Файл: Системы предотвращения утечек конфиденциальной информации (DLP).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 22.04.2023

Просмотров: 94

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Дополнительно в реализовано теневое распечатываемых документов. Это дает контролировать действия даже в том если им использование принтеров, но точно знать, что, где и они печатали. В копии сохраняется вся информация и сам документ в PDF.

Сервер журналирования

В Zlock есть сохранять журналируемые на сервер Он позволяет и надежнее хранить и журналы событий

Клиентские модули записывают все события на журналирования, при если он информация о временно хранится на Когда соединение с восстанавливается, эта пересылается на

Сервер журналов записывать информацию о в базу Microsoft SQL Oracle Database или в Использование для событий Microsoft SQL или Oracle позволяет обеспечить высокую надежность и

Zlock Enterprise Server

Zlock EMS для централизованного и распространения и настроек Синхронизация с Enterprise Management происходит с администратором периодичностью и в себя текущих политик и агентов и их в случае Синхронизация происходит по каналу и распространяться как на всю так и на домены, группы или

Контроль целостности

В Zlock возможность контроля файлов и Zlock. Если компоненты Zlock были модифицированы, возможность в систему лишь у Это позволит Zlock от со стороны и вредоносных

2.5 McAfee Host Data Loss Prevention

Система защиты от утечек, основанная на агентском контроле использования конфиденциальной информации.Host DLP состоит из агентских программ, устанавливаемых на рабочие станции сотрудников, и сервера управления.

Вычислительная часть решения McAfee Host DLP функционирует на уровне конечных рабочих станций заказчика. Для этого на каждый компьютер централизованно рассылается и устанавливается программа - агентский модуль McAfee Host DLP. Агент устойчив к выгрузке, - его невозможно деинсталлировать, даже имея права администратора.

Для обучения системе необходимо выделить папки (на файловом сервере), в которых будут расположены защищаемые файлы. Согласно заданной администратором безопасности политике, на защищаемые документы "навешиваются" метки. Эти метки существуют в параллельных потоках NTFS и не видны невооруженным взглядом.

Метки видны агентским программам McAfee Host DLP. Этот агент может ограничить отправку, запись на сменные носители, копирование в буфер и прочие операции, противоречащие установленным политикам для конкретного пользователя с конкретной меткой.

Локально метки работают вкупе с цифровыми отпечатками (для слежения не только за контейнером, но и контентом). При открытии или копировании с сервера секретного документа агентская программа McAfee Host DLP отследит метку документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от передачи за пределы станции в соответствии с установленными политиками безопасности. Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и созданный на основе этого фрагмента новый документ унаследует метку.


В существующую инфраструктуру должны быть установлены агентские модули на каждую рабочую станцию и установлен сервер управления:

По результатам работы агентских программ статистика инцидентов централизованно собирается на управляющий сервер McAfee ePolicy для анализа.

Основные возможности решения заключаются в 10 правилах реакции, которые может выполнять клиент на рабочих станциях:

1. Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;

2. Clipboard Protection Rule. Позволяет выполнять блокировку копирования в буфер обмена для определенного контента. К примеру, копирование информации через буфер обмена, содержащей словосочетание "финансовый отчет" из программы Excel в Word может быть запрещено;

. Email Protection Rule. Позволяет анализировать исходящие сообщения в электронной почте и блокировать утечку конфиденциальной информации;

4. Network File System Protection Rule. Позволяет отслеживать перемещение конфиденциальной информации между контролируемыми компьютерами, а также ее копирование на сменные носители;

. Network Protection Rule. Позволяет блокировать передачу конфиденциальной информации через сетевые протоколы TCP\IP;

. Printing Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов, если контент отправленных на печать документов содержит конфиденциальную информацию;

7. PDF/Image Writers Protection Rule. Позволяет выполнять анализ и, в случае необходимости, блокировку печати документов в файл или формат PDF;

. Removable Storage Protection Rule. Позволяет детектировать и в случае необходимости блокировать передачу на внешний носитель конфиденциальной информации;

. Screen Capture Protection Rule. Позволяет блокировать выполнение операции "Print Screen" для определенных приложений;

. Webpost Protection Rule. Позволяет перехватывать post-запросы в Internet Explorer - например, исходящие почтовые сообщения на веб-почте (mail.ru, yandex.ru).

Websense Data Security Suite (DSS)

Система защиты от утечек информации, основанная на контроле исходящего сетевого трафика, поиска хранимых данных, агентского контроля.

Решение состоит из нескольких модулей:

. Data Discover - модуль, осуществляющий сканирование корпоративной сети (компьютеров, серверов) и поиск разбросанной конфиденциальной информации;

2. Data Protect - модуль, осуществляющий анализ исходящего трафика по всем каналам передачи, мониторинг и блокирование утечки;

. Data Monitor - модуль, аналогичный Data Protect, только без блокирования;

. Data Endpoint - модуль, осуществляющий контроль конечных рабочих станций, ноутбуков на локальное перемещение конфиденциальной информации и контроль запуска приложений.


Схема работы Websense DSS не отличается от классической для DLP-систем:

Подготовка перечня секретной информации

Для того чтобы решение Websense DSS заработало у клиента, потребуется предварительно выделить и классифицировать конфиденциальные сведения, которые планируется защищать. Документы в электронном виде следует разложить по файловым папкам.

Внедренная система Websense DSS обратится к хранилищу защищаемых документов и баз дынных, снимет цифровые отпечатки подготовленных документов.

Администратор безопасности настраивает правила реагирования на перемещение секретных документов.

Если в потоке трафика попадается конфиденциальный документ, то система Websense DSS безошибочно определит, из какого источника взят этот документ, кто из пользователей отвечает за обращение данного вида информации, какое действие должно быть предпринято по отношению к данной попытке нарушения безопасности.

Моментально о нарушении узнаёт ответственное лицо, которое может ознакомиться с письмом, отправленным его подчиненным, принять решение о досылке письма, либо возбуждении расследования.

Возможности решения далеко не ограничены рассмотренным сценарием. Например, система Websense DSS способна с высокой степенью вероятности обнаруживать стандартные структурированные документы, например, резюме сотрудников, финансовые отчеты, паспортные данные, - в том числе и русскоязычные.

Решение Websense DSS может быть встроено в инфраструктуру заказчика различными способами.

Рассмотрим один из распространенных вариантов. Для установки решения Websense DSS потребуется как минимум один сервер "DSS Manager" уровня HP DL380, который будет выполнять анализ всего корпоративного трафика. Дополнительно может быть рекомендован еще один сервер "DSS Protector" (перехватчик), уровня HP DL360. Итого, 2 сервера на предприятие до 5000 пользователей, передающих электронные сообщения через центральный офис.DSS может быть установлен и работать как в "прозрачном режиме" - для мониторинга трафика (без видоизменения, - отказоустойчивый вариант):

Рисунок 3 - "Прозрачный" режим работы Websense DSS

Так и в разрыв исходящего трафика (для мониторинга и предотвращения утечек):

Рисунок 4 - Режим разрыва исходящего трафика

На схемах сервера Websense обозначены как "Фильтр" и "Перехватчик". Для обеспечения контроля информации, сохраняемой на внешние носители, "перехватчиком" будет являться агентская программа Websense Data Endpoint, устанавливаемая непосредственно на рабочие станции пользователей или ноутбуки.


При необходимости обеспечения централизованной обработки трафика от нескольких территориально распределенных офисов холдинга заказчика, выстраивается иерархия из серверных компонент Websense.

Заключение

Как показывают опубликованные данные опроса Deloitte ведущих мировых финансовый компаний, 49% респондентов зафиксировали внутренние инциденты (связанные с IT-безопасностью). В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов.18% организаций стали жертвами утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть. Организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор - 42%, операционные ошибки - 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов именно из-за того, что инсайдеры целенаправленно допустили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих, а 75% вводят различные ограничительные меры на использование тех или иных технологий либо устройств.

По данным исследовательского центра компании InfoWatch, специализирующейся на производстве и продаже систем DLP, за 2016 год - 42% утечек информации происходит неумышленно по неаккуратности или забывчивости пользователей, вследствие нарушений политик корпоративной безопасности организаций. Более 40% информации уходит по Интернет-каналам, и 30% - по мобильным устройствам. Более 65% информации утекает из коммерческих предприятий, около 20% из образовательных и 24% из государственных предприятий.

Системы DLP на сегодняшний день наиболее эффективный инструмент для защиты конфиденциальной информации, и актуальность данных решений будет со временем только увеличиваться. Согласно статье 19 ФЗ-№152 ("Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий") и пункту 11 Постановления РФ-№781 ("при обработке персональных данных в информационной системе должно быть обеспечено проведение мероприятий, направленных на предотвращение … передачи их лицам, не имеющим права доступа к такой информации") необходимо выполнить требования, которые именно системы DLP в состоянии наиболее эффективно решить.