Programvare beskyttelse mot innsidere pdf. Beskyttelse mot innsidere som bruker Zlock-systemet. Systemer basert på statisk enhetsblokkering

Programvare beskyttelse mot innsidere pdf. Beskyttelse mot innsidere som bruker Zlock-systemet. Systemer basert på statisk enhetsblokkering

"Konsulent", 2011, N 9

"Den som eier informasjonen eier verden" - denne berømte aforismen til Winston Churchill er mer relevant enn noen gang i det moderne samfunn. Kunnskap, ideer og teknologi kommer i forgrunnen, og markedslederskap avhenger av hvor godt et selskap kan forvalte sin intellektuelle kapital.

I disse forholdene blir informasjonssikkerheten til en organisasjon spesielt viktig.

Enhver lekkasje av informasjon til konkurrenter eller publisering av informasjon om interne prosesser påvirker umiddelbart posisjonene selskapet inntar i markedet.

System informasjonssikkerhet skal gi beskyttelse mot en rekke trusler: tekniske, organisatoriske og de som er forårsaket av den menneskelige faktoren.

Som praksis viser, er hovedkanalen for informasjonslekkasje innsidere.

Fiende bak

Vanligvis er en innsider en bedriftsansatt som forårsaker skade på bedriften ved å avsløre konfidensiell informasjon.

Men hvis vi vurderer de tre hovedforholdene, hvis bestemmelse er målet for informasjonssikkerhet - konfidensialitet, integritet, tilgjengelighet - kan denne definisjonen utvides.

En innsider kan kalles en ansatt som har legitim offisiell tilgang til konfidensiell informasjon om et foretak, som forårsaker avsløring, forvrengning, skade eller utilgjengelighet av informasjon.

Denne generaliseringen er akseptabel fordi moderne verden Krenkelse av integriteten og tilgjengeligheten til informasjon medfører ofte mye mer alvorlige konsekvenser for virksomheten enn utlevering av konfidensiell informasjon.

For mange virksomheter truer opphør av forretningsprosesser, selv for en kort periode, betydelige økonomiske tap, og funksjonsavbrudd i løpet av få dager kan forårsake et så sterkt slag at konsekvensene kan bli fatale.

Ulike organisasjoner som studerer forretningsrisiko publiserer regelmessig resultatene av forskningen sin. Ifølge dem har innsideinformasjon konsekvent rangert først på listen over årsaker til informasjonssikkerhetsbrudd i mange år.

På grunn av den jevne økningen i det totale antallet hendelser kan vi konkludere med at relevansen av problemet øker hele tiden.

Trusselmodell

For å bygge et pålitelig lagdelt informasjonssikkerhetssystem som effektivt vil bidra til å bekjempe problemet, er det først og fremst nødvendig å lage en trusselmodell.

Du må forstå hvem innsidere er og hva som motiverer dem, hvorfor de tar visse handlinger.

Det er forskjellige tilnærminger til å lage slike modeller, men for praktiske formål kan du bruke følgende klassifisering, som inkluderer alle hovedtypene innsidere.

Intern hacker

En slik ansatt har som regel over gjennomsnittet ingeniørkvalifikasjoner og forstår strukturen til bedriftsressurser, arkitekturen til datasystemer og nettverk.

Han utfører hacking-handlinger av nysgjerrighet, sportslig interesse, og utforsker grensene for sine egne evner.

Vanligvis er han klar over mulig skade fra handlingene hans, så han forårsaker sjelden materiell skade.

Graden av fare er middels, siden hans handlinger kan føre til en midlertidig stopp av enkelte prosesser som skjer i selskapet. Identifisering av aktiviteter er først og fremst mulig gjennom tekniske midler.

Uansvarlig og lavt kvalifisert medarbeider

Kan ha en rekke ferdigheter og arbeid i alle avdelinger i bedriften.

Det er farlig fordi det ikke har for vane å tenke på konsekvensene av sine handlinger, det kan jobbe med selskapets informasjonsressurser "ved prøving og feiling", og utilsiktet ødelegge og forvrenge informasjon.

Vanligvis husker han ikke rekkefølgen av handlingene sine, og når han oppdager negative konsekvenser, kan han ganske enkelt tie om dem.

Kan avsløre informasjon som utgjør en forretningshemmelighet i en personlig samtale med en venn eller til og med når du kommuniserer på internettfora og i i sosiale nettverk.

Faregraden er svært høy, spesielt med tanke på at denne typen lovbrytere er mer vanlig enn andre. Konsekvensene av hans aktiviteter kan være mye mer alvorlige enn en bevisst angriper.

For å forhindre konsekvensene av handlingene hans, er det nødvendig å ta en rekke forskjellige tiltak, både tekniske (autorisasjon, obligatorisk deling av arbeidsøkter etter kontoer) og organisatoriske (konstant ledelseskontroll over prosessen og resultatet av arbeidet) .

Psykisk ustabil person

Akkurat som en representant for den forrige typen, kan han jobbe i enhver stilling og har svært forskjellige kvalifikasjoner. Farlig på grunn av en tendens til svakt motiverte handlinger under forhold med psykologisk ubehag: i ekstreme situasjoner, psykologisk press fra andre ansatte, eller rett og slett sterk irritasjon.

I en affektiv tilstand kan den avsløre konfidensiell informasjon, skade data og forstyrre andre menneskers vanlige arbeid.

Faregraden er gjennomsnittlig, men denne typen lovbrytere er ikke så vanlig.

For å forhindre de negative konsekvensene av handlingene hans, er det mest effektivt å bruke administrative tiltak - for å identifisere slike personer på intervjustadiet, begrense tilgangen til informasjon og opprettholde et komfortabelt psykologisk klima i teamet.

Fornærmet, fornærmet ansatt

Den bredeste gruppen av potensielle brudd på informasjonssikkerhetsregimet.

Teoretisk sett er de aller fleste ansatte i stand til å begå handlinger som er uvennlige for selskapet.

Dette kan skje når ledelsen viser manglende respekt for den ansattes personlighet eller faglige egenskaper, og når dette påvirker lønnsnivået.

Potensielt utgjør denne typen innsidere en svært høy fare - både lekkasjer og skade på informasjon er mulig, og skaden fra dem vil garantert være merkbar for virksomheten, siden den ansatte forårsaker det bevisst og kjenner alle sårbarhetene godt.

Både administrative og tekniske tiltak er nødvendig for å oppdage aktiviteter.

Uren ansatt

En ansatt som prøver å supplere sin personlige formue på bekostning av eiendommen til selskapet han jobber for. Blant elementene som tilegnes kan det være ulike medier med konfidensiell informasjon ( harddisker, flash-stasjoner, bærbare bedrifter).

I dette tilfellet er det fare for at informasjon når personer som den ikke var ment for, med påfølgende publisering eller overføring til konkurrenter.

Faren er gjennomsnittlig, men denne typen er ikke uvanlig.

For å identifisere må administrative tiltak først.

Konkurrentens representant

Som regel er han høyt kvalifisert og innehar stillinger som gir store muligheter for å innhente informasjon, inkludert konfidensiell informasjon. Dette er enten en eksisterende ansatt rekruttert, kjøpt ut av konkurrenter (oftere), eller en insider spesielt introdusert i selskapet.

Graden av fare er svært høy, siden skaden er forårsaket bevisst og med en dyp forståelse av verdien av informasjonen, samt selskapets sårbarheter.

For å identifisere aktiviteter er det nødvendig med både administrative og tekniske tiltak.

Hva er det vi stjeler?

Å forstå problemet med innsideinformasjon er umulig uten å vurdere arten av den stjålne informasjonen.

I følge statistikk er personopplysninger om klienter, samt informasjon om klientselskaper og partnere, de mest etterspurte; de ​​blir stjålet i mer enn halvparten av tilfellene. Detaljer om transaksjoner, kontraktsvilkår og leveranser følger. Økonomiske rapporter er også av stor interesse.

Når du danner et sett med beskyttelsestiltak, står hvert selskap uunngåelig overfor spørsmålet: hvilken spesifikk informasjon krever spesielle beskyttelsestiltak, og hva trenger dem ikke?

Grunnlaget for slike beslutninger er selvsagt data som er innhentet som følge av risikoanalysen. Imidlertid har en virksomhet ofte begrensede økonomiske ressurser som kan brukes på et informasjonssikkerhetssystem, og de er kanskje ikke nok til å minimere all risiko.

To tilnærminger

Dessverre er det ikke noe klart svar på spørsmålet: "Hva skal du beskytte først."

Dette problemet kan tilnærmes fra to sider.

Risiko er en kompleks indikator som tar hensyn til både sannsynligheten for en bestemt trussel og mulig skade fra den. Følgelig, når du angir sikkerhetsprioriteringer, kan du fokusere på en av disse indikatorene. Dette betyr at informasjonen som beskyttes først, er den som er lettest å stjele (for eksempel hvis et stort antall ansatte har tilgang til den), og informasjonen hvis tyveri eller blokkering vil føre til de alvorligste konsekvensene.

Et viktig aspekt ved innsideproblemet er informasjonsoverføringskanalen. Jo flere fysiske muligheter det er for overføring av uautorisert informasjon utenfor virksomheten, jo større sannsynlighet er det for at dette vil skje.

Overføringsmekanismer

Overføringsmekanismer kan klassifiseres som følger:

  • muntlig overføring (personlig samtale);
  • tekniske dataoverføringskanaler ( telefonkommunikasjon, faks, e-post, meldingssystemer, ulike sosiale Internett-tjenester, etc.);
  • bærbare medier og mobile enheter (Mobil, eksterne harddisker, bærbare datamaskiner, flash-stasjoner, etc.).

I følge forskning i vår tid er de vanligste kanalene for overføring av konfidensiell data (i synkende rekkefølge): e-post, mobile enheter (inkludert bærbare datamaskiner), sosiale nettverk og andre Internett-tjenester (som direktemeldingssystemer), etc.

For å kontrollere tekniske kanaler kan ulike virkemidler brukes, et bredt spekter av produkter som for tiden er tilgjengelig på sikkerhetsmarkedet.

For eksempel, innholdsfiltreringssystemer (dynamiske blokkeringssystemer), midler for å begrense tilgangen til informasjonsmedier (CD, DVD, Bluetooth).

Administrative tiltak brukes også: filtrering av Internett-trafikk, blokkering av fysiske porter på arbeidsstasjoner, sikring av administrativt regime og fysisk sikkerhet.

Når du velger tekniske midler beskyttelse av konfidensiell informasjon krever en systematisk tilnærming. Bare på denne måten kan man oppnå størst effektivitet fra implementeringen.

Du må også forstå at utfordringene hver enkelt bedrift står overfor er unike, og det er ofte rett og slett umulig å bruke løsninger som brukes av andre organisasjoner.

Kampen mot innsideinformasjon bør ikke gjennomføres alene, den er en viktig del av den samlede forretningsprosessen som tar sikte på å sikre et informasjonssikkerhetsregime.

Den må utføres av fagfolk og inkludere en full syklus av aktiviteter: utvikling av en informasjonssikkerhetspolicy, definering av omfang, risikoanalyse, valg av mottiltak og implementering av dem, samt revisjon av informasjonssikkerhetssystemet.

Dersom en virksomhet ikke sørger for informasjonssikkerhet gjennom hele komplekset, øker risikoen for økonomiske tap fra lekkasjer og skader på informasjon kraftig.

Minimere risiko

Undersøkelse

  1. Grundig siling av søkere som søker på eventuelle stillinger i bedriften. Det anbefales å samle inn så mye informasjon som mulig om kandidaten, inkludert innholdet på sidene hans på sosiale nettverk. Det kan også hjelpe å be om referanse fra et tidligere arbeidssted.
  2. Kandidater til IT-ingeniørstillinger bør gjennomgå en spesielt grundig screening. Praksis viser at mer enn halvparten av alle innsidere er det systemadministratorer og programmerere.
  3. Ved ansettelse skal det minimum gjennomføres en psykologisk sjekk av kandidater. Det vil bidra til å identifisere søkere med ustabil psykisk helse.

Adgangsrett

  1. System for tilgangsdeling bedriftens ressurser. Virksomheten må lage regulatorisk dokumentasjon som rangerer informasjon etter konfidensialitetsnivå og tydelig definerer tilgangsrettigheter til den. Tilgang til alle ressurser må tilpasses.
  2. Rettigheter til ressurser bør tildeles i henhold til prinsippet om "minimum tilstrekkelighet". Tilgang til vedlikehold av teknisk utstyr, selv med administratorrettigheter, bør ikke alltid ledsages av tilgang til å se selve informasjonen.
  3. Så dyp som mulig overvåking av brukerhandlinger, med obligatorisk autorisasjon og registrering av informasjon om utførte operasjoner i en logg. Jo mer nøye loggene føres, jo mer kontroll har ledelsen over situasjonen i bedriften. Det samme gjelder den ansattes handlinger ved bruk av offisiell tilgang til Internett.

Kommunikasjonsstandard

  1. Organisasjonen må ta i bruk sin egen kommunikasjonsstandard, som vil utelukke alle former for upassende oppførsel fra ansatte overfor hverandre (aggresjon, vold, overdreven fortrolighet). For det første gjelder dette forholdet «leder-underordnet».

En ansatt skal under ingen omstendigheter føle at han blir urettferdig behandlet, at han ikke blir verdsatt nok, at han blir unødvendig utnyttet eller at han blir lurt.

Å følge denne enkle regelen vil tillate deg å unngå de aller fleste situasjoner som provoserer ansatte til å gi innsideinformasjon.

konfidensialitet

En taushetserklæring bør ikke være en ren formalitet. Den skal signeres av alle ansatte som har tilgang til viktige informasjonsressurser selskaper.

I tillegg, selv på intervjustadiet, må potensielle ansatte forklares hvordan bedriften kontrollerer informasjonssikkerheten.

Fondskontroll

Representerer kontroll over tekniske midler som brukes av en ansatt i arbeidsformål.

For eksempel, å bruke en personlig bærbar datamaskin er uønsket, siden når en ansatt forlater, vil det mest sannsynlig ikke være mulig å finne ut hvilken informasjon som er lagret på den.

Av samme grunn er det uønsket å bruke bokser E-post på eksterne ressurser.

Intern rutine

Virksomheten skal forholde seg til internt regelverk.

Det er nødvendig å ha informasjon om tiden ansatte tilbringer på arbeidsplassen.

Kontroll med flytting av materielle eiendeler må også sikres.

Overholdelse av alle de ovennevnte reglene vil redusere risikoen for skade eller lekkasje av informasjon gjennom innsideinformasjon, og vil derfor bidra til å forhindre betydelige økonomiske eller omdømmetap.

Administrerende partner

gruppe av selskaper Hosting Community


I dag er det to hovedkanaler for lekkasje av konfidensiell informasjon: enheter koblet til datamaskinen (alle typer flyttbare lagringsenheter, inkludert flash-stasjoner, CD/DVD-stasjoner, etc., skrivere) og Internett (e-post, ICQ, sosiale medier) nettverk, etc.). d.). Og derfor, når et selskap er "modent" til å implementere et beskyttelsessystem mot dem, er det tilrådelig å nærme seg denne løsningen omfattende. Problemet er at ulike tilnærminger brukes til å dekke ulike kanaler. I ett tilfelle mest effektiv måte beskyttelse vil kontrollere bruken av flyttbare stasjoner, og den andre vil inkludere ulike alternativer for innholdsfiltrering, slik at du kan blokkere overføring av konfidensielle data til et eksternt nettverk. Derfor må bedrifter bruke to produkter for å beskytte mot innsidere, som til sammen utgjør et omfattende sikkerhetssystem. Naturligvis er det å foretrekke å bruke verktøy fra én utvikler. I dette tilfellet forenkles prosessen med implementering, administrasjon og opplæring av ansatte. Som et eksempel kan vi nevne produktene til SecurIT: Zlock og Zgate.

Zlock: beskyttelse mot lekkasjer gjennom flyttbare stasjoner

Zlock-programmet har vært på markedet ganske lenge. Og vi allerede. I prinsippet er det ingen vits i å gjenta meg selv. Siden publiseringen av artikkelen har det imidlertid blitt sluppet to nye versjoner av Zlock, som har lagt til en rekke viktige funksjoner. Det er verdt å snakke om dem, selv om det bare er veldig kort.

Først av alt er det verdt å merke seg muligheten for å tilordne flere retningslinjer til en datamaskin, som brukes uavhengig av om datamaskinen er koblet til bedriftsnettverk direkte, via VPN, eller fungerer autonomt. Dette gjør det spesielt mulig å automatisk blokkere USB-porter og CD/DVD-stasjoner når PC-en er koblet fra det lokale nettverket. Som regel denne funksjonenøker sikkerheten til informasjon som er lagret på bærbare datamaskiner, som ansatte kan ta med seg ut av kontoret på tur eller på jobb hjemme.

Sekund ny mulighet- gi bedriftens ansatte midlertidig tilgang til blokkerte enheter eller til og med grupper av enheter over telefonen. Prinsippet for driften er å utveksle programgenererte hemmelige koder mellom bruker og medarbeider som er ansvarlig for informasjonssikkerhet. Det er bemerkelsesverdig at tillatelse til bruk kan gis ikke bare permanent, men også midlertidig (for en viss tid eller til slutten av arbeidsøkten). Dette verktøyet kan betraktes som en liten avslapning i sikkerhetssystemet, men det lar deg øke responsen til IT-avdelingen på forretningsforespørsler.

Den neste viktige innovasjonen i nye versjoner av Zlock er kontroll over bruken av skrivere. Etter oppsett vil sikkerhetssystemet registrere alle brukerforespørsler til utskriftsenheter i en spesiell logg. Men det er ikke alt. Zlock tilbyr nå skyggekopiering av alle trykte dokumenter. De melder seg inn PDF-format og er en fullstendig kopi av de utskrevne sidene, uavhengig av hvilken fil som ble sendt til skriveren. Dette bidrar til å forhindre lekkasje av konfidensiell informasjon på papirark når en innsider skriver ut dataene for å ta den ut av kontoret. Sikkerhetssystemet inkluderer også skyggekopiering av informasjon som er tatt opp på CD/DVD-plater.

En viktig nyvinning var utseendet til serverkomponenten Zlock Enterprise Management Server. Det gir sentralisert lagring og distribusjon av sikkerhetspolicyer og andre programinnstillinger og letter administrasjonen av Zlock betydelig i store og distribuerte informasjonssystemer. Det er også umulig å ikke nevne fremveksten av sitt eget autentiseringssystem, som om nødvendig lar deg forlate bruken av domene og lokale Windows-brukere.

I tillegg til dette, i siste versjon Zlock har nå flere mindre merkbare, men også ganske viktige funksjoner: overvåking av integriteten til klientmodulen med muligheten til å blokkere brukerpålogging når tukling oppdages, utvidede muligheter for å implementere et sikkerhetssystem, støtte for Oracle DBMS, etc.

Zgate: beskyttelse mot Internett-lekkasjer

Så Zgate. Som vi allerede har sagt, er dette produktet et system for å beskytte mot lekkasje av konfidensiell informasjon via Internett. Strukturelt består Zgate av tre deler. Den viktigste er serverkomponenten, som utfører alle databehandlingsoperasjoner. Det kan installeres både på en separat datamaskin og på de som allerede kjører i en bedrift informasjon System noder - Internett-gateway, domenekontroller, e-postgateway, etc. Denne modulen består igjen av tre komponenter: for overvåking av SMTP-trafikk, overvåking av intern e-post på Microsoft Exchange 2007/2010-serveren, samt Zgate Web (den er ansvarlig for kontroll av HTTP-, FTP- og IM-trafikk).

Den andre delen av sikkerhetssystemet er loggserveren. Den brukes til å samle hendelsesinformasjon fra en eller flere Zgate-servere, behandle den og lagre den. Denne modulen er spesielt nyttig i store og geografisk distribuerte bedriftssystemer, siden det gir sentralisert tilgang til alle data. Den tredje delen er administrasjonskonsollen. Den bruker en standardkonsoll for SecurIT-produkter, og derfor vil vi ikke dvele ved den i detalj. Vi bemerker bare at ved å bruke denne modulen kan du kontrollere systemet ikke bare lokalt, men også eksternt.

administrasjonskonsoll

Zgate-systemet kan operere i flere moduser. Dessuten avhenger deres tilgjengelighet av metoden for produktimplementering. De to første modusene innebærer å jobbe som en proxy-server for e-post. For å implementere dem, installeres systemet mellom bedriftens e-postserver og "verden utenfor" (eller mellom e-postserveren og avsenderserveren, hvis de er atskilt). I dette tilfellet kan Zgate både filtrere trafikk (forsinke krenkende og tvilsomme meldinger) og bare logge den (passere alle meldinger, men lagre dem i arkivet).

Den andre implementeringsmetoden innebærer å bruke beskyttelsessystemet i forbindelse med Microsoft Exchange 2007 eller 2010. For å gjøre dette må du installere Zgate direkte på bedriften e-postserver. Det er også to tilgjengelige moduser: filtrering og logging. I tillegg til dette er det et annet implementeringsalternativ. Vi snakker om logging av meldinger i speilvendt trafikkmodus. Naturligvis, for å bruke det, er det nødvendig å sikre at datamaskinen som Zgate er installert på mottar den samme speilet trafikk (vanligvis gjøres dette ved hjelp av nettverksutstyr).


Velge driftsmodus for Zgate

Zgate Web-komponenten fortjener en egen historie. Den installeres direkte på bedriftens Internett-gateway. Samtidig får dette undersystemet muligheten til å overvåke HTTP-, FTP- og IM-trafikk, det vil si behandle den for å oppdage forsøk på å sende konfidensiell informasjon gjennom web-postgrensesnitt og ICQ, publisere den på fora, FTP-servere og sosiale medier nettverk osv. Forresten, om ICQ. Funksjonen for å blokkere IM-meldinger er tilgjengelig i mange lignende produkter. Imidlertid er det ingen "ICQ" i dem. Rett og slett fordi det er i russisktalende land at det er mest utbredt.

Driftsprinsippet til Zgate Web-komponenten er ganske enkelt. Hver gang informasjon sendes til noen av de kontrollerte tjenestene, vil systemet generere en spesiell melding. Den inneholder selve informasjonen og noen tjenestedata. Det sendes til Zgate-hovedserveren og behandles i henhold til de angitte reglene. Sending av informasjon er naturligvis ikke blokkert i selve tjenesten. Det vil si at Zgate Web bare fungerer i loggingsmodus. Med dens hjelp kan du ikke forhindre isolerte datalekkasjer, men du kan raskt oppdage dem og stoppe aktivitetene til en frivillig eller uvitende angriper.


Sette opp Zgate Web-komponenten

Måten informasjon behandles i Zgate og filtreringsprosedyren bestemmes av policyen, som er utviklet av sikkerhetsansvarlig eller annen ansvarlig ansatt. Den representerer en rekke forhold, som hver tilsvarer en spesifikk handling. Alle innkommende meldinger "kjøres" gjennom dem sekvensielt etter hverandre. Og hvis noen av betingelsene er oppfylt, blir handlingen knyttet til den lansert.


Filtreringssystem

Totalt gir systemet 8 typer forhold, som de sier, "for alle anledninger." Den første av disse er vedleggsfiltypen. Med dens hjelp kan du oppdage forsøk på å sende objekter av et bestemt format. Det er verdt å merke seg at analysen ikke utføres i forlengelse, men av den interne strukturen til filen, og du kan spesifisere både spesifikke typer objekter og deres grupper (for eksempel alle arkiver, videoer, etc.). Den andre typen betingelser er verifisering av en ekstern applikasjon. Som en applikasjon kan den fungere som et vanlig program lansert fra kommandolinje, og manuset.


Forhold i filtreringssystemet

Men den neste tilstanden er verdt å dvele mer ved. Vi snakker om innholdsanalyse av overført informasjon. Først av alt er det nødvendig å merke seg "altetende" til Zgate. Faktum er at programmet "forstår" et stort antall forskjellige formater. Derfor kan den analysere ikke bare enkel tekst, men også nesten alle vedlegg. En annen funksjon ved innholdsanalyse er dens store evner. Det kan bestå av et enkelt søk etter en forekomst i teksten til en melding eller et hvilket som helst annet felt av et bestemt ord, eller en fullverdig analyse, inkludert å ta hensyn til grammatiske ordformer, stammetekst og translitterasjon. Men det er ikke alt. Systemet for å analysere mønstre og regulære uttrykk fortjener spesiell omtale. Med dens hjelp kan du enkelt oppdage tilstedeværelsen av data i et bestemt format i meldinger, for eksempel passserier og -numre, telefonnummer, kontraktsnummer, bankkontonummer osv. Dette lar deg blant annet styrke beskyttelse av personopplysninger som behandles av selskapet.


Mønstre for å identifisere ulike konfidensielle opplysninger

Den fjerde typen forhold er analysen av adressene som er angitt i brevet. Det vil si å søke blant dem etter visse strenger. For det femte - analyse av krypterte filer. Når den utføres, blir attributtene til meldingen og/eller nestede objekter sjekket. Den sjette typen betingelser er å sjekke ulike parametere for bokstaver. Den syvende er ordbokanalyse. Under denne prosessen oppdager systemet tilstedeværelsen av ord fra forhåndslagrede ordbøker i meldingen. Og til slutt, den siste, åttende typen tilstand er sammensatt. Den representerer to eller flere andre forhold kombinert av logiske operatorer.

Forresten, vi må si separat om ordbøkene vi nevnte i beskrivelsen av forholdene. De er grupper av ord kombinert med én egenskap og brukes i ulike filtreringsmetoder. Den mest logiske tingen å gjøre er å lage ordbøker som med stor sannsynlighet lar deg klassifisere en melding i en eller annen kategori. Innholdet deres kan legges inn manuelt eller importeres fra eksisterende tekstfiler. Det er et annet alternativ for å generere ordbøker - automatisk. Når du bruker det, trenger administratoren bare å spesifisere mappen som inneholder de relevante dokumentene. Programmet selv vil analysere dem, velge de nødvendige ordene og tildele vektegenskapene deres. For høykvalitets kompilering av ordbøker er det nødvendig å angi ikke bare konfidensielle filer, men også objekter som ikke inneholder sensitiv informasjon. Generelt ligner den automatiske genereringsprosessen mest på trening av antispam på reklame og vanlige brev. Og dette er ikke overraskende, fordi begge land bruker lignende teknologier.


Eksempel på en ordbok om et økonomisk tema

Når vi snakker om ordbøker, kan man ikke unngå å nevne en annen konfidensiell datadeteksjonsteknologi implementert i Zgate. Vi snakker om digitale fingeravtrykk. Essensen denne metoden er som følgende. Administratoren kan indikere til systemmappene som inneholder konfidensielle data. Programmet vil analysere alle dokumentene i dem og lage "digitale fingeravtrykk" - sett med data som lar deg bestemme et forsøk på å overføre ikke bare hele innholdet i filen, men også dens individuelle deler. Vær oppmerksom på at systemet automatisk overvåker statusen til mappene som er spesifisert til det og oppretter uavhengig "fingeravtrykk" for alle objekter som vises i dem igjen.


Opprette en kategori med digitale fingeravtrykk av filer

Vel, nå gjenstår det bare å finne ut hvilke handlinger som er implementert i det aktuelle beskyttelsessystemet. Totalt er det allerede 14 av dem solgt i Zgate. Det meste avgjør imidlertid handlingene som utføres med meldingen. Disse inkluderer spesielt sletting uten å sende (det vil faktisk sperre overføring av et brev), plassere det i et arkiv, legge til eller slette vedlegg, endre ulike felt, sette inn tekst osv. Blant dem er det spesielt verdt å merke seg plasseringen av et brev i karantene. Denne handlingen lar deg "utsette" en melding for manuell verifisering av en sikkerhetsoffiser, som vil bestemme dens videre skjebne. Også veldig interessant er handlingen som lar deg blokkere en IM-tilkobling. Den kan brukes til å umiddelbart blokkere kanalen som en melding med konfidensiell informasjon ble overført gjennom.

To handlinger skiller seg noe fra hverandre – behandling etter Bayesiansk metode og behandling etter fingeravtrykksmetode. Begge er laget for å sjekke meldinger for å se om de inneholder sensitiv informasjon. Bare den første bruker ordbøker og statistisk analyse, og den andre bruker digitale fingeravtrykk. Disse handlingene kan utføres når en bestemt betingelse er oppfylt, for eksempel hvis mottakerens adresse ikke er i et bedriftsdomene. I tillegg kan de (som alle andre) settes til å brukes ubetinget på alle utgående meldinger. I dette tilfellet vil systemet analysere bokstavene og tilordne dem til visse kategorier (hvis selvfølgelig dette er mulig). Men for disse kategoriene kan du allerede opprette forhold med implementering av visse handlinger.


Handlinger i Zgate-systemet

Vel, på slutten av samtalen vår i dag om Zgate, kan vi oppsummere det litt. Dette beskyttelsessystemet er først og fremst basert på innholdsanalyse av meldinger. Denne tilnærmingen er den vanligste for å beskytte mot lekkasje av konfidensiell informasjon over Internett. Naturligvis gir ikke innholdsanalyse en 100 % beskyttelsesgrad og er ganske sannsynlighetsmessig. Bruken av den forhindrer imidlertid de fleste tilfeller av uautorisert overføring av sensitive data. Bør selskaper bruke det eller ikke? Alle må selv bestemme dette, vurdere kostnadene ved gjennomføring og mulige problemer ved informasjonslekkasje. Det er verdt å merke seg at Zgate gjør en utmerket jobb med å fange regulære uttrykk, noe som gjør det veldig effektive midler beskyttelse av personopplysninger som behandles av selskapet.

Nyere informasjonssikkerhetsstudier, for eksempel den årlige CSI/FBI ComputerCrimeAndSecuritySurvey, har vist at økonomiske tap for selskaper fra de fleste trusler avtar år for år. Det er imidlertid flere risikoer som tapene øker fra. En av dem er bevisst tyveri av konfidensiell informasjon eller brudd på reglene for håndtering av den av de ansatte hvis tilgang til kommersielle data er nødvendig for å utføre sine offisielle oppgaver. De kalles innsidere.

I de aller fleste tilfeller utføres tyveri av konfidensiell informasjon ved hjelp av mobile medier: CDer og DVDer, ZIP-enheter og, viktigst av alt, alle slags USB-stasjoner. Det var massedistribusjonen deres som førte til oppblomstringen av insiderisme rundt om i verden. Lederne for de fleste banker er godt klar over farene ved at for eksempel en database med personopplysninger om deres klienter eller dessuten transaksjoner på deres kontoer faller i hendene på kriminelle strukturer. Og de prøver å bekjempe mulig tyveri av informasjon ved å bruke organisatoriske metoder som er tilgjengelige for dem.

Imidlertid er organisatoriske metoder i dette tilfellet ineffektive. I dag kan du organisere overføring av informasjon mellom datamaskiner ved hjelp av en miniatyr flash-stasjon, mobiltelefon, mp3-spiller, digitalkamera... Selvfølgelig kan du prøve å forby alle disse enhetene fra å bli brakt inn på kontoret, men dette vil for det første negativt påvirke forholdet til ansatte, og for det andre vil det fortsatt være umulig å etablere virkelig effektiv kontroll over mennesker veldig vanskelig - banken gjør ikke " Postkasse" Og selv deaktivering av alle enheter på datamaskiner som kan brukes til å skrive informasjon til eksterne medier (FDD- og ZIP-disker, CD- og DVD-stasjoner, etc.) og USB-porter vil ikke hjelpe. Tross alt er førstnevnte nødvendig for arbeid, og sistnevnte er koblet til forskjellige eksterne enheter: skrivere, skannere, etc. Og ingen kan stoppe en person fra å slå av skriveren i et minutt, sette inn en flash-stasjon i den ledige porten og kopiere til den viktig informasjon. Du kan selvfølgelig finne originale måter å beskytte deg selv på. For eksempel prøvde en bank denne metoden for å løse problemet: de fylte krysset mellom USB-porten og kabelen med epoksyharpiks, og "bandt" sistnevnte tett til datamaskinen. Men heldigvis finnes det i dag mer moderne, pålitelige og fleksible kontrollmetoder.

Det mest effektive middelet for å minimere risiko knyttet til innsidere er en spesiell programvare, som dynamisk kontrollerer alle enheter og porter på datamaskinen som kan brukes til å kopiere informasjon. Prinsippet for deres arbeid er som følger. Tillatelser til å bruke ulike porter og enheter angis for hver brukergruppe eller for hver bruker individuelt. Den største fordelen med slik programvare er fleksibilitet. Du kan angi begrensninger for bestemte typer enheter, deres modeller og individuelle forekomster. Dette lar deg implementere svært komplekse retningslinjer for distribusjon av tilgangsrettigheter.

Det kan for eksempel være lurt å la noen ansatte bruke alle skrivere eller skannere som er koblet til USB-porter. Imidlertid vil alle andre enheter som er satt inn i denne porten forbli utilgjengelige. Hvis banken bruker et brukerautentiseringssystem basert på tokens, kan du i innstillingene spesifisere nøkkelmodellen som brukes. Da vil brukere kun få lov til å bruke enheter kjøpt av selskapet, og alle andre vil være ubrukelige.

Basert på prinsippet om drift av beskyttelsessystemer beskrevet ovenfor, kan du forstå hvilke punkter som er viktige når du velger programmer som implementerer dynamisk blokkering av opptaksenheter og dataporter. For det første er det allsidighet. Beskyttelsessystemet må dekke hele spekteret av mulige porter og inngangs-/utgangsenheter. Ellers forblir risikoen for tyveri av kommersiell informasjon uakseptabelt høy. For det andre må den aktuelle programvaren være fleksibel og tillate deg å lage regler ved hjelp av en stor mengde forskjellig informasjon om enheter: deres typer, modellprodusenter, unike numre som hver forekomst har, etc. Og for det tredje må innsidebeskyttelsessystemet kunne integreres med bankens informasjonssystem, spesielt med ActiveDirectory. Ellers må administratoren eller sikkerhetsansvarlig vedlikeholde to databaser med brukere og datamaskiner, noe som ikke bare er upraktisk, men også øker risikoen for feil.

Beskytte informasjon fra innsidere som bruker programvare

Alexander Antipov

Jeg håper at selve artikkelen og spesielt diskusjonen vil bidra til å identifisere ulike nyanser ved bruk av programvareverktøy og vil bli et utgangspunkt for å utvikle en løsning på det beskrevne problemet forer.


nahna

Markedsavdelingen til Infowatch-selskapet har i lang tid overbevist alle interesserte parter - IT-spesialister, så vel som de mest avanserte IT-sjefene, om at mesteparten av skaden fra et brudd på selskapets informasjonssikkerhet faller på innsidere - ansatte som røper forretningshemmeligheter. Målet er klart – vi må skape etterspørsel etter produktet som produseres. Og argumentene ser ganske solide og overbevisende ut.

Formulering av problemet

Bygg et system for å beskytte informasjon mot tyveri av personell på et LAN-basert Active Directory Windows 2000/2003. Brukerarbeidsstasjoner under Windows-kontroll XP. Bedriftsledelse og regnskap basert på 1C-produkter.
Hemmelig informasjon lagres på tre måter:
  1. DB 1C - nettverkstilgang via RDP ( terminaltilgang);
  2. delte mapper på filservere - nettverkstilgang;
  3. lokalt på den ansattes PC;
Lekkasjekanaler - Internett og flyttbare medier (flash-stasjoner, telefoner, spillere, etc.). Bruk av Internett og flyttbare medier kan ikke forbys, siden de er nødvendige for å utføre offisielle oppgaver.

Hva er på markedet

Jeg delte systemene under vurdering i tre klasser:
  1. Systemer basert på kontekstanalysatorer - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet, etc.
  2. Systemer basert på statisk enhetslåsing - DeviceLock, ZLock, InfoWatch Net Monitor.
  3. Systemer basert på dynamisk enhetsblokkering - SecrecyKeeper, Strazh, Accord, SecretNet.

Systemer basert på kontekstanalysatorer

Driftsprinsipp:
Nøkkelord søkes i den overførte informasjonen, og basert på søkeresultatene tas det en beslutning om behovet for å blokkere overføringen.

Etter min mening har InfoWatch Traffic Monitor (www.infowatch.ru) de maksimale egenskapene blant de listede produktene. Grunnlaget er den velprøvde Kaspersky Antispam-motoren, som fullt ut tar hensyn til særegenhetene til det russiske språket. I motsetning til andre produkter, tar InfoWatch Traffic Monitor, når den analyserer, ikke bare tilstedeværelsen av visse rader i dataene som kontrolleres, men også den forhåndsbestemte vekten til hver rad. Når du tar en endelig avgjørelse, blir ikke bare forekomsten av visse ord tatt i betraktning, men også kombinasjonene de forekommer i, noe som gjør det mulig å øke fleksibiliteten til analysatoren. De resterende funksjonene er standard for denne typen produkter - analyse av arkiver, MS Office-dokumenter, muligheten til å blokkere overføring av filer i ukjent format eller passordbeskyttede arkiver.

Ulemper med de vurderte systemene basert på kontekstuell analyse:

  • Bare to protokoller overvåkes - HTTP og SMTP (for InfoWatch Traffic Monitor, og for HTTP-trafikk kontrolleres kun data som overføres ved hjelp av POST-forespørsler, som lar deg organisere en lekkasjekanal ved hjelp av dataoverføring ved hjelp av GET-metoden);
  • Dataoverføringsenheter er ikke kontrollert - disketter, CDer, DVDer, USB-stasjoner, etc. (InfoWatch har et produkt for denne saken: InfoWatch Net Monitor).
  • for å omgå systemer bygget på grunnlag av innholdsanalyse, er det nok å bruke den enkleste tekstkodingen (for eksempel: hemmelig -> с1е1к1р1е1т), eller steganografi;
  • følgende problem kan ikke løses med metoden for innholdsanalyse - ingen passende formell beskrivelse kommer til tankene, så jeg vil bare gi et eksempel: det er to Excel-filer - i den første er det utsalgspriser (offentlig informasjon), i andre - engrospriser for en bestemt klient (privat informasjon), innholdet i filene avviker bare tall. Disse filene kan ikke skilles ved hjelp av innholdsanalyse.
Konklusjon:
Kontekstanalyse er kun egnet for å lage trafikkarkiver og motvirke utilsiktet informasjonslekkasje og løser ikke problemet.

Systemer basert på statisk enhetsblokkering

Driftsprinsipp:
Brukere tildeles tilgangsrettigheter til kontrollerte enheter, på samme måte som tilgangsrettigheter til filer. I prinsippet kan nesten samme effekt oppnås ved bruk av standard Windows-mekanismer.

Zlock (www.securit.ru) - produktet dukket opp relativt nylig, så det har minimal funksjonalitet (jeg teller ikke dikkedarer), og det er ikke spesielt velfungerende, for eksempel krasjer administrasjonskonsollen noen ganger når du prøver å lagre innstillinger.

DeviceLock (www.smartline.ru) er et mer interessant produkt; det har vært på markedet ganske lenge, så det fungerer mye mer stabilt og har mer mangfoldig funksjonalitet. Den tillater for eksempel skyggekopiering av overført informasjon, noe som kan hjelpe til med å undersøke en hendelse, men ikke forhindre den. I tillegg vil en slik undersøkelse mest sannsynlig bli gjennomført når lekkasjen blir kjent, d.v.s. en betydelig periode etter at det oppstår.

InfoWatch Net Monitor (www.infowatch.ru) består av moduler - DeviceMonitor (analog med Zlock), FileMonitor, OfficeMonitor, AdobeMonitor og PrintMonitor. DeviceMonitor er en analog av Zlock, standard funksjonalitet, uten rosiner. FileMonitor - kontroll over tilgang til filer. OfficeMonitor og AdobeMonitor lar deg kontrollere hvordan filer håndteres i deres respektive applikasjoner. Det er foreløpig ganske vanskelig å komme opp med en nyttig, snarere enn leke, applikasjon for FileMonitor, OfficeMonitor og AdobeMonitor, men i fremtidige versjoner bør det være mulig å gjennomføre kontekstuell analyse av de behandlede dataene. Kanskje vil disse modulene avsløre potensialet deres. Selv om det er verdt å merke seg at oppgaven med kontekstuell analyse av filoperasjoner ikke er triviell, spesielt hvis innholdsfiltreringsbasen er den samme som i Traffic Monitor, dvs. Nettverk.

Separat er det nødvendig å si om beskyttelse av agenten fra en bruker med lokale administratorrettigheter.
ZLock og InfoWatch Net Monitor har rett og slett ikke slik beskyttelse. De. brukeren kan stoppe agenten, kopiere dataene og starte agenten på nytt.

DeviceLock har slik beskyttelse, som er et klart pluss. Den er basert på å avskjære systemanrop for å jobbe med registeret, filsystem og prosessledelse. En annen fordel er at beskyttelsen også fungerer i sikker modus. Men det er også et minus - for å deaktivere beskyttelsen er det nok å gjenopprette Service Descriptor Table, som kan gjøres ved å laste ned en enkel driver.

Ulemper med de vurderte systemene basert på blokkering av statisk enhet:

  • Overføringen av informasjon til nettverket er ikke kontrollert.
  • -Vet ikke hvordan man skiller gradert informasjon fra ikke-hemmelig informasjon. Det fungerer etter prinsippet om at enten er alt mulig eller ingenting er umulig.
  • Beskyttelse mot agentavlastning er fraværende eller lett omgås.
Konklusjon:
Det er ikke tilrådelig å implementere slike systemer, fordi de løser ikke problemet.

Systemer basert på dynamisk enhetslåsing

Driftsprinsipp:
tilgang til overføringskanaler er sperret avhengig av brukerens tilgangsnivå og graden av hemmelighold av informasjonen det arbeides med. For å implementere dette prinsippet bruker disse produktene den autoritative tilgangskontrollmekanismen. Denne mekanismen forekommer ikke så ofte, så jeg vil dvele på den mer detaljert.

Autoritativ (tvungen) tilgangskontroll, i motsetning til skjønnsmessig (implementert i sikkerhetssystemet til Windows NT og høyere), er at eieren av en ressurs (for eksempel en fil) ikke kan svekke kravene for tilgang til denne ressursen, men kan bare styrk dem innenfor grensene ditt nivå. Bare en bruker med spesielle fullmakter – en informasjonssikkerhetsansvarlig eller administrator – kan lempe på kravene.

Hovedmålet med å utvikle produkter som Guardian, Accord, SecretNet, DallasLock og noen andre var muligheten for å sertifisere informasjonssystemer der disse produktene vil bli installert for samsvar med kravene til Statens tekniske kommisjon (nå FSTEC). Slik sertifisering er obligatorisk for informasjonssystemer der myndighetsdata behandles. en hemmelighet, som i hovedsak sikret etterspørselen etter produkter fra statseide virksomheter.

Derfor ble settet med funksjoner implementert i disse produktene bestemt av kravene i de relevante dokumentene. Noe som igjen førte til at det meste av funksjonaliteten implementert i produktene enten dupliserer standarden Windows-funksjonalitet(rense objekter etter sletting, rense RAM), eller bruker det implisitt (diskriminere tilgangskontroll). Og DallasLock-utviklerne gikk enda lenger ved å implementere obligatorisk tilgangskontroll for systemet deres gjennom Windows diskresjonære kontrollmekanisme.

Den praktiske bruken av slike produkter er ekstremt upraktisk; for eksempel krever DallasLock ompartisjonering for installasjon harddisk, som også må utføres ved hjelp av tredjepartsprogramvare. Svært ofte, etter sertifisering, ble disse systemene fjernet eller deaktivert.

SecrecyKeeper (www.secrecykeeper.com) er et annet produkt som implementerer en autoritativ tilgangskontrollmekanisme. Ifølge utviklerne ble SecrecyKeeper utviklet spesielt for å løse et spesifikt problem - forhindre tyveri av informasjon i en kommersiell organisasjon. Derfor, igjen ifølge utviklerne, ble spesiell oppmerksomhet under utviklingen viet til enkelhet og brukervennlighet, både for systemadministratorer og vanlige brukere. Hvor vellykket dette var, får forbrukeren vurdere, dvs. oss. I tillegg implementerer SecrecyKeeper en rekke mekanismer som er fraværende i de andre nevnte systemene – for eksempel muligheten til å sette personvernnivået for ressurser med fjerntilgang og en agentbeskyttelsesmekanisme.
Kontroll av informasjonsbevegelse i SecrecyKeeper implementeres basert på informasjonshemmelighetsnivå, brukertillatelsesnivåer og datasikkerhetsnivå, som kan ta verdiene offentlig, hemmelig og topphemmelig. Informasjonssikkerhetsnivået lar deg klassifisere informasjonen som behandles i systemet i tre kategorier:

offentlig - ikke hemmelig informasjon, det er ingen begrensninger når du arbeider med den;

hemmelig - hemmelig informasjon, når du arbeider med den, introduseres begrensninger avhengig av brukerens tillatelsesnivåer;

topphemmelig - topphemmelig informasjon; når du arbeider med det, introduseres begrensninger avhengig av brukerens tillatelsesnivåer.

Informasjonssikkerhetsnivået kan angis for en fil, nettverksstasjon og porten på datamaskinen som en tjeneste kjører på.

Brukerklareringsnivåer lar deg bestemme hvordan en bruker kan flytte informasjon basert på sikkerhetsnivået. Følgende brukertillatelsesnivåer finnes:

Brukertillatelsesnivå - begrenser det maksimale sikkerhetsnivået for informasjon som en ansatt kan få tilgang til;

Nettverkstilgangsnivå - begrenser det maksimale sikkerhetsnivået for informasjon som en ansatt kan overføre over nettverket;

Tilgangsnivå til flyttbare medier – begrenser det maksimale sikkerhetsnivået for informasjon som en ansatt kan kopiere til eksterne medier.

Skrivertilgangsnivå - begrenser det maksimale sikkerhetsnivået for informasjon som en ansatt kan skrive ut.

Datasikkerhetsnivå - bestemmer det maksimale sikkerhetsnivået for informasjon som kan lagres og behandles på en datamaskin.

Tilgang til informasjon med offentlig sikkerhetsnivå kan gis av en ansatt med hvilken som helst sikkerhetsklarering. Slik informasjon kan overføres over nettverket og kopieres til eksterne medier uten begrensninger. Historien om arbeidet med informasjon klassifisert som offentlig spores ikke.

Tilgang til informasjon med hemmelig sikkerhetsnivå kan kun oppnås av ansatte hvis klareringsnivå er lik hemmelig eller høyere. Kun ansatte hvis nettverkstilgangsnivå er hemmelig eller høyere kan overføre slik informasjon til nettverket. Kun ansatte hvis tilgangsnivå til flyttbare medier er hemmelig eller høyere, kan kopiere slik informasjon til eksterne medier. Bare ansatte hvis skrivertilgangsnivå er hemmelig eller høyere kan skrive ut slik informasjon. Historie om å jobbe med informasjon med det hemmelige nivået, dvs. forsøk på å få tilgang til det, forsøk på å overføre det over nettverket, forsøk på å kopiere det til eksterne medier eller skrive det ut logges.

Tilgang til informasjon med et topphemmelighetsnivå kan kun oppnås av ansatte hvis klareringsnivå er lik topphemmelig. Kun ansatte hvis nettverkstilgangsnivå er lik topphemmelig kan overføre slik informasjon til nettverket. Kun ansatte hvis tilgangsnivå til flyttbare medier er lik topphemmelig kan kopiere slik informasjon til eksterne medier. Kun ansatte hvis skrivertilgangsnivå er lik topphemmelig kan skrive ut slik informasjon. Historie om å jobbe med informasjon med topphemmelig nivå, dvs. forsøk på å få tilgang til det, forsøk på å overføre det over nettverket, forsøk på å kopiere det til eksterne medier eller skrive det ut logges.

Eksempel: la en ansatt ha et tillatelsesnivå lik topphemmelig, et nettverkstilgangsnivå lik hemmelig, et tilgangsnivå for flyttbare medier lik offentlig og et skrivertilgangsnivå lik topphemmelig; i dette tilfellet kan en ansatt få tilgang til et dokument med et hvilket som helst nivå av hemmelighold, den ansatte kan overføre informasjon til nettverket med et hemmelighetsnivå som ikke er høyere enn hemmelig, kopiere for eksempel til disketter, den ansatte kan bare informasjon med hemmeligholdsnivået, og den ansatte kan skrive ut all informasjon på en skriver .

For å administrere spredning av informasjon i hele bedriften, tildeles hver datamaskin som er tildelt en ansatt et datasikkerhetsnivå. Dette nivået begrenser det maksimale sikkerhetsnivået for informasjon som enhver ansatt kan få tilgang til fra en gitt datamaskin, uavhengig av den ansattes klareringsnivåer. At. hvis en ansatt har et Clearance Level lik topphemmelig, og datamaskinen han er inne på dette øyeblikket verk har et sikkerhetsnivå lik offentlig, så vil ikke den ansatte kunne få tilgang til informasjon med et sikkerhetsnivå høyere enn offentlig fra denne arbeidsstasjonen.

Bevæpnet med teori, la oss prøve å bruke SecrecyKeeper for å løse problemet. Informasjonen som behandles i informasjonssystemet til den abstrakte virksomheten som vurderes (se problemstilling) kan beskrives på en forenklet måte ved hjelp av følgende tabell:

De ansatte i bedriften og området for deres jobbinteresser er beskrevet ved hjelp av den andre tabellen:

La følgende servere brukes i bedriften:
Server 1C
Filserver med baller:
SecretDocs - inneholder hemmelige dokumenter
PublicDocs - inneholder offentlig tilgjengelige dokumenter

Vær oppmerksom på at standardfunksjoner brukes til å organisere standard tilgangskontroll operativsystem og applikasjonsprogramvare, dvs. for å hindre for eksempel en leder fra å få tilgang til personopplysningene til ansatte, er det ikke nødvendig å innføre ytterligere beskyttelsessystemer. Vi snakker spesifikt om å motvirke spredning av informasjon som arbeidstakeren har lovlig tilgang til.

La oss gå videre til selve konfigurasjonen av SecrecyKeeper.
Jeg vil ikke beskrive prosessen med å installere administrasjonskonsollen og agenter, alt er så enkelt som mulig - se dokumentasjonen for programmet.
Oppsett av systemet består av å utføre følgende trinn.

Trinn 1. Installer agenter på alle PC-er unntatt servere - dette hindrer dem umiddelbart i å få informasjon som hemmelighetsnivået er satt høyere for enn offentlig.

Trinn 2. Tildel klareringsnivåer til ansatte i henhold til følgende tabell:

Brukertillatelsesnivå Nettverkstilgangsnivå Tilgangsnivå til flyttbare medier Skrivertilgangsnivå
regissør hemmelig hemmelig hemmelig hemmelig
sjef hemmelig offentlig offentlig hemmelig
personelloffiser hemmelig offentlig offentlig hemmelig
regnskapsfører hemmelig offentlig hemmelig hemmelig
sekretær offentlig offentlig offentlig offentlig

Trinn 3. Tilordne datasikkerhetsnivåer som følger:

Trinn 4. Konfigurer informasjonssikkerhetsnivåer på serverne:

Trinn 5. Konfigurer informasjonssikkerhetsnivåer på ansattes PC-er for lokale filer. Dette er den mest tidkrevende delen, siden det er nødvendig å tydelig forstå hvilke ansatte som jobber med hvilken informasjon og hvor kritisk denne informasjonen er. Hvis organisasjonen din har gjennomgått en informasjonssikkerhetsrevisjon, kan resultatene gjøre oppgaven mye enklere.

Trinn 6. Om nødvendig lar SecrecyKeeper deg begrense listen over programmer som brukere har lov til å kjøre. Denne mekanismen implementeres uavhengig av Windows Software Restriction Policy og kan brukes hvis det for eksempel er nødvendig å pålegge brukere med administratorrettigheter begrensninger.

Dermed er det ved hjelp av SecrecyKeeper mulig å redusere risikoen for uautorisert spredning av gradert informasjon betydelig – både lekkasje og tyveri.

Feil:
- vanskeligheter med førstegangs oppsett personvernnivåer for lokale filer;

Generell konklusjon:
maksimale muligheter for å beskytte informasjon fra innsidere gis av programvare som har evnen til å dynamisk regulere tilgangen til informasjonsoverføringskanaler, avhengig av graden av hemmelighold av informasjonen det arbeides med og den ansattes sikkerhetsklareringsnivå.

Selskap er en unik tjeneste for kjøpere, utviklere, forhandlere og tilknyttede partnere. Dessuten er dette en av de beste nettbutikker Programvare i Russland, Ukraina, Kasakhstan, som tilbyr kunder et bredt spekter, mange betalingsmetoder, rask (ofte øyeblikkelig) ordrebehandling, sporing av bestillingsprosessen i en personlig seksjon.

Nylig har problemet med beskyttelse mot interne trusler blitt en reell utfordring for den forståelige og etablerte verden av bedriftsinformasjonssikkerhet. Pressen snakker om innsidere, forskere og analytikere advarer om mulige tap og problemer, og nyhetsfeeds er fulle av rapporter om nok en hendelse som førte til lekkasje av hundretusenvis av kunderegistre på grunn av en feil eller uforsiktighet fra en ansatt. La oss prøve å finne ut om dette problemet er så alvorlig, om det må håndteres, og hvilke tilgjengelige verktøy og teknologier som finnes for å løse det.

Først av alt er det verdt å fastslå at en trussel mot datakonfidensialitet er intern hvis kilden er en ansatt i bedriften eller en annen person som har lovlig tilgang til disse dataene. Når vi snakker om innsidetrusler, snakker vi altså om evt mulige handlinger lovlige brukere, tilsiktet eller tilfeldig, som kan føre til lekkasje av konfidensiell informasjon utenfor bedriftens nettverk. For å fullføre bildet er det verdt å legge til at slike brukere ofte kalles innsidere, selv om dette begrepet har andre betydninger.

Relevansen av problemet med interne trusler bekreftes av resultatene fra nyere studier. Spesielt i oktober 2008 ble resultatene av en felles studie av Compuware og Ponemon Institue kunngjort, ifølge hvilke innsidere er den vanligste årsaken til datalekkasjer (75 % av hendelsene i USA), mens hackere bare var på femteplass. plass. I den årlige studien fra 2008 av Computer Security Institute (CSI), er tallene for antall innsidetrusselhendelser som følger:

Antall hendelser i prosent betyr det av totalt antall respondenter denne typen hendelsen skjedde i den angitte prosentandelen av organisasjoner. Som det fremgår av disse tallene, har nesten alle organisasjoner en risiko for å lide av interne trusler. Til sammenligning, ifølge den samme rapporten, påvirket virus 50 % av organisasjonene som ble spurt, og med hackere som infiltrerte lokalt nettverk bare 13 % møtte det.

Dermed, interne trusler– dette er virkeligheten i dag, og ikke en myte oppfunnet av analytikere og leverandører. Så de som på gammeldags vis mener at bedriftens informasjonssikkerhet er en brannmur og antivirus, må snarest se bredere på problemet.

Loven "Om personopplysninger" øker også graden av spenning, i henhold til hvilken organisasjoner og tjenestemenn må svare ikke bare overfor ledelsen deres, men også overfor sine klienter og loven for feilaktig håndtering av personopplysninger.

Inntrenger modell

Tradisjonelt, når man vurderer trusler og forsvar mot dem, bør man starte med en analyse av motstandsmodellen. Som allerede nevnt, vil vi snakke om innsidere - ansatte i organisasjonen og andre brukere som har lovlig tilgang til konfidensiell informasjon. Som regel, med disse ordene, tenker alle på en kontoransatt som jobber på en datamaskin som en del av et bedriftsnettverk, som ikke forlater organisasjonens kontor mens han jobber. En slik fremstilling er imidlertid ufullstendig. Det er nødvendig å utvide den til å omfatte andre typer personer med lovlig tilgang til informasjon som kan forlate organisasjonens kontor. Dette kan være forretningsreisende med bærbare datamaskiner, eller de som jobber både på kontoret og hjemme, kurerer som frakter media med informasjon, primært magnetbånd med sikkerhetskopi, etc.

En slik utvidet vurdering av inntrengermodellen passer for det første inn i konseptet, siden truslene fra disse inntrengerne også relaterer seg til interne, og for det andre lar den oss analysere problemet bredere, med tanke på alle mulige alternativer bekjempe disse truslene.

Følgende hovedtyper av interne overtredere kan skilles:

  • Ulojal/motvillig ansatt.Overtredere som tilhører denne kategorien kan handle målrettet, for eksempel ved å bytte jobb og ønske å ta tak i konfidensiell informasjon for å interessere en ny arbeidsgiver, eller følelsesmessig, hvis de anså seg fornærmet, og dermed ønsker å ta hevn. De er farlige fordi de er mest motiverte for å skade organisasjonen de jobber i. Som regel er antallet hendelser med illojale ansatte lite, men det kan øke i situasjoner med ugunstige økonomiske forhold og massive nedbemanninger.
  • En infiltrert, bestukket eller manipulert ansatt.I dette tilfellet vi snakker om om eventuelle målrettede handlinger, vanligvis med det formål industrispionasje under intens konkurranseforhold. For å samle inn konfidensiell informasjon, introduserer de enten sin egen person i et konkurrerende selskap for bestemte formål, eller finner en mindre lojal ansatt og bestikker ham, eller tvinger en lojal, men uforsiktig ansatt til å utlevere konfidensiell informasjon gjennom sosial ingeniørkunst. Antall hendelser av denne typen er vanligvis enda mindre enn tidligere, på grunn av det faktum at i de fleste segmenter av økonomien i Den russiske føderasjonen er konkurranse lite utviklet eller implementert på andre måter.
  • Uaktsom ansatt. Denne typen en overtreder er en lojal, men uoppmerksom eller uaktsom ansatt som kan bryte retningslinjene indre sikkerhet bedrift på grunn av hennes uvitenhet eller glemsomhet. En slik ansatt kan feilaktig sende en e-post med en sensitiv fil knyttet til feil person, eller ta hjem en flash-stasjon med konfidensiell informasjon å jobbe med i helgen og miste den. Denne typen inkluderer også ansatte som mister bærbare datamaskiner og magnetbånd. Ifølge mange eksperter er denne typen innsidere ansvarlige for de fleste lekkasjer av konfidensiell informasjon.

Dermed kan motivene, og følgelig handlingsforløpet til potensielle overtreders, variere betydelig. Avhengig av dette bør du nærme deg oppgaven med å sikre den interne sikkerheten i organisasjonen.

Teknologier for å beskytte mot innsidetrusler

Til tross for den relative ungdommen til dette markedssegmentet, har kundene allerede mye å velge mellom avhengig av deres mål og økonomiske evner. Det er verdt å merke seg at nå er det praktisk talt ingen leverandører på markedet som spesialiserer seg utelukkende på interne trusler. Denne situasjonen har oppstått ikke bare på grunn av umodenheten til dette segmentet, men også på grunn av den aggressive og noen ganger kaotiske politikken med fusjoner og oppkjøp utført av produsenter av tradisjonelle sikkerhetsprodukter og andre leverandører som er interessert i tilstedeværelse i dette segmentet. Det er verdt å minne om selskapet RSA Data Security, som ble en avdeling av EMC i 2006, kjøpet av NetApp av oppstarten Decru, som utviklet seog sikkerhetskopier i 2005, Symantecs kjøp av DLP-leverandøren Vontu i 2007, etc.

Til tross for at et stort antall slike transaksjoner indikerer gode utsikter for utviklingen av dette segmentet, gagner de ikke alltid kvaliteten på produktene som kommer under vingen store selskaper. Produktene begynner å utvikle seg langsommere, og utviklere reagerer ikke like raskt på markedskrav sammenlignet med et høyt spesialisert selskap. Dette er en velkjent sykdom hos store selskaper, som, som vi vet, taper i mobilitet og effektivitet til sine mindre brødre. På den annen side forbedres kvaliteten på tjenesten og tilgjengeligheten av produkter for kunder i forskjellige deler av verden på grunn av utviklingen av deres service- og salgsnettverk.

La oss vurdere de viktigste teknologiene som for tiden brukes for å nøytralisere interne trusler, deres fordeler og ulemper.

Dokument kontroll

Dokumentkontrollteknologi er nedfelt i moderne rettighetsforvaltningsprodukter, som f.eks Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES og Oracle Information Rights Management.

Driftsprinsippet for disse systemene er å tildele bruksregler for hvert dokument og kontrollere disse rettighetene i applikasjoner som arbeider med dokumenter av denne typen. Du kan for eksempel lage et dokument Microsoft Word og angi regler for det: hvem kan se det, hvem som kan redigere og lagre endringer, og hvem som kan skrive ut. Disse reglene kalles en lisens i Windows RMS-vilkår og lagres sammen med filen. Innholdet i filen er kryptert for å hindre uautoriserte brukere fra å se den.

Nå, hvis en bruker prøver å åpne en slik beskyttet fil, kontakter applikasjonen en spesiell RMS-server, bekrefter brukerens tillatelser, og hvis tilgang til denne brukeren er tillatt, sender serveren nøkkelen til applikasjonen for å dekryptere denne filen og informasjonen om rettighetene til denne brukeren. Basert på denne informasjonen, gjør applikasjonen tilgjengelig for brukeren bare de funksjonene han har rettigheter til. For eksempel, hvis en bruker ikke har lov til å skrive ut en fil, vil ikke programmets utskriftsfunksjon være tilgjengelig.

Det viser seg at informasjonen i en slik fil er trygg selv om filen kommer utenfor bedriftens nettverk - den er kryptert. RMS-funksjonalitet er allerede innebygd i applikasjonene Microsoft Office 2003 Professional Edition. For å bygge inn RMS-funksjonalitet i applikasjoner fra andre utviklere, tilbyr Microsoft en spesiell SDK.

Adobes dokumentkontrollsystem er bygget på lignende måte, men er fokusert på dokumenter i PDF-format. Oracle IRM er installert på klientdatamaskiner som en agent og integreres med applikasjoner under kjøring.

Dokumentkontroll er en viktig del av det overordnede konseptet med innsidebeskyttelse, men de iboende begrensningene til denne teknologien må tas i betraktning. For det første er den designet utelukkende for overvåking av dokumentfiler. Hvis vi snakker om ustrukturerte filer eller databaser, fungerer ikke denne teknologien. For det andre, hvis en angriper, ved hjelp av SDK-en til dette systemet, oppretter en enkel applikasjon som vil kommunisere med RMS-serveren, motta en krypteringsnøkkel derfra og lagre dokumentet i klartekst, og starter denne applikasjonen på vegne av en bruker som har et minimumsnivå av tilgang til dokumentet, da dette systemet vil bli forbigått. I tillegg bør man ta hensyn til vanskelighetene ved implementering av et dokumentkontrollsystem hvis organisasjonen allerede har laget mange dokumenter - oppgaven med å innledningsvis klassifisere dokumenter og tildele rettigheter til å bruke dem kan kreve betydelig innsats.

Dette betyr ikke at dokumentkontrollsystemer ikke oppfyller oppgaven, vi må bare huske at informasjonssikkerhet er et komplekst problem, og som regel er det ikke mulig å løse det ved hjelp av bare ett verktøy.

Lekkasjebeskyttelse

Begrepet datatapsforebygging (DLP) dukket opp i vokabularet til inrelativt nylig, og har allerede blitt, uten overdrivelse, det heteste temaet de siste årene. Som regel refererer forkortelsen DLP til systemer som overvåker mulige lekkasjekanaler og blokkerer dem dersom det forsøkes å sende konfidensiell informasjon gjennom disse kanalene. I tillegg i funksjonen lignende systemer inkluderer ofte muligheten til å arkivere informasjon som går gjennom dem for påfølgende revisjoner, hendelsesundersøkelser og retrospektiv analyse av potensielle risikoer.

Det finnes to typer DLP-systemer: nettverks-DLP og verts-DLP.

Nettverk DLP arbeid etter prinsippet om en nettverksport, som filtrerer all data som passerer gjennom den. Åpenbart, basert på oppgaven med å bekjempe interne trusler, ligger hovedinteressen for slik filtrering i muligheten til å kontrollere data som overføres utenfor bedriftsnettverket til Internett. Nettverks-DLP-er lar deg overvåke utgående e-post, http- og ftp-trafikk, direktemeldingstjenester osv. Hvis sensitiv informasjon oppdages, kan nettverks-DLP-er blokkere den overførte filen. Det finnes også alternativer for manuell behandling av mistenkelige filer. Mistenkelige filer settes i karantene, som med jevne mellomrom gjennomgås av en sikkerhetsansvarlig og enten tillater eller nekter filoverføring. Men på grunn av protokollens natur er slik behandling kun mulig for e-post. Ytterligere muligheter for revisjon og hendelsesundersøkelse er gitt ved å arkivere all informasjon som passerer gjennom gatewayen, forutsatt at dette arkivet blir periodisk gjennomgått og innholdet analyseres for å identifisere lekkasjer som har oppstått.

Et av hovedproblemene ved implementering og implementering av DLP-systemer er metoden for å oppdage konfidensiell informasjon, det vil si tidspunktet for å ta en beslutning om hvorvidt den overførte informasjonen er konfidensiell og begrunnelsen som tas i betraktning når du tar en slik beslutning . Som regel gjøres dette ved å analysere innholdet overførte dokumenter, også kalt innholdsanalyse. La oss vurdere hovedmetodene for å oppdage konfidensiell informasjon.

  • Tagger. Denne metoden ligner dokumentkontrollsystemene diskutert ovenfor. Etiketter er innebygd i dokumenter som beskriver graden av konfidensialitet av informasjon, hva som kan gjøres med dette dokumentet, og hvem det skal sendes til. Basert på resultatene av tag-analysen avgjør DLP-systemet om det er mulig dette dokumentet sende utenfor eller ikke. Noen DLP-systemer er i utgangspunktet gjort kompatible med rettighetsstyringssystemer for å bruke etikettene som disse systemene installerer; andre systemer bruker sitt eget etikettformat.
  • Signaturer. Denne metoden består i å spesifisere en eller flere sekvenser av tegn, hvis tilstedeværelse i teksten til den overførte filen skal fortelle DLP-systemet at denne filen inneholder konfidensiell informasjon. Et stort antall signaturer kan organiseres i ordbøker.
  • Bayes metode. Denne metoden, som brukes til å bekjempe spam, kan også brukes med hell i DLP-systemer. For å bruke denne metoden opprettes en liste over kategorier, og en liste med ord er indikert med sannsynligheten for at hvis ordet forekommer i en fil, så tilhører filen med en gitt sannsynlighet eller ikke tilhører den angitte kategorien.
  • Morfologisk analyse.Metoden for morfologisk analyse ligner på signaturen, forskjellen er at det ikke analyseres 100 % samsvar med signaturen, men lignende rotord tas også i betraktning.
  • Digitale trykk.Essensen av denne metoden er at en hash-funksjon beregnes for alle konfidensielle dokumenter på en slik måte at hvis dokumentet endres litt, vil hash-funksjonen forbli den samme eller også endre seg litt. Dermed blir prosessen med å oppdage konfidensielle dokumenter betydelig forenklet. Til tross for den entusiastiske lovprisningen av denne teknologien fra mange leverandører og noen analytikere, overlater påliteligheten mye å være ønsket, og gitt det faktum at leverandører, under ulike påskudd, foretrekker å la detaljer om implementeringen av den digitale fingeravtrykkalgoritmen ligge i skyggen, stoler på. i det øker ikke.
  • Vanlig uttrykk.Kjent for alle som har drevet med programmering, vanlig uttrykk gjør det enkelt å finne maldata i tekst, for eksempel telefonnumre, passinformasjon, bankkontonummer, personnummer, etc.

Fra listen ovenfor er det lett å se at deteksjonsmetoder enten ikke garanterer 100 % identifikasjon av konfidensiell informasjon, siden feilnivået av både den første og andre typen i dem er ganske høy, eller krever konstant årvåkenhet fra sikkerhetstjenesten for å oppdatere og vedlikeholde en oppdatert liste over signaturer eller oppdragsetiketter for konfidensielle dokumenter.

I tillegg kan trafikkkryptering skape et visst problem i driften av nettverks-DLP. Hvis sikkerhetskrav krever at du krypterer e-postmeldinger eller bruker SSL når du kobler til nettressurser, kan problemet med å fastslå tilstedeværelsen av konfidensiell informasjon i overførte filer være svært vanskelig å løse. Ikke glem at noen direktemeldingstjenester, for eksempel Skype, har innebygd kryptering som standard. Du må nekte å bruke slike tjenester eller bruke verts-DLP for å kontrollere dem.

Men til tross for alle vanskelighetene, når riktig innstilling Når det tas på alvor, kan nettverks-DLP redusere risikoen for konfidensiell informasjonslekkasje betraktelig og gi en organisasjon et praktisk middel for internkontroll.

Vert for DLP er installert på hver vert på nettverket (på klientarbeidsstasjoner og om nødvendig på servere) og kan også brukes til å kontrollere Internett-trafikk. Imidlertid er vertsbaserte DLP-er mindre utbredt i denne egenskapen og brukes for tiden hovedsakelig til kontroll eksterne enheter og skrivere. Som du vet, utgjør en ansatt som tar med en flash-stasjon eller en MP3-spiller på jobb en mye større trussel mot informasjonssikkerheten til en bedrift enn alle hackere til sammen. Disse systemene kalles også sikkerhetsverktøy for nettverksendepunkter ( endepunktsikkerhet), selv om dette begrepet ofte brukes bredere, for eksempel kalles antivirusprodukter noen ganger på denne måten.

Som du vet, kan problemet med bruk av eksterne enheter løses uten å bruke noen midler ved å deaktivere portene enten fysisk eller ved å bruke operativsystemet, eller administrativt ved å forby ansatte fra å ta med lagringsmedier inn på kontoret. Men i de fleste tilfeller er den "billige og muntre" tilnærmingen uakseptabel, siden den nødvendige fleksibiliteten til informasjonstjenester som kreves av forretningsprosesser, ikke er gitt.

På grunn av dette har det vært en viss etterspørsel etter spesielle midler, ved hjelp av dette kan du mer fleksibelt løse problemet med bruk av eksterne enheter og skrivere av selskapets ansatte. Slike verktøy lar deg konfigurere tilgangsrettigheter for brukere forskjellige typer enheter, for eksempel for en gruppe brukere for å forby arbeid med media og tillate dem å jobbe med skrivere, og for en annen - for å tillate arbeid med media i skrivebeskyttet modus. Dersom det er nødvendig å registrere informasjon på eksterne enheter for enkeltbrukere, kan skyggekopiteknologi benyttes som sikrer at all informasjon som er lagret på en ekstern enhet kopieres til serveren. Den kopierte informasjonen kan deretter analyseres for å analysere brukerhandlinger. Denne teknologien kopierer alt, og for tiden er det ingen systemer som tillater innholdsanalyse av lagrede filer for å blokkere operasjonen og forhindre lekkasje, slik nettverks-DLPer gjør. Et arkiv med skyggekopier vil imidlertid gi hendelsesundersøkelser og retrospektiv analyse av hendelser på nettverket, og tilstedeværelsen av et slikt arkiv betyr at en potensiell innsider kan bli fanget og straffet for sine handlinger. Dette kan vise seg å være en betydelig hindring for ham og en betydelig grunn til å forlate fiendtlige handlinger.

Det er også verdt å nevne kontroll over bruken av skrivere - papirkopier av dokumenter kan også bli en kilde til lekkasje. Hosted DLP lar deg kontrollere brukertilgang til skrivere på samme måte som andre eksterne enheter, og lagre kopier av trykte dokumenter i grafisk format for senere analyse. I tillegg har teknologien med vannmerker blitt noe utbredt, som skriver ut en unik kode på hver side i et dokument, som kan brukes til å bestemme nøyaktig hvem, når og hvor dette dokumentet ble skrevet ut.

Til tross for de utvilsomme fordelene med vertsbasert DLP, har de en rekke ulemper knyttet til behovet for å installere agentprogramvare på hver datamaskin som skal overvåkes. For det første kan dette forårsake visse vanskeligheter når det gjelder distribusjon og administrasjon av slike systemer. For det andre kan en bruker med administratorrettigheter prøve å deaktivere denne programvaren for å utføre handlinger som ikke er tillatt av sikkerhetspolicyen.

For pålitelig kontroll av eksterne enheter er imidlertid vertsbasert DLP uunnværlig, og problemene som er nevnt er ikke uløselige. Dermed kan vi konkludere med at konseptet DLP nå er et fullverdig verktøy i arsenalet av bedriftssikkerhetstjenester i møte med stadig økende press på dem for å sikre internkontroll og beskyttelse mot lekkasjer.

IPC konsept

I prosessen med å finne opp nye midler for å bekjempe interne trusler, stopper ikke den vitenskapelige og tekniske tanken i det moderne samfunnet, og tatt i betraktning visse mangler ved midlene som ble diskutert ovenfor, har markedet for informaskommet til konseptet IPC (Information Protection and Control). Dette begrepet dukket opp relativt nylig; det antas at det først ble brukt i en anmeldelse av det analytiske selskapet IDC i 2007.

Essensen av dette konseptet er å kombinere DLP og krypteringsmetoder. I dette konseptet, ved bruk av DLP, kontrolleres informasjon som forlater bedriftsnettverket via tekniske kanaler, og kryptering brukes for å beskytte lagringsmedier som fysisk faller eller kan falle i hendene på uautoriserte personer.

La oss se på de vanligste krypteringsteknologiene som kan brukes i IPC-konseptet.

  • Kryptering av magnetbånd.Til tross for den arkaiske naturen til denne typen medier, fortsetter den å bli aktivt brukt til Reserver eksemplar og for overføring av store mengder informasjon, siden den fortsatt ikke har like når det gjelder enhetskostnaden for en lagret megabyte. Følgelig fortsetter tapelekkasjer å glede nyhetsredaktørene som legger dem på forsiden, og frustrerer IT-sjefene og sikkerhetsteamene til bedriftene som blir heltene i slike rapporter. Situasjonen forverres av det faktum at slike bånd inneholder svært store mengder data, og derfor kan et stort antall mennesker bli ofre for svindlere.
  • Kryptering av serverlager.Til tross for at serverlagring svært sjelden transporteres, og risikoen for tap er umåtelig lavere enn for magnetbånd, er en separat HDD fra lagring kan falle i hendene på kriminelle. Reparasjon, avhending, oppgradering - disse hendelsene skjer med tilstrekkelig regelmessighet til å avskrive denne risikoen. Og situasjonen med uvedkommende som kommer inn på kontoret er ikke en helt umulig hendelse.

Her er det verdt å gjøre en liten digresjon og nevne den vanlige misoppfatningen at hvis en disk er en del av en RAID-array, så trenger du visstnok ikke å bekymre deg for at den faller i feil hender. Det ser ut til at vekslingen av registrerte data til flere harddisk, som RAID-kontrollere utfører, gir et uleselig utseende til dataene som er plassert på en hvilken som helst hard type. Dessverre er dette ikke helt sant. Interleaving forekommer, men i de fleste moderne enheter gjøres det på 512-byte blokknivå. Dette betyr at til tross for brudd på filstruktur og formater, kan konfidensiell informasjon fortsatt trekkes ut fra en slik harddisk. Derfor, hvis det er et krav om å sikre konfidensialiteten til informasjon når den lagres i en RAID-array, er kryptering fortsatt det eneste pålitelige alternativet.

  • Kryptering av bærbare datamaskiner.Dette har allerede blitt sagt utallige ganger, men likevel har tapet av bærbare datamaskiner med konfidensiell informasjon ikke vært utenfor topp fem av hitparaden av hendelser på mange år nå.
  • Kryptering av flyttbare medier.I dette tilfellet snakker vi om bærbare USB-enheter og noen ganger skrivbare CDer og DVDer hvis de brukes i bedriftens forretningsprosesser. Slike systemer, så vel som de nevnte bærbare harddiskkrypteringssystemene, kan ofte fungere som komponenter i verts-DLP-systemer. I dette tilfellet snakker de om en slags kryptografisk perimeter, som sikrer automatisk gjennomsiktig kryptering av media inne, og manglende evne til å dekryptere data utenfor den.

Dermed kan kryptering betydelig utvide mulighetene til DLP-systemer og redusere risikoen for lekkasje av konfidensielle data. Til tross for at konseptet med IPC tok form relativt nylig, og utvalget av komplekse IPC-løsninger på markedet ikke er veldig bredt, utforsker industrien aktivt dette området, og det er ganske mulig at dette konseptet etter en tid vil bli den de faktostandard for løsning av problemer med intern sikkerhet og intern sikkerhet.

konklusjoner

Som det fremgår av denne gjennomgangen, er interne trusler et ganske nytt område innen informasjonssikkerhet, som likevel er i aktivt utvikling og krever økt oppmerksomhet. De vurderte dokumentkontrollteknologiene, DLP og IPC gjør det mulig å bygge et ganske pålitelig internkontrollsystem og redusere risikoen for lekkasje til et akseptabelt nivå. Uten tvil vil dette området for informasjonssikkerhet fortsette å utvikle seg, nyere og mer avanserte teknologier vil bli tilbudt, men i dag velger mange organisasjoner en eller annen løsning, siden uforsiktighet i spørsmål om informasjonssikkerhet kan bli for dyrt.

Alexey Raevsky
Administrerende direktør i SecurIT



Populært i kategorien:
Hvordan lage et karaokeklipp på en datamaskin?
Hvordan lage et karaokeklipp på en datamaskin?
lese
Origin-appen kreves for spillet, men den er ikke installert. FIFA 16 krever Origin.
Origin-appen kreves for å spille, men den er ikke installert FIFA...
lese
Registrere en personlig side på det sosiale nettverket Facebook
Registrere en personlig side på det sosiale nettverket Facebook
lese
Hvordan kjøre en enkel Nmap Nmap Scan
Hvordan kjøre en enkel Nmap Nmap Scan
lese

Siste artikler
Hvordan rotere et bilde noen grader...
lese
Deaktiverer annonsering i Yandex-nettleseren Hvor...
lese
Feilsøker problemer med Wi-Fi-tilkobling på...
lese
Endre passord på Windows 10-profilen
lese
Instruksjoner for oppsett av trådløse rutere...
lese
Hvordan velge en harddisk og hvilken er bedre å kjøpe...
lese
Meizu for dummies. Samtaler og adressebok....
lese
Last ned programmet PDFMaster
lese
Topp