үй › Мәселелер › Инсайдерлерден бағдарламалық қорғау pdf. Zlock жүйесі арқылы инсайдерлерден қорғау. Статикалық құрылғыларды блоктауға негізделген жүйелер

Инсайдерлерден бағдарламалық қорғау pdf. Zlock жүйесі арқылы инсайдерлерден қорғау. Статикалық құрылғыларды блоктауға негізделген жүйелер

«Кеңесші», 2011 ж., N 9

«Ақпаратқа иелік ететін адам әлемге ие болады» - Уинстон Черчилльдің бұл әйгілі афоризмі қазіргі қоғамда бұрынғыдан да өзекті. Білім, идеялар мен технология бірінші орынға шығады, ал нарықтағы көшбасшылық компанияның зияткерлік капиталын қаншалықты дұрыс басқара алатындығына байланысты.

Мұндай жағдайларда ұйымның ақпараттық қауіпсіздігі ерекше маңызға ие болады.

Бәсекелестерге ақпараттың кез келген ағып кетуі немесе ішкі процестер туралы ақпаратты жариялау компанияның нарықтағы позицияларына бірден әсер етеді.

Жүйе ақпараттық қауіпсіздіктехникалық, ұйымдастырушылық және адам факторынан туындайтын әртүрлі қауіптерден қорғауды қамтамасыз етуі керек.

Тәжірибе көрсеткендей, ақпараттың ағуының негізгі арнасы инсайдерлер болып табылады.

Тылдағы жау

Әдетте, инсайдер - бұл құпия ақпаратты жариялау арқылы компанияға зиян келтіретін компания қызметкері.

Дегенмен, қамтамасыз ету ақпараттық қауіпсіздіктің мақсаты болып табылатын үш негізгі шартты қарастырсақ – құпиялылық, тұтастық, қолжетімділік – бұл анықтаманы кеңейтуге болады.

Ақпараттың ашылуына, бұрмалануына, зақымдалуына немесе қолжетімсіздігіне әкелетін кәсіпорынның құпия ақпаратына заңды ресми рұқсаты бар қызметкерді инсайдер деп атауға болады.

Бұл жалпылау қолайлы, өйткені қазіргі әлемАқпараттың тұтастығы мен қолжетімділігін бұзу көбінесе құпия ақпаратты ашудан гөрі бизнес үшін әлдеқайда ауыр зардаптарға әкеледі.

Көптеген кәсіпорындар үшін бизнес-процестердің тоқтауы, тіпті қысқа уақытқа болса да, айтарлықтай қаржылық шығындарға қауіп төндіреді, ал бірнеше күн ішінде жұмыс істеудің бұзылуы соншалықты күшті соққы тудыруы мүмкін, оның салдары өлімге әкелуі мүмкін.

Іскерлік тәуекелді зерттейтін әртүрлі ұйымдар өз зерттеулерінің нәтижелерін жүйелі түрде жариялайды. Олардың айтуынша, инсайдерлік ақпарат көптеген жылдар бойы ақпараттық қауіпсіздікті бұзу себептерінің тізімінде тұрақты бірінші орында келеді.

Оқиғалардың жалпы санының тұрақты өсуіне байланысты мәселенің өзектілігі үнемі артып келеді деп қорытынды жасауға болады.

Қауіп үлгісі

Мәселемен тиімді күресуге көмектесетін сенімді деңгейлі ақпараттық қауіпсіздік жүйесін құру үшін ең алдымен қауіп моделін жасау қажет.

Сіз инсайдерлердің кім екенін және оларды не ынталандыратынын, неліктен белгілі бір әрекеттерге баратынын түсінуіңіз керек.

Мұндай модельдерді құрудың әртүрлі тәсілдері бар, бірақ практикалық мақсаттар үшін сіз инсайдерлердің барлық негізгі түрлерін қамтитын келесі классификацияны пайдалана аласыз.

Ішкі хакер

Мұндай қызметкер, әдетте, ортадан жоғары инженерлік біліктілікке ие және кәсіпорын ресурстарының құрылымын, компьютерлік жүйелер мен желілердің архитектурасын түсінеді.

Ол қызығудан, спорттық қызығушылықтан, өз мүмкіндіктерінің шекарасын зерттей отырып, бұзу әрекеттерін жасайды.

Әдетте ол өз әрекетінен мүмкін болатын зиян туралы біледі, сондықтан ол сирек материалдық зиян келтіреді.

Қауіптілік дәрежесі орташа, өйткені оның әрекеті компанияда болып жатқан кейбір процестерді уақытша тоқтатуға әкелуі мүмкін. Іс-әрекеттерді анықтау ең алдымен техникалық құралдар арқылы мүмкін болады.

Жауапсыз және біліктілігі төмен қызметкер

Әртүрлі дағдыларды меңгеріп, кәсіпорынның кез келген бөлімшесінде жұмыс істей алады.

Бұл қауіпті, өйткені оның өз әрекеттерінің салдары туралы ойлау әдеті жоқ, ол компанияның ақпараттық ресурстарымен «сынау және қателесу» арқылы жұмыс істей алады және ақпаратты байқаусызда жойып, бұрмалай алады.

Әдетте ол өз әрекеттерінің дәйектілігін есіне түсірмейді және жағымсыз салдарларды анықтаған кезде олар туралы үнсіз қалуы мүмкін.

Коммерциялық құпияны құрайтын ақпаратты досыңызбен жеке сөйлесу кезінде немесе тіпті Интернет форумдарында және әлеуметтік желілерде.

Қауіптілік дәрежесі өте жоғары, әсіресе қылмыскердің бұл түрі басқаларға қарағанда жиі кездесетінін ескерсек. Оның әрекетінің салдары саналы шабуылдаушыға қарағанда әлдеқайда ауыр болуы мүмкін.

Оның іс-әрекетінің салдарын болдырмау үшін техникалық (рұқсат беру, жұмыс сессияларын есепшоттар бойынша міндетті бөлу) және ұйымдастырушылық (жұмыс процесі мен нәтижесін тұрақты басқару бақылауы) сияқты әртүрлі шаралардың тұтас кешенін қабылдау қажет. .

Психологиялық тұрақсыз адам

Алдыңғы типтегі өкіл сияқты, ол кез келген лауазымда жұмыс істей алады және өте әртүрлі біліктілікке ие. Психологиялық ыңғайсыздық жағдайында әлсіз дәлелді әрекеттерге бейімділікке байланысты қауіпті: төтенше жағдайларда, басқа қызметкерлердің психологиялық қысымы немесе жай ғана күшті тітіркену.

Аффективті күйде ол құпия ақпаратты ашып, деректерді зақымдауы және басқа адамдардың әдеттегі жұмыс барысын бұзуы мүмкін.

Қауіптілік дәрежесі орташа, бірақ қылмыскердің бұл түрі жиі кездеспейді.

Оның іс-әрекетінің жағымсыз салдарын болдырмау үшін әкімшілік шараларды қолдану тиімді - сұхбат сатысында мұндай адамдарды анықтау, ақпаратқа қол жеткізуді шектеу және ұжымда қолайлы психологиялық климатты сақтау.

Қорланған, ренжіген қызметкер

Ақпараттық қауіпсіздік режимін бұзушылардың ең кең тобы.

Теориялық тұрғыдан алғанда, қызметкерлердің басым көпшілігі компанияға жағымсыз әрекеттер жасауға қабілетті.

Бұл басшылық қызметкердің жеке басына немесе кәсіби қасиеттеріне құрметтемеушілік көрсеткенде және бұл жалақы деңгейіне әсер еткенде болуы мүмкін.

Ықтимал инсайдерлердің бұл түрі өте жоғары қауіп төндіреді - ақпараттың ағып кетуі де, зақымдануы да мүмкін және олардан келетін зиян бизнес үшін елеулі болатынына кепілдік беріледі, өйткені қызметкер оны саналы түрде жасайды және барлық осалдықтарды жақсы біледі.

Әрекеттерді анықтау үшін әкімшілік және техникалық шаралар қажет.

Таза емес қызметкер

Өзінің жеке байлығын өзі жұмыс істейтін кәсіпорынның мүлкі есебінен толықтыруға тырысатын қызметкер. Берілген заттардың арасында құпия ақпараттың әртүрлі тасымалдаушылары болуы мүмкін ( қатты дискілер, флэш-дискілер, корпоративтік ноутбуктер).

Бұл жағдайда ақпаратты кейіннен жариялау немесе бәсекелестерге беру арқылы арналмаған адамдарға жету қаупі бар.

Қауіптілігі орташа, бірақ бұл түрі сирек емес.

Анықтау үшін алдымен әкімшілік шаралар қажет.

Бәсекелестің өкілі

Әдетте, ол жоғары білікті және ақпаратты, соның ішінде құпия ақпаратты алу үшін кең мүмкіндіктер беретін лауазымдарды атқарады. Бұл бәсекелестер сатып алған (көбінесе) жұмысқа қабылданған жұмысшы немесе компанияға арнайы енгізілген инсайдер.

Қауіптілік дәрежесі өте жоғары, өйткені зиян саналы түрде және ақпараттың құндылығын, сондай-ақ компанияның осал тұстарын терең түсіну арқылы келтіріледі.

Іс-әрекеттерді анықтау үшін әкімшілік және техникалық шаралар қажет.

Біз не ұрлап жатырмыз?

Ұрланған ақпараттың сипатын ескермей инсайдерлік ақпарат мәселесін түсіну мүмкін емес.

Статистикаға сәйкес, клиенттердің жеке деректері, сондай-ақ клиенттік компаниялар мен серіктестер туралы ақпарат ең сұранысқа ие, олар жағдайлардың жартысынан көбі ұрланады. Мәмілелердің егжей-тегжейлері, келісім-шарттар мен жеткізілімдердің шарттары. Қаржылық есептер де үлкен қызығушылық тудырады.

Қорғау шараларының кешенін қалыптастыру кезінде әрбір компания міндетті түрде сұраққа тап болады: қандай нақты ақпарат арнайы қорғаныс шараларын қажет етеді, ал не қажет емес?

Әрине, мұндай шешімдердің негізі тәуекелді талдау нәтижесінде алынған деректер болып табылады. Дегенмен, көбінесе кәсіпорынның ақпараттық қауіпсіздік жүйесіне жұмсалатын қаржылық ресурстары шектеулі және олар барлық тәуекелдерді азайту үшін жеткіліксіз болуы мүмкін.

Екі тәсіл

Өкінішке орай, «Алдымен нені қорғау керек» деген сұраққа дайын жауап жоқ.

Бұл мәселеге екі жақты қарауға болады.

Тәуекел – бұл белгілі бір қауіптің ықтималдығын да, одан болатын ықтимал залалды да ескеретін күрделі көрсеткіш. Тиісінше, қауіпсіздік басымдықтарын орнату кезінде осы көрсеткіштердің біріне назар аударуға болады. Бұл біріншіден қорғалған ақпарат ұрлануы ең оңай (мысалы, егер оған қызметкерлердің көп саны қол жетімді болса) және ұрлануы немесе бұғатталуы ең ауыр зардаптарға әкелетін ақпарат екенін білдіреді.

Инсайдерлік мәселенің маңызды аспектісі ақпаратты беру арнасы болып табылады. Рұқсат етілмеген ақпараттың компаниядан тыс тасымалдануы үшін физикалық мүмкіндіктер неғұрлым көп болса, соғұрлым бұл орын алу ықтималдығы жоғары болады.

Трансмиссия механизмдері

Берілу механизмдерін келесідей жіктеуге болады:

ауызша беру (жеке әңгіме);
техникалық деректерді беру арналары ( телефон байланысы, факс, электрондық пошта, хабар алмасу жүйелері, әртүрлі әлеуметтік Интернет қызметтері және т.б.);
портативті медиа және мобильді құрылғылар (мобильді телефон, сыртқы қатты дискілер, ноутбуктер, флэш-дискілер және т.б.).

Біздің заманымыздағы зерттеулерге сәйкес, құпия деректерді берудің ең көп тараған арналары (кему ретімен): электрондық пошта, мобильді құрылғылар (соның ішінде ноутбуктер), әлеуметтік желілер және басқа Интернет қызметтері (мысалы, жедел хабар алмасу жүйелері) және т.б.

Техникалық арналарды басқару үшін әртүрлі құралдарды, қазіргі уақытта бағалы қағаздар нарығында қолжетімді өнімдердің кең ауқымын қолдануға болады.

Мысалы, мазмұнды сүзу жүйелері (динамикалық блоктау жүйелері), ақпараттық тасымалдаушыларға (CD, DVD, Bluetooth) қол жеткізуді шектеу құралдары.

Әкімшілік шаралар да қолданылады: интернет-трафикті сүзу, жұмыс станцияларының физикалық порттарын блоктау, әкімшілік режимді және физикалық қауіпсіздікті қамтамасыз ету.

Таңдау кезінде техникалық құралдарқұпия ақпаратты қорғау жүйелі тәсілді қажет етеді. Тек осылайша оларды жүзеге асырудың ең үлкен тиімділігіне қол жеткізуге болады.

Сондай-ақ, әр компанияның алдында тұрған қиындықтардың бірегей екенін және басқа ұйымдар қолданатын шешімдерді пайдалану жиі мүмкін емес екенін түсінуіңіз керек.

Инсайдерлік ақпаратпен күрес өздігінен жүргізілмеуі керек, ол ақпараттық қауіпсіздік режимін қамтамасыз етуге бағытталған жалпы бизнес-процестің маңызды құрамдас бөлігі болып табылады.

Оны кәсіпқойлар жүзеге асыруы және қызметтің толық циклін қамтуы тиіс: ақпараттық қауіпсіздік саясатын әзірлеу, қолдану аясын анықтау, тәуекелдерді талдау, қарсы шараларды таңдау және оларды іске асыру, сондай-ақ ақпараттық қауіпсіздік жүйесіне аудит жүргізу.

Егер кәсіпорын бүкіл кешен бойынша ақпараттық қауіпсіздікті қамтамасыз етпесе, онда ақпараттың ағып кетуінен және бүлінуінен қаржылық шығындар тәуекелдері күрт артады.

Тәуекелдерді азайту

Емтихан

Компаниядағы кез келген лауазымға үміткер үміткерлерді мұқият тексеру. Кандидат туралы, оның ішінде оның әлеуметтік желілердегі парақшаларының мазмұнын мүмкіндігінше көбірек жинау ұсынылады. Бұрынғы жұмыс орнынан анықтама сұрау да көмектесуі мүмкін.
IT инженері лауазымдарына үміткерлер әсіресе мұқият тексеруден өтуі керек. Тәжірибе көрсеткендей, барлық инсайдерлердің жартысынан көбі жүйелік әкімшілержәне бағдарламашылар.
Жұмысқа қабылдау кезінде кандидаттарды кем дегенде психологиялық тексеруден өткізу қажет. Бұл психикалық денсаулығы тұрақсыз үміткерлерді анықтауға көмектеседі.

Қол жеткізу құқығы

Ортақ пайдалану жүйесіне қол жеткізу корпоративтік ресурстар. Кәсіпорын ақпаратты құпиялылық деңгейі бойынша сараптайтын және оған қол жеткізу құқықтарын нақты анықтайтын нормативтік құжаттаманы құруы керек. Кез келген ресурстарға қол жеткізу жекелендірілген болуы керек.
Ресурстарға қол жеткізу құқықтары «ең аз жеткіліктілік» принципіне сәйкес бөлінуі керек. Техникалық жабдыққа техникалық қызмет көрсетуге қол жеткізу, тіпті әкімші құқықтары бар болса да, ақпараттың өзін қарауға қолжетімділікпен қатар жүрмеуі керек.
Міндетті авторизация және журналға орындалған операциялар туралы ақпаратты жазу арқылы пайдаланушы әрекеттерін мүмкіндігінше тереңірек бақылау. Журналдар неғұрлым мұқият жүргізілсе, соғұрлым басшылық компаниядағы жағдайды бақылауға алады. Бұл қызметкердің Интернетке ресми қол жеткізуді пайдалану кезіндегі әрекеттеріне де қатысты.

Байланыс стандарты

Ұйым қызметкерлердің бір-біріне қатысты орынсыз мінез-құлқының барлық түрлерін (агрессия, зорлық-зомбылық, шектен тыс танысу) болдырмайтын қарым-қатынастың өзіндік стандартын қабылдауы керек. Ең алдымен, бұл «басшы-бағынушы» қатынасына қатысты.

Ешбір жағдайда қызметкер өзіне әділетсіздік жасалып жатқанын, өзін жеткілікті түрде бағаламайтынын, орынсыз пайдаланылып жатқанын немесе алданып жатқанын сезбеуі керек.

Осы қарапайым ережені сақтау қызметкерлерді ішкі ақпаратты беруге итермелейтін жағдайлардың басым көпшілігін болдырмауға мүмкіндік береді.

Құпиялылық

Ақпаратты жария етпеу туралы келісім жай формальдылық болмауы керек. Оған маңызды деректерге қол жеткізе алатын барлық қызметкерлер қол қоюы керек ақпараттық ресурстаркомпаниялар.

Сонымен қатар, сұхбат сатысында да әлеуетті қызметкерлерге компанияның ақпараттық қауіпсіздікті қалай бақылайтынын түсіндіру қажет.

Қаражатты бақылау

Қызметкердің еңбек мақсатында пайдаланатын техникалық құралдарын бақылауды білдіреді.

Мысалы, жеке ноутбукты пайдалану қажет емес, өйткені қызметкер кеткен кезде, онда қандай ақпарат сақталғанын білу мүмкін болмайды.

Дәл сол себепті қораптарды пайдалану қажет емес Электрондық поштасыртқы ресурстар бойынша.

Ішкі тәртіп

Кәсіпорын ішкі тәртіп ережелерін сақтауы керек.

Қызметкерлердің жұмыс орнында өткізетін уақыты туралы ақпарат болуы қажет.

Материалдық құндылықтардың қозғалысын бақылау да қамтамасыз етілуге тиіс.

Жоғарыда аталған ережелердің барлығын сақтау инсайдерлік ақпарат арқылы ақпараттың бүліну немесе ағып кету қаупін азайтады, сондықтан елеулі қаржылық немесе беделді жоғалтулардың алдын алуға көмектеседі.

Басқарушы серіктес

Hosting Community компаниялар тобы

Бүгінгі күні құпия ақпараттың ағуының екі негізгі арнасы бар: компьютерге қосылған құрылғылар (алынбалы сақтау құрылғыларының барлық түрлері, соның ішінде флэш-дискілер, CD/DVD дискілері және т.б., принтерлер) және Интернет (электрондық пошта, ICQ, әлеуметтік. желілер және т.б.). d.). Сондықтан, компания олардан қорғау жүйесін енгізуге «піскен» кезде, бұл шешімге жан-жақты қараған жөн. Мәселе мынада, әртүрлі арналарды қамту үшін әртүрлі тәсілдер қолданылады. Бір жағдайда ең тиімді жолықорғаныс алынбалы дискілерді пайдалануды бақылайды, ал екіншісі құпия деректерді сыртқы желіге тасымалдауды блоктауға мүмкіндік беретін мазмұнды сүзудің әртүрлі опцияларын қамтиды. Сондықтан компаниялар инсайдерлерден қорғау үшін екі өнімді пайдалануы керек, олар бірге кешенді қауіпсіздік жүйесін құрайды. Әрине, бір әзірлеушінің құралдарын пайдаланған жөн. Бұл жағдайда оларды жүзеге асыру, басқару, қызметкерлерді оқыту процесі жеңілдетілген. Мысал ретінде SecurIT өнімдерін келтіруге болады: Zlock және Zgate.

Zlock: алынбалы дискілер арқылы ағып кетуден қорғау

Zlock бағдарламасы нарықта біршама уақыт болды. Ал біз қазірдің өзінде. Негізінде, өзімді қайталаудың қажеті жоқ. Дегенмен, мақала жарияланғаннан бері Zlock-тың екі жаңа нұсқасы шығарылды, олар бірқатар маңызды мүмкіндіктерді қосты. Олар туралы қысқаша болса да айту керек.

Ең алдымен, компьютерге қосылған-қосылмағанына байланысты дербес қолданылатын бірнеше саясатты компьютерге тағайындау мүмкіндігін атап өткен жөн. корпоративтік желітікелей, VPN арқылы немесе автономды түрде жұмыс істейді. Бұл, атап айтқанда, компьютер жергілікті желіден ажыратылған кезде USB порттары мен CD/DVD дискілерін автоматты түрде блоктауға мүмкіндік береді. Жалпы бұл функцияноутбуктерде сақталатын ақпараттың қауіпсіздігін арттырады, қызметкерлер оны іссапарға немесе үйде жұмыс істеуге кеңседен шығара алады.

Екінші жаңа мүмкіндік- компания қызметкерлеріне телефон арқылы блокталған құрылғыларға немесе тіпті құрылғылар тобына уақытша қол жеткізуді қамтамасыз ету. Оның жұмыс істеу принципі – бағдарлама арқылы жасалған алмасу құпия кодтарпайдаланушы мен ақпараттық қауіпсіздікке жауапты қызметкер арасында. Бір қызығы, пайдалануға рұқсат тек тұрақты емес, сонымен қатар уақытша (белгілі бір уақытқа немесе жұмыс сессиясының соңына дейін) берілуі мүмкін. Бұл құралды қауіпсіздік жүйесінде аздап релаксация деп санауға болады, бірақ ол АТ бөлімінің бизнес сұраныстарына жауап беру қабілетін арттыруға мүмкіндік береді.

Zlock жаңа нұсқаларындағы келесі маңызды жаңалық принтерлерді пайдалануды бақылау болып табылады. Оны орнатқаннан кейін қауіпсіздік жүйесі пайдаланушының басып шығару құрылғыларына барлық сұрауларын арнайы журналға жазады. Бірақ бұл бәрі емес. Zlock енді барлық басып шығарылған құжаттардың көлеңкелі көшірмелерін ұсынады. Олар тіркеледі PDF пішіміжәне принтерге қай файл жіберілгеніне қарамастан басып шығарылған беттердің толық көшірмесі болып табылады. Бұл инсайдер деректерді кеңседен шығару үшін басып шығарған кезде қағаз парақтарындағы құпия ақпараттың ағып кетуін болдырмауға көмектеседі. Қауіпсіздік жүйесі CD/DVD дискілеріне жазылған ақпаратты көлеңкелі көшіруді де қамтиды.

Маңызды жаңалық Zlock Enterprise Management Server серверлік компонентінің пайда болуы болды. Ол қауіпсіздік саясаттарын және басқа бағдарлама параметрлерін орталықтандырылған сақтауды және таратуды қамтамасыз етеді және үлкен және таратылған ақпараттық жүйелерде Zlock әкімшілігін айтарлықтай жеңілдетеді. Қажет болған жағдайда доменді және жергілікті Windows пайдаланушыларын пайдаланудан бас тартуға мүмкіндік беретін өзіндік аутентификация жүйесінің пайда болуы туралы айтпау мүмкін емес.

Бұған қоса, в соңғы нұсқасы Zlock қазір бірнеше азырақ байқалатын, бірақ сонымен бірге өте маңызды функцияларға ие: пайдаланушы модулін бұзу анықталған кезде бұғаттау мүмкіндігімен клиенттік модульдің тұтастығын бақылау, қауіпсіздік жүйесін енгізудің кеңейтілген мүмкіндіктері, Oracle DBMS қолдауы және т.

Zgate: Интернеттің ағып кетуінен қорғау

Сонымен, Згейт. Жоғарыда айтқанымыздай, бұл өнім Интернет арқылы құпия ақпараттың ағып кетуінен қорғау жүйесі болып табылады. Құрылымдық жағынан Zgate үш бөліктен тұрады. Ең бастысы - барлық деректерді өңдеу операцияларын жүзеге асыратын сервер компоненті. Оны жеке компьютерге де, корпоративтік жүйеде жұмыс істеп тұрған компьютерге де орнатуға болады ақпараттық жүйетүйіндер - Интернет шлюзі, домен контроллері, пошта шлюзі және т.б. Бұл модуль өз кезегінде үш құрамдас бөліктен тұрады: SMTP трафигін бақылау үшін, Microsoft Exchange 2007/2010 серверінің ішкі поштасын бақылау үшін, сонымен қатар Zgate Web (басқару үшін жауап береді) HTTP, FTP және IM трафигі).

Қауіпсіздік жүйесінің екінші бөлігі журналды тіркеу сервері болып табылады. Ол бір немесе бірнеше Zgate серверлерінен оқиға туралы ақпаратты жинау, оны өңдеу және сақтау үшін қолданылады. Бұл модуль әсіресе үлкен және географиялық таралған жерлерде пайдалы корпоративтік жүйелер, өйткені ол барлық деректерге орталықтандырылған қолжетімділікті қамтамасыз етеді. Үшінші бөлік - басқару консолі. Ол SecurIT өнімдері үшін стандартты консольді пайдаланады, сондықтан біз оған егжей-тегжейлі тоқталмаймыз. Біз бұл модульді пайдалану арқылы жүйені тек жергілікті түрде ғана емес, сонымен қатар қашықтан басқаруға болатынын ескереміз.

Басқару консолі

Zgate жүйесі бірнеше режимде жұмыс істей алады. Сонымен қатар, олардың қол жетімділігі өнімді енгізу әдісіне байланысты. Алғашқы екі режим пошта прокси сервері ретінде жұмыс істеуді қамтиды. Оларды іске асыру үшін жүйе корпоративтік пошта сервері мен «сыртқы әлем» арасында (немесе пошта сервері мен жіберу сервері арасында, егер олар бөлінген болса) орнатылады. Бұл жағдайда Zgate трафикті сүзе алады (бұзатын және күмәнді хабарламаларды кешіктіріп) және оны тек журналға жаза алады (барлық хабарламаларды өткізіңіз, бірақ оларды мұрағатта сақтаңыз).

Екінші іске асыру әдісі Microsoft Exchange 2007 немесе 2010 бағдарламаларымен бірге қорғау жүйесін пайдалануды қамтиды. Ол үшін Zgate бағдарламасын тікелей корпоративтік жүйеге орнату керек. пошта сервері. Сондай-ақ екі режим қол жетімді: сүзгілеу және тіркеу. Бұған қоса, іске асырудың тағы бір нұсқасы бар. Біз хабарларды айналы трафик режимінде тіркеу туралы айтып отырмыз. Әрине, оны пайдалану үшін Zgate орнатылған компьютер дәл осындай айналы трафикті алуын қамтамасыз ету керек (әдетте бұл желілік жабдықты пайдалану арқылы жасалады).

Zgate жұмыс режимін таңдау

Zgate Web компоненті бөлек әңгімеге лайық. Ол тікелей корпоративтік интернет шлюзінде орнатылған. Сонымен қатар, бұл ішкі жүйе HTTP, FTP және IM трафигін бақылау мүмкіндігін алады, яғни оны веб-пошта интерфейстері және ICQ арқылы құпия ақпаратты жіберу әрекеттерін анықтау, оны форумдарда, FTP серверлерінде және әлеуметтік желілерде жариялау үшін өңдеу мүмкіндігін алады. желілер және т.б. Айтпақшы, ICQ туралы. IM хабаршыларын блоктау функциясы көптеген ұқсас өнімдерде бар. Дегенмен, оларда «ICQ» жоқ. Жай ғана ол орыстілді елдерде ең кең таралған.

Zgate Web компонентінің жұмыс принципі өте қарапайым. Кез келген басқарылатын қызметтерге ақпарат жіберілген сайын жүйе арнайы хабарлама жасайды. Онда ақпараттың өзі және кейбір қызмет деректері бар. Ол негізгі Zgate серверіне жіберіледі және көрсетілген ережелерге сәйкес өңделеді. Әрине, ақпаратты жіберу қызметтің өзінде блокталмаған. Яғни, Zgate Web тек тіркеу режимінде жұмыс істейді. Оның көмегімен сіз оқшауланған деректердің ағып кетуіне жол бермейсіз, бірақ сіз оларды тез анықтап, ерікті немесе ойланбастан шабуылдаушы әрекеттерін тоқтата аласыз.

Zgate Web компонентін орнату

Zgate жүйесінде ақпаратты өңдеу тәсілі және сүзу процедурасы қауіпсіздік қызметкері немесе басқа жауапты қызметкер әзірлейтін саясатпен анықталады. Ол әрқайсысы белгілі бір әрекетке сәйкес келетін шарттар қатарын білдіреді. Барлық кіріс хабарламалар олар арқылы бірінен соң бірі «жүгіріледі». Ал егер қандай да бір шарттар орындалса, онымен байланысты әрекет іске қосылады.

Сүзу жүйесі

Жалпы алғанда, жүйе «барлық жағдайлар үшін» дегендей, 8 шарт түрін ұсынады. Олардың біріншісі - тіркеме файл түрі. Оның көмегімен белгілі бір форматтағы нысандарды жіберу әрекеттерін анықтауға болады. Айта кету керек, талдау кеңейту арқылы емес, файлдың ішкі құрылымы бойынша жүзеге асырылады және сіз объектілердің нақты түрлерін де, олардың топтарын да (мысалы, барлық мұрағаттар, бейнелер және т.б.) көрсете аласыз. Шарттардың екінші түрі - сыртқы қолданба арқылы тексеру. Қолданба ретінде ол іске қосылған кәдімгі бағдарлама ретінде әрекет ете алады пәрмен жолы, және сценарий.

Фильтрация жүйесіндегі жағдайлар

Бірақ келесі шартқа толығырақ тоқталған жөн. Біз тасымалданатын ақпаратты мазмұнды талдау туралы айтып отырмыз. Ең алдымен, Згейттің «барлық қоректілігін» атап өту керек. Өйткені, бағдарлама әртүрлі форматтардың үлкен санын «түсінеді». Сондықтан ол жай мәтінді ғана емес, кез келген қосымшаны да талдай алады. Контентті талдаудың тағы бір ерекшелігі - оның үлкен мүмкіндіктері. Ол хабарлама мәтініндегі немесе белгілі бір сөздің кез келген басқа өрісіндегі оқиғаны қарапайым іздеуден немесе грамматикалық сөз формаларын, түбір мен транслитерацияны ескере отырып, толыққанды талдаудан тұруы мүмкін. Бірақ бұл бәрі емес. Үлгілер мен тұрақты тіркестерді талдау жүйесі ерекше атауға лайық. Оның көмегімен сіз хабарламаларда белгілі бір форматтағы деректердің болуын оңай анықтай аласыз, мысалы, төлқұжат сериясы мен нөмірлері, телефон нөмірі, келісімшарт нөмірі, банктік шот нөмірі және т.б. Бұл, басқалармен қатар, компания өңдейтін жеке деректерді қорғау.

Әртүрлі құпия ақпаратты анықтау үлгілері

Шарттардың төртінші түрі – хатта көрсетілген мекенжайларды талдау. Яғни, олардың арасында белгілі бір жолдарды іздеу. Бесінші – шифрланған файлдарды талдау. Орындалған кезде хабардың және/немесе кірістірілген нысандардың атрибуттары тексеріледі. Шарттардың алтыншы түрі - әріптердің әртүрлі параметрлерін тексеру. Жетінші – сөздік талдау. Бұл процесс барысында жүйе хабарламада алдын ала жасалған сөздіктердегі сөздердің бар-жоғын анықтайды. Ал, ақырында, шарттың соңғы, сегізінші түрі – құрама. Ол логикалық операторлармен біріктірілген екі немесе одан да көп басқа шарттарды білдіреді.

Айтпақшы, шарттарды сипаттауда біз атап өткен сөздіктер туралы бөлек айтуымыз керек. Олар бір белгі арқылы біріккен сөздер тобы болып табылады және әртүрлі сүзгілеу әдістерінде қолданылады. Ең қисынды нәрсе - хабарламаны бір немесе басқа санатқа бөлуге мүмкіндік беретін сөздіктерді жасау. Олардың мазмұнын қолмен енгізуге немесе бұрыннан барлардан импорттауға болады мәтіндік файлдар. Сөздіктерді жасаудың тағы бір нұсқасы бар - автоматты. Оны пайдалану кезінде әкімші тиісті құжаттары бар қалтаны көрсетуі керек. Бағдарламаның өзі оларды талдап, қажетті сөздерді таңдап, олардың салмақ сипаттамаларын тағайындайды. Сөздіктерді сапалы құрастыру үшін тек құпия файлдарды ғана емес, сонымен қатар құпия ақпараты жоқ объектілерді де көрсету қажет. Жалпы алғанда, автоматты генерациялау процесі жарнамаға және кәдімгі хаттарға антиспам үйретуге өте ұқсас. Және бұл таңқаларлық емес, өйткені екі елде ұқсас технологиялар қолданылады.

Қаржы тақырыбына сөздіктің мысалы

Сөздіктер туралы айтқанда, біз Zgate-те енгізілген басқа құпия деректерді анықтау технологиясын атап өтуге болмайды. Біз цифрлық саусақ іздері туралы айтып отырмыз. мәні бұл әдіскелесідей. Әкімші құпия деректерден тұратын жүйелік қалталарды көрсете алады. Бағдарлама олардағы барлық құжаттарды талдайды және «сандық саусақ іздерін» жасайды - файлдың бүкіл мазмұнын ғана емес, оның жеке бөліктерін де тасымалдау әрекетін анықтауға мүмкіндік беретін деректер жиынтығы. Жүйе оған көрсетілген қалталардың күйін автоматты түрде бақылайтынын және оларда қайтадан пайда болатын барлық нысандар үшін «саусақ іздерін» дербес жасайтынын ескеріңіз.

Файлдардың сандық саусақ іздері бар санат құру

Енді қарастырылып отырған қорғаныс жүйесінде жүзеге асырылатын әрекеттерді анықтау ғана қалды. Барлығы Zgate-те олардың 14-і сатылды. Дегенмен, оның көпшілігі хабарламамен орындалатын әрекеттерді анықтайды. Оларға, атап айтқанда, жібермей жою (яғни хатты жіберуді блоктау), оны мұрағатқа қою, қосымшаларды қосу немесе жою, әртүрлі өрістерді өзгерту, мәтін енгізу және т.б. хатты карантинге орналастыруды атап өткен жөн. Бұл әрекетқауіпсіздік қызметкерінің қолмен тексеруі үшін хабарламаны «кейінге қалдыруға» мүмкіндік береді, ол оның одан әрі тағдырын шешеді. Сондай-ақ, IM қосылымын блоктауға мүмкіндік беретін әрекет өте қызықты. Оны құпия ақпараты бар хабарлама жіберілген арнаны лезде блоктау үшін пайдалануға болады.

Екі әрекет бір-бірінен біршама ерекшеленеді - Байес әдісімен өңдеу және саусақ ізі әдісімен өңдеу. Олардың екеуі де хабарлардың құпия ақпараттың бар-жоғын тексеруге арналған. Біріншісінде ғана сөздіктер мен статистикалық талдаулар, ал екіншісінде цифрлық саусақ іздері қолданылады. Бұл әрекеттер белгілі бір шарт орындалғанда орындалуы мүмкін, мысалы, егер алушының мекенжайы корпоративтік доменде болмаса. Бұған қоса, олар (басқалар сияқты) барлық шығыс хабарларға сөзсіз қолданылатын етіп орнатуға болады. Бұл жағдайда жүйе әріптерді талдайды және оларды белгілі бір санаттарға тағайындайды (егер бұл, әрине, мүмкін болса). Бірақ бұл санаттар үшін сіз белгілі бір әрекеттерді орындау арқылы жағдай жасай аласыз.

Zgate жүйесіндегі әрекеттер

Бүгінгі Zgate туралы әңгімеміздің соңында біз оны аздап қорытындылай аламыз. Бұл қорғау жүйесі ең алдымен хабарламалардың мазмұнын талдауға негізделген. Бұл әдіс Интернет арқылы құпия ақпараттың ағып кетуінен қорғаудың ең кең таралған әдісі болып табылады. Әрине, мазмұнды талдау 100% қорғау дәрежесін қамтамасыз етпейді және табиғатта өте ықтимал. Дегенмен, оны пайдалану құпия деректерді рұқсатсыз беру жағдайларының көпшілігін болдырмайды. Компаниялар оны пайдалануы керек пе, жоқ па? Әркім оны іске асыру шығындарын бағалай отырып, өзі шешуі керек мүмкін проблемаларақпарат ағып кеткен жағдайда. Айта кету керек, Zgate тұрақты тіркестерді ұстауда тамаша жұмыс істейді, бұл оны өте жақсы етеді тиімді құралдаркомпания өңдейтін жеке деректерді қорғау.

Жыл сайынғы CSI/FBI ComputerCrimeAndSecuritySurvey сияқты соңғы ақпараттық қауіпсіздік зерттеулері көптеген қауіптерден компанияларға түсетін қаржылық шығындар жылдан-жылға азайып келе жатқанын көрсетті. Дегенмен, жоғалтулар көбейетін бірнеше қауіп бар. Олардың бірі – қызметтік міндеттерін орындау үшін коммерциялық деректерге қол жеткізу қажет қызметкерлердің құпия ақпаратты қасақана ұрлауы немесе онымен жұмыс істеу ережелерін бұзуы. Оларды инсайдерлер деп атайды.

Жағдайлардың басым көпшілігінде құпия ақпаратты ұрлау мобильді тасымалдаушылар: CD және DVD дискілері, ZIP құрылғылары және, ең бастысы, USB дискілерінің барлық түрлері арқылы жүзеге асырылады. Бүкіл әлемде инсайдизмнің гүлденуіне әкелген олардың жаппай таралуы болды. Банктердің көпшілігінің басшылары, мысалы, өз клиенттерінің жеке деректері бар деректер базасының немесе оның үстіне олардың шоттары бойынша операциялардың қылмыстық құрылымдардың қолына түсу қаупін жақсы біледі. Олар өздеріне қолжетімді ұйымдастырушылық әдістерді қолдана отырып, ықтимал ақпаратты ұрлаумен күресуге тырысады.

Алайда, бұл жағдайда ұйымдастыру әдістері тиімсіз. Бүгінгі күні сіз шағын флэш-дискіні пайдаланып компьютерлер арасында ақпаратты тасымалдауды ұйымдастыра аласыз, ұялы телефон, mp3 ойнатқыш, сандық камера... Әрине, бұл құрылғылардың барлығын кеңсеге әкелуге тыйым салуға болады, бірақ бұл, біріншіден, қызметкерлермен қарым-қатынасқа кері әсер етеді, екіншіден, шынымен орнату мүмкін емес. адамдарды тиімді бақылау өте қиын - банк емес » хат жәшігі" Тіпті сыртқы медиаға (FDD және ZIP дискілері, CD және DVD дискілері және т.б.) және USB порттарына ақпаратты жазу үшін пайдаланылатын компьютерлердегі барлық құрылғыларды өшіру де көмектеспейді. Өйткені, біріншісі жұмыс үшін қажет, ал екіншісі әртүрлі перифериялық құрылғыларға қосылған: принтерлер, сканерлер және т.б. Ал принтерді өшіріп, флэш-дискіні бос портқа салып, оған көшіруді ешкім бір минутқа тоқтата алмайды. маңызды ақпарат. Сіз, әрине, өзіңізді қорғаудың түпнұсқа жолдарын таба аласыз. Мысалы, бір банк мәселені шешудің осы әдісін қолданып көрді: олар USB порты мен кабельді эпоксидті шайырмен толтырып, соңғысын компьютерге мықтап «байлады». Бірақ, бақытымызға орай, бүгінгі күні бақылаудың заманауи, сенімді және икемді әдістері бар.

Инсайдерлермен байланысты тәуекелдерді азайтудың ең тиімді құралы арнайы болып табылады бағдарламалық қамтамасыз ету, ол ақпаратты көшіру үшін пайдалануға болатын компьютердің барлық құрылғылары мен порттарын динамикалық түрде басқарады. Олардың жұмыс істеу принципі келесідей. Түрлі порттар мен құрылғыларды пайдалану рұқсаттары әрбір пайдаланушы тобы үшін немесе әрбір пайдаланушы үшін жеке орнатылады. Мұндай бағдарламалық қамтамасыз етудің ең үлкен артықшылығы - икемділік. Құрылғылардың белгілі түрлері, олардың үлгілері және жеке даналары үшін шектеулер енгізуге болады. Бұл өте күрделі қатынас құқықтарын тарату саясатын жүзеге асыруға мүмкіндік береді.

Мысалы, кейбір қызметкерлерге USB порттарына қосылған кез келген принтерлерді немесе сканерлерді пайдалануға рұқсат бергіңіз келуі мүмкін. Дегенмен, осы портқа енгізілген барлық басқа құрылғылар қол жетімсіз болып қалады. Егер банк токендерге негізделген пайдаланушының аутентификация жүйесін пайдаланса, онда параметрлерде пайдаланылатын кілт үлгісін көрсетуге болады. Содан кейін пайдаланушыларға компания сатып алған құрылғыларды ғана пайдалануға рұқсат етіледі, ал қалғандарының бәрі пайдасыз болады.

Жоғарыда сипатталған қорғаныс жүйелерінің жұмыс принципіне сүйене отырып, жазу құрылғылары мен компьютер порттарын динамикалық блоктауды жүзеге асыратын бағдарламаларды таңдау кезінде қандай нүктелердің маңызды екенін түсінуге болады. Біріншіден, бұл жан-жақтылық. Қорғаныс жүйесі мүмкін болатын порттар мен енгізу/шығару құрылғыларының барлық ауқымын қамтуы керек. Әйтпесе, коммерциялық ақпаратты ұрлау қаупі жол берілмейтін жоғары болып қалады. Екіншіден, қарастырылып отырған бағдарламалық жасақтама икемді болуы керек және құрылғылар туралы әртүрлі ақпараттың үлкен көлемін пайдалана отырып ережелерді құруға мүмкіндік береді: олардың түрлері, модель өндірушілері, әрбір данаға ие бірегей нөмірлер және т.б. Үшіншіден, инсайдерлік қорғау жүйесі банктің ақпараттық жүйесімен, атап айтқанда ActiveDirectory-мен интеграциялануы керек. Әйтпесе, әкімші немесе қауіпсіздік қызметкері пайдаланушылар мен компьютерлердің екі дерекқорын жүргізуге мәжбүр болады, бұл ыңғайсыз ғана емес, сонымен қатар қателер қаупін арттырады.

Ақпаратты инсайдерлерден қорғау бағдарламалық қамтамасыз ету

Александр Антипов

Мақаланың өзі және әсіресе оны талқылау бағдарламалық құралдарды пайдаланудың әртүрлі нюанстарын анықтауға көмектеседі және ақпараттық қауіпсіздік мамандары үшін сипатталған мәселенің шешімін әзірлеуде бастапқы нүкте болады деп үміттенемін.

нахна

Ұзақ уақыт бойы Infowatch компаниясының маркетинг бөлімі барлық мүдделі тұлғаларды - IT мамандарын, сондай-ақ ең озық IT менеджерлерін компанияның ақпараттық қауіпсіздігін бұзудан келтірілген залалдың көп бөлігі инсайдерлерге - қызметкерлерге түсетініне сендірді. коммерциялық құпиялар. Мақсат айқын – өндіріліп жатқан өнімге сұранысты қалыптастыруымыз керек. Ал дәлелдер айтарлықтай сенімді және сенімді көрінеді.

Мәселенің тұжырымы

Жергілікті желі негізіндегі персоналдың ақпаратты ұрлауынан қорғау жүйесін құру Active Directory Windows 2000/2003. Пайдаланушы жұмыс станциялары астында Windows басқару XP. 1С өнімдері негізінде кәсіпорынды басқару және бухгалтерлік есеп.
Құпия ақпарат үш жолмен сақталады:

DB 1C - RDP арқылы желіге кіру ( терминалға қол жеткізу);
файлдық серверлердегі ортақ қалталар - желіге кіру;
жергілікті түрде қызметкердің компьютерінде;

Ағып кету арналары - Интернет және алынбалы ақпарат құралдары (флэш-дискілер, телефондар, ойнатқыштар және т.б.). Интернетті және алынбалы ақпарат құралдарын пайдалануға тыйым салуға болмайды, өйткені олар қызметтік міндеттерді орындау үшін қажет.

Базарда не бар

Мен қарастырылатын жүйелерді үш сыныпқа бөлдім:

Контекстік анализаторларға негізделген жүйелер – Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet және т.б.
Құрылғыны статикалық құлыптауға негізделген жүйелер - DeviceLock, ZLock, InfoWatch Net Monitor.
Динамикалық құрылғыларды блоктауға негізделген жүйелер – SecrecyKeeper, Strazh, Accord, SecretNet.

Контекстік анализаторларға негізделген жүйелер

Жұмыс принципі:
Жіберілген ақпаратта түйінді сөздер іздестіріліп, іздеу нәтижелері бойынша жіберуді блоктау қажеттілігі туралы шешім қабылданады.

Менің ойымша, InfoWatch Traffic Monitor (www.infowatch.ru) тізімделген өнімдердің ішінде максималды мүмкіндіктерге ие. Негізі орыс тілінің ерекшеліктерін барынша толық ескеретін, жақсы дәлелденген Kaspersky Antispam қозғалтқышы болып табылады. Басқа өнімдерден айырмашылығы, InfoWatch Traffic Monitor талдау кезінде тексерілетін деректерде белгілі бір жолдардың болуын ғана емес, сонымен қатар әрбір жолдың алдын ала анықталған салмағын да ескереді. Осылайша, түпкілікті шешім қабылдау кезінде белгілі бір сөздердің кездесуі ғана емес, сонымен қатар олардың кездесетін тіркестері де ескеріледі, бұл анализатордың икемділігін арттыруға мүмкіндік береді. Қалған мүмкіндіктер өнімнің осы түрі үшін стандартты болып табылады - мұрағаттарды талдау, MS Office құжаттары, белгісіз форматтағы файлдарды немесе құпия сөзбен қорғалған мұрағаттарды тасымалдауды блоктау мүмкіндігі.

Контекстік талдау негізінде қарастырылатын жүйелердің кемшіліктері:

Тек екі протокол бақыланады - HTTP және SMTP (InfoWatch Traffic Monitor үшін, ал HTTP трафигі үшін тек POST сұраулары арқылы жіберілетін деректер тексеріледі, бұл GET әдісі арқылы деректерді беру арқылы ағып кету арнасын ұйымдастыруға мүмкіндік береді);
Мәліметтерді тасымалдау құрылғылары бақыланбайды - дискеттер, ықшам дискілер, DVD дискілері, USB дискілері және т.б. (InfoWatch-те бұл жағдайға арналған өнім бар: InfoWatch Net Monitor).
мазмұнды талдау негізінде құрылған жүйелерді айналып өту үшін ең қарапайым мәтіндік кодтауды (мысалы: құпия -> с1е1к1р1е1т) немесе стеганографияны қолдану жеткілікті;
келесі мәселені мазмұнды талдау әдісімен шешу мүмкін емес - ойға ешқандай қолайлы ресми сипаттама келмейді, сондықтан мен мысал келтірейін: екі Excel файлы бар - біріншісінде бөлшек бағалар (қоғамдық ақпарат), екінші – нақты клиент үшін көтерме бағалар (жеке ақпарат), файлдардың мазмұны тек сандармен ерекшеленеді. Бұл файлдарды мазмұнды талдау арқылы ажырату мүмкін емес.

Қорытынды:
Мәтінмәндік талдау тек трафик мұрағатын құру және ақпараттың кездейсоқ ағып кетуіне қарсы тұру үшін жарамды және мәселені шешпейді.

Статикалық құрылғыларды блоктауға негізделген жүйелер

Жұмыс принципі:
Пайдаланушыларға файлдарға қатынасу құқықтарына ұқсас басқарылатын құрылғыларға кіру құқықтары тағайындалады. Негізінде, Windows жүйесінің стандартты механизмдерін қолдану арқылы дерлік бірдей әсерге қол жеткізуге болады.

Zlock (www.securit.ru) - өнім салыстырмалы түрде жақында пайда болды, сондықтан оның ең аз функционалдығы бар (мен бұрылыстарды санамаймын) және ол өте жақсы жұмыс істемейді, мысалы, басқару консолі кейде үнемдеуге тырысқанда істен шығады. параметрлері.

DeviceLock (www.smartline.ru) - анағұрлым қызықты өнім, ол нарықта ұзақ уақыт болды, сондықтан ол әлдеқайда тұрақты жұмыс істейді және әртүрлі функционалдылыққа ие. Мысалы, ол жіберілген ақпаратты көлеңкелі көшіруге мүмкіндік береді, бұл оқиғаны тергеуге көмектеседі, бірақ оның алдын алуға болмайды. Сонымен қатар, мұндай тергеу, ең алдымен, ағып кету белгілі болған кезде жүзеге асырылады, яғни. пайда болғаннан кейінгі маңызды уақыт кезеңі.

InfoWatch Net Monitor (www.infowatch.ru) модульдерден тұрады - DeviceMonitor (Zlock аналогы), FileMonitor, OfficeMonitor, AdobeMonitor және PrintMonitor. DeviceMonitor – Zlock аналогы, стандартты функционалдығы, мейізсіз. FileMonitor – файлдарға қол жеткізуді басқару. OfficeMonitor және AdobeMonitor файлдардың тиісті қолданбаларында қалай өңделетінін басқаруға мүмкіндік береді. Қазіргі уақытта FileMonitor, OfficeMonitor және AdobeMonitor үшін ойыншық емес, пайдалы қосымшаны ойлап табу өте қиын, бірақ болашақ нұсқаларында өңделген деректердің контекстік талдауын жүргізуге болады. Мүмкін, бұл модульдер өздерінің әлеуетін ашады. Айта кету керек, файлдық операцияларды контекстік талдау міндеті маңызды емес, әсіресе мазмұнды сүзу базасы Traffic Monitor бағдарламасымен бірдей болса, яғни. желі.

Агентті жергілікті әкімші құқығы бар пайдаланушыдан қорғау туралы бөлек айту керек.
ZLock және InfoWatch Net Monitor мұндай қорғанысқа ие емес. Анау. пайдаланушы агентті тоқтатып, деректерді көшіріп, агентті қайта іске қоса алады.

DeviceLock мұндай қорғанысқа ие, бұл белгілі бір плюс. Ол тізіліммен жұмыс істеу үшін жүйелік қоңырауларды ұстауға негізделген, файлдық жүйежәне процесті басқару. Тағы бір артықшылығы - қорғаныс қауіпсіз режимде де жұмыс істейді. Бірақ минус бар - қорғауды өшіру үшін қарапайым драйверді жүктеп алу арқылы жасалуы мүмкін Қызмет дескрипторы кестесін қалпына келтіру жеткілікті.

Статикалық құрылғыларды блоктауға негізделген қарастырылатын жүйелердің кемшіліктері:

Ақпараттың желіге берілуі бақыланбайды.
-Құпия ақпаратты құпия емес ақпараттан ажыратуды білмейді. Ол не бәрі мүмкін, не мүмкін емес ештеңе жоқ деген принцип бойынша жұмыс істейді.
Агентті түсіруден қорғау жоқ немесе оңай айналып өтеді.

Қорытынды:
Мұндай жүйелерді енгізу дұрыс емес, өйткені олар мәселені шешпейді.

Құрылғыны динамикалық құлыптауға негізделген жүйелер

Жұмыс принципі:
жіберу арналарына қол жеткізу пайдаланушының қол жеткізу деңгейіне және жұмыс істейтін ақпараттың құпиялылық дәрежесіне байланысты блокталады. Бұл принципті жүзеге асыру үшін бұл өнімдер рұқсатты басқару механизмін пайдаланады. Бұл механизм өте жиі бола бермейді, сондықтан мен оған толығырақ тоқталамын.

Авторитетті (мәжбүрлі) қол жеткізуді басқару, дискрециялық (Windows NT және одан жоғары қауіпсіздік жүйесінде енгізілген) айырмашылығы, ресурс иесі (мысалы, файл) осы ресурсқа кіру талаптарын әлсірете алмайды, бірақ оларды өз деңгейіңіздің шегінде ғана күшейтіңіз. Арнайы өкілеттігі бар пайдаланушы ғана - ақпараттық қауіпсіздік қызметкері немесе әкімші - талаптарды жеңілдете алады.

Guardian, Accord, SecretNet, DallasLock және басқалары сияқты өнімдерді әзірлеудің негізгі мақсаты осы өнімдердің Мемлекеттік техникалық комиссияның (қазіргі FSTEC) талаптарына сәйкестігіне орнатылатын ақпараттық жүйелерді сертификаттау мүмкіндігі болды. Мұндай сертификаттау мемлекеттік деректер өңделетін ақпараттық жүйелер үшін міндетті болып табылады. құпия, ол негізінен мемлекеттік кәсіпорындардың өніміне сұранысты қамтамасыз етті.

Сондықтан бұл өнімдерде жүзеге асырылатын функциялар жиынтығы тиісті құжаттардың талаптарымен анықталды. Бұл өз кезегінде өнімдерде енгізілген функционалдық мүмкіндіктердің көпшілігі стандартты қайталауына әкелді Windows функциясы(жойылғаннан кейін нысандарды тазалау, ЖЖҚ тазалау) немесе оны жанама түрде пайдаланады (қол жеткізуді басқаруды кемсіту). Ал DallasLock әзірлеушілері Windows дискрециялық басқару механизмі арқылы өз жүйесіне кіруге міндетті бақылауды енгізу арқылы одан әрі алға жылжыды.

Мұндай өнімдерді практикалық қолдану өте ыңғайсыз; мысалы, DallasLock орнату үшін қайта бөлуді қажет етеді. қатты диск, ол да үшінші тарап бағдарламалық құралы арқылы орындалуы керек. Көбінесе сертификаттаудан кейін бұл жүйелер жойылды немесе өшірілді.

SecrecyKeeper (www.secrecykeeper.com) - рұқсатты басқарудың беделді механизмін жүзеге асыратын басқа өнім. Әзірлеушілердің айтуынша, SecrecyKeeper арнайы мәселені шешу үшін әзірленген - коммерциялық ұйымдағы ақпаратты ұрлауды болдырмау. Сондықтан, әзірлеушілердің пікірінше, әзірлеу кезінде жүйелік әкімшілер үшін де, қарапайым пайдаланушылар үшін де қарапайымдылық пен пайдаланудың қарапайымдылығына ерекше назар аударылды. Бұл қаншалықты сәтті болды, тұтынушы бағалауы керек, яғни. біз. Сонымен қатар, SecrecyKeeper басқа аталған жүйелерде жоқ бірқатар механизмдерді жүзеге асырады - мысалы, қашықтан қол жеткізу және агентті қорғау механизмі бар ресурстар үшін құпиялылық деңгейін орнату мүмкіндігі.
SecrecyKeeper-те ақпарат қозғалысын бақылау ақпараттық құпиялық деңгейі, пайдаланушы рұқсаты деңгейлері және компьютерлік қауіпсіздік деңгейі негізінде жүзеге асырылады, ол жария, құпия және өте құпия мәндерді қабылдай алады. Ақпараттық қауіпсіздік деңгейі жүйеде өңделетін ақпаратты үш санатқа бөлуге мүмкіндік береді:

ашық – құпия ақпарат емес, онымен жұмыс істеу кезінде шектеулер жоқ;

құпия – құпия ақпарат, онымен жұмыс істеу кезінде Пайдаланушының рұқсат деңгейлеріне байланысты шектеулер енгізіледі;

аса құпия – өте құпия ақпарат, онымен жұмыс істеу кезінде пайдаланушының рұқсат деңгейлеріне байланысты шектеулер енгізіледі.

Ақпараттық қауіпсіздік деңгейін файл үшін орнатуға болады, желілік дискжәне кейбір қызмет жұмыс істейтін компьютер порты.

Пайдаланушыны тазарту деңгейлері пайдаланушы ақпаратты қауіпсіздік деңгейіне қарай жылжыта алатынын анықтауға мүмкіндік береді. Келесі пайдаланушы рұқсат деңгейлері бар:

Пайдаланушы рұқсатының деңгейі – қызметкер қол жеткізе алатын ақпараттың максималды қауіпсіздік деңгейін шектейді;

Network Access Level – қызметкер желі арқылы жібере алатын ақпараттың ең жоғары қауіпсіздік деңгейін шектейді;

Алынбалы құралға қол жеткізу деңгейі - қызметкер сыртқы медиаға көшіре алатын ақпараттың ең жоғары қауіпсіздік деңгейін шектейді.

Принтерге қол жеткізу деңгейі - қызметкер басып шығара алатын ақпараттың максималды қауіпсіздік деңгейін шектейді.

Компьютерлік қауіпсіздік деңгейі – компьютерде сақтауға және өңдеуге болатын ақпараттың максималды қауіпсіздік деңгейін анықтайды.

Қоғамдық қауіпсіздік деңгейі бар ақпаратқа қол жеткізуді кез келген қауіпсіздік рұқсаты бар қызметкер қамтамасыз ете алады. Мұндай ақпаратты желі арқылы беруге және сыртқы тасымалдаушыларға шектеусіз көшіруге болады. Қоғамдық деп жіктелген ақпаратпен жұмыс істеу тарихы қадағаланбайды.

Қауіпсіздік деңгейі құпия ақпаратқа рұқсатты рұқсат деңгейі құпияға тең немесе одан жоғары қызметкерлер ғана ала алады. Мұндай ақпаратты желіге тек желіге кіру деңгейі құпия немесе одан жоғары болған қызметкерлер ғана жібере алады. Алынбалы құралға кіру деңгейі құпия немесе одан жоғары болып табылатын қызметкерлер ғана мұндай ақпаратты сыртқы медиаға көшіре алады. Мұндай ақпаратты принтерге кіру деңгейі құпия немесе одан жоғары болған қызметкерлер ғана басып шығара алады. Құпия деңгейі бар ақпаратпен жұмыс істеу тарихы, т.б. оған қол жеткізу әрекеттері, оны желі арқылы жіберу әрекеттері, оны сыртқы медиаға көшіру немесе басып шығару әрекеттері тіркеледі.

Құпия деңгейі жоғары ақпаратқа рұқсатты рұқсат деңгейі аса құпияға тең қызметкерлер ғана ала алады. Мұндай ақпаратты желіге тек желіге кіру деңгейі аса құпияға тең қызметкерлер ғана жібере алады. Алынбалы тасымалдағышқа кіру деңгейі өте құпияға тең қызметкерлер ғана мұндай ақпаратты сыртқы медиаға көшіре алады. Мұндай ақпаратты принтерге кіру деңгейі өте құпияға тең қызметкерлер ғана басып шығара алады. Өте құпия деңгейі бар ақпаратпен жұмыс істеу тарихы, т.б. оған қол жеткізу әрекеттері, оны желі арқылы жіберу әрекеттері, оны сыртқы медиаға көшіру немесе басып шығару әрекеттері тіркеледі.

Мысал: қызметкерге аса құпияға тең рұқсат деңгейі, құпияға тең желіге қол жеткізу деңгейі, жалпыға тең алынатын медиаға қол жеткізу деңгейі және аса құпияға тең принтерге қол жеткізу деңгейі болсын; бұл жағдайда қызметкер кез келген құпиялық деңгейі бар құжатқа қол жеткізе алады, қызметкер құпиялық деңгейі құпиядан жоғары емес желіге ақпаратты жібере алады, мысалы, дискеттерге көшіре алады, қызметкер тек құпиялылық деңгейі және қызметкер принтерде кез келген ақпаратты басып шығара алады.

Кәсіпорын бойынша ақпараттың таралуын басқару үшін қызметкерге бекітілген әрбір компьютерге компьютерлік қауіпсіздік деңгейі тағайындалады. Бұл деңгей қызметкердің рұқсат деңгейіне қарамастан кез келген қызметкер берілген компьютерден қол жеткізе алатын ақпараттың ең жоғары қауіпсіздік деңгейін шектейді. Бұл. егер қызметкерде өте құпияға тең Clearance Level және ол жұмыс істейтін компьютер болса осы сәтжұмыстардың жалпыға бірдей Қауіпсіздік деңгейі болса, қызметкер осы жұмыс станциясынан жалпыға бірдей қауіпсіздік деңгейі жоғары ақпаратқа қол жеткізе алмайды.

Теориямен қаруланып, мәселені шешу үшін SecrecyKeeper-ді қолдануға тырысайық. Қарастырылып отырған дерексіз кәсіпорынның ақпараттық жүйесінде өңделген ақпаратты (мәселенің мәлімдемесін қараңыз) келесі кестені пайдалана отырып, оңайлатылған түрде сипаттауға болады:

Кәсіпорын қызметкерлері және олардың еңбек мүдделерінің саласы екінші кесте арқылы сипатталған:

Кәсіпорында келесі серверлерді пайдалануға рұқсат етіңіз:
Сервер 1С
Шарлары бар файл сервері:
SecretDocs – құпия құжаттарды қамтиды
PublicDocs – жалпыға қолжетімді құжаттарды қамтиды

Стандартты мүмкіндіктер стандартты қол жеткізуді басқаруды ұйымдастыру үшін пайдаланылатынын ескеріңіз операциялық жүйежәне қолданбалы бағдарламалық қамтамасыз ету, яғни. мысалы, менеджердің қызметкерлердің жеке деректеріне қол жеткізуіне жол бермеу үшін қосымша қорғау жүйелерін енгізудің қажеті жоқ. Біз қызметкердің заңды рұқсаты бар ақпараттың таралуына қарсы тұру туралы айтып отырмыз.

SecrecyKeeper нақты конфигурациясына көшейік.
Мен басқару консолін және агенттерді орнату процесін сипаттамаймын, барлығы мүмкіндігінше қарапайым - бағдарламаның құжаттамасын қараңыз.
Жүйені орнату келесі қадамдарды орындаудан тұрады.

1-қадам. Серверлерден басқа барлық дербес компьютерлерге агенттерді орнатыңыз - бұл олардың құпиялық деңгейі жалпыға ортақ деңгейден жоғары орнатылған ақпаратты алуға бірден жол бермейді.

2-қадам. Келесі кестеге сәйкес қызметкерлерге клиренс деңгейлерін тағайындаңыз:

	Пайдаланушының рұқсат деңгейі	Желіге кіру деңгейі	Алынбалы медиаға қол жеткізу деңгейі	Принтерге қол жеткізу деңгейі
режиссер	құпия	құпия	құпия	құпия
менеджер	құпия	қоғамдық	қоғамдық	құпия
кадр қызметкері	құпия	қоғамдық	қоғамдық	құпия
есепші	құпия	қоғамдық	құпия	құпия
хатшы	қоғамдық	қоғамдық	қоғамдық	қоғамдық

3-қадам. Компьютердің қауіпсіздік деңгейлерін келесідей тағайындаңыз:

4-қадам. Серверлерде ақпараттық қауіпсіздік деңгейлерін конфигурациялаңыз:

5-қадам. Жергілікті файлдар үшін қызметкердің жеке компьютерлеріндегі ақпараттық қауіпсіздік деңгейлерін конфигурациялаңыз. Бұл ең көп уақытты қажет ететін бөлік, өйткені қай қызметкерлер қандай ақпаратпен жұмыс істейтінін және бұл ақпарат қаншалықты маңызды екенін нақты түсіну керек. Ұйымыңыз ақпараттық қауіпсіздік аудитінен өткен болса, оның нәтижелері тапсырманы әлдеқайда жеңілдетеді.

Қадам 6. Қажет болса, SecrecyKeeper пайдаланушылар іске қосуға рұқсат етілген бағдарламалар тізімін шектеуге мүмкіндік береді. Бұл механизм Windows бағдарламалық жасақтамасын шектеу саясатына тәуелсіз жүзеге асырылады және, мысалы, әкімші құқықтары бар пайдаланушыларға шектеулер енгізу қажет болған жағдайда пайдаланылуы мүмкін.

Осылайша, SecrecyKeeper көмегімен құпия ақпаратты рұқсатсыз тарату қаупін - ағып кетуді де, ұрлауды да айтарлықтай азайтуға болады.

Кемшіліктері:
- қиындық бастапқы орнатужергілікті файлдар үшін құпиялылық деңгейлері;

Жалпы қорытынды:
ақпаратты инсайдерлерден қорғаудың максималды мүмкіндіктері жұмыс істейтін ақпараттың құпиялылық дәрежесіне және қызметкердің қауіпсіздік деңгейіне байланысты ақпаратты беру арналарына қол жеткізуді динамикалық реттеу мүмкіндігі бар бағдарламалық қамтамасыз етумен қамтамасыз етіледі.

Компания сатып алушылар, әзірлеушілер, дилерлер және серіктес серіктестер үшін бірегей қызмет болып табылады. Оның үстіне, бұл бірі ең жақсы интернет-дүкендерКлиенттерге кең ауқымды, көптеген төлем әдістерін, тапсырысты жедел (көбінесе лезде) өңдеуді, тапсырыс процесін жеке бөлімде қадағалауды ұсынатын Ресей, Украина, Қазақстандағы бағдарламалық қамтамасыз ету.

Соңғы уақытта ішкі қауіптерден қорғау проблемасы корпоративтік ақпараттық қауіпсіздіктің түсінікті және қалыптасқан әлемі үшін нақты сынаққа айналды. Баспасөз инсайдерлер туралы айтады, зерттеушілер мен сарапшылар ықтимал шығындар мен қиындықтар туралы ескертеді, ал жаңалықтар арналары қызметкердің қателігі немесе абайсыздығы салдарынан жүздеген мың тұтынушы жазбаларының ағып кетуіне әкелген тағы бір оқиға туралы хабарларға толы. Бұл мәселе соншалықты маңызды ма, оны шешу керек пе және оны шешу үшін қандай құралдар мен технологиялар бар екенін анықтауға тырысайық.

Ең алдымен, деректердің құпиялылығына төнетін қатер, егер оның көзі кәсіпорын қызметкері немесе осы деректерге заңды рұқсаты бар басқа тұлға болса, ішкі қауіп екенін анықтау керек. Осылайша, біз инсайдерлік қауіптер туралы айтқанда, біз кез келген туралы айтамыз ықтимал әрекеттерзаңды пайдаланушылар, әдейі немесе кездейсоқ, бұл кәсіпорынның корпоративтік желісінен тыс құпия ақпараттың ағып кетуіне әкелуі мүмкін. Суретті аяқтау үшін мұндай пайдаланушыларды жиі инсайдерлер деп атайтынын қосу керек, дегенмен бұл терминнің басқа мағыналары бар.

Ішкі қауіптер проблемасының өзектілігі соңғы зерттеулердің нәтижелерімен расталады. Атап айтқанда, 2008 жылдың қазан айында Compuware және Ponemon Institute бірлескен зерттеуінің нәтижелері жарияланды, оған сәйкес инсайдерлер деректердің ағып кетуіне жиі себеп болады (АҚШ-тағы оқиғалардың 75%), ал хакерлер бесінші орында ғана болды. орын. Компьютерлік қауіпсіздік институтының (CSI) 2008 жылғы жылдық зерттеуінде инсайдерлік қауіп инциденттерінің саны келесідей:

Оқиғалар саны пайызбен респонденттердің жалпы санын білдіреді бұл түріұйымдардың көрсетілген пайызында оқиға орын алды. Бұл сандардан көріп отырғанымыздай, әрбір ұйымның дерлік ішкі қауіптерден зардап шегу қаупі бар. Салыстыру үшін, сол есеп бойынша, вирустар сауалнама жүргізілген ұйымдардың 50%-ына әсер еткен, ал хакерлер еніп кеткен. жергілікті желітек 13% ғана кездесті.

Осылайша, ішкі қауіптер– бұл бүгінгі күннің шындығы, аналитиктер мен сатушылар ойлап тапқан миф емес. Сонымен, ескі әдіспен корпоративтік ақпараттық қауіпсіздік брандмауэр және антивирус деп есептейтіндер мәселені мүмкіндігінше тезірек қарастыруы керек.

«Дербес деректер туралы» заң да шиеленіс дәрежесін арттырып отыр, оған сәйкес ұйымдар мен лауазымды тұлғалар өздерінің басшылығының алдында ғана емес, сонымен қатар өз клиенттерінің алдында және жеке деректермен дұрыс жұмыс істемегені үшін заң алдында жауап беруге тиіс.

Зиянкестердің үлгісі

Дәстүр бойынша, қауіптер мен оларға қарсы қорғанысты қарастыру кезінде қарсыластың моделін талдаудан бастау керек. Жоғарыда айтылғандай, біз инсайдерлер - ұйым қызметкерлері және құпия ақпаратқа заңды қол жеткізе алатын басқа пайдаланушылар туралы айтатын боламыз. Әдетте, бұл сөздермен бәрі компьютерде жұмыс істейтін кеңсе қызметкерін корпоративтік желінің бөлігі ретінде ойлайды, ол жұмыс кезінде ұйымның кеңсесінен шықпайды. Алайда мұндай ұсыну толық емес. Оны ұйымның кеңсесінен шыға алатын ақпаратқа заңды рұқсаты бар тұлғалардың басқа түрлерін қосу үшін кеңейту қажет. Бұл ноутбуктері бар іскер саяхатшылар немесе кеңседе де, үйде де жұмыс істейтіндер, ақпараты бар медианы тасымалдайтын курьерлер, ең алдымен резервтік көшірмесі бар магниттік таспалар және т.б.

Зиянкестердің моделін мұндай кеңейтілген қарастыру, біріншіден, концепцияға сәйкес келеді, өйткені бұл зиянкестерден туындайтын қауіптер ішкі қауіптерге де қатысты, ал екіншіден, бұл мәселені кеңірек талдауға мүмкіндік береді. ықтимал опцияларосы қауіптермен күресу.

Ішкі тәртіп бұзушылардың келесі негізгі түрлерін ажыратуға болады:

Адал емес/ренжіген қызметкер.Осы санатқа жататын тәртіп бұзушылар, мысалы, жаңа жұмыс берушіні қызықтыру үшін жұмыс орнын ауыстырып, құпия ақпаратты алуды қалайтын немесе эмоционалды түрде, егер олар өздерін ренжітті деп есептесе, осылайша кек алғысы келетін мақсатты әрекет етуі мүмкін. Олар қауіпті, өйткені олар қазіргі уақытта жұмыс істеп жатқан ұйымға зиян келтіруге барынша ынталы. Әдетте, адал емес қызметкерлерге қатысты оқиғалардың саны аз, бірақ ол қолайсыз экономикалық жағдайлар мен қызметкерлерді жаппай қысқарту жағдайларында артуы мүмкін.
Инфильтрацияланған, пара алған немесе манипуляцияланған қызметкер.Бұл жағдайда туралы айтып отырмызкез келген мақсатты әрекеттер туралы, әдетте, қарқынды бәсекелестік жағдайында өндірістік тыңшылық мақсатында. Құпия ақпаратты жинау үшін олар не белгілі бір мақсатпен бәсекелес компанияға өз тұлғасын таныстырады, не адал емес қызметкерді тауып, оған пара береді, не адал, бірақ немқұрайлы қызметкерді әлеуметтік инженерия арқылы құпия ақпаратты беруге мәжбүрлейді. Мұндай оқиғалардың саны, әдетте, Ресей Федерациясында экономиканың көптеген сегменттерінде бәсекелестік онша дамымаған немесе басқа жолдармен жүзеге асырылатынына байланысты бұрынғыдан да аз.
Салақсыз қызметкер. Бұл түрібұзушы - саясатты бұзуы мүмкін адал, бірақ немқұрайлы немесе немқұрайлы қызметкер ішкі қауіпсіздіконың білмеуіне немесе ұмытшақтығына байланысты кәсіпорын. Мұндай қызметкер қате адамға құпия файл тіркелген электрондық поштаны қате жіберуі немесе демалыс күндері жұмыс істеу үшін құпия ақпараты бар флэш-дискіні үйге апарып, оны жоғалтуы мүмкін. Бұл түрге ноутбуктер мен магниттік таспаларды жоғалтқан қызметкерлер де кіреді. Көптеген сарапшылардың пікірінше, инсайдерлердің бұл түрі құпия ақпараттың сыртқа шығуының көпшілігіне жауапты.

Осылайша, әлеуетті бұзушылардың мотивтері және, тиісінше, әрекет ету барысы айтарлықтай ерекшеленуі мүмкін. Осыған байланысты ұйымның ішкі қауіпсіздігін қамтамасыз ету міндетіне жүгіну керек.

Инсайдерлік қауіптерден қорғау технологиялары

Бұл нарық сегментінің салыстырмалы жастығына қарамастан, клиенттердің мақсаттары мен қаржылық мүмкіндіктеріне байланысты таңдау мүмкіндігі бар. Айта кету керек, қазір нарықта тек ішкі қауіптерге маманданған жеткізушілер іс жүзінде жоқ. Бұл жағдай тек осы сегменттің жетілмегендігінен ғана емес, сонымен қатар дәстүрлі қауіпсіздік өнімдерін өндірушілер мен осы сегментте қатысуға мүдделі басқа жеткізушілер жүзеге асыратын агрессивті және кейде ретсіз бірігу және сатып алу саясатына байланысты туындады. 2006 жылы EMC бөлімшесіне айналған RSA Data Security компаниясын NetApp компаниясының Decru стартапын сатып алғанын еске түсірген жөн, ол серверді сақтау және сақтау жүйелерін әзірледі. резервтік көшірмелер 2005 жылы, Symantec компаниясының 2007 жылы DLP жеткізушісі Vontu сатып алуы және т.б.

Мұндай транзакциялардың көп саны осы сегменттің дамуының жақсы перспективаларын көрсететініне қарамастан, олар әрқашан қанаттың астына түсетін өнімдердің сапасына пайда әкелмейді. ірі корпорациялар. Өнімдер баяу дами бастайды, ал әзірлеушілер жоғары мамандандырылған компаниямен салыстырғанда нарық талаптарына тез жауап бермейді. Бұл үлкен компаниялардың белгілі ауруы, біз білетіндей, ұтқырлық пен тиімділіктен кіші ағаларына жоғалтады. Екінші жағынан, әлемнің әртүрлі бөліктеріндегі тұтынушыларға қызмет көрсету сапасы мен өнімдердің қолжетімділігі олардың қызмет көрсету және сату желісінің дамуына байланысты жақсаруда.

Қазіргі уақытта ішкі қауіптерді бейтараптандыру үшін қолданылатын негізгі технологияларды, олардың артықшылықтары мен кемшіліктерін қарастырайық.

Құжатты бақылау

Құжаттарды бақылау технологиясы қазіргі заманғы құқықтарды басқару өнімдерінде, мысалы Microsoft WindowsҚұқықтарды басқару қызметтері, Adobe LiveCycle құқықтарын басқару ES және Oracle ақпараттық құқықтарын басқару.

Бұл жүйелердің жұмыс принципі әрбір құжат үшін пайдалану ережелерін тағайындау және осы түрдегі құжаттармен жұмыс істейтін қолданбаларда осы құқықтарды бақылау болып табылады. Мысалы, сіз құжат жасай аласыз Microsoft Wordжәне оған ережелерді орнатыңыз: оны кім көре алады, кім өзгертулерді өңдей және сақтай алады және кім басып шығара алады. Бұл ережелер Windows RMS шарттарында лицензия деп аталады және файлмен бірге сақталады. Файлдың мазмұны рұқсат етілмеген пайдаланушылардың оны көруіне жол бермеу үшін шифрланған.

Енді кез келген пайдаланушы осындай қорғалған файлды ашуға әрекеттенсе, қолданба арнайы RMS серверімен байланысады, пайдаланушының рұқсаттарын растайды және осы пайдаланушыға кіру рұқсат етілген болса, сервер осы файл мен ақпараттың шифрын ашу үшін қолданбаға кілтті береді. осы пайдаланушының құқықтары туралы. Осы ақпарат негізінде қолданба пайдаланушыға оның құқықтары бар функцияларды ғана қол жетімді етеді. Мысалы, пайдаланушыға файлды басып шығаруға рұқсат берілмесе, қолданбаның басып шығару мүмкіндігі қолжетімді болмайды.

Мұндай файлдағы ақпарат, егер файл корпоративтік желіден тыс болса да, қауіпсіз болады - ол шифрланған. RMS функциясы қолданбаларға әлдеқашан енгізілген Microsoft Office 2003 кәсіби басылым. RMS функционалдығын басқа әзірлеушілердің қолданбаларына ендіру үшін Microsoft арнайы SDK ұсынады.

Adobe құжатты басқару жүйесі ұқсас түрде құрастырылған, бірақ PDF форматындағы құжаттарға бағытталған. Oracle IRM клиенттік компьютерлерде агент ретінде орнатылады және орындалу уақытында қолданбалармен біріктіріледі.

Құжатты бақылау инсайдерлік қауіптен қорғаудың жалпы тұжырымдамасының маңызды бөлігі болып табылады, бірақ бұл технологияға тән шектеулерді ескеру қажет. Біріншіден, ол тек құжат файлдарын бақылауға арналған. Егер құрылымдалмаған файлдар немесе деректер базасы туралы айтатын болсақ, бұл технология жұмыс істемейді. Екіншіден, егер шабуылдаушы осы жүйенің SDK көмегімен RMS серверімен байланысатын, сол жерден шифрлау кілтін алатын және құжатты анық мәтінде сақтайтын қарапайым қолданбаны жасаса және осы қолданбаны пайдаланушы атынан іске қосады. құжатқа қол жеткізудің ең төменгі деңгейі, содан кейін бұл жүйеайналып өтетін болады. Сонымен қатар, егер ұйым көптеген құжаттарды жасаған болса, құжаттарды бақылау жүйесін енгізу кезінде қиындықтарды ескеру керек - бастапқыда құжаттарды жіктеу және оларды пайдалану құқығын беру міндеті айтарлықтай күш салуды қажет етуі мүмкін.

Бұл құжатты бақылау жүйелері тапсырманы орындамайды дегенді білдірмейді, тек ақпараттық қауіпсіздіктің күрделі мәселе екенін есте ұстауымыз керек, және, әдетте, бір ғана құралдың көмегімен оны шешу мүмкін емес.

Ағып кетуден қорғау

Деректердің жоғалуының алдын алу (DLP) термині ақпараттық қауіпсіздік мамандарының сөздік қорында салыстырмалы түрде жақында пайда болды және соңғы жылдардағы ең ыстық тақырыпқа айналды. Әдетте, DLP аббревиатурасы ағып кетудің ықтимал арналарын бақылайтын және осы арналар арқылы кез келген құпия ақпаратты жіберу әрекеті жасалған жағдайда оларды блоктайтын жүйелерді білдіреді. Сонымен қатар, функцияда ұқсас жүйелеркөбінесе кейінгі аудиттер, инциденттерді тергеу және ықтимал тәуекелдерді ретроспективті талдау үшін олар арқылы өтетін ақпаратты мұрағаттау мүмкіндігін қамтиды.

DLP жүйелерінің екі түрі бар: желілік DLP және хост DLP.

Желілік DLPжелілік шлюз принципі бойынша жұмыс істейді, ол арқылы өтетін барлық деректерді сүзеді. Әлбетте, ішкі қауіптермен күресу міндетіне сүйене отырып, мұндай сүзгілеудің басты мүддесі корпоративтік желіден тыс Интернетке жіберілетін деректерді басқару мүмкіндігінде жатыр. Желілік DLP файлдары шығыс поштаны, http және ftp трафигін, жылдам хабар алмасу қызметтерін, т.б. бақылауға мүмкіндік береді. Егер құпия ақпарат анықталса, желілік DLP жіберілген файлды блоктай алады. Сондай-ақ күдікті файлдарды қолмен өңдеу опциялары бар. Күдікті файлдар карантинге орналастырылады, оны қауіпсіздік қызметкері мерзімді түрде тексереді және файлдарды тасымалдауға рұқсат береді немесе қабылдамайды. Дегенмен, хаттаманың сипатына байланысты мұндай өңдеу тек электрондық пошта үшін ғана мүмкін болады. Шлюз арқылы өтетін барлық ақпаратты мұрағаттау арқылы аудит пен оқиғаны зерттеудің қосымша мүмкіндіктері қамтамасыз етіледі, егер бұл мұрағат мезгіл-мезгіл тексеріліп, ағып кетулерді анықтау үшін оның мазмұны талданса.

DLP жүйелерін енгізу мен енгізудегі негізгі мәселелердің бірі - құпия ақпаратты анықтау әдісі, яғни берілетін ақпараттың құпиялылығы туралы шешім қабылдау сәті және мұндай шешім қабылдау кезінде ескерілетін негіздер. . Әдетте, бұл мазмұнды талдау арқылы жүзеге асырылады аударылған құжаттар, сонымен қатар мазмұнды талдау деп те аталады. Құпия ақпаратты анықтаудың негізгі тәсілдерін қарастырайық.

Тегтер. Бұл әдіс жоғарыда қарастырылған құжаттарды басқару жүйелеріне ұқсас. Белгілер ақпараттың құпиялылық дәрежесін, бұл құжатпен не істеуге болатынын және оны кімге жіберу керектігін сипаттайтын құжаттарға ендірілген. Тегтерді талдау нәтижелеріне сүйене отырып, DLP жүйесі мұның мүмкін екендігін шешеді бұл құжатсыртқа жіберу немесе жібермеу. Кейбір DLP жүйелері бастапқыда осы жүйелер орнататын белгілерді пайдалану үшін құқықтарды басқару жүйелерімен үйлесімді етіп жасалған; басқа жүйелер өздерінің жапсырма пішімін пайдаланады.
Қолтаңбалар. Бұл әдіс бір немесе бірнеше символдар тізбегін көрсетуден тұрады, олардың тасымалданатын файл мәтінінде болуы DLP жүйесіне бұл файлда құпия ақпарат бар екенін көрсетуі керек. Көптеген қолтаңбаларды сөздіктерге ұйымдастыруға болады.
Бейс әдісі. Спаммен күресу үшін қолданылатын бұл әдісті DLP жүйелерінде де сәтті қолдануға болады. Бұл әдісті қолдану үшін категориялар тізімі құрылады және егер сөз файлда кездесе, онда берілген ықтималдығы бар файл көрсетілген категорияға жатады немесе жатпайды деген ықтималдықтармен сөздер тізімі көрсетіледі.
Морфологиялық талдау.Морфологиялық талдау әдісі қолтаңбаға ұқсас, айырмашылығы - қолтаңбамен 100% сәйкестік талданбайды, бірақ ұқсас түбір сөздер де ескеріледі.
Сандық басып шығару.Бұл әдістің мәні хэш-функция барлық құпия құжаттар үшін есептеледі, егер құжат аздап өзгертілсе, хэш функциясы сол күйінде қалады немесе аздап өзгереді. Осылайша, құпия құжаттарды анықтау процесі айтарлықтай жеңілдетілді. Көптеген өндірушілер мен кейбір сарапшылардың бұл технологияны құлшыныспен мақтауларына қарамастан, оның сенімділігі көп нәрсені қалаусыз қалдырады және сатушылар әртүрлі сылтаулармен цифрлық саусақ ізі алгоритмін енгізудің егжей-тегжейлерін көлеңкеде қалдыруды қалайтынын ескере отырып, сенім артады. онда көбеймейді.
Тұрақты өрнектер.Бағдарламалаумен айналысқандардың барлығына белгілі, тұрақты тіркестертелефон нөмірлері, төлқұжат ақпараты, банктік шот нөмірлері, әлеуметтік сақтандыру нөмірлері және т.б. сияқты мәтіндегі үлгі деректерін табуды жеңілдетіңіз.

Жоғарыда келтірілген тізімнен анықтау әдістері не құпия ақпаратты 100% сәйкестендіруге кепілдік бермейтінін байқау қиын емес, өйткені олардағы бірінші және екінші типтегі қателердің деңгейі айтарлықтай жоғары, немесе қауіпсіздік қызметінің үнемі қырағылығын талап етеді. құпия құжаттарға арналған қолтаңбалардың немесе тағайындау белгілерінің жаңартылған тізімін жаңарту және жүргізу.

Сонымен қатар, трафикті шифрлау желілік DLP жұмысында белгілі бір проблема тудыруы мүмкін. Қауіпсіздік талаптары электрондық пошта хабарларын шифрлауды немесе кез келген веб-ресурстарға қосылу кезінде SSL пайдалануды талап етсе, тасымалданатын файлдарда құпия ақпараттың болуын анықтау мәселесін шешу өте қиын болуы мүмкін. Skype сияқты кейбір лездік хабар алмасу қызметтерінде әдепкі бойынша шифрлау орнатылғанын ұмытпаңыз. Мұндай қызметтерді пайдаланудан бас тартуға немесе оларды басқару үшін DLP хостын пайдалануға тура келеді.

Дегенмен, барлық қиындықтарға қарамастан, қашан дұрыс орнатуБайыппен қараған кезде желілік DLP құпия ақпараттың ағып кету қаупін айтарлықтай төмендетеді және ұйымды ішкі бақылаудың ыңғайлы құралымен қамтамасыз етеді.

DLP хостыжелідегі әрбір хостқа орнатылады (клиенттік жұмыс станцияларында және қажет болған жағдайда серверлерде) және Интернет-трафикті басқару үшін де пайдаланылуы мүмкін. Дегенмен, хост негізіндегі DLP бұл мүмкіндікте аз тараған және қазіргі уақытта негізінен басқару үшін пайдаланылады сыртқы құрылғыларжәне принтерлер. Өздеріңіз білетіндей, жұмысқа флэш-диск немесе MP3 ойнатқышты әкелетін қызметкер барлық хакерлерді біріктіргеннен гөрі кәсіпорынның ақпараттық қауіпсіздігіне әлдеқайда үлкен қауіп төндіреді. Бұл жүйелер желілік соңғы нүкте қауіпсіздік құралдары деп те аталады ( соңғы нүкте қауіпсіздігі), бұл термин жиі кеңірек қолданылғанымен, мысалы, антивирустық өнімдер кейде осылай аталады.

Өздеріңіз білетіндей, сыртқы құрылғыларды пайдалану мәселесін порттарды физикалық немесе операциялық жүйені пайдалану арқылы өшіру немесе әкімшілік түрде қызметкерлерге кеңсеге кез келген сақтау құралдарын әкелуге тыйым салу арқылы ешқандай құралдарды қолданбай шешуге болады. Алайда, көп жағдайда «арзан және көңілді» тәсіл қабылданбайды, өйткені бизнес-процестер талап ететін ақпараттық қызметтердің қажетті икемділігі қамтамасыз етілмейді.

Осыған байланысты белгілі бір сұраныс болды арнайы құралдар, оның көмегімен сіз компания қызметкерлерінің сыртқы құрылғылар мен принтерлерді пайдалану мәселесін икемді түрде шеше аласыз. Мұндай құралдар пайдаланушылардың қол жеткізу құқықтарын конфигурациялауға мүмкіндік береді әртүрлі түрлеріқұрылғылар, мысалы, пайдаланушылардың бір тобы үшін медиамен жұмыс істеуге тыйым салу және принтерлермен жұмыс істеуге рұқсат беру, ал екіншісі үшін - тек оқу режимінде медиамен жұмыс істеуге рұқсат беру. Жеке пайдаланушылар үшін сыртқы құрылғыларда ақпаратты жазу қажет болса, сыртқы құрылғыда сақталған барлық ақпараттың серверге көшірілуін қамтамасыз ететін көлеңкелі көшіру технологиясын қолдануға болады. Көшірілген ақпаратты кейіннен пайдаланушы әрекеттерін талдау үшін талдауға болады. Бұл технологиябарлығын көшіреді және қазіргі уақытта желілік DLP сияқты жұмысты блоктау және ағып кетуді болдырмау үшін сақталған файлдардың мазмұнын талдауға мүмкіндік беретін жүйелер жоқ. Дегенмен, көлеңкелі көшірмелердің мұрағаты инциденттерді зерттеуді және желідегі оқиғаларды ретроспективті талдауды қамтамасыз етеді, ал мұндай мұрағаттың болуы әлеуетті инсайдерді ұсталып, өз әрекеттері үшін жазалау мүмкіндігін білдіреді. Бұл ол үшін айтарлықтай кедергі және дұшпандық әрекеттерден бас тартудың маңызды себебі болуы мүмкін.

Сондай-ақ принтерлерді пайдалануды бақылауды атап өткен жөн - құжаттардың қағаз көшірмелері де ағып кетудің көзі болуы мүмкін. Қондырылған DLP басқа сыртқы құрылғылар сияқты пайдаланушының принтерлерге қол жеткізуін басқаруға және басып шығарылған құжаттардың көшірмелерін компьютерде сақтауға мүмкіндік береді. графикалық форматкейінгі талдау үшін. Сонымен қатар, су таңбаларының технологиясы біршама кең тарады, ол құжаттың әрбір бетіне бірегей кодты басып шығарады, оның көмегімен бұл құжатты кім, қашан және қайда басып шығарғанын анықтауға болады.

Хост негізіндегі DLP-тің сөзсіз артықшылықтарына қарамастан, олардың бақылауға жататын әрбір компьютерге агент бағдарламалық құралын орнату қажеттілігімен байланысты бірқатар кемшіліктері бар. Біріншіден, бұл мұндай жүйелерді орналастыру және басқару тұрғысынан белгілі бір қиындықтарды тудыруы мүмкін. Екіншіден, әкімші құқықтары бар пайдаланушы қауіпсіздік саясатымен рұқсат етілмеген кез келген әрекеттерді орындау үшін осы бағдарламалық құралды өшіруге әрекеттенуі мүмкін.

Дегенмен, сыртқы құрылғыларды сенімді басқару үшін хост негізіндегі DLP қажет және аталған мәселелер шешілмейтін емес. Осылайша, DLP тұжырымдамасы қазіргі уақытта ішкі бақылауды және ағып кетуден қорғауды қамтамасыз ету үшін үнемі өсіп келе жатқан қысым жағдайында корпоративтік қауіпсіздік қызметтерінің арсеналындағы толыққанды құрал болып табылады деп қорытынды жасауға болады.

IPC тұжырымдамасы

Ішкі қауіптермен күресудің жаңа құралдарын ойлап табу процесінде қазіргі қоғамның ғылыми және инженерлік ойы тоқтап қалмайды және жоғарыда талқыланған құралдардың кейбір кемшіліктерін ескере отырып, ақпараттың ағып кетуінен қорғау жүйелері нарығына келді. IPC концепциясы (ақпаратты қорғау және бақылау). Бұл термин салыстырмалы түрде жақында пайда болды, ол алғаш рет 2007 жылы IDC аналитикалық компаниясының шолуында қолданылған деп саналады.

Бұл тұжырымдаманың мәні DLP және шифрлау әдістерін біріктіру болып табылады. Бұл тұжырымдамада DLP көмегімен корпоративтік желіден шығатын ақпарат арқылы басқарылады техникалық арналар, ал шифрлау рұқсат етілмеген адамдардың қолына физикалық түрде түсетін немесе түсуі мүмкін сақтау құралдарын қорғау үшін қолданылады.

IPC тұжырымдамасында қолдануға болатын ең көп таралған шифрлау технологияларын қарастырайық.

Магниттік таспаларды шифрлау.Бұқаралық ақпарат құралдарының бұл түрінің архаикалық сипатына қарамастан, ол белсенді түрде пайдаланылуда Резервтік көшірмежәне ақпараттың үлкен көлемін тасымалдау үшін, өйткені сақталған мегабайт бірлігінің құны бойынша ол әлі де тең емес. Тиісінше, таспаның ағып кетуі оларды бірінші бетке шығарған жаңалықтар редакторларын қуантады және осындай репортаждардың кейіпкеріне айналған кәсіпорындардың CIO-лары мен қауіпсіздік топтарын ренжітуде. Жағдайды қиындатады, мұндай таспаларда деректердің өте үлкен көлемі бар, сондықтан көптеген адамдар алаяқтардың құрбаны болуы мүмкін.
Сервер қоймаларын шифрлау.Сервер қоймасы өте сирек тасымалданатынына және оның жоғалу қаупі магниттік таспаға қарағанда өлшеусіз төмен болғанына қарамастан, бөлек қатты дисксақтаудан қылмыскерлердің қолына түсуі мүмкін. Жөндеу, жою, жаңарту – бұл оқиғалар осы тәуекелді есептен шығару үшін жеткілікті жүйелілікпен орын алады. Ал кеңсеге бөгде адамдардың кіру жағдайы мүлде мүмкін емес оқиға емес.

Бұл жерде кішкене шегініс жасап, егер диск RAID массивінің бөлігі болса, онда оның дұрыс емес қолдарға түсіп кетуіне алаңдамау керек деген жалпы қате пікірді айта кеткен жөн. Жазылған деректердің бірнешеге ауысуы сияқты қатты дискілер RAID контроллерлері орындайтын кез келген қатты түрдегі деректерге оқылмайтын көрініс береді. Өкінішке орай, бұл мүлдем дұрыс емес. Араластыру орын алады, бірақ қазіргі заманғы құрылғылардың көпшілігінде ол 512 байт блок деңгейінде орындалады. Бұл файл құрылымы мен пішімдерінің бұзылуына қарамастан, құпия ақпаратты әлі де осындай қатты дискіден шығаруға болатынын білдіреді. Сондықтан, RAID массивінде сақталған ақпараттың құпиялылығын қамтамасыз ету талабы болса, шифрлау жалғыз сенімді нұсқа болып қала береді.

Ноутбуктерді шифрлау.Бұл сансыз рет айтылды, бірақ әлі де құпия ақпараты бар ноутбуктердің жоғалуы көптеген жылдар бойы хит-парад оқиғаларының бестігіне кірмейді.
Алынбалы тасымалдағышты шифрлау.Бұл жағдайда біз портативті USB құрылғылары туралы және кейде жазуға болатын CD және DVD дискілері туралы айтып отырмыз, егер олар кәсіпорынның бизнес процестерінде қолданылса. Мұндай жүйелер, сондай-ақ жоғарыда аталған ноутбуктің қатты дискісін шифрлау жүйелері көбінесе негізгі DLP жүйелерінің құрамдас бөлігі ретінде әрекет ете алады. Бұл жағдайда олар ішіндегі медианы автоматты түрде мөлдір шифрлауды және одан тыс деректерді шифрлау мүмкін еместігін қамтамасыз ететін криптографиялық периметрдің бір түрі туралы айтады.

Осылайша, шифрлау DLP жүйелерінің мүмкіндіктерін айтарлықтай кеңейтеді және құпия деректердің ағып кету қаупін азайтады. IPC концепциясы салыстырмалы түрде жақында қалыптасқанына және нарықта IPC күрделі шешімдерін таңдау өте кең болмағанына қарамастан, сала бұл саланы белсенді түрде зерттеп жатыр және біраз уақыттан кейін бұл концепция жаңадан пайда болуы мүмкін. ішкі қауіпсіздік және ішкі қауіпсіздік мәселелерін шешудің факто стандарты.бақылау.

қорытындылар

Осы шолудан көрініп тұрғандай, ішкі қауіп-қатерлер ақпараттық қауіпсіздіктің айтарлықтай жаңа саласы болып табылады, соған қарамастан ол белсенді дамып келеді және көбірек назар аударуды талап етеді. Қарастырылған құжаттарды бақылау технологиялары, DLP және IPC жеткілікті сенімді ішкі бақылау жүйесін құруға және ағып кету қаупін қолайлы деңгейге дейін төмендетуге мүмкіндік береді. Сөзсіз, ақпараттық қауіпсіздіктің бұл саласы дами береді, жаңа және озық технологиялар ұсынылатын болады, бірақ бүгінгі күні көптеген ұйымдар бір немесе басқа шешімді таңдайды, өйткені ақпараттық қауіпсіздік мәселелерінде немқұрайлылық тым қымбат болуы мүмкін.

Алексей Раевский
SecurIT бас директоры

Санаттағы танымал: