه اطلاعاتی کار می‌کنند و این اطلاعات چقدر حیاتی است. اگر سازمان شما تحت یک ممیزی امنیت اطلاعات قرار گرفته باشد، نتایج آن می تواند کار را بسیار آسان تر کند.

مرحله 6. در صورت لزوم، SecrecyKeeper به شما امکان می دهد لیست برنامه هایی را که کاربران مجاز به اجرای آنها هستند محدود کنید. این مکانیزم مستقل از سیاست محدودیت نرم‌افزار ویندوز اجرا می‌شود و می‌توان از آن در مواردی استفاده کرد که مثلاً نیاز به اعمال محدودیت‌هایی برای کاربران دارای حقوق مدیر باشد.

بنابراین، با کمک SecrecyKeeper، می توان خطر انتشار غیرمجاز اطلاعات طبقه بندی شده - هم نشت و هم سرقت را به میزان قابل توجهی کاهش داد.

ایرادات:
- مشکل با راه اندازی اولیهسطوح حریم خصوصی برای فایل های محلی؛

نتیجه گیری کلی:
حداکثر فرصت‌ها برای محافظت از اطلاعات در برابر افراد داخلی توسط نرم‌افزاری ارائه می‌شود که بسته به میزان محرمانه بودن اطلاعاتی که با آن کار می‌شود و سطح مجوز امنیتی کارمند، توانایی تنظیم پویا دسترسی به کانال‌های انتقال اطلاعات را دارد.

شرکت یک سرویس منحصر به فرد برای خریداران، توسعه دهندگان، فروشندگان و شرکای وابسته است. علاوه بر این، این یکی از بهترین فروشگاه های آنلایننرم‌افزاری در روسیه، اوکراین، قزاقستان که طیف وسیعی از روش‌های پرداخت، پردازش سفارش سریع (اغلب فوری)، ردیابی فرآیند سفارش را در بخش شخصی به مشتریان ارائه می‌دهد.

اخیراً مشکل حفاظت در برابر تهدیدات داخلی به چالشی واقعی برای دنیای قابل درک و تثبیت شده امنیت اطلاعات شرکت ها تبدیل شده است. مطبوعات درباره خودی ها صحبت می کنند، محققان و تحلیلگران درباره ضررها و مشکلات احتمالی هشدار می دهند و فیدهای خبری مملو از گزارش هایی در مورد حادثه دیگری است که منجر به لو رفتن صدها هزار پرونده مشتری به دلیل خطا یا بی احتیاطی یک کارمند شد. بیایید سعی کنیم بفهمیم که آیا این مشکل بسیار جدی است یا خیر، آیا باید با آن برخورد کرد و چه ابزارها و فناوری های موجود برای حل آن وجود دارد.

اول از همه، شایان ذکر است که تهدیدی برای محرمانه بودن داده ها در صورتی داخلی است که منبع آن کارمند شرکت یا شخص دیگری باشد که به این داده ها دسترسی قانونی دارد. بنابراین، هنگامی که از تهدیدهای خودی صحبت می کنیم، در مورد هر گونه تهدیدی صحبت می کنیم اقدامات ممکنکاربران قانونی، عمدی یا تصادفی، که می تواند منجر به نشت اطلاعات محرمانه در خارج از شبکه شرکتی شرکت شود. برای تکمیل تصویر، شایان ذکر است که چنین کاربرانی اغلب خودی نامیده می شوند، اگرچه این اصطلاح معانی دیگری دارد.

ارتباط مشکل تهدیدات داخلی با نتایج مطالعات اخیر تأیید شده است. به طور خاص، در اکتبر 2008، نتایج یک مطالعه مشترک توسط Compuware و Ponemon Institue اعلام شد که بر اساس آن افراد داخلی شایع‌ترین عامل نشت داده‌ها (75 درصد از حوادث در ایالات متحده) هستند، در حالی که هکرها تنها در رتبه پنجم قرار داشتند. محل. در مطالعه سالانه 2008 توسط مؤسسه امنیت رایانه (CSI)، اعداد برای تعداد حوادث تهدید داخلی به شرح زیر است:

تعداد حوادث به عنوان درصد به معنای تعداد کل پاسخ دهندگان است این نوعحادثه در درصد مشخصی از سازمان ها رخ داده است. همانطور که از این ارقام مشاهده می شود، تقریباً هر سازمانی خطر ابتلا به تهدیدات داخلی را دارد. در مقایسه، بر اساس همین گزارش، ویروس ها 50 درصد از سازمان های مورد بررسی را تحت تأثیر قرار داده اند و هکرها نیز نفوذ کرده اند. شبکه محلیفقط 13 درصد با آن مواجه شدند.

بدین ترتیب، تهدیدات داخلی- این واقعیت امروز است و نه افسانه ای که توسط تحلیلگران و فروشندگان اختراع شده باشد. بنابراین کسانی که به روش قدیمی معتقدند امنیت اطلاعات شرکت ها یک فایروال و آنتی ویروس است، باید در اسرع وقت نگاهی گسترده تر به این مشکل بیندازند.

قانون «درباره داده‌های شخصی» نیز درجه تنش‌ها را افزایش می‌دهد که بر اساس آن سازمان‌ها و مقامات باید نه تنها به مدیریت خود، بلکه به مشتریان خود و قانون برای مدیریت نادرست داده‌های شخصی پاسخ دهند.

مدل مزاحم

به طور سنتی، هنگام بررسی تهدیدها و دفاع در برابر آنها، باید با تحلیل مدل دشمن شروع کرد. همانطور که قبلا ذکر شد، ما در مورد افراد داخلی - کارمندان سازمان و سایر کاربرانی که دسترسی قانونی به اطلاعات محرمانه دارند صحبت خواهیم کرد. به عنوان یک قاعده، با این کلمات، همه فکر می کنند یک کارمند اداری که روی رایانه کار می کند به عنوان بخشی از یک شبکه شرکتی است که در حین کار دفتر سازمان را ترک نمی کند. با این حال، چنین نمایشی ناقص است. گسترش آن به گونه ای ضروری است که سایر افراد با دسترسی قانونی به اطلاعات که می توانند دفتر سازمان را ترک کنند، بسط داده شود. اینها می‌توانند مسافران تجاری با لپ‌تاپ، یا کسانی که هم در دفتر کار و هم در خانه کار می‌کنند، پیک‌هایی که رسانه‌ها را با اطلاعات حمل می‌کنند، عمدتاً نوارهای مغناطیسی با یک نسخه پشتیبان و غیره.

چنین توجه گسترده‌ای به مدل مزاحم، اولاً با مفهوم مطابقت دارد، زیرا تهدیدات ناشی از این متجاوزان به تهدیدات داخلی نیز مربوط می‌شود، و ثانیاً، به ما امکان می‌دهد تا با در نظر گرفتن همه موارد، مشکل را به طور گسترده‌تر تجزیه و تحلیل کنیم. گزینه های ممکنمبارزه با این تهدیدات

انواع اصلی متخلفان داخلی زیر را می توان تشخیص داد:

  • کارمند بی وفا/ کینه توزمتخلفان متعلق به این دسته ممکن است به طور هدفمند عمل کنند، مثلاً با تغییر شغل و تمایل به گرفتن اطلاعات محرمانه به منظور جلب علاقه یک کارفرمای جدید، یا از نظر احساسی، اگر خود را آزرده خاطر بدانند، در نتیجه بخواهند انتقام بگیرند. آنها خطرناک هستند زیرا بیشترین انگیزه را دارند که به سازمانی که در حال حاضر در آن کار می کنند آسیب وارد کنند. به عنوان یک قاعده، تعداد حوادث مربوط به کارمندان غیر وفادار کم است، اما در شرایط نامطلوب اقتصادی و کاهش گسترده کارکنان می تواند افزایش یابد.
  • یک کارمند نفوذی، رشوه گرفته یا دستکاری شده.در این مورد ما در مورددر مورد هرگونه اقدام هدفمند، معمولاً با هدف جاسوسی صنعتی در شرایط رقابت شدید. برای جمع آوری اطلاعات محرمانه، یا شخص خود را برای اهداف خاصی به یک شرکت رقیب معرفی می کنند، یا کارمندی کمتر وفادار پیدا می کنند و به او رشوه می دهند، یا یک کارمند وفادار اما بی دقت را مجبور می کنند که اطلاعات محرمانه را از طریق مهندسی اجتماعی تحویل دهد. تعداد حوادث از این نوع معمولاً حتی کمتر از موارد قبلی است، به این دلیل که در بیشتر بخش های اقتصاد در فدراسیون روسیه، رقابت خیلی توسعه نیافته است یا به روش های دیگر اجرا می شود.
  • کارمند سهل انگار این نوعمتخلف کارمندی وفادار اما بی توجه یا سهل انگار است که ممکن است خط مشی را نقض کند امنیت داخلیشرکت به دلیل جهل یا فراموشی او. چنین کارمندی ممکن است اشتباهاً یک ایمیل با یک فایل حساس ضمیمه شده به شخص اشتباهی ارسال کند یا فلش مموری حاوی اطلاعات محرمانه را برای کار در آخر هفته به خانه ببرد و آن را گم کند. این نوع همچنین شامل کارکنانی می شود که لپ تاپ ها و نوارهای مغناطیسی را گم می کنند. به گفته بسیاری از کارشناسان، این نوع از اینسایدر مسئول اکثر نشت اطلاعات محرمانه است.

بنابراین، انگیزه ها، و در نتیجه، مسیر عمل متخلفان بالقوه ممکن است به طور قابل توجهی متفاوت باشد. بسته به این، باید به وظیفه تضمین امنیت داخلی سازمان نزدیک شوید.

فناوری هایی برای محافظت در برابر تهدیدات داخلی

با وجود جوان بودن نسبی این بخش از بازار، مشتریان در حال حاضر بسته به اهداف و توانایی های مالی خود، گزینه های زیادی برای انتخاب دارند. شایان ذکر است که در حال حاضر عملاً هیچ فروشنده ای در بازار وجود ندارد که منحصراً در تهدیدات داخلی تخصص داشته باشد. این وضعیت نه تنها به دلیل ناپختگی این بخش، بلکه به دلیل سیاست تهاجمی و گاه آشفته ادغام ها و تملک های انجام شده توسط تولیدکنندگان محصولات امنیتی سنتی و سایر فروشندگان علاقه مند به حضور در این بخش به وجود آمده است. شایان ذکر است که شرکت RSA Data Security که در سال 2006 به بخش EMC تبدیل شد، خرید استارت آپ Decru توسط NetApp که سیستم های حفاظت از ذخیره سازی سرور را توسعه داده بود، یادآوری کرد. نسخه های پشتیباندر سال 2005، خرید سیمانتک از فروشنده DLP Vontu در سال 2007 و غیره.

علیرغم این واقعیت که تعداد زیادی از چنین معاملاتی چشم انداز خوبی را برای توسعه این بخش نشان می دهد، اما همیشه از کیفیت محصولاتی که زیر بال هستند سود نمی برند. شرکت های بزرگ. محصولات آهسته تر شروع به توسعه می کنند و توسعه دهندگان در مقایسه با یک شرکت بسیار تخصصی به سرعت به تقاضاهای بازار پاسخ نمی دهند. این بیماری شناخته شده شرکت های بزرگ است که همانطور که می دانیم تحرک و کارایی را به برادران کوچکتر خود از دست می دهند. از سوی دیگر کیفیت خدمات و در دسترس بودن محصولات برای مشتریان در نقاط مختلف دنیا به دلیل توسعه خدمات و شبکه فروش آنها رو به بهبود است.

بیایید فناوری های اصلی که در حال حاضر برای خنثی کردن تهدیدات داخلی استفاده می شود، مزایا و معایب آنها را در نظر بگیریم.

کنترل اسناد

فناوری کنترل اسناد در محصولات مدیریت حقوق مدرن، مانند ویندوز مایکروسافتخدمات مدیریت حقوق، Adobe LiveCycle Rights Management ES و Oracle Information Rights Management.

اصل عملیاتی این سیستم ها تخصیص قوانین استفاده برای هر سند و کنترل این حقوق در برنامه هایی است که با اسنادی از این نوع کار می کنند. به عنوان مثال، می توانید یک سند ایجاد کنید مایکروسافت وردو قوانینی را برای آن تنظیم کنید: چه کسی می تواند آن را مشاهده کند، چه کسی می تواند تغییرات را ویرایش و ذخیره کند، و چه کسی می تواند چاپ کند. این قوانین در اصطلاح ویندوز RMS مجوز نامیده می شوند و همراه با فایل ذخیره می شوند. محتویات فایل برای جلوگیری از مشاهده آن توسط کاربران غیرمجاز رمزگذاری شده است.

حال اگر هر کاربری بخواهد چنین فایل محافظت شده ای را باز کند، برنامه با یک سرور RMS ویژه تماس می گیرد، مجوزهای کاربر را تایید می کند و در صورت اجازه دسترسی به این کاربر، سرور کلید رمزگشایی این فایل و اطلاعات را به برنامه ارسال می کند. در مورد حقوق این کاربر بر اساس این اطلاعات، برنامه فقط آن دسته از توابعی را در دسترس کاربر قرار می دهد که او حقوقی برای آنها دارد. به عنوان مثال، اگر کاربر اجازه چاپ یک فایل را نداشته باشد، قابلیت چاپ برنامه در دسترس نخواهد بود.

معلوم می شود که اطلاعات موجود در چنین فایلی ایمن است حتی اگر فایل خارج از شبکه شرکتی باشد - رمزگذاری شده است. عملکرد RMS قبلاً در برنامه ها تعبیه شده است مایکروسافت آفیس 2003 نسخه حرفه ای. برای جاسازی عملکرد RMS در برنامه های دیگر توسعه دهندگان، مایکروسافت یک SDK ویژه ارائه می دهد.

سیستم کنترل اسناد Adobe به روشی مشابه ساخته شده است، اما بر اسناد در قالب PDF متمرکز شده است. Oracle IRM به عنوان یک عامل بر روی رایانه های مشتری نصب می شود و در زمان اجرا با برنامه ها ادغام می شود.

کنترل اسناد بخش مهمی از مفهوم کلی حفاظت از تهدیدات داخلی است، اما محدودیت‌های ذاتی این فناوری باید در نظر گرفته شود. اولاً، منحصراً برای نظارت بر پرونده های اسناد طراحی شده است. اگر در مورد فایل ها یا پایگاه های داده بدون ساختار صحبت می کنیم، این فناوری کار نمی کند. ثانیاً، اگر مهاجم با استفاده از SDK این سیستم، یک برنامه ساده ایجاد کند که با سرور RMS ارتباط برقرار کند، یک کلید رمزگذاری را از آنجا دریافت کند و سند را به صورت متن شفاف ذخیره کند و این برنامه را از طرف کاربری که دارای حداقل سطح دسترسی به سند، سپس این سیستمدور زده خواهد شد. علاوه بر این، در صورتی که سازمان قبلاً اسناد زیادی ایجاد کرده باشد، هنگام اجرای یک سیستم کنترل اسناد، باید مشکلات را در نظر گرفت - وظیفه طبقه بندی اولیه اسناد و تخصیص حقوق استفاده از آنها ممکن است به تلاش قابل توجهی نیاز داشته باشد.

این بدان معنا نیست که سیستم های کنترل اسناد وظیفه را انجام نمی دهند، فقط باید به یاد داشته باشیم که امنیت اطلاعات یک مشکل پیچیده است و به عنوان یک قاعده، حل آن تنها با کمک یک ابزار ممکن نیست.

محافظت در برابر نشت

اصطلاح پیشگیری از از دست دادن داده ها (DLP) نسبتاً اخیراً در واژگان متخصصان امنیت اطلاعات ظاهر شده است و در حال حاضر بدون اغراق به داغ ترین موضوع در سال های اخیر تبدیل شده است. به عنوان یک قاعده، مخفف DLP به سیستم هایی اطلاق می شود که کانال های نشت احتمالی را نظارت می کنند و در صورت تلاش برای ارسال هرگونه اطلاعات محرمانه از طریق این کانال ها، آنها را مسدود می کنند. علاوه بر این، در عملکرد سیستم های مشابهاغلب شامل توانایی بایگانی اطلاعاتی است که از طریق آنها برای ممیزی های بعدی، بررسی رویدادها و تجزیه و تحلیل گذشته نگر خطرات احتمالی وجود دارد.

دو نوع سیستم DLP وجود دارد: DLP شبکه و DLP میزبان.

شبکه DLPروی اصل دروازه شبکه کار کنید که تمام داده های عبوری از آن را فیلتر می کند. بدیهی است که بر اساس وظیفه مبارزه با تهدیدات داخلی، منافع اصلی چنین فیلترینگی در توانایی کنترل داده های ارسال شده خارج از شبکه شرکت به اینترنت نهفته است. DLP های شبکه به شما امکان می دهند نامه های خروجی، ترافیک http و ftp، خدمات پیام رسانی فوری و غیره را نظارت کنید. اگر اطلاعات حساس شناسایی شود، DLP های شبکه می توانند فایل ارسال شده را مسدود کنند. همچنین گزینه هایی برای پردازش دستی فایل های مشکوک وجود دارد. فایل‌های مشکوک در قرنطینه قرار می‌گیرند که به صورت دوره‌ای توسط یک افسر امنیتی بررسی می‌شود و انتقال فایل را مجاز یا رد می‌کند. با این حال، به دلیل ماهیت پروتکل، چنین پردازشی فقط برای ایمیل امکان پذیر است. فرصت‌های اضافی برای ممیزی و بررسی حادثه با بایگانی کردن تمام اطلاعات عبوری از دروازه فراهم می‌شود، مشروط بر اینکه این آرشیو به‌طور دوره‌ای بازبینی شده و محتویات آن برای شناسایی نشت‌های رخ داده مورد تجزیه و تحلیل قرار گیرد.

یکی از مشکلات اصلی در پیاده سازی و پیاده سازی سیستم های DLP، روش تشخیص اطلاعات محرمانه است، یعنی لحظه تصمیم گیری در مورد محرمانه بودن اطلاعات ارسالی و دلایلی که در اتخاذ چنین تصمیمی در نظر گرفته می شود. . به عنوان یک قاعده، این کار با تجزیه و تحلیل محتوا انجام می شود اسناد منتقل شده، که به آن تحلیل محتوا نیز می گویند. بیایید رویکردهای اصلی برای شناسایی اطلاعات محرمانه را در نظر بگیریم.

  • برچسب ها این روش مشابه سیستم های کنترل اسنادی است که در بالا مورد بحث قرار گرفت. برچسب‌هایی در اسناد تعبیه شده‌اند که میزان محرمانه بودن اطلاعات، کارهایی که می‌توان با این سند انجام داد و برای چه کسی باید ارسال شود، تعبیه شده است. بر اساس نتایج تجزیه و تحلیل برچسب، سیستم DLP تصمیم می گیرد که آیا این امکان پذیر است یا خیر این سندارسال به خارج یا نه برخی از سیستم‌های DLP در ابتدا برای استفاده از برچسب‌هایی که این سیستم‌ها نصب می‌کنند با سیستم‌های مدیریت حقوق سازگار می‌شوند؛ سیستم‌های دیگر از قالب برچسب خود استفاده می‌کنند.
  • امضاها این روش شامل تعیین یک یا چند دنباله از کاراکترها است که وجود آنها در متن فایل منتقل شده باید به سیستم DLP بگوید که این فایل حاوی اطلاعات محرمانه است. تعداد زیادی از امضاها را می توان در فرهنگ لغت سازماندهی کرد.
  • روش بیز این روش که برای مبارزه با هرزنامه استفاده می شود، می تواند با موفقیت در سیستم های DLP نیز استفاده شود. برای اعمال این روش، فهرستی از دسته‌ها ایجاد می‌شود و فهرستی از کلمات با احتمالات نشان داده می‌شود که اگر کلمه در فایلی وجود داشته باشد، فایل با احتمال معین متعلق به دسته مشخص شده است یا نیست.
  • تجزیه و تحلیل مورفولوژیکی.روش تحلیل ریخت شناسی مشابه روش امضا است، تفاوت آن در این است که 100% مطابقت با امضا مورد تجزیه و تحلیل قرار نمی گیرد، بلکه کلمات ریشه مشابه نیز در نظر گرفته می شوند.
  • چاپ دیجیتال.ماهیت این روش این است که یک تابع هش برای تمام اسناد محرمانه به گونه ای محاسبه می شود که اگر سند کمی تغییر کند، تابع هش ثابت می ماند یا کمی تغییر می کند. بنابراین، روند شناسایی اسناد محرمانه بسیار ساده شده است. علیرغم تمجیدهای مشتاقانه بسیاری از فروشندگان و برخی تحلیلگران از این فناوری، قابلیت اطمینان آن جای تامل دارد و با توجه به اینکه فروشندگان به بهانه های مختلف ترجیح می دهند جزئیات اجرای الگوریتم اثر انگشت دیجیتال را در سایه بگذارند، اعتماد کنید. در آن افزایش نمی یابد.
  • عبارات با قاعده.شناخته شده برای همه کسانی که با برنامه نویسی سروکار دارند، عبارات با قاعدهیافتن داده های الگو در متن، مانند شماره تلفن، اطلاعات پاسپورت، شماره حساب بانکی، شماره تامین اجتماعی و غیره را آسان می کند.

از لیست بالا به راحتی می توان دریافت که روش های تشخیص یا شناسایی 100٪ اطلاعات محرمانه را تضمین نمی کند، زیرا سطح خطاهای هر دو نوع اول و دوم در آنها بسیار بالا است، یا نیاز به هوشیاری مداوم سرویس امنیتی دارد. به روز رسانی و نگهداری لیست به روز از امضاها یا برچسب های تکالیف برای اسناد محرمانه.

علاوه بر این، رمزگذاری ترافیک می تواند مشکل خاصی در عملکرد DLP شبکه ایجاد کند. اگر الزامات امنیتی شما را ملزم به رمزگذاری پیام های ایمیل یا استفاده از SSL در هنگام اتصال به هر منبع وب می کند، مشکل تعیین وجود اطلاعات محرمانه در فایل های منتقل شده می تواند بسیار دشوار باشد. فراموش نکنید که برخی از سرویس‌های پیام‌رسانی فوری، مانند اسکایپ، به طور پیش‌فرض دارای رمزگذاری هستند. شما باید از استفاده از چنین خدماتی خودداری کنید یا از DLP میزبان برای کنترل آنها استفاده کنید.

با این حال، علیرغم همه پیچیدگی‌ها، وقتی DLP شبکه به درستی پیکربندی و جدی گرفته شود، می‌تواند خطر افشای اطلاعات محرمانه را به میزان قابل توجهی کاهش دهد و ابزار مناسبی برای کنترل داخلی در اختیار سازمان قرار دهد.

میزبان DLPبر روی هر هاست موجود در شبکه (در ایستگاه های کاری مشتری و در صورت لزوم روی سرورها) نصب می شوند و همچنین می توانند برای کنترل ترافیک اینترنت استفاده شوند. با این حال، DLP های مبتنی بر میزبان در این ظرفیت کمتر گسترده هستند و در حال حاضر عمدتاً برای کنترل استفاده می شوند دستگاه های خارجیو چاپگرها همانطور که می دانید، کارمندی که فلش مموری یا MP3 پلیر را به محل کار می آورد، امنیت اطلاعات یک شرکت را به مراتب بیشتر از مجموع همه هکرها تهدید می کند. به این سیستم ها ابزارهای امنیتی نقطه پایانی شبکه نیز گفته می شود. امنیت نقطه پایانی، اگرچه این اصطلاح اغلب به طور گسترده تر استفاده می شود، به عنوان مثال، محصولات آنتی ویروس گاهی اوقات به این روش نامیده می شوند.

همانطور که می دانید، مشکل استفاده از دستگاه های خارجی را می توان بدون استفاده از هیچ وسیله ای با غیرفعال کردن پورت ها به صورت فیزیکی یا با استفاده از سیستم عامل و یا به صورت اداری با منع کارمندان از آوردن هرگونه رسانه ذخیره سازی به دفتر حل کرد. با این حال، در بیشتر موارد، رویکرد "ارزان و شاد" غیرقابل قبول است، زیرا انعطاف پذیری مورد نیاز خدمات اطلاعاتی مورد نیاز فرآیندهای تجاری ارائه نشده است.

به همین دلیل تقاضای خاصی برای آن وجود داشته است وسایل خاصکه به کمک آن می توانید مشکل استفاده از دستگاه ها و چاپگرهای خارجی توسط کارکنان شرکت را با انعطاف بیشتری حل کنید. چنین ابزارهایی به شما این امکان را می دهند که حقوق دسترسی را برای کاربران پیکربندی کنید انواع مختلفبه عنوان مثال، برای یک گروه از کاربران، کار با رسانه را ممنوع کرده و به آنها اجازه می دهد با چاپگرها کار کنند، و برای گروهی دیگر - اجازه کار با رسانه را در حالت فقط خواندنی. در صورت نیاز به ضبط اطلاعات روی دستگاه های خارجی برای تک تک کاربران، می توان از فناوری کپی سایه استفاده کرد که تضمین می کند تمام اطلاعات ذخیره شده در یک دستگاه خارجی در سرور کپی می شود. اطلاعات کپی شده را می توان متعاقباً برای تجزیه و تحلیل اقدامات کاربر تجزیه و تحلیل کرد. این تکنولوژیهمه چیز را کپی می کند و در حال حاضر هیچ سیستمی وجود ندارد که امکان تجزیه و تحلیل محتوای فایل های ذخیره شده را به منظور مسدود کردن عملیات و جلوگیری از نشت مانند DLP های شبکه فراهم کند. با این حال، یک آرشیو از کپی‌های سایه، بررسی‌های حادثه و تحلیل گذشته‌نگر رویدادهای شبکه را ارائه می‌دهد و وجود چنین آرشیوی به این معنی است که می‌توان یک خودی بالقوه را دستگیر کرد و به خاطر اعمالش مجازات کرد. این ممکن است یک مانع مهم برای او و دلیل مهمی برای کنار گذاشتن اقدامات خصمانه باشد.

همچنین لازم به ذکر است کنترل استفاده از چاپگرها - نسخه های چاپی اسناد نیز می توانند منبع نشت شوند. Hosted DLP به شما امکان می دهد دسترسی کاربر به چاپگرها را مانند سایر دستگاه های خارجی کنترل کنید و نسخه هایی از اسناد چاپ شده را در آن ذخیره کنید. فرمت گرافیکیبرای تحلیل های بعدی علاوه بر این، فناوری واترمارک تا حدودی فراگیر شده است، که یک کد منحصر به فرد را در هر صفحه از یک سند چاپ می کند، که با استفاده از آن می توان دقیقاً تعیین کرد که چه کسی، چه زمانی و کجا این سند را چاپ کرده است.

علیرغم مزایای بدون شک DLP مبتنی بر میزبان، آنها دارای تعدادی معایب مرتبط با نیاز به نصب نرم افزار عامل بر روی هر رایانه ای هستند که قرار است نظارت شود. اولاً، این می تواند مشکلات خاصی را از نظر استقرار و مدیریت چنین سیستم هایی ایجاد کند. ثانیاً، یک کاربر با حقوق سرپرست ممکن است سعی کند این نرم افزار را برای انجام هر اقدامی که توسط خط مشی امنیتی مجاز نیست، غیرفعال کند.

با این حال، برای کنترل مطمئن دستگاه های خارجی، DLP مبتنی بر میزبان ضروری است و مشکلات ذکر شده غیر قابل حل نیستند. بنابراین، می‌توان نتیجه گرفت که مفهوم DLP اکنون یک ابزار تمام عیار در زرادخانه خدمات امنیتی شرکت‌ها در مواجهه با فشار روزافزون بر آنها برای اطمینان از کنترل داخلی و محافظت در برابر نشت است.

مفهوم IPC

در فرآیند ابداع ابزارهای جدید برای مبارزه با تهدیدات داخلی، اندیشه علمی و مهندسی جامعه مدرن متوقف نمی‌شود و با در نظر گرفتن برخی کاستی‌های ابزارهایی که در بالا به آن اشاره شد، بازار سیستم‌های حفاظت از نشت اطلاعات به سمت بازار آمده است. مفهوم IPC (محافظت و کنترل اطلاعات). این اصطلاح نسبتاً اخیراً ظاهر شد؛ اعتقاد بر این است که برای اولین بار در بررسی شرکت تحلیلی IDC در سال 2007 استفاده شد.

ماهیت این مفهوم ترکیب روش های DLP و رمزگذاری است. در این مفهوم، با استفاده از DLP، اطلاعات خروجی از شبکه شرکت از طریق کنترل می شود کانال های فنیو از رمزگذاری برای محافظت از رسانه های ذخیره سازی استفاده می شود که به طور فیزیکی به دست افراد غیرمجاز می افتد یا ممکن است بیفتند.

بیایید به رایج ترین فناوری های رمزگذاری که می توان در مفهوم IPC استفاده کرد نگاه کنیم.

  • رمزگذاری نوارهای مغناطیسیبا وجود ماهیت قدیمی این نوع رسانه، همچنان به طور فعال برای آن استفاده می شود کپی رزرو کنیدو برای انتقال حجم زیادی از اطلاعات، زیرا هنوز از نظر هزینه واحد یک مگابایت ذخیره شده برابری ندارد. بر این اساس، فاش شدن نوارها همچنان سردبیران خبرهایی را که آنها را در صفحه اول قرار می‌دهند خوشحال می‌کند و مدیران ارشد فناوری و تیم‌های امنیتی شرکت‌هایی را که قهرمان چنین گزارش‌هایی می‌شوند، ناامید می‌کند. وضعیت با این واقعیت تشدید می شود که چنین نوارهایی حاوی مقادیر بسیار زیادی داده هستند و بنابراین، تعداد زیادی از مردم می توانند قربانی کلاهبرداران شوند.
  • رمزگذاری حافظه های سرورعلیرغم این واقعیت که ذخیره سازی سرور به ندرت حمل می شود و خطر از بین رفتن آن بسیار کمتر از نوار مغناطیسی است. HDDاز انبار ممکن است به دست مجرمان بیفتد. تعمیر، دفع، ارتقا - این رویدادها با نظم کافی برای حذف این خطر رخ می دهند. و وضعیت ورود افراد غیرمجاز به دفتر امری کاملاً غیرممکن نیست.

در اینجا ارزش یک انحراف کوچک و ذکر این تصور غلط رایج را دارد که اگر یک دیسک بخشی از یک آرایه RAID است، ظاهراً لازم نیست نگران افتادن آن به دست اشتباه باشید. به نظر می رسد که متناوب داده های ثبت شده به چندین دیسکهای سخت، که کنترلرهای RAID انجام می دهند، ظاهری غیرقابل خواندن برای داده هایی که روی هر نوع سختی قرار دارند ارائه می دهد. متاسفانه این کاملا درست نیست. interleaving اتفاق می افتد، اما در اکثر دستگاه های مدرن در سطح بلوک 512 بایتی انجام می شود. این بدان معناست که با وجود نقض ساختار و فرمت فایل ها، همچنان می توان اطلاعات محرمانه را از چنین هارد دیسکی استخراج کرد. بنابراین، اگر الزامی برای اطمینان از محرمانه بودن اطلاعات در هنگام ذخیره در یک آرایه RAID وجود داشته باشد، رمزگذاری تنها گزینه قابل اعتماد باقی می ماند.

  • رمزگذاری لپ تاپ هااین قبلاً بارها گفته شده است، اما با این حال، از دست دادن لپ‌تاپ‌هایی که اطلاعات محرمانه دارند، سال‌هاست که خارج از پنج رژه برتر حوادث نبوده است.
  • رمزگذاری رسانه های قابل جابجاییدر این مورد، ما در مورد دستگاه های USB قابل حمل و گاهی اوقات سی دی ها و دی وی دی های قابل ضبط در صورت استفاده در فرآیندهای تجاری شرکت صحبت می کنیم. چنین سیستم هایی، و همچنین سیستم های رمزگذاری هارد دیسک لپ تاپ ذکر شده، اغلب می توانند به عنوان اجزای سیستم های DLP میزبان عمل کنند. در این مورد، آنها در مورد نوعی محیط رمزنگاری صحبت می کنند که رمزگذاری شفاف خودکار رسانه در داخل و عدم توانایی در رمزگشایی داده های خارج از آن را تضمین می کند.

بنابراین، رمزگذاری می تواند به طور قابل توجهی قابلیت های سیستم های DLP را گسترش دهد و خطر نشت داده های محرمانه را کاهش دهد. علیرغم این واقعیت که مفهوم IPC نسبتاً اخیراً شکل گرفته است و انتخاب راه حل های پیچیده IPC در بازار چندان گسترده نیست، صنعت به طور فعال در حال کاوش در این زمینه است و کاملاً ممکن است که پس از مدتی این مفهوم تبدیل به یک مفهوم شود. استاندارد فاکتو برای حل مشکلات امنیت داخلی و امنیت داخلی کنترل.

نتیجه گیری

همانطور که می توان از این بررسی، تهدیدات داخلی یک حوزه نسبتاً جدید در امنیت اطلاعات است که با این وجود، به طور فعال در حال توسعه است و نیاز به توجه بیشتری دارد. فناوری های کنترل اسناد در نظر گرفته شده، DLP و IPC امکان ساخت یک سیستم کنترل داخلی نسبتاً قابل اعتماد را فراهم می کند و خطر نشت را تا حد قابل قبولی کاهش می دهد. بدون شک، این حوزه از امنیت اطلاعات به توسعه خود ادامه خواهد داد، فناوری های جدیدتر و پیشرفته تری ارائه خواهند شد، اما امروزه بسیاری از سازمان ها راه حلی را انتخاب می کنند، زیرا بی دقتی در مسائل امنیت اطلاعات می تواند بسیار گران تمام شود.

الکسی رافسکی
مدیر عامل SecurIT



محبوب در دسته بندی:
چگونه یک کلیپ کارائوکه در رایانه ایجاد کنیم؟
چگونه یک کلیپ کارائوکه در رایانه ایجاد کنیم؟
خواندن
برنامه Origin برای بازی مورد نیاز است، اما نصب نیست. FIFA 16 به Origin نیاز دارد.
برنامه Origin برای بازی لازم است، اما نصب نیست فیفا...
خواندن
ثبت صفحه شخصی در شبکه اجتماعی فیسبوک
ثبت صفحه شخصی در شبکه اجتماعی فیسبوک
خواندن
نحوه اجرای یک اسکن Nmap ساده Nmap
نحوه اجرای یک اسکن Nmap ساده Nmap
خواندن

آخرین مقالات
چگونه یک تصویر را چند درجه بچرخانیم ...
خواندن
غیرفعال کردن تبلیغات در مرورگر Yandex کجا...
خواندن
عیب یابی مشکلات اتصال وای فای در...
خواندن
تغییر رمز عبور در پروفایل ویندوز 10
خواندن
دستورالعمل راه اندازی روترهای بی سیم ...
خواندن
نحوه انتخاب هارد دیسک و خرید کدام یک بهتر است...
خواندن
Meizu برای آدمک. تماس ها و دفترچه آدرس ....
خواندن
برنامه PDFMaster را دانلود کنید
خواندن
بالا