Koti › Ongelmia › Ohjelmisto suojaus sisäpiiriläisiä vastaan pdf. Suojaus sisäpiiriläisiltä Zlock-järjestelmän avulla. Staattiseen laitteiden estoon perustuvat järjestelmät

Ohjelmisto suojaus sisäpiiriläisiä vastaan pdf. Suojaus sisäpiiriläisiltä Zlock-järjestelmän avulla. Staattiseen laitteiden estoon perustuvat järjestelmät

"konsultti", 2011, N 9

"Se, joka omistaa tiedon, omistaa maailman" - tämä kuuluisa Winston Churchillin aforismi on ajankohtainen kuin koskaan nyky-yhteiskunnassa. Tieto, ideat ja teknologia nousevat etusijalle, ja markkinajohtajuus riippuu siitä, kuinka hyvin yritys pystyy hallitsemaan henkistä pääomaansa.

Näissä olosuhteissa organisaation tietoturvallisuus tulee erityisen tärkeäksi.

Tietojen vuotaminen kilpailijoille tai tiedon julkaiseminen sisäisistä prosesseista vaikuttaa välittömästi yrityksen asemaan markkinoilla.

Järjestelmä tietoturva tulee tarjota suojaa erilaisilta uhilta: teknisiltä, organisatorisista ja inhimillisestä tekijästä johtuvilta uhilta.

Kuten käytäntö osoittaa, tietovuodon pääkanava ovat sisäpiiriläiset.

Vihollinen takana

Tyypillisesti sisäpiiriläinen on yrityksen työntekijä, joka aiheuttaa yritykselle vahinkoa paljastamalla luottamuksellisia tietoja.

Jos kuitenkin otetaan huomioon kolme pääehtoa, joiden tarjoaminen on tietoturvan tavoite - luottamuksellisuus, eheys, saatavuus - tätä määritelmää voidaan laajentaa.

Sisäpiiriläiseksi voidaan kutsua työntekijä, jolla on laillinen virallinen pääsy yrityksen luottamuksellisiin tietoihin, mikä aiheuttaa tiedon paljastumista, vääristymistä, vahingoittumista tai saavuttamattomuutta.

Tämä yleistys on hyväksyttävää, koska moderni maailma Tietojen eheyden ja saatavuuden loukkaaminen aiheuttaa usein paljon vakavampia seurauksia yrityksille kuin luottamuksellisten tietojen paljastaminen.

Monille yrityksille liiketoimintaprosessien pysähtyminen lyhyeksikin ajaksi uhkaa merkittäviä taloudellisia menetyksiä, ja toiminnan häiriintyminen muutaman päivän sisällä voi aiheuttaa niin voimakkaan iskun, että sen seuraukset voivat olla kohtalokkaita.

Useat yritysriskejä tutkivat organisaatiot julkaisevat säännöllisesti tutkimustensa tuloksia. Heidän mukaansa sisäpiiritieto on sijoittunut tietoturvaloukkausten syiden listalle johdonmukaisesti useiden vuosien ajan.

Tapausten kokonaismäärän tasaisen kasvun vuoksi voimme päätellä, että ongelman relevanssi kasvaa koko ajan.

Uhkamalli

Jotta voidaan rakentaa luotettava kerrostettu tietoturvajärjestelmä, joka auttaa tehokkaasti torjumaan ongelmaa, on ensin luotava uhkamalli.

Sinun on ymmärrettävä, keitä sisäpiiriläiset ovat ja mikä heitä motivoi, miksi he tekevät tiettyjä toimia.

Tällaisten mallien luomiseen on erilaisia lähestymistapoja, mutta käytännön tarkoituksiin voit käyttää seuraavaa luokitusta, joka sisältää kaikki tärkeimmät sisäpiirityypit.

Sisäinen hakkeri

Tällaisella työntekijällä on pääsääntöisesti keskimääräistä korkeampi insinööritutkinto ja hän ymmärtää yrityksen resurssien rakenteen, tietokonejärjestelmien ja verkkojen arkkitehtuurin.

Hän tekee hakkerointitoimia uteliaisuudesta, urheilullisesta kiinnostuksesta, tutkien omien kykyjensä rajoja.

Yleensä hän on tietoinen tekojensa mahdollisista haitoista, joten hän harvoin aiheuttaa konkreettista vahinkoa.

Vaarallisuusaste on keskitasoinen, koska hänen toimintansa voi aiheuttaa joidenkin yrityksessä tapahtuvien prosessien tilapäisen pysähtymisen. Toiminnan tunnistaminen on mahdollista ensisijaisesti teknisin keinoin.

Vastuuton ja huonosti koulutettu työntekijä

Voi olla erilaisia taitoja ja työskennellä missä tahansa yrityksen osastossa.

Se on vaarallista, koska sillä ei ole tapana ajatella tekojensa seurauksia, se voi työskennellä yrityksen tietoresurssien kanssa "yrityksen ja erehdyksen avulla" ja tahattomasti tuhota ja vääristää tietoa.

Yleensä hän ei muista tekojensa järjestystä, ja kun hän havaitsee kielteisiä seurauksia, hän voi yksinkertaisesti olla hiljaa niistä.

Saattaa paljastaa liikesalaisuuden muodostavia tietoja henkilökohtaisessa keskustelussa ystävän kanssa tai jopa kommunikoidessaan Internetin keskustelupalstoilla ja sosiaalisissa verkostoissa.

Vaarallisuusaste on erittäin korkea, varsinkin kun otetaan huomioon, että tämäntyyppiset rikolliset ovat yleisempiä kuin muut. Hänen toiminnan seuraukset voivat olla paljon vakavammat kuin tietoisen hyökkääjän seuraukset.

Hänen tekojensa seurausten estämiseksi on ryhdyttävä erilaisiin toimenpiteisiin, sekä teknisiin (valtuutus, pakollinen työistuntojen jakaminen tileillä) että organisatorisia (työn prosessin ja tuloksen jatkuva johdon valvonta) .

Psykologisesti epävakaa henkilö

Aivan kuten edellisen tyypin edustaja, hän voi työskennellä missä tahansa asemassa ja hänellä on hyvin erilainen pätevyys. Vaarallinen johtuen taipumuksesta heikosti motivoituihin toimiin psykologisen epämukavuuden olosuhteissa: äärimmäisissä tilanteissa, muiden työntekijöiden psykologinen paine tai yksinkertaisesti voimakas ärsytys.

Affektiivisessa tilassa se voi paljastaa luottamuksellisia tietoja, vahingoittaa tietoja ja häiritä muiden ihmisten tavanomaista työnkulkua.

Vaarallisuusaste on keskimääräinen, mutta tämäntyyppinen rikollinen ei ole niin yleinen.

Hänen tekojensa kielteisten seurausten estämiseksi on tehokkainta käyttää hallinnollisia toimenpiteitä - tunnistaa tällaiset ihmiset haastatteluvaiheessa, rajoittaa pääsyä tietoihin ja ylläpitää mukavaa psykologista ilmapiiriä ryhmässä.

Loukkaantunut, loukkaantunut työntekijä

Suurin joukko tietoturvajärjestelmän mahdollisia rikkojia.

Teoreettisesti valtaosa työntekijöistä pystyy tekemään yritykselle epäystävällisiä tekoja.

Näin voi käydä, kun johto osoittaa epäkunnioitusta työntekijän persoonallisuutta tai ammatillisia ominaisuuksia kohtaan ja kun tämä vaikuttaa palkkatasoon.

Mahdollisesti tämäntyyppinen sisäpiiriläinen muodostaa erittäin suuren vaaran - sekä vuodot että tietojen vahingoittuminen ovat mahdollisia, ja niistä aiheutuvat haitat ovat taatusti yritykselle havaittavissa, koska työntekijä aiheuttaa sen tietoisesti ja tietää kaikki haavoittuvuudet hyvin.

Toiminnan havaitsemiseksi tarvitaan sekä hallinnollisia että teknisiä toimenpiteitä.

Epäpuhdas työntekijä

Työntekijä, joka yrittää täydentää henkilökohtaista omaisuuttaan sen yrityksen omaisuuden kustannuksella, jolle hän työskentelee. Annettujen kohteiden joukossa voi olla erilaisia luottamuksellisia tietoja ( kovalevyt, flash-asemat, yritysten kannettavat tietokoneet).

Tässä tapauksessa on olemassa riski, että tiedot tavoittavat henkilöt, joille sitä ei ole tarkoitettu, ja myöhemmin julkaistaan tai siirretään kilpailijoille.

Vaara on keskimääräinen, mutta tämä tyyppi ei ole harvinaista.

Sen tunnistamiseksi tarvitaan ensin hallinnollisia toimenpiteitä.

Kilpailijan edustaja

Hän on pääsääntöisesti erittäin pätevä ja työskentelee tehtävissä, jotka tarjoavat runsaasti mahdollisuuksia saada tietoa, mukaan lukien luottamukselliset tiedot. Tämä on joko olemassa oleva työntekijä, joka on rekrytoitu, kilpailijoiden ostama (useammin) tai erityisesti yritykseen tuotu sisäpiiriläinen.

Vaarallisuusaste on erittäin korkea, koska vahinkoa aiheutetaan tietoisesti ja syvästi ymmärtäen tiedon arvo sekä yrityksen haavoittuvuudet.

Toimien tunnistamiseksi tarvitaan sekä hallinnollisia että teknisiä toimenpiteitä.

Mitä me varastamme?

Sisäpiiritiedon ongelman ymmärtäminen on mahdotonta huomioimatta varastetun tiedon luonnetta.

Tilastojen mukaan asiakkaiden henkilötiedot sekä tiedot asiakasyrityksistä ja yhteistyökumppaneista ovat kysytyimpiä, niitä varastetaan yli puolessa tapauksista. Tarkemmat tiedot liiketoimista, sopimusehdoista ja toimituksista seuraavat. Talousraportit kiinnostavat myös paljon.

Suojatoimenpiteitä muodostaessaan jokainen yritys kohtaa väistämättä kysymyksen: mitkä tiedot vaativat erityisiä suojatoimenpiteitä ja mitkä eivät niitä?

Tällaisten päätösten perustana ovat tietysti riskianalyysin tuloksena saadut tiedot. Yrityksellä on kuitenkin usein rajalliset taloudelliset resurssit, jotka voidaan käyttää tietoturvajärjestelmään, eivätkä ne välttämättä riitä minimoimaan kaikkia riskejä.

Kaksi lähestymistapaa

Valitettavasti ei ole valmiita vastausta kysymykseen: "Mitä suojata ensin."

Tätä ongelmaa voidaan lähestyä kahdelta puolelta.

Riski on monimutkainen indikaattori, joka ottaa huomioon sekä tietyn uhan todennäköisyyden että siitä mahdollisesti aiheutuvan vahingon. Näin ollen voit keskittyä johonkin näistä indikaattoreista asettaessasi turvallisuusprioriteettia. Tämä tarkoittaa, että tieto, joka suojataan ensin, on se, joka on helpoin varastaa (esimerkiksi jos siihen pääsee käsiksi suuri määrä työntekijöitä), ja tieto, jonka varastaminen tai estäminen johtaisi vakavimpiin seurauksiin.

Tärkeä osa sisäpiiriongelmaa on tiedonvälityskanava. Mitä enemmän fyysisiä mahdollisuuksia on luvattoman tiedon siirtämiseen yrityksen ulkopuolelle, sitä todennäköisemmin näin tapahtuu.

Voimansiirtomekanismit

Siirtomekanismit voidaan luokitella seuraavasti:

suullinen lähetys (henkilökohtainen keskustelu);
tekniset tiedonsiirtokanavat ( puhelinviestintä, faksi, sähköposti, viestintäjärjestelmät, erilaiset sosiaaliset Internet-palvelut jne.);
kannettavat mediat ja mobiililaitteet (Kännykät, ulkoiset kiintolevyt, kannettavat tietokoneet, flash-asemat jne.).

Aikamme tutkimuksen mukaan yleisimmät kanavat luottamuksellisten tietojen välittämiseen ovat (laskevassa järjestyksessä): sähköposti, mobiililaitteet (mukaan lukien kannettavat tietokoneet), sosiaaliset verkostot ja muut Internet-palvelut (kuten pikaviestijärjestelmät) jne.

Teknisten kanavien ohjaamiseen voidaan käyttää erilaisia keinoja, laaja valikoima tällä hetkellä turvamarkkinoilla olevia tuotteita.

Esimerkiksi, sisällön suodatusjärjestelmät (dynaamiset estojärjestelmät), keinot rajoittaa pääsyä tietovälineisiin (CD, DVD, Bluetooth).

Myös hallinnollisia toimenpiteitä sovelletaan: Internet-liikenteen suodattaminen, työasemien fyysisten porttien estäminen, hallinnollisen järjestelyn ja fyysisen turvallisuuden varmistaminen.

Valittaessa teknisiä keinoja luottamuksellisten tietojen suojaaminen edellyttää järjestelmällistä lähestymistapaa. Vain tällä tavalla voidaan saavuttaa suurin tehokkuus niiden toteutuksessa.

Sinun on myös ymmärrettävä, että jokaisen yrityksen kohtaamat haasteet ovat ainutlaatuisia, ja usein on yksinkertaisesti mahdotonta käyttää muiden organisaatioiden käyttämiä ratkaisuja.

Sisäpiiritiedon torjuntaa ei tule tehdä yksinään, vaan se on tärkeä osa koko tietoturvajärjestelmän varmistamiseen tähtäävää liiketoimintaprosessia.

Sen tulee olla ammattilaisten tekemiä ja siihen tulee sisältyä koko toimintasykli: tietoturvapolitiikan kehittäminen, laajuuden määrittäminen, riskianalyysi, vastatoimien valinta ja niiden toteuttaminen sekä tietoturvajärjestelmän auditointi.

Jos yritys ei takaa tietoturvaa koko kompleksissa, niin vuotojen ja tietovaurioiden aiheuttamat taloudelliset menetykset kasvavat jyrkästi.

Riskien minimoiminen

Tutkimus

Yrityksen tehtäviin hakevien hakijoiden perusteellinen seulonta. On suositeltavaa kerätä mahdollisimman paljon tietoa ehdokkaasta, mukaan lukien hänen sosiaalisten verkostojen sivujen sisältö. Se voi myös auttaa pyytämään viitteitä aikaisemmasta työpaikasta.
IT-insinöörin tehtäviin hakijoille tulee tehdä erityisen perusteellinen seulonta. Käytäntö osoittaa, että yli puolet kaikista sisäpiiriläisistä on järjestelmänvalvojat ja ohjelmoijat.
Työhönotossa on suoritettava vähintään hakijoiden psykologinen tarkastus. Se auttaa tunnistamaan hakijoita, joiden mielenterveys on epävakaa.

Käyttöoikeus

Pääsyn jakamisjärjestelmä yritysten resursseja. Yrityksen on laadittava säädösdokumentaatio, jossa tiedot luokitellaan luottamuksellisuustason mukaan ja määritellään selkeästi niiden käyttöoikeudet. Kaikkien resurssien käyttö on yksilöitävä.
Resurssien käyttöoikeudet olisi jaettava "minimiriittävyyden" periaatteen mukaisesti. Teknisten laitteiden ylläpitoon pääsyyn, edes järjestelmänvalvojan oikeuksilla, ei aina pitäisi liittyä pääsyä itse tietojen tarkastelemiseen.
Mahdollisimman syvällinen käyttäjien toimintojen seuranta, pakollinen valtuutus ja suoritettujen toimintojen tietojen kirjaaminen lokiin. Mitä huolellisemmin lokeja pidetään, sitä enemmän johdolla on hallita yrityksen tilannetta. Sama koskee työntekijän toimintaa, kun hän käyttää virallista pääsyä Internetiin.

Viestintästandardi

Organisaation tulee ottaa käyttöön oma viestintästandardinsa, joka sulkee pois työntekijöiden kaikenlaisen sopimattoman käytöksen toisiaan kohtaan (aggressiivisuus, väkivalta, liiallinen tuttuus). Ensinnäkin tämä koskee "johtajan ja alaisen" suhdetta.

Työntekijä ei saa missään tapauksessa kokea, että häntä kohdellaan epäoikeudenmukaisesti, ettei häntä arvosteta tarpeeksi, että häntä käytetään tarpeettomasti hyväksi tai että häntä petetään.

Tämän yksinkertaisen säännön noudattaminen auttaa välttämään suurimman osan tilanteista, jotka saavat työntekijät antamaan sisäpiiritietoa.

Luottamuksellisuus

Salassapitosopimus ei saa olla pelkkä muodollisuus. Se on allekirjoitettava kaikkien työntekijöiden, joilla on pääsy tärkeisiin tietoihin tietolähteitä yritykset.

Lisäksi jo haastatteluvaiheessa potentiaalisille työntekijöille on selitettävä, miten yritys hallitsee tietoturvaa.

Rahastojen valvonta

Edustaa työntekijän työtarkoituksiin käyttämien teknisten välineiden hallintaa.

Esimerkiksi, henkilökohtaisen kannettavan tietokoneen käyttö ei ole toivottavaa, koska kun työntekijä lähtee, ei todennäköisesti ole mahdollista saada selville, mitä tietoja siihen on tallennettu.

Samasta syystä ei ole toivottavaa käyttää laatikoita Sähköposti ulkoisista resursseista.

Sisäinen rutiini

Yrityksen tulee noudattaa sisäisiä määräyksiä.

Tietoa työntekijöiden työpaikalla viettämästä ajasta on oltava.

Myös aineellisen omaisuuden liikkumisen valvonta on varmistettava.

Kaikkien yllä olevien sääntöjen noudattaminen vähentää sisäpiiritiedon kautta tapahtuvan vahingon tai tiedon vuotamisen riskiä ja auttaa siten estämään merkittäviä taloudellisia tai maineeseen liittyviä menetyksiä.

Johtava kumppani

Yritysryhmä Hosting Community

Nykyään luottamuksellisten tietojen vuotamiseen on kaksi pääkanavaa: tietokoneeseen kytketyt laitteet (kaikenlaiset irrotettavat tallennuslaitteet, mukaan lukien flash-asemat, CD/DVD-asemat jne., tulostimet) ja Internet (sähköposti, ICQ, sosiaaliset verkot jne.). d.). Ja siksi, kun yritys on "kypsä" ottamaan käyttöön suojajärjestelmän niitä vastaan, on suositeltavaa lähestyä tätä ratkaisua kokonaisvaltaisesti. Ongelmana on, että eri kanavien kattamiseen käytetään erilaisia lähestymistapoja. Yhdessä tapauksessa eniten tehokas tapa suojaus hallitsee irrotettavien asemien käyttöä, ja toinen sisältää erilaisia sisällön suodatusvaihtoehtoja, joiden avulla voit estää luottamuksellisten tietojen siirron ulkoiseen verkkoon. Siksi yritysten on suojattava sisäpiiriläisiltä kahta tuotetta, jotka yhdessä muodostavat kattavan turvajärjestelmän. Luonnollisesti on parempi käyttää yhden kehittäjän työkaluja. Tällöin niiden käyttöönotto, hallinto ja työntekijöiden koulutus yksinkertaistuvat. Esimerkkinä voimme mainita SecurITin tuotteet: Zlock ja Zgate.

Zlock: suoja vuotoja vastaan irrotettavien asemien kautta

Zlock-ohjelma on ollut markkinoilla jo jonkin aikaa. Ja me jo. Periaatteessa on turha toistaa itseäni. Kuitenkin artikkelin julkaisun jälkeen Zlockista on julkaistu kaksi uutta versiota, jotka ovat lisänneet useita tärkeitä ominaisuuksia. Niistä kannattaa puhua, vaikka vain hyvin lyhyesti.

Ensinnäkin on syytä huomata mahdollisuus määrittää tietokoneelle useita käytäntöjä, joita sovelletaan itsenäisesti riippuen siitä, onko tietokone kytketty yritysverkosto suoraan, VPN:n kautta tai toimii itsenäisesti. Tämä mahdollistaa erityisesti USB-porttien ja CD/DVD-asemien automaattisen estämisen, kun tietokone irrotetaan paikallisverkosta. Yleisesti tämä toiminto lisää kannettaville tietokoneille tallennetun tiedon turvallisuutta, jonka työntekijät voivat ottaa pois toimistosta matkoille tai töihin kotiin.

Toinen uusi mahdollisuus- tarjota yrityksen työntekijöille tilapäinen pääsy estettyihin laitteisiin tai jopa laiteryhmiin puhelimitse. Sen toiminnan periaate on vaihto-ohjelma luotu salaisia koodeja käyttäjän ja tietoturvasta vastaavan työntekijän välillä. On huomionarvoista, että käyttölupa voidaan myöntää paitsi pysyvästi, myös tilapäisesti (tietyn ajan tai työskentelyn loppuun asti). Tätä työkalua voidaan pitää turvajärjestelmän lievänä rentoutumisena, mutta sen avulla voit lisätä IT-osaston reagointikykyä liiketoimintapyyntöihin.

Seuraava tärkeä innovaatio Zlockin uusissa versioissa on tulostimien käytön hallinta. Asettamisen jälkeen turvajärjestelmä tallentaa kaikki käyttäjien pyynnöt tulostuslaitteille erityiseen lokiin. Mutta siinä ei vielä kaikki. Zlock tarjoaa nyt kaikkien tulostettujen asiakirjojen varjokopiointia. He ilmoittautuvat mukaan PDF-muodossa ja ovat täydellinen kopio tulostetuista sivuista riippumatta siitä, mikä tiedosto lähetettiin tulostimelle. Tämä auttaa estämään luottamuksellisten tietojen vuotamisen paperiarkeille, kun sisäpiiriläinen tulostaa tiedot viedäkseen ne pois toimistosta. Turvajärjestelmään kuuluu myös CD/DVD-levyille tallennettujen tietojen varjokopiointi.

Tärkeä innovaatio oli palvelinkomponentin Zlock Enterprise Management Server ilmestyminen. Se tarjoaa suojauskäytäntöjen ja muiden ohjelmaasetusten keskitetyn tallennuksen ja jakelun ja helpottaa merkittävästi Zlockin hallintaa suurissa ja hajautetuissa tietojärjestelmissä. On myös mahdotonta puhua oman todennusjärjestelmän syntymisestä, jonka avulla voit tarvittaessa luopua verkkotunnuksen ja paikallisten Windows-käyttäjien käytöstä.

Tämän lisäksi sisään uusin versio Zlockissa on nyt useita vähemmän havaittavia, mutta myös melko tärkeitä toimintoja: asiakasmoduulin eheyden valvonta ja mahdollisuus estää käyttäjän sisäänkirjautuminen, kun peukalointi havaitaan, laajennetut ominaisuudet turvajärjestelmän toteuttamiseen, tuki Oracle DBMS:lle jne.

Zgate: suoja Internet-vuotoja vastaan

Siis Zgate. Kuten olemme jo sanoneet, tämä tuote on järjestelmä, joka suojaa luottamuksellisten tietojen vuotamista vastaan Internetin kautta. Rakenteellisesti Zgate koostuu kolmesta osasta. Tärkein niistä on palvelinkomponentti, joka suorittaa kaikki tietojenkäsittelytoiminnot. Se voidaan asentaa sekä erilliselle tietokoneelle että niille, jotka ovat jo käytössä yrityksessä tietojärjestelmä solmut - Internet-yhdyskäytävä, toimialueen ohjain, sähköpostiyhdyskäytävä jne. Tämä moduuli puolestaan koostuu kolmesta osasta: SMTP-liikenteen seurantaan, Microsoft Exchange 2007/2010 -palvelimen sisäisen sähköpostin valvontaan sekä Zgate Webistä (se vastaa ohjauksesta HTTP-, FTP- ja pikaviestiliikenteestä).

Turvajärjestelmän toinen osa on lokipalvelin. Sitä käytetään tapahtumatietojen keräämiseen yhdeltä tai useammalta Zgate-palvelimelta, sen käsittelemiseen ja tallentamiseen. Tämä moduuli on erityisen hyödyllinen suurissa ja maantieteellisesti hajautetuissa yritysten järjestelmät, koska se tarjoaa keskitetyn pääsyn kaikkiin tietoihin. Kolmas osa on hallintakonsoli. Se käyttää vakiokonsolia SecurIT-tuotteille, joten emme käsittele sitä yksityiskohtaisesti. Huomaamme vain, että tällä moduulilla voit ohjata järjestelmää paitsi paikallisesti myös etänä.

Hallintakonsoli

Zgate-järjestelmä voi toimia useissa tiloissa. Lisäksi niiden saatavuus riippuu tuotteen toteutustavasta. Kaksi ensimmäistä tilaa sisältävät työskentelyn sähköpostin välityspalvelimena. Niiden toteuttamiseksi järjestelmä asennetaan yrityksen postipalvelimen ja "ulkomaailman" (tai sähköpostipalvelimen ja lähettävän palvelimen väliin, jos ne on erotettu toisistaan). Tässä tapauksessa Zgate voi sekä suodattaa liikennettä (viivästyttää loukkaavia ja kyseenalaisia viestejä) että vain kirjata sen (välittää kaikki viestit, mutta tallentaa ne arkistoon).

Toinen toteutustapa sisältää suojausjärjestelmän käyttämisen yhdessä Microsoft Exchange 2007:n tai 2010:n kanssa. Tätä varten sinun on asennettava Zgate suoraan yritykseen. sähköpostipalvelin. Käytettävissä on myös kaksi tilaa: suodatus ja loki. Tämän lisäksi on toinen toteutusvaihtoehto. Puhumme viestien kirjaamisesta peilatussa liikennetilassa. Luonnollisesti sen käyttäminen edellyttää, että tietokone, johon Zgate on asennettu, vastaanottaa saman peilatun liikenteen (yleensä tämä tehdään verkkolaitteiden avulla).

Zgate-käyttötilan valinta

Zgate Web -komponentti ansaitsee erillisen tarinan. Se asennetaan suoraan yrityksen Internet-yhdyskäytävään. Samalla tämä alijärjestelmä saa mahdollisuuden valvoa HTTP-, FTP- ja pikaviestiliikennettä eli käsitellä sitä tunnistaakseen yritykset lähettää luottamuksellisia tietoja web-postirajapintojen ja ICQ:n kautta ja julkaista ne foorumeilla, FTP-palvelimilla ja sosiaalisessa mediassa. verkot jne. Muuten, noin ICQ. Pikaviestien estotoiminto on saatavilla monissa vastaavissa tuotteissa. Niissä ei kuitenkaan ole "ICQ:ta". Yksinkertaisesti siksi, että se on yleisin venäjänkielisissä maissa.

Zgate Web -komponentin toimintaperiaate on melko yksinkertainen. Joka kerta kun tiedot lähetetään jollekin ohjatuista palveluista, järjestelmä luo erityisen viestin. Se sisältää itse tiedot ja joitain palvelutietoja. Se lähetetään Zgate-pääpalvelimelle ja käsitellään määritettyjen sääntöjen mukaisesti. Tiedon lähettäminen ei tietenkään ole estetty itse palvelussa. Eli Zgate Web toimii vain lokitilassa. Sen avulla et voi estää yksittäisiä tietovuotoja, mutta voit nopeasti havaita ne ja pysäyttää vapaaehtoisen tai tahattoman hyökkääjän toiminnan.

Zgate Web -komponentin määrittäminen

Tietojen käsittelytapa Zgatessa ja suodatusmenettely määräytyvät turvallisuuspäällikön tai muun vastuullisen työntekijän laatiman politiikan mukaan. Se edustaa sarjaa ehtoja, joista jokainen vastaa tiettyä toimintaa. Kaikki saapuvat viestit "ajetaan" niiden läpi peräkkäin peräkkäin. Ja jos jokin ehdoista täyttyy, siihen liittyvä toiminta käynnistetään.

Suodatusjärjestelmä

Kaiken kaikkiaan järjestelmä tarjoaa 8 tyyppistä ehtoa, kuten sanotaan, "kaikkiin tilanteisiin". Ensimmäinen niistä on liitetiedostotyyppi. Sen avulla voit havaita yritykset lähettää tietyn muotoisia objekteja. On syytä huomata, että analyysiä ei suoriteta laajennuksen, vaan tiedoston sisäisen rakenteen perusteella, ja voit määrittää sekä tietyntyyppiset objektit että niiden ryhmät (esimerkiksi kaikki arkistot, videot jne.). Toinen ehtotyyppi on ulkoisen sovelluksen suorittama varmentaminen. Sovelluksena se voi toimia tavallisena ohjelmana, joka käynnistetään komentorivi ja käsikirjoitus.

Olosuhteet suodatusjärjestelmässä

Mutta seuraava ehto on syytä pohtia tarkemmin. Puhumme siirretyn tiedon sisältöanalyysistä. Ensinnäkin on huomioitava Zgaten "kaikkiruokaisuus". Tosiasia on, että ohjelma "ymmärtää" suuren määrän erilaisia muotoja. Siksi se voi analysoida yksinkertaisen tekstin lisäksi melkein mitä tahansa liitettä. Toinen sisältöanalyysin ominaisuus on sen erinomaiset ominaisuudet. Se voi koostua yksinkertaisesta esiintymän etsimisestä viestin tekstistä tai muusta tietyn sanan kentästä tai täysimittaisesta analyysistä, mukaan lukien kieliopillisten sanamuotojen, varsinaisen ja translitteroinnin huomioon ottaminen. Mutta siinä ei vielä kaikki. Mallien ja säännöllisten lausekkeiden analysointijärjestelmä ansaitsee erityismaininnan. Sen avulla voit helposti havaita tietyssä muodossa olevien tietojen läsnäolon viesteissä, esimerkiksi passin sarjan ja numeron, puhelinnumeron, sopimusnumeron, pankkitilin numeron jne. Tämän avulla voit muun muassa vahvistaa yrityksen käsittelemien henkilötietojen suojaa.

Mallit erilaisten luottamuksellisten tietojen tunnistamiseen

Neljäs ehtotyyppi on kirjeessä ilmoitettujen osoitteiden analyysi. Eli tiettyjen merkkijonojen etsiminen niiden joukosta. Viidenneksi - salattujen tiedostojen analyysi. Kun se suoritetaan, viestin ja/tai sisäkkäisten objektien attribuutit tarkistetaan. Kuudes ehtotyyppi on kirjainten eri parametrien tarkistaminen. Seitsemäs on sanakirja-analyysi. Tämän prosessin aikana järjestelmä havaitsee valmiiksi luoduista sanakirjoista olevien sanojen läsnäolon viestissä. Ja lopuksi, viimeinen, kahdeksas tyyppi on monimutkainen. Se edustaa kahta tai useampaa muuta ehtoa yhdistettynä loogisiin operaattoreihin.

Muuten, meidän on sanottava erikseen sanakirjoista, joita mainitsimme ehtojen kuvauksessa. Ne ovat sanaryhmiä, jotka on yhdistetty yhdellä ominaisuudella ja joita käytetään erilaisissa suodatusmenetelmissä. Loogisin tapa on luoda sanakirjoja, joiden avulla voit hyvin todennäköisesti luokitella viestin johonkin luokkaan. Niiden sisältö voidaan syöttää manuaalisesti tai tuoda olemassa olevista tekstitiedostoja. Sanakirjojen luomiseen on toinenkin vaihtoehto - automaattinen. Sitä käytettäessä järjestelmänvalvojan tarvitsee vain määrittää kansio, joka sisältää tarvittavat asiakirjat. Ohjelma itse analysoi ne, valitsee tarvittavat sanat ja määrittää niiden painoominaisuudet. Sanakirjojen korkealaatuista kokoamista varten on ilmoitettava luottamuksellisten tiedostojen lisäksi myös kohteet, jotka eivät sisällä arkaluonteisia tietoja. Yleensä automaattinen luontiprosessi muistuttaa eniten roskapostin torjuntaa mainoksissa ja tavallisissa kirjeissä. Ja tämä ei ole yllättävää, koska molemmat maat käyttävät samanlaisia tekniikoita.

Esimerkki sanakirjasta talousaiheesta

Sanakirjoista puhuttaessa emme myöskään voi olla mainitsematta toista Zgatessa toteutettua luottamuksellisten tietojen havaitsemistekniikkaa. Puhumme digitaalisista sormenjäljistä. ydin tätä menetelmää on seuraava. Järjestelmänvalvoja voi ilmoittaa järjestelmäkansioille, jotka sisältävät luottamuksellisia tietoja. Ohjelma analysoi kaikki niissä olevat asiakirjat ja luo "digitaaliset sormenjäljet" - tietojoukkoja, joiden avulla voit määrittää yrityksen siirtää paitsi koko tiedoston sisältö, myös sen yksittäiset osat. Huomaa, että järjestelmä valvoo automaattisesti sille määritettyjen kansioiden tilaa ja luo itsenäisesti "sormenjäljet" kaikille niissä uudelleen näkyville objekteille.

Luokan luominen tiedostojen digitaalisilla sormenjäljillä

No, nyt on enää vain selvitettävä, mitä toimia kyseisessä suojajärjestelmässä on toteutettu. Yhteensä niitä on jo 14 myyty Zgatessa. Suurin osa siitä kuitenkin määrittää viestin kanssa suoritettavat toimet. Näitä ovat erityisesti poistaminen lähettämättä (eli kirjeen lähetyksen estäminen), sen sijoittaminen arkistoon, liitteiden lisääminen tai poistaminen, eri kenttien muuttaminen, tekstin lisääminen jne. Niistä erityisesti kannattaa huomioida kirjeen sijoittaminen karanteeniin. Tämä toiminta antaa sinun "lykätä" viestin manuaalista varmennusta varten turvapäällikölle, joka päättää sen tulevasta kohtalosta. Erittäin mielenkiintoinen on myös toiminto, jonka avulla voit estää pikaviestiyhteyden. Sen avulla voidaan välittömästi estää kanava, jonka kautta luottamuksellisia tietoja sisältävä viesti välitettiin.

Kaksi toimintoa eroavat hieman toisistaan - käsittely Bayesin menetelmällä ja käsittely sormenjälkimenetelmällä. Molemmat on suunniteltu tarkistamaan viestit, sisältävätkö ne arkaluonteisia tietoja. Vain ensimmäinen käyttää sanakirjoja ja tilastoanalyysia, ja toinen käyttää digitaalisia sormenjälkiä. Nämä toiminnot voidaan suorittaa, kun tietty ehto täyttyy, esimerkiksi jos vastaanottajan osoite ei ole yrityksen toimialueella. Lisäksi ne (kuten muutkin) voidaan asettaa koskemaan ehdoitta kaikkiin lähteviin viesteihin. Tässä tapauksessa järjestelmä analysoi kirjaimet ja määrittää ne tiettyihin luokkiin (jos tämä tietysti on mahdollista). Mutta näille luokille voit jo luoda olosuhteet tiettyjen toimien toteuttamisella.

Toimet Zgate-järjestelmässä

No, tämänpäiväisen Zgate-keskustelumme lopussa voimme tiivistää sen hieman. Tämä suojausjärjestelmä perustuu ensisijaisesti viestien sisältöanalyysiin. Tämä lähestymistapa on yleisin suojattaessa luottamuksellisten tietojen vuotamista Internetin kautta. Sisältöanalyysi ei luonnollisesti tarjoa 100-prosenttista suojaustasoa ja on luonteeltaan melko todennäköistä. Sen käyttö kuitenkin estää useimpien arkaluonteisten tietojen luvattoman siirron. Pitäisikö yritysten käyttää sitä vai ei? Jokaisen on päätettävä tämä itse, arvioimalla toteutuksen kustannukset ja mahdollisia ongelmia tietovuotojen sattuessa. On syytä huomata, että Zgate tekee erinomaista työtä säännöllisten lausekkeiden keräämisessä, mikä tekee siitä erittäin tehokkaita keinoja yrityksen käsittelemien henkilötietojen suojaa.

Viimeaikaiset tietoturvatutkimukset, kuten vuotuinen CSI/FBI ComputerCrimeAndSecuritySurvey, ovat osoittaneet, että useimpien uhkien aiheuttamat taloudelliset tappiot yrityksille vähenevät vuosi vuodelta. On kuitenkin olemassa useita riskejä, joista tappiot kasvavat. Yksi niistä on luottamuksellisten tietojen tahallinen varastaminen tai niiden käsittelysääntöjen rikkominen niiden työntekijöiden toimesta, joiden pääsy kaupallisiin tietoihin on välttämätöntä virkatehtäviensä suorittamiseksi. Heitä kutsutaan sisäpiiriläisiksi.

Suurimmassa osassa tapauksista luottamuksellisten tietojen varkaus tapahtuu mobiilimedian avulla: CD- ja DVD-levyt, ZIP-laitteet ja mikä tärkeintä, kaikenlaisia USB-asemia. Juuri niiden massajakauma johti sisäpiirin kukoistukseen ympäri maailmaa. Useimpien pankkien johtajat ovat hyvin tietoisia vaaroista, jos esimerkiksi asiakkaiden henkilötietoja sisältävä tietokanta tai lisäksi heidän tilillään tapahtuvat tapahtumat joutuvat rikollisten rakenteiden käsiin. Ja he yrittävät taistella mahdollisia tietovarkauksia vastaan heidän käytettävissään olevilla organisatorisilla menetelmillä.

Organisaatiomenetelmät ovat kuitenkin tässä tapauksessa tehottomia. Nykyään voit järjestää tiedonsiirron tietokoneiden välillä käyttämällä miniatyyriä flash-asemaa, kännykkä, mp3-soitin, digikamera... Voit tietysti yrittää kieltää kaikkien näiden laitteiden tuomisen toimistoon, mutta tämä vaikuttaa ensinnäkin negatiivisesti suhteisiin työntekijöihin, ja toiseksi on mahdotonta tehokas valvoa ihmisiä erittäin vaikeaa - pankki ei " Postilaatikko" Eikä edes kaikkien laitteiden poistaminen käytöstä tietokoneissa, joita voidaan käyttää tietojen kirjoittamiseen ulkoisiin tietovälineisiin (FDD- ja ZIP-levyt, CD- ja DVD-asemat jne.) ja USB-portteihin. Loppujen lopuksi ensimmäisiä tarvitaan työhön, ja jälkimmäiset on kytketty erilaisiin oheislaitteisiin: tulostimiin, skannereihin jne. Ja kukaan ei voi estää henkilöä sammuttamasta tulostinta minuutiksi, asettamasta flash-asemaa vapaaseen porttiin ja kopioimasta siihen tärkeää tietoa. Voit tietysti löytää alkuperäisiä tapoja suojella itseäsi. Esimerkiksi yksi pankki kokeili tätä tapaa ratkaista ongelma: he täyttivät USB-portin ja kaapelin liitoskohdan epoksihartsilla ja "sidoivat" tiukasti jälkimmäisen tietokoneeseen. Mutta onneksi nykyään on nykyaikaisempia, luotettavampia ja joustavampia ohjausmenetelmiä.

Tehokkain tapa minimoida sisäpiiriläisiin liittyviä riskejä on erityinen ohjelmisto, joka ohjaa dynaamisesti kaikkia tietokoneen laitteita ja portteja, joita voidaan käyttää tietojen kopioimiseen. Heidän työnsä periaate on seuraava. Eri porttien ja laitteiden käyttöoikeudet asetetaan kullekin käyttäjäryhmälle tai jokaiselle käyttäjälle erikseen. Tällaisten ohjelmistojen suurin etu on joustavuus. Voit määrittää rajoituksia tietyntyyppisille laitteille, niiden malleille ja yksittäisille esiintymille. Näin voit toteuttaa erittäin monimutkaisia käyttöoikeuksien jakelukäytäntöjä.

Saatat esimerkiksi haluta antaa joidenkin työntekijöiden käyttää mitä tahansa USB-portteihin kytkettyä tulostimia tai skannereita. Kaikki muut tähän porttiin liitetyt laitteet eivät kuitenkaan ole käytettävissä. Jos pankissa on käytössä tokeneihin perustuva käyttäjätunnistusjärjestelmä, voit määrittää asetuksissa käytettävän avainmallin. Tällöin käyttäjät saavat käyttää vain yrityksen ostamia laitteita, ja kaikki muut ovat hyödyttömiä.

Edellä kuvatun suojausjärjestelmien toimintaperiaatteen perusteella voit ymmärtää, mitkä kohdat ovat tärkeitä valittaessa ohjelmia, jotka toteuttavat tallennuslaitteiden ja tietokoneporttien dynaamisen eston. Ensinnäkin se on monipuolisuus. Suojausjärjestelmän tulee kattaa kaikki mahdolliset portit ja tulo/lähtölaitteet. Muussa tapauksessa kaupallisten tietojen varkauksien riski pysyy liian korkeana. Toiseksi kyseessä olevan ohjelmiston on oltava joustava ja mahdollistaa sääntöjen luominen käyttämällä suurta määrää erilaisia tietoja laitteista: niiden tyypit, mallien valmistajat, kunkin esiintymän yksilölliset numerot jne. Kolmanneksi sisäpiirin suojajärjestelmän tulee pystyä integroitumaan pankin tietojärjestelmään, erityisesti ActiveDirectoryn kanssa. Muussa tapauksessa järjestelmänvalvojan tai turvapäällikön on ylläpidettävä kahta tietokantaa käyttäjistä ja tietokoneista, mikä ei ole vain epämukavaa, vaan myös lisää virheiden riskiä.

Tietojen suojaaminen sisäpiiriläisiltä ohjelmisto

Aleksanteri Antipov

Toivon itse artikkelin ja erityisesti sen keskustelun auttavan tunnistamaan ohjelmistotyökalujen käytön erilaisia vivahteita ja siitä tulee lähtökohta kehitettäessä ratkaisua kuvattuun ongelmaan tietoturva-asiantuntijoille.

nahna

Infowatch-yhtiön markkinointiosasto on jo pitkään vakuuttanut kaikki asiasta kiinnostuneet - IT-asiantuntijat sekä edistyneimmät IT-päälliköt, että suurin osa yrityksen tietoturvaloukkauksesta aiheutuvista vahingoista jää sisäpiiriläisille - työntekijät paljastavat. liikesalaisuuksia. Tavoite on selvä – valmistettavalle tuotteelle on luotava kysyntää. Ja perustelut näyttävät varsin vakavilta ja vakuuttavilta.

Ongelman muotoilu

Rakenna järjestelmä, joka suojaa tietoja henkilökunnan varkauksilta LAN-pohjaisena Active Directory Windows 2000/2003. Käyttäjien työasemat alla Windowsin ohjaus XP. Yrityksen johtaminen ja kirjanpito perustuu 1C-tuotteisiin.
Salaiset tiedot tallennetaan kolmella tavalla:

DB 1C - verkkoyhteys RDP:n kautta ( pääsy terminaaliin);
jaetut kansiot tiedostopalvelimilla - verkkoyhteys;
paikallisesti työntekijän tietokoneella;

Vuotokanavat - Internet ja siirrettävä tietoväline (flash-asemat, puhelimet, soittimet jne.). Internetin ja siirrettävien tietovälineiden käyttöä ei voida kieltää, koska ne ovat välttämättömiä virkatehtävien suorittamiseksi.

Mitä markkinoilla on

Jaoin tarkasteltavat järjestelmät kolmeen luokkaan:

Kontekstianalysaattoreihin perustuvat järjestelmät - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet jne.
Staattiseen laitteiden lukitukseen perustuvat järjestelmät - DeviceLock, ZLock, InfoWatch Net Monitor.
Dynaamiseen laitteiden estoon perustuvat järjestelmät - SecrecyKeeper, Strazh, Accord, SecretNet.

Kontekstianalysaattoreihin perustuvat järjestelmät

Toimintaperiaate:
Lähetetyistä tiedoista etsitään avainsanoja ja hakutulosten perusteella päätetään, onko lähetys tarpeen estää.

Mielestäni InfoWatch Traffic Monitorilla (www.infowatch.ru) on lueteltujen tuotteiden joukossa suurimmat ominaisuudet. Perustana on hyvin todistettu Kaspersky Antispam -moottori, joka ottaa kaikilta osin huomioon venäjän kielen erityispiirteet. Toisin kuin muut tuotteet, InfoWatch Traffic Monitor ottaa analysoinnissaan huomioon paitsi tiettyjen rivien olemassaolon tarkistettavissa tiedoissa, myös kunkin rivin ennalta määrätyn painon. Näin ollen lopullista päätöstä tehtäessä ei oteta huomioon vain tiettyjen sanojen esiintymistä, vaan myös yhdistelmiä, joissa ne esiintyvät, mikä mahdollistaa analysaattorin joustavuuden lisäämisen. Muut ominaisuudet ovat vakiona tämän tyyppisille tuotteille - arkistojen analysointi, MS Office -asiakirjat, kyky estää tuntemattoman muotoisten tiedostojen siirto tai salasanalla suojatut arkistot.

Tarkasteltavien järjestelmien haitat kontekstuaalisen analyysin perusteella:

Valvotaan vain kahta protokollaa - HTTP ja SMTP (InfoWatch Traffic Monitorille ja HTTP-liikenteelle vain POST-pyynnöillä lähetetyt tiedot tarkistetaan, mikä mahdollistaa vuotokanavan järjestämisen tiedonsiirrolla GET-menetelmällä);
Tiedonsiirtolaitteita ei ohjata - levykkeet, CD-levyt, DVD-levyt, USB-asemat jne. (InfoWatchilla on tuote tähän tapaukseen: InfoWatch Net Monitor).
sisältöanalyysiin perustuvien järjestelmien ohittamiseen riittää yksinkertaisin tekstikoodaus (esim.: secret -> с1е1к1р1е1т) tai steganografia;
seuraavaa ongelmaa ei voida ratkaista sisältöanalyysimenetelmällä - ei tule mieleen sopivaa muodollista kuvausta, joten annan vain esimerkin: Excel-tiedostoja on kaksi - ensimmäisessä on vähittäishinnat (julkiset tiedot), toinen - tukkuhinnat tietylle asiakkaalle (yksityiset tiedot), tiedostojen sisältö eroaa vain numeroista. Näitä tiedostoja ei voida erottaa sisältöanalyysin avulla.

Johtopäätös:
Kontekstuaalinen analyysi soveltuu vain liikennearkistojen luomiseen ja vahingossa tapahtuvien tietovuotojen torjuntaan, eikä ratkaise ongelmaa.

Staattiseen laitteiden estoon perustuvat järjestelmät

Toimintaperiaate:
Käyttäjille annetaan käyttöoikeudet ohjattuihin laitteisiin, kuten tiedostojen käyttöoikeudet. Periaatteessa lähes sama vaikutus voidaan saavuttaa käyttämällä tavallisia Windows-mekanismeja.

Zlock (www.securit.ru) - tuote ilmestyi suhteellisen äskettäin, joten siinä on vähän toiminnallisuutta (en laske röyhelöitä), eikä se ole erityisen hyvin toimiva, esimerkiksi hallintakonsoli kaatuu joskus, kun yrittää tallentaa asetukset.

DeviceLock (www.smartline.ru) on mielenkiintoisempi tuote, se on ollut markkinoilla melko pitkään, joten se toimii paljon vakaammin ja sillä on monipuolisempi toiminnallisuus. Se mahdollistaa esimerkiksi lähetetyn tiedon varjokopioimisen, mikä voi auttaa tapauksen tutkinnassa, mutta ei sen estämisessä. Lisäksi tällainen selvitys tehdään mitä todennäköisimmin, kun vuoto tulee tiedoksi, ts. huomattavan ajan kuluttua sen tapahtumisesta.

InfoWatch Net Monitor (www.infowatch.ru) koostuu moduuleista - DeviceMonitor (analoginen kuin Zlock), FileMonitor, OfficeMonitor, AdobeMonitor ja PrintMonitor. DeviceMonitor on Zlockin analogi, vakiotoiminto, ilman rusinoita. FileMonitor - tiedostojen pääsyn valvonta. OfficeMonitor ja AdobeMonitor antavat sinun hallita, miten tiedostoja käsitellään vastaavissa sovelluksissa. Tällä hetkellä FileMonitorille, OfficeMonitorille ja AdobeMonitorille on melko vaikeaa keksiä hyödyllistä, ei lelu-sovellusta, mutta tulevissa versioissa käsiteltyjen tietojen kontekstuaalinen analyysi pitäisi olla mahdollista. Ehkä sitten nämä moduulit paljastavat potentiaalinsa. Vaikka on syytä huomata, että tiedostotoimintojen kontekstuaalisen analyysin tehtävä ei ole triviaali, varsinkin jos sisällön suodatuspohja on sama kuin Traffic Monitorissa, ts. verkkoon.

Erikseen on sanottava agentin suojaamisesta käyttäjältä, jolla on paikalliset järjestelmänvalvojan oikeudet.
ZLockilla ja InfoWatch Net Monitorilla ei yksinkertaisesti ole tällaista suojaa. Nuo. käyttäjä voi pysäyttää agentin, kopioida tiedot ja käynnistää agentin uudelleen.

DeviceLockilla on tällainen suojaus, mikä on selvä plussa. Se perustuu järjestelmäkutsujen sieppaamiseen rekisterin kanssa työskentelyä varten, tiedostojärjestelmä ja prosessien hallinta. Toinen etu on, että suojaus toimii myös vikasietotilassa. Mutta on myös miinus - suojauksen poistamiseksi riittää palauttamaan palvelukuvaustaulukko, joka voidaan tehdä lataamalla yksinkertainen ohjain.

Tarkasteltavien järjestelmien haitat, jotka perustuvat staattiseen laitteen estoon:

Tietojen siirtoa verkkoon ei valvota.
-Ei osaa erottaa turvaluokiteltua tietoa ei-salaisesta tiedosta. Se toimii periaatteella, että joko kaikki on mahdollista tai mikään ei ole mahdotonta.
Suojaus aineen purkamista vastaan puuttuu tai ohitetaan helposti.

Johtopäätös:
Ei ole suositeltavaa ottaa käyttöön tällaisia järjestelmiä, koska ne eivät ratkaise ongelmaa.

Dynaamiseen laitteen lukitukseen perustuvat järjestelmät

Toimintaperiaate:
pääsy siirtokanaville on estetty riippuen käyttäjän käyttöoikeustasosta ja käsiteltävän tiedon salassapitoasteesta. Tämän periaatteen toteuttamiseksi nämä tuotteet käyttävät auktorisoitua kulunvalvontamekanismia. Tätä mekanismia ei esiinny kovin usein, joten käsittelen sitä yksityiskohtaisemmin.

Virallinen (pakotettu) kulunvalvonta, toisin kuin harkinnanvarainen (toteutettu Windows NT:n ja uudempien suojausjärjestelmissä), on se, että resurssin (esimerkiksi tiedoston) omistaja ei voi heikentää tämän resurssin pääsyn vaatimuksia, mutta voi vahvista niitä vain tasosi rajoissa. Vain käyttäjä, jolla on erityisvaltuuksia - tietoturvavastaava tai järjestelmänvalvoja - voi lieventää vaatimuksia.

Päätavoitteena kehitettäessä tuotteita, kuten Guardian, Accord, SecretNet, DallasLock ja jotkut muut, oli mahdollisuus sertifioida tietojärjestelmät, joihin nämä tuotteet asennetaan valtion teknisen toimikunnan (nyt FSTEC) vaatimusten mukaisiksi. Tällainen sertifiointi on pakollinen tietojärjestelmille, joissa käsitellään valtion tietoja. salaisuus, joka turvasi pääasiassa valtionyhtiöiden tuotteiden kysynnän.

Siksi näissä tuotteissa toteutetut toiminnot määritettiin asiaankuuluvien asiakirjojen vaatimusten mukaan. Mikä puolestaan johti siihen, että suurin osa tuotteisiin toteutetuista toiminnoista joko kopioi standardin Windowsin toiminnallisuus(objektien puhdistaminen poistamisen jälkeen, RAM-muistin puhdistaminen) tai käyttää sitä epäsuorasti (erityinen pääsynhallinta). Ja DallasLock-kehittäjät menivät vielä pidemmälle ottamalla käyttöön pakollisen pääsynhallinnan järjestelmään Windowsin harkinnanvaraisen valvontamekanismin avulla.

Tällaisten tuotteiden käytännön käyttö on äärimmäisen hankalaa; esimerkiksi DallasLock vaatii osioinnin uudelleen asennusta varten kovalevy, joka on myös suoritettava kolmannen osapuolen ohjelmistolla. Hyvin usein nämä järjestelmät poistettiin tai poistettiin käytöstä sertifioinnin jälkeen.

SecrecyKeeper (www.secrecykeeper.com) on toinen tuote, joka toteuttaa arvovaltaisen kulunvalvontamekanismin. Kehittäjien mukaan SecrecyKeeper kehitettiin erityisesti ratkaisemaan tietty ongelma - estämään tietojen varkaukset kaupallisessa organisaatiossa. Siksi, jälleen kehittäjien mukaan, kehittämisen aikana kiinnitettiin erityistä huomiota yksinkertaisuuteen ja helppokäyttöisyyteen sekä järjestelmänvalvojien että tavallisten käyttäjien kannalta. Kuinka hyvin tämä onnistui, jää kuluttajan arvioitavaksi, ts. meille. Lisäksi SecrecyKeeper toteuttaa useita mekanismeja, jotka puuttuvat muista mainituista järjestelmistä - esimerkiksi mahdollisuus asettaa yksityisyystaso resursseille etäkäytöllä ja agentin suojausmekanismi.
Tietojen liikkumisen ohjaus SecrecyKeeperissä on toteutettu Tietosalaisuustason, käyttöoikeustasojen ja tietokoneturvatason perusteella, mikä voi viedä arvot julkisiksi, salaisiksi ja huippusalaisiksi. Tietoturvatason avulla voit luokitella järjestelmässä käsiteltävät tiedot kolmeen luokkaan:

julkinen - ei salaisia tietoja, sen kanssa työskentelyssä ei ole rajoituksia;

salainen - salainen tieto, jonka kanssa työskenneltäessä rajoituksia otetaan käyttöön käyttäjän lupatasoista riippuen;

huippusalainen - huippusalainen tieto, jonka kanssa työskenneltäessä asetetaan rajoituksia käyttäjän käyttöoikeustasojen mukaan.

Tietoturvataso voidaan asettaa tiedostolle, verkkoasema ja sen tietokoneen portti, jossa jokin palvelu on käynnissä.

Käyttäjän suojatasojen avulla voit määrittää, kuinka käyttäjä voi siirtää tietoja suojaustasonsa perusteella. Seuraavat käyttöoikeustasot ovat olemassa:

User Permission Level - rajoittaa tietojen enimmäisturvatasoa, johon työntekijä voi päästä käsiksi;

Network Access Level - rajoittaa tietojen enimmäisturvatasoa, jonka työntekijä voi lähettää verkon yli;

Irrotettavan tietovälineen käyttöoikeustaso – rajoittaa tietojen enimmäisturvatasoa, jonka työntekijä voi kopioida ulkoiselle tietovälineelle.

Tulostimen käyttöoikeustaso – rajoittaa tietojen enimmäisturvatasoa, jonka työntekijä voi tulostaa.

Tietokoneen suojaustaso – määrittää tietokoneeseen tallennettavien ja käsiteltyjen tietojen enimmäisturvatason.

Yleisen turvatason tietoihin pääsyn voi antaa työntekijä, jolla on millä tahansa turvallisuusselvitys. Tällaisia tietoja voidaan siirtää verkon yli ja kopioida ulkoiselle medialle ilman rajoituksia. Julkiseksi luokitellun tiedon kanssa työskentelyn historiaa ei seurata.

Pääsyn tietoihin, joiden turvallisuustaso on salaisuus, voivat saada vain työntekijät, joiden selvitystaso on salainen tai korkeampi. Vain työntekijät, joiden verkon käyttöoikeustaso on salainen tai korkeampi, voivat lähettää tällaisia tietoja verkkoon. Vain työntekijät, joiden käyttöoikeus irrotettavaan tietovälineeseen on salainen tai korkeampi, voivat kopioida tällaisia tietoja ulkoisille tietovälineille. Vain työntekijät, joiden tulostimen käyttöoikeustaso on salainen tai korkeampi, voivat tulostaa tällaisia tietoja. Salaisen tason tiedon kanssa työskentelyn historia, ts. yrittää käyttää sitä, yrittää lähettää sen verkon kautta, yrittää kopioida sen ulkoiselle medialle tai tulostaa sen kirjataan lokiin.

Pääsyn tietoihin, joiden salassapitoaste on huippusalainen, voivat saada vain työntekijät, joiden tarkastustaso on sama kuin huippusalainen. Vain työntekijät, joiden verkon käyttöoikeustaso on sama kuin huippusalainen, voivat välittää tällaisia tietoja verkkoon. Vain työntekijät, joiden käyttöoikeus siirrettävään tietovälineeseen on sama kuin huippusalainen, voivat kopioida tällaisia tietoja ulkoisille tietovälineille. Vain työntekijät, joiden tulostimen käyttöoikeustaso on sama kuin huippusalainen, voivat tulostaa tällaisia tietoja. Historia huippusalaisen tiedon kanssa työskentelystä, ts. yrittää käyttää sitä, yrittää lähettää sen verkon kautta, yrittää kopioida sen ulkoiselle medialle tai tulostaa sen kirjataan lokiin.

Esimerkki: anna työntekijälle lupataso, joka on yhtä suuri kuin huippusalainen, verkon käyttöoikeustaso yhtä suuri kuin salainen, irrotettavan median käyttöoikeustaso yhtä suuri kuin julkinen ja tulostimen käyttöoikeustaso, joka on yhtä suuri kuin huippusalainen; tässä tapauksessa työntekijä voi päästä käsiksi dokumenttiin minkä tahansa salassapitotason kanssa, työntekijä voi siirtää tietoa verkkoon enintään salassa, kopioida esim. levykkeille, työntekijä voi vain julkisen salassapitotason, ja työntekijä voi tulostaa mitä tahansa tietoa tulostimelle .

Tietojen levittämisen hallitsemiseksi koko yrityksessä jokaiselle työntekijälle määrätylle tietokoneelle on määritetty tietokoneen suojaustaso. Tämä taso rajoittaa tietojen enimmäistasoa, jota jokainen työntekijä voi käyttää tietystä tietokoneesta riippumatta työntekijän selvitystasoista. Että. jos työntekijän selvitystaso on sama kuin huippusalainen, ja tietokone, jolla hän on Tämä hetki Worksin suojaustaso on yhtä suuri kuin julkinen, silloin työntekijä ei pääse käsiksi tältä työasemalta tietoihin, joiden suojaustaso on julkista korkeampi.

Yritetään teorian avulla ratkaista ongelma käyttämällä SecrecyKeeperiä. Tarkastelun kohteena olevan abstraktin yrityksen tietojärjestelmässä käsitellyt tiedot (ks. ongelmanselvitys) voidaan kuvata yksinkertaistetusti seuraavan taulukon avulla:

Yrityksen työntekijät ja heidän kiinnostuksen kohteidensa alue on kuvattu toisen taulukon avulla:

Salli seuraavia palvelimia käyttää yrityksessä:
Palvelin 1C
Tiedostopalvelin palloilla:
SecretDocs - sisältää salaisia asiakirjoja
PublicDocs - sisältää julkisesti saatavilla olevia asiakirjoja

Huomaa, että vakioominaisuuksia käytetään normaalin kulunvalvonnan järjestämiseen käyttöjärjestelmä ja sovellusohjelmistot, ts. Jotta esimerkiksi esimies ei pääse käsiksi työntekijöiden henkilötietoihin, ei ole tarvetta ottaa käyttöön lisäsuojajärjestelmiä. Puhumme nimenomaan sellaisen tiedon levittämisen estämisestä, johon työntekijällä on laillinen pääsy.

Siirrytään SecrecyKeeperin varsinaiseen kokoonpanoon.
En kuvaile hallintakonsolin ja agenttien asennusprosessia, kaikki on mahdollisimman yksinkertaista - katso ohjelman dokumentaatio.
Järjestelmän käyttöönotto koostuu seuraavien vaiheiden suorittamisesta.

Vaihe 1. Asenna agentit kaikkiin tietokoneisiin paitsi palvelimiin - tämä estää välittömästi niitä saamasta tietoja, joiden salassapitotaso on asetettu julkista korkeammaksi.

Vaihe 2. Määritä selvitystasot työntekijöille seuraavan taulukon mukaisesti:

	Käyttäjän käyttöoikeustaso	Verkon käyttöoikeustaso	Irrotettavan tietovälineen käyttöoikeustaso	Tulostimen käyttöoikeustaso
johtaja	salaisuus	salaisuus	salaisuus	salaisuus
johtaja	salaisuus	julkinen	julkinen	salaisuus
henkilöstöpäällikkö	salaisuus	julkinen	julkinen	salaisuus
kirjanpitäjä	salaisuus	julkinen	salaisuus	salaisuus
sihteeri	julkinen	julkinen	julkinen	julkinen

Vaihe 3. Määritä tietokoneen suojaustasot seuraavasti:

Vaihe 4. Määritä tietoturvatasot palvelimiin:

Vaihe 5. Määritä tietoturvatasot työntekijöiden tietokoneissa paikallisille tiedostoille. Tämä on aikaa vievin osa, koska on välttämätöntä ymmärtää selvästi, ketkä työntekijät työskentelevät minkä tiedon parissa ja kuinka tärkeitä nämä tiedot ovat. Jos organisaatiollesi on tehty tietoturva-auditointi, sen tulokset voivat helpottaa tehtävää huomattavasti.

Vaihe 6. Tarvittaessa SecrecyKeeper antaa sinun rajoittaa niiden ohjelmien luetteloa, joita käyttäjät voivat suorittaa. Tämä mekanismi toteutetaan itsenäisesti Windowsin ohjelmistorajoituskäytännöstä ja sitä voidaan käyttää, jos esimerkiksi on tarpeen asettaa rajoituksia käyttäjille, joilla on järjestelmänvalvojan oikeudet.

Näin ollen SecrecyKeeperin avulla on mahdollista vähentää merkittävästi turvaluokitellun tiedon luvattoman levittämisen riskiä - sekä vuotojen että varkauksien.

Virheet:
- vaikeus alkuasennus paikallisten tiedostojen yksityisyystasot;

Yleinen johtopäätös:
suurimmat mahdollisuudet tietojen suojaamiseen sisäpiiriläisiltä tarjoavat ohjelmistot, joilla on kyky dynaamisesti säädellä tiedonsiirtokanavien pääsyä työstettävän tiedon salassapitoasteen ja työntekijän turvallisuusselvitystason mukaan.

Yhtiö on ainutlaatuinen palvelu ostajille, kehittäjille, jälleenmyyjille ja tytäryhtiökumppaneille. Lisäksi tämä on yksi niistä parhaat verkkokaupat Ohjelmisto Venäjällä, Ukrainassa, Kazakstanissa, joka tarjoaa asiakkaille laajan valikoiman, monia maksutapoja, nopean (usein välittömän) tilauksen käsittelyn, tilausprosessin seurannan henkilökohtaisessa osiossa.

Viime aikoina sisäisiltä uhilta suojautumisongelmasta on tullut todellinen haaste yritysten tietoturvan ymmärrettävälle ja vakiintuneelle maailmalle. Lehdistö puhuu sisäpiiriläisistä, tutkijat ja analyytikot varoittavat mahdollisista menetyksistä ja ongelmista, ja uutissyötteet ovat täynnä uutisia uudesta tapauksesta, joka johti satojen tuhansien asiakastietojen vuotamiseen työntekijän virheen tai huolimattomuuden vuoksi. Yritetään selvittää, onko tämä ongelma niin vakava, tarvitseeko sitä käsitellä ja mitä työkaluja ja tekniikoita on olemassa sen ratkaisemiseksi.

Ensinnäkin on syytä todeta, että tietojen luottamuksellisuuden uhka on sisäinen, jos sen lähde on yrityksen työntekijä tai joku muu henkilö, jolla on laillinen pääsy näihin tietoihin. Siten, kun puhumme sisäpiiriuhkauksista, puhumme mistä tahansa mahdollisia toimia lailliset käyttäjät, tahalliset tai vahingossa, mikä voi johtaa luottamuksellisten tietojen vuotamiseen yrityksen yritysverkon ulkopuolelle. Kuvan täydentämiseksi on syytä lisätä, että tällaisia käyttäjiä kutsutaan usein sisäpiiriläisiksi, vaikka tällä termillä on muita merkityksiä.

Tuoreiden tutkimusten tulokset vahvistavat sisäisten uhkien ongelman merkityksen. Varsinkin lokakuussa 2008 julkistettiin Compuwaren ja Ponemon Instituen yhteisen tutkimuksen tulokset, joiden mukaan sisäpiiriläiset ovat yleisin tietovuotojen syy (75 % tapauksista Yhdysvalloissa), kun taas hakkerit olivat vasta viidennellä sijalla. paikka. Computer Security Instituten (CSI) vuoden 2008 vuotuisessa tutkimuksessa sisäpiiriuhkatapausten lukumäärät ovat seuraavat:

Tapausten määrä prosentteina tarkoittaa sitä, mikä vastaajien kokonaismäärästä tämä tyyppi tapaus sattui tietyssä prosenttiosuudessa organisaatioita. Kuten näistä luvuista voidaan nähdä, lähes jokaisella organisaatiolla on riski joutua sisäisiin uhkiin. Vertailun vuoksi, saman raportin mukaan virukset vaikuttivat 50 prosenttiin kyselyyn osallistuneista organisaatioista, ja hakkerit soluttautuivat paikallinen verkko vain 13 % kohtasi sen.

Täten, sisäisiä uhkia– Tämä on tämän päivän todellisuutta, ei analyytikkojen ja myyjien keksimää myyttiä. Joten niiden, jotka vanhanaikaisesti uskovat, että yritysten tietoturva on palomuuri ja virustentorjunta, on tarkasteltava ongelmaa laajemmin mahdollisimman pian.

Myös henkilötiedoista annettu laki lisää jännitystä, jonka mukaan järjestöt ja viranomaiset joutuvat vastaamaan paitsi johtajilleen myös asiakkailleen ja laille henkilötietojen virheellisestä käsittelystä.

Intruder malli

Perinteisesti uhkia ja niitä vastaan puolustautumisia pohdittaessa on aloitettava vihollisen mallin analyysi. Kuten jo mainittiin, puhumme sisäpiiriläisistä - organisaation työntekijöistä ja muista käyttäjistä, joilla on laillinen pääsy luottamuksellisiin tietoihin. Pääsääntöisesti jokainen ajattelee näillä sanoilla osana yritysverkkoa tietokoneella työskentelevää toimistotyöntekijää, joka ei poistu organisaation toimistosta työskennellessään. Tällainen esitys on kuitenkin epätäydellinen. Sitä on tarpeen laajentaa kattamaan muuntyyppiset henkilöt, joilla on laillinen pääsy tietoihin ja jotka voivat poistua organisaation toimistosta. Tällaisia voivat olla liikematkailijat, joilla on kannettava tietokone, tai toimistossa ja kotona työskentelevät, kuriirit, jotka kuljettavat tietovälineitä, ensisijaisesti magneettinauhoja varmuuskopioineen jne.

Tällainen laajennettu tunkeilijamallin tarkastelu sopii ensinnäkin konseptiin, koska näiden tunkeilijoiden aiheuttamat uhat liittyvät myös sisäisiin, ja toiseksi sen avulla voimme analysoida ongelmaa laajemmin ottaen huomioon kaikki mahdollisia vaihtoehtoja torjua näitä uhkia.

Seuraavat sisäisten rikkojien päätyypit voidaan erottaa:

Epälojaaleja / katkera työntekijä.Tähän luokkaan kuuluvat rikkojat voivat toimia tarkoituksellisesti esimerkiksi vaihtamalla työpaikkaa ja halutessaan napata luottamuksellisia tietoja kiinnostaakseen uutta työnantajaa tai emotionaalisesti, jos he kokevat olevansa loukkaantuneet, haluten kostaa. He ovat vaarallisia, koska he ovat eniten motivoituneita aiheuttamaan vahinkoa organisaatiolle, jossa he tällä hetkellä työskentelevät. Epälojaalien työntekijöiden tapausten määrä on pääsääntöisesti pieni, mutta se voi lisääntyä epäsuotuisissa taloudellisissa tilanteissa ja massiivisissa henkilöstövähennyksissä.
soluttautunut, lahjottu tai manipuloitu työntekijä.Tässä tapauksessa me puhumme mistä tahansa tarkoituksellisesta toiminnasta, yleensä teollisesta vakoilusta kovan kilpailun olosuhteissa. Luottamuksellisten tietojen keräämiseksi he joko tuovat oman henkilönsä kilpailevaan yritykseen tiettyjä tarkoituksia varten tai etsivät vähemmän kuin uskollisen työntekijän ja lahjovat hänet tai pakottavat uskollisen mutta huolimattoman työntekijän luovuttamaan luottamuksellisia tietoja manipuloinnin avulla. Tällaisten tapausten määrä on yleensä jopa vähemmän kuin aikaisemmat, koska kilpailu ei ole Venäjän federaation useimmilla talouden sektoreilla kovin kehittynyttä tai sitä toteutetaan muilla tavoilla.
Huolimaton työntekijä. Tämä tyyppi rikkoja on uskollinen, mutta välinpitämätön tai huolimaton työntekijä, joka saattaa rikkoa käytäntöjä sisäinen turvallisuus yrittäjyyttä tietämättömyytensä tai unohtamisen vuoksi. Tällainen työntekijä saattaa vahingossa lähettää sähköpostin, johon on liitetty arkaluontoinen tiedosto väärälle henkilölle, tai viedä kotiin luottamuksellisia tietoja sisältävän flash-aseman, jota hän voi työstää viikonloppuna ja kadottaa sen. Tähän tyyppiin kuuluvat myös työntekijät, jotka menettävät kannettavat tietokoneet ja magneettinauhat. Monien asiantuntijoiden mukaan tämäntyyppiset sisäpiiriläiset ovat vastuussa suurimmasta osasta luottamuksellisten tietojen vuotamista.

Siten mahdollisten rikkojien motiivit ja siten myös toimintatavat voivat vaihdella merkittävästi. Tästä riippuen sinun tulee lähestyä organisaation sisäisen turvallisuuden varmistamista.

Tekniikat suojaamaan sisäpiirin uhkia vastaan

Huolimatta tämän markkinasegmentin suhteellisesta nuoruudesta, asiakkailla on jo nyt paljon valinnanvaraa tavoitteidensa ja taloudellisten mahdollisuuksiensa mukaan. On syytä huomata, että nyt markkinoilla ei käytännössä ole yksinomaan sisäisiin uhkiin erikoistuneita myyjiä. Tämä tilanne ei ole syntynyt pelkästään tämän segmentin kypsymättömyyden vuoksi, vaan myös perinteisten tietoturvatuotteiden valmistajien ja muiden toiminnasta kiinnostuneiden toimittajien aggressiivisesta ja joskus kaoottisesta fuusioiden ja yritysostojen politiikasta. Kannattaa muistaa vuonna 2006 EMC:n divisioonaksi muodostunut yritys RSA Data Security, NetAppin ostama startup Decru, joka kehitti palvelintallennusjärjestelmiä ja varmuuskopiot vuonna 2005, Symantecin osto DLP-toimittaja Vontun vuonna 2007 jne.

Huolimatta siitä, että suuri määrä tällaisia liiketoimia osoittaa tämän segmentin hyviä kehitysnäkymiä, ne eivät aina hyödytä siiven alle tulevien tuotteiden laatua. suuret yritykset. Tuotteet alkavat kehittyä hitaammin, eivätkä kehittäjät reagoi markkinoiden vaatimuksiin yhtä nopeasti kuin pitkälle erikoistunut yritys. Tämä on tunnettu suurten yritysten sairaus, jotka, kuten tiedämme, menettävät liikkuvuudessaan ja tehokkuudessaan pienemmille veljilleen. Toisaalta asiakkaiden palvelun laatu ja tuotteiden saatavuus eri puolilla maailmaa paranevat heidän palvelu- ja myyntiverkostonsa kehittymisen myötä.

Tarkastellaan tärkeimpiä nykyisin sisäisten uhkien neutraloimiseen käytettyjä teknologioita, niiden etuja ja haittoja.

Asiakirjojen hallinta

Asiakirjanhallintatekniikka sisältyy nykyaikaisiin oikeuksienhallintatuotteisiin, kuten Microsoft Windows Oikeuksien hallintapalvelut, Adobe LiveCycle Rights Management ES ja Oracle Information Rights Management.

Näiden järjestelmien toimintaperiaate on määrittää käyttösäännöt jokaiselle asiakirjalle ja hallita näitä oikeuksia sovelluksissa, jotka toimivat tämäntyyppisten asiakirjojen kanssa. Voit esimerkiksi luoda asiakirjan Microsoft Word ja aseta sille säännöt: kuka voi katsella sitä, kuka voi muokata ja tallentaa muutoksia ja kuka voi tulostaa. Näitä sääntöjä kutsutaan Windows RMS-ehdoissa lisenssiksi ja ne tallennetaan tiedoston mukana. Tiedoston sisältö on salattu, jotta luvattomat käyttäjät eivät pääse katsomaan sitä.

Nyt, jos joku käyttäjä yrittää avata tällaisen suojatun tiedoston, sovellus ottaa yhteyttä erityiseen RMS-palvelimeen, vahvistaa käyttäjän käyttöoikeudet ja jos pääsy tälle käyttäjälle on sallittu, palvelin välittää sovellukselle avaimen tämän tiedoston ja tietojen salauksen purkamiseksi. tämän käyttäjän oikeuksista. Näiden tietojen perusteella sovellus asettaa käyttäjän saataville vain ne toiminnot, joihin hänellä on oikeudet. Jos käyttäjä ei esimerkiksi saa tulostaa tiedostoa, sovelluksen tulostustoiminto ei ole käytettävissä.

Osoittautuu, että tällaisen tiedoston tiedot ovat turvassa, vaikka tiedosto joutuisi yritysverkon ulkopuolelle - se on salattu. RMS-toiminnallisuus on jo sisäänrakennettu sovelluksiin Microsoft Office 2003 Professional Edition. RMS-toimintojen upottamiseksi muiden kehittäjien sovelluksiin Microsoft tarjoaa erityisen SDK:n.

Adoben dokumentinhallintajärjestelmä on rakennettu samalla tavalla, mutta keskittyy PDF-muotoisiin asiakirjoihin. Oracle IRM asennetaan asiakastietokoneisiin agenttina ja integroituu sovelluksiin suorituksen aikana.

Asiakirjojen valvonta on tärkeä osa sisäpiirin uhkien suojaamisen yleistä käsitettä, mutta tämän tekniikan luontaiset rajoitukset on otettava huomioon. Ensinnäkin se on suunniteltu yksinomaan asiakirjatiedostojen valvontaan. Jos puhumme jäsentämättömistä tiedostoista tai tietokannoista, tämä tekniikka ei toimi. Toiseksi, jos hyökkääjä tämän järjestelmän SDK:ta käyttämällä luo yksinkertaisen sovelluksen, joka kommunikoi RMS-palvelimen kanssa, vastaanottaa sieltä salausavaimen ja tallentaa asiakirjan selkeänä tekstinä ja käynnistää tämän sovelluksen sellaisen käyttäjän puolesta, joka on asiakirjaan pääsyn vähimmäistaso tämä järjestelmä ohitetaan. Lisäksi on otettava huomioon vaikeudet dokumenttien valvontajärjestelmän käyttöönotossa, jos organisaatiolla on jo useita asiakirjoja - asiakirjojen luokittelu ja käyttöoikeuksien myöntäminen voi vaatia merkittäviä ponnisteluja.

Tämä ei tarkoita, etteivätkö asiakirjanhallintajärjestelmät täytä tehtäväänsä, on vain muistettava, että tietoturva on monimutkainen ongelma, jota ei pääsääntöisesti voida ratkaista yhden työkalun avulla.

Vuotosuojaus

Termi tietojen häviämisen esto (DLP) ilmestyi tietoturva-asiantuntijoiden sanavarastoon suhteellisen äskettäin, ja siitä on tullut jo liioittelematta viime vuosien kuumin aihe. Lyhenne DLP viittaa pääsääntöisesti järjestelmiin, jotka valvovat mahdollisia vuotokanavia ja estävät ne, jos näiden kanavien kautta yritetään lähettää luottamuksellisia tietoja. Lisäksi funktiossa vastaavia järjestelmiä sisältää usein mahdollisuuden arkistoida niiden kautta kulkevaa tietoa myöhempiä auditointeja, tapausten tutkintaa ja mahdollisten riskien takautuvaa analysointia varten.

DLP-järjestelmiä on kahdenlaisia: verkko-DLP ja isäntä-DLP.

Verkko DLP toimivat verkkoyhdyskäytävän periaatteella, joka suodattaa kaiken sen läpi kulkevan tiedon. On selvää, että sisäisten uhkien torjuntatehtävän perusteella tällaisen suodatuksen tärkein etu on kyky hallita yritysverkon ulkopuolelta Internetiin siirrettyä tietoa. Verkko-DLP:iden avulla voit valvoa lähtevää postia, http- ja ftp-liikennettä, pikaviestipalveluita jne. Jos arkaluonteisia tietoja havaitaan, verkon DLP:t voivat estää lähetetyn tiedoston. On myös vaihtoehtoja epäilyttävien tiedostojen manuaaliseen käsittelyyn. Epäilyttävät tiedostot asetetaan karanteeniin, jonka turvapäällikkö tarkastaa säännöllisesti ja joko sallii tai kieltää tiedostojen siirron. Protokollan luonteesta johtuen tällainen käsittely on kuitenkin mahdollista vain sähköpostille. Lisää mahdollisuuksia auditointiin ja tapausten tutkimiseen tarjoaa arkistoimalla kaikki yhdyskäytävän kautta kulkevat tiedot edellyttäen, että tämä arkisto tarkistetaan määräajoin ja sen sisältö analysoidaan tapahtuneiden vuotojen havaitsemiseksi.

Yksi suurimmista ongelmista DLP-järjestelmien toteutuksessa ja toteutuksessa on tapa tunnistaa luottamukselliset tiedot, eli se hetki, jolloin tehdään päätös siitä, onko siirretty tieto luottamuksellista ja millä perusteilla tällaista päätöstä tehtäessä otetaan huomioon. . Yleensä tämä tehdään analysoimalla sisältöä siirretyt asiakirjat, jota kutsutaan myös sisältöanalyysiksi. Tarkastellaan tärkeimpiä lähestymistapoja luottamuksellisten tietojen havaitsemiseen.

Tunnisteet. Tämä menetelmä on samanlainen kuin edellä käsitellyt asiakirjanhallintajärjestelmät. Tarrat on upotettu asiakirjoihin, jotka kuvaavat tietojen luottamuksellisuuden astetta, mitä tälle asiakirjalle voidaan tehdä ja kenelle se tulee lähettää. Tunnisteanalyysin tulosten perusteella DLP-järjestelmä päättää, onko se mahdollista Tämä asiakirja lähetä ulos vai ei. Jotkut DLP-järjestelmät on alun perin tehty yhteensopiviksi oikeuksien hallintajärjestelmien kanssa, jotta ne voivat käyttää näiden järjestelmien asentamia tarroja; toiset järjestelmät käyttävät omaa etikettimuotoaan.
Allekirjoitukset. Tämä menetelmä koostuu yhden tai useamman merkkijonon määrittämisestä, joiden esiintymisen siirrettävän tiedoston tekstissä pitäisi kertoa DLP-järjestelmälle, että tämä tiedosto sisältää luottamuksellisia tietoja. Suuri määrä allekirjoituksia voidaan järjestää sanakirjoihin.
Bayesin menetelmä. Tätä roskapostin torjuntaan käytettyä menetelmää voidaan käyttää menestyksekkäästi myös DLP-järjestelmissä. Tämän menetelmän soveltamiseksi luodaan luettelo kategorioista ja ilmaistaan sanaluettelo todennäköisyydellä, että jos sana esiintyy tiedostossa, niin tiedosto tietyllä todennäköisyydellä kuuluu tai ei kuulu määritettyyn luokkaan.
Morfologinen analyysi.Morfologisen analyysin menetelmä on samanlainen kuin allekirjoitus, erona on, että ei analysoida 100-prosenttista vastaavuutta allekirjoituksen kanssa, vaan myös samanlaiset juurisanat otetaan huomioon.
Digitaaliset tulosteet.Tämän menetelmän ydin on, että kaikille luottamuksellisille asiakirjoille lasketaan hajautusfunktio siten, että jos dokumenttia hieman muutetaan, tiivistefunktio pysyy samana tai myös muuttuu hieman. Näin ollen luottamuksellisten asiakirjojen havaitsemisprosessi yksinkertaistuu huomattavasti. Huolimatta siitä, että monet myyjät ja jotkut analyytikot ovat kehuneet tätä tekniikkaa, sen luotettavuus jättää paljon toivomisen varaa, ja kun otetaan huomioon se tosiasia, että toimittajat eri tekosyillä mieluummin jättävät digitaalisen sormenjälkialgoritmin toteutuksen yksityiskohdat hämärään, luottaa. se ei lisäänny.
Säännölliset lausekkeet.Kaikki ohjelmoinnin parissa työskentelevät tuntevat, säännöllisiä lausekkeita helpottaa mallitietojen löytämistä tekstistä, kuten puhelinnumerot, passitiedot, pankkitilinumerot, sosiaaliturvatunnukset jne.

Yllä olevasta luettelosta on helppo nähdä, että havaitsemismenetelmät eivät joko takaa sataprosenttista luottamuksellisten tietojen tunnistamista, koska sekä ensimmäisen että toisen tyypin virhetaso niissä on melko korkea, tai vaativat turvapalvelun jatkuvaa valppautta. päivittää ja ylläpitää ajan tasalla olevaa luetteloa luottamuksellisten asiakirjojen allekirjoituksista tai määritystarroista.

Lisäksi liikenteen salaus voi aiheuttaa tietyn ongelman verkon DLP:n toiminnassa. Jos suojausvaatimukset edellyttävät sähköpostiviestien salaamista tai SSL:n käyttöä, kun muodostat yhteyden verkkoresursseihin, siirretyissä tiedostoissa olevien luottamuksellisten tietojen määrittämisongelma voi olla erittäin vaikea ratkaista. Älä unohda, että joissakin pikaviestipalveluissa, kuten Skype, on oletusarvoisesti sisäänrakennettu salaus. Sinun on kieltäydyttävä tällaisten palvelujen käytöstä tai käytettävä isäntä-DLP:tä niiden hallitsemiseen.

Kuitenkin kaikista vaikeuksista huolimatta, milloin oikea asetus Vakavasti otettuna verkon DLP voi vähentää merkittävästi luottamuksellisten tietojen vuotamisen riskiä ja tarjota organisaatiolle kätevän sisäisen valvonnan.

Isäntä DLP on asennettu jokaiselle verkon isännälle (asiakastyöasemille ja tarvittaessa palvelimille) ja niitä voidaan käyttää myös Internet-liikenteen ohjaamiseen. Isäntäpohjaiset DLP:t ovat kuitenkin vähemmän yleisiä tässä ominaisuudessa, ja niitä käytetään tällä hetkellä pääasiassa ohjaukseen ulkoisia laitteita ja tulostimet. Kuten tiedät, flash-aseman tai MP3-soittimen töihin tuova työntekijä on paljon suurempi uhka yrityksen tietoturvalle kuin kaikki hakkerit yhteensä. Näitä järjestelmiä kutsutaan myös verkon päätepisteiden suojaustyökaluiksi ( päätepisteen suojaus), vaikka tätä termiä käytetään usein laajemmin, esimerkiksi virustorjuntatuotteita kutsutaan joskus tällä tavalla.

Kuten tiedät, ulkoisten laitteiden käytön ongelma voidaan ratkaista ilman keinoja poistamalla portit joko fyysisesti tai käyttöjärjestelmän avulla tai hallinnollisesti kieltämällä työntekijöitä tuomasta tallennusvälineitä toimistoon. Useimmissa tapauksissa "halpaa ja iloista" lähestymistapaa ei kuitenkaan voida hyväksyä, koska liiketoimintaprosessien edellyttämää tietopalveluiden joustavuutta ei anneta.

Tästä johtuen sille on ollut tiettyä kysyntää erityisiä keinoja, jonka avulla voit joustavammin ratkaista yrityksen työntekijöiden ulkoisten laitteiden ja tulostimien käytön ongelman. Tällaisten työkalujen avulla voit määrittää käyttäjien käyttöoikeudet erilaisia tyyppejä laitteita, esimerkiksi yhdelle käyttäjäryhmälle kieltää työskentely median kanssa ja sallia heidän työskennellä tulostimien kanssa, ja toiselle - sallia työskentely median kanssa vain luku -tilassa. Jos yksittäisille käyttäjille on tarpeen tallentaa tietoja ulkoisista laitteista, voidaan käyttää varjokopiointitekniikkaa, joka varmistaa, että kaikki ulkoiselle laitteelle tallennetut tiedot kopioidaan palvelimelle. Kopioituja tietoja voidaan myöhemmin analysoida käyttäjän toimien analysoimiseksi. Tämä tekniikka kopioi kaiken, eikä tällä hetkellä ole järjestelmiä, jotka mahdollistaisivat tallennettujen tiedostojen sisällön analysoinnin toiminnan estämiseksi ja vuotojen estämiseksi, kuten verkon DLP:t tekevät. Varjokopioiden arkisto tarjoaa kuitenkin tapahtumien tutkintaa ja verkon tapahtumien retrospektiivistä analysointia, ja tällaisen arkiston olemassaolo tarkoittaa, että mahdollinen sisäpiiriläinen voidaan saada kiinni ja rangaista teoistaan. Tämä voi osoittautua hänelle merkittäväksi esteeksi ja merkittäväksi syyksi luopua vihamielisistä toimista.

On myös syytä mainita tulostimien käytön valvonta - myös asiakirjojen paperikopiot voivat tulla vuotolähteeksi. Hosted DLP:n avulla voit hallita käyttäjien pääsyä tulostimiin samalla tavalla kuin muiden ulkoisten laitteiden kanssa ja tallentaa tulostettujen asiakirjojen kopioita graafinen muoto myöhempää analyysiä varten. Lisäksi jonkin verran on levinnyt vesileimatekniikka, joka tulostaa jokaiselle asiakirjan sivulle yksilöllisen koodin, jonka avulla voidaan määrittää tarkalleen kuka, milloin ja missä on tulostanut tämän asiakirjan.

Huolimatta isäntäpohjaisen DLP:n kiistattomista eduista, niillä on useita haittoja, jotka liittyvät tarpeeseen asentaa agenttiohjelmisto jokaiseen valvottavaan tietokoneeseen. Ensinnäkin tämä voi aiheuttaa tiettyjä vaikeuksia tällaisten järjestelmien käyttöönotossa ja hallinnassa. Toiseksi käyttäjä, jolla on järjestelmänvalvojan oikeudet, voi yrittää poistaa tämän ohjelmiston käytöstä suorittaakseen toimintoja, joita suojauskäytäntö ei salli.

Isäntäpohjainen DLP on kuitenkin välttämätön ulkoisten laitteiden luotettavaan ohjaukseen, eivätkä mainitut ongelmat ole ratkaisemattomia. Näin ollen voimme päätellä, että DLP-konsepti on nyt täysi työkalu yritysten turvallisuuspalveluiden arsenaalissa, kun niihin kohdistuu jatkuvasti lisääntyviä paineita varmistaa sisäisen valvonnan ja suojan vuotoja vastaan.

IPC-konsepti

Uusien sisäisten uhkien torjuntakeinojen keksimisprosessissa modernin yhteiskunnan tieteellinen ja tekninen ajattelu ei pysähdy, ja ottaen huomioon keinojen tietyt puutteet, joista käsiteltiin edellä, tietovuotojen suojausjärjestelmien markkinat ovat tulleet IPC-käsite (Information Protection and Control). Tämä termi ilmestyi suhteellisen äskettäin; uskotaan, että sitä käytettiin ensimmäisen kerran analyyttisen yrityksen IDC:n katsauksessa vuonna 2007.

Tämän konseptin ydin on yhdistää DLP ja salausmenetelmät. Tässä konseptissa DLP:n avulla yritysverkosta lähtevää tietoa ohjataan kautta teknisiä kanavia, ja salausta käytetään suojaamaan tallennusvälineitä, jotka fyysisesti putoavat tai voivat joutua luvattomien henkilöiden käsiin.

Katsotaanpa yleisimpiä salaustekniikoita, joita voidaan käyttää IPC-konseptissa.

Magneettinauhan salaus.Huolimatta tämän tyyppisen median arkaaisuudesta, sitä käytetään edelleen aktiivisesti Varakopio ja suurten tietomäärien siirtämiseen, koska sillä ei vieläkään ole tasa-arvoa tallennetun megatavun yksikköhinnalla. Näin ollen nauhavuodot ilahduttavat edelleen uutislehtien toimittajia, jotka laittoivat ne etusivulle, ja turhauttavat yritysten tietohallintopäälliköitä ja tietoturvatiimejä, joista tulee tällaisten raporttien sankareita. Tilannetta pahentaa se, että tällaiset nauhat sisältävät erittäin suuria määriä dataa, ja siksi suuri joukko ihmisiä voi joutua huijareiden uhreiksi.
Palvelimen tallennusten salaus.Huolimatta siitä, että palvelintallennustilaa kuljetetaan hyvin harvoin ja sen katoamisriski on mittaamattoman pienempi kuin magneettinauhan, erillinen HDD varastosta saattaa joutua rikollisten käsiin. Korjaus, hävittäminen, päivitys - nämä tapahtumat tapahtuvat riittävän säännöllisesti tämän riskin poistamiseksi. Eikä tilanne, jossa asiattomat henkilöt tulevat toimistoon, ei ole täysin mahdoton tapahtuma.

Tässä kannattaa tehdä pieni poikkeama ja mainita yleinen harhakäsitys, että jos levy on osa RAID-ryhmää, niin luultavasti sinun ei tarvitse huolehtia sen joutumisesta vääriin käsiin. Näyttäisi siltä, että tallennettujen tietojen vaihto useiksi Kovalevyt, jonka RAID-ohjaimet suorittavat, tarjoaa lukukelvottoman ulkonäön tiedoille, jotka sijaitsevat missä tahansa kovassa tyypissä. Valitettavasti tämä ei ole täysin totta. Lomittelua tapahtuu, mutta useimmissa nykyaikaisissa laitteissa se tehdään 512-tavun lohkotasolla. Tämä tarkoittaa, että tiedostorakenteen ja -muotojen rikkomisesta huolimatta luottamuksellisia tietoja voidaan silti poimia tällaiselta kiintolevyltä. Siksi, jos RAID-ryhmään tallennettujen tietojen luottamuksellisuus on varmistettava, salaus on edelleen ainoa luotettava vaihtoehto.

Kannettavien tietokoneiden salaus.Tämä on sanottu jo lukemattomia kertoja, mutta silti luottamuksellisia tietoja sisältävien kannettavien tietokoneiden katoaminen ei ole ollut viiden parhaan joukossa tapausten hittiparaatissa jo moneen vuoteen.
Irrotettavan tietovälineen salaus.Tässä tapauksessa puhutaan kannettavista USB-laitteista ja joskus tallennettavista CD- ja DVD-levyistä, jos niitä käytetään yrityksen liiketoimintaprosesseissa. Tällaiset järjestelmät, kuten myös edellä mainitut kannettavan tietokoneen kiintolevyn salausjärjestelmät, voivat usein toimia isäntä-DLP-järjestelmien komponentteina. Tässä tapauksessa he puhuvat eräänlaisesta kryptografisesta kehästä, joka varmistaa sisällä olevan median automaattisen läpinäkyvän salauksen ja kyvyttömyyden purkaa tietoja sen ulkopuolella.

Näin ollen salaus voi merkittävästi laajentaa DLP-järjestelmien ominaisuuksia ja vähentää luottamuksellisten tietojen vuotamisen riskiä. Huolimatta siitä, että IPC-konsepti muotoutui suhteellisen äskettäin ja monimutkaisten IPC-ratkaisujen valikoima markkinoilla ei ole kovin laaja, ala tutkii aktiivisesti tätä aluetta ja on täysin mahdollista, että jonkin ajan kuluttua tästä konseptista tulee de tosiasiallinen standardi sisäisen turvallisuuden ja sisäisen turvallisuuden ongelmien ratkaisemiseksi.

johtopäätöksiä

Kuten tästä katsauksesta näkyy, sisäiset uhat ovat varsin uusi tietoturva-alue, joka kuitenkin kehittyy aktiivisesti ja vaatii entistä enemmän huomiota. Harkitut asiakirjanhallintatekniikat, DLP ja IPC mahdollistavat melko luotettavan sisäisen valvontajärjestelmän rakentamisen ja vuotojen riskin pienentämisen hyväksyttävälle tasolle. Epäilemättä tämä tietoturva-alue kehittyy edelleen, uudempaa ja kehittyneempää teknologiaa tarjotaan, mutta nykyään monet organisaatiot valitsevat yhden tai toisen ratkaisun, koska huolimattomuus tietoturvakysymyksissä voi olla liian kallista.

Aleksei Raevski
SecurIT:n toimitusjohtaja

Suosittuja luokassa: