Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



N держреєстрації

N держреєстрації




Сторінка17/18
Дата конвертації10.03.2017
Розмір1.8 Mb.
1   ...   10   11   12   13   14   15   16   17   18

3.2. Забезпечення захисту конфіденційної інформації від витоків за допомогою програмних продуктів компанії InfoWatch


Сімейство продуктів InfoWatch являє собою збалансований засіб для ефективного керування інформаційною безпекою компанії, без якого немислимо безперервне ведення сучасного бізнесу.

InfoWatch допомагає зберегти репутацію замовника, мінімізувати фінансові ризики, пов'язані із втратою конфіденційності даних і привести інформаційну систему у відповідність із національними й міжнародними законами та стандартами.

Націона́льність - приналежність особи до нації, держави або народу. Поняття «національність» може мати різноманітні значення: юридично-правове, політичне, етнологічне, культурологічне, повсякденно-побутове тощо.

Рішення компанії забезпечують контроль над найпоширенішими шляхами витоку, моніторинг доступу співробітників до корпоративних інформаційних ресурсів і зберігання докладного архіву операцій з документами.

InfoWatch у масштабі реального часу фільтрує поштовий і веб-трафик і контролює операції з документами на робочих станціях, запобігаючи виводу конфіденційних даних за межі інформаційної системи. У випадку виявлення фактів порушення корпоративної політики ІТ безпеки система оперативно повідомляє про інцидент компетентним особам і поміщає підозрілі об'єкти в область карантину.

Корпорат́изм - (пізньолат. corporatio - об'єднання, співтовариство) - система прийняття рішень та представництва інтересів через обмежену кількість жорстко визначених, ієрархічно ранжованих і функціонально диференційованих груп інтересів, що монополізують представництво відповідних сфер суспільного життя за згоди держави в обмін на її участь у підборі лідерів та призначенні керівного складу цих груп, а також у формуванні їхніх вимог.
Каранти́н (від італ. quaranta - сорок) - адміністративні та медико-санітарні заходи на обмеження контактів інфікованої або підозрілої на інфікування особи (осіб), тварини, вантажу, товару, транспортного засобу, населеного пункту, на рівні країни або між державами, що застосовуються для запобігання поширенню деяких небезпечних інфекційних хвороб.



InfoWatch Traffic Monitor (далі Traffic Monitor або система) - це розподілена багатокомпонентна система, призначена для контролю за трафіком вихідних листів, переданих по протоколах SMTP і HTTP.

Для виконання даного завдання в системі передбачені два види перехоплювачів:



  • Mail Monitor - призначений для перехоплення SMTP-трафіку. Перехоплення SMTP-трафіку здійснюється за допомогою інтеграції з поштовим сервером Postfix.

  • Web Monitor - призначений для перехоплення HTTP-трафіка. Поставляється у вигляді окремого компонента - Traffic Monitor ISA Server Plugin.
    Компоне́нт (від лат. componens, родовий відмінок componentis - складаючий) - складова частина, елемент чого-небудь.
    Перехоплення HTTP-трафіка здійснюється за допомогою інтеграції із Proxy-сервером MS ISA Server.

У процесі роботи системи Traffic Monitor накопичується великий обсяг даних. Завдання зберігання отриманих даних вирішується інтеграцією системи Traffic Monitor із СУБД Oracle.

3.2.1 Склад Traffic Monitor


До складу системи Traffic Monitor входять наступні компоненти:

  • Traffic Monitor Server (сервер поштової фільтрації).

  • Traffic Monitor ISA Server Plugin (модуль фільтрації POST-запитів).

  • Компоненти користувальницького інтерфейсу:

  • Traffic Monitor Security Administrator.

  • Traffic Monitor Security Officer.

  • Traffic Monitor DB Administrator.

  • Traffic Monitor Analyser.

  • Traffic Monitor Eraser.

3.2.1.1. Traffic Monitor Server


Traffic Monitor Server (далі Traffic Monitor Server або сервер поштової фільтрації) призначений для виконання наступних функцій:

  • здійснення тематичної класифікації листів;

  • виділення з потоку електронної кореспонденції листів, що містять ознаки конфіденційної інформації;
    Кореспонденція - аналітичний жанр журналістики, в якому на обмеженому конкретному життєвому матеріалі розглядається певна тема, ставиться проблема та пропонується її розв'язання. Цей жанр хіба трохи молодший за жанр замітки.


  • збереження копій листів, що відповідають корпоративній політиці безпеки в архів;

  • модифікація заголовків листів, списків одержувачів, відповідно до вимог корпоративної політики безпеки;

  • приміщення затриманих листів, що порушують корпоративну політику безпеки в карантин (з можливістю відкладеного прийняття Офіцером безпеки рішення про відправлення листа одержувачам);

  • створення архіву листів шляхом експорту листів з бази даних у зазначене місце (з можливістю імпорту створеного архіву листів назад у базу даних).

Кожний електронний лист, що проходить через сервер поштової фільтрації, перевіряється на його відповідність корпоративній політиці безпеки.

По-перше, виконується перевірка атрибутів листа на відповідність або невідповідність певним умовам. До таких атрибутів ставляться:

  • адреси відправника й одержувачів (з SMTP-конверта), розмір листа, його заголовки, кількість та тип вкладених файлів.

По-друге, використовується контентна фільтрація, тобто аналізується зміст самого листа та вкладених файлів. Застосовуються лінгвістичні алгоритми, засновані на:

  • пошуку характерних термінів (слів і словосполучень);
    Мовозна́вство, також лінгві́стика - наука, що вивчає мову в усій складності її прояву; наука про мову взагалі й окремі мови світу як індивідуальних її представників. Це гуманітарна наука, яка є розділом культурології (нарівні з мистецтвознавством і літературознавством) і філології (нарівні з літературознавством), а також галуззю семіотики.
    Словосполучення - поєднання слів, утворене за нормами мови з двох або більше повнозначних слів, пов'язаних між собою синтаксично, яку використовують як лексично-семантичний матеріал номінативної (знакової) функції в реченні й поза ним.


  • порівнянні з листами-зразками.



3.2.1.2 Traffic Monitor ISA Server Plugin


Traffic Monitor ISA Server Plugin (далі Traffic Monitor ISA Server Plugin або модуль фільтрації POST-запитів) здійснює перехоплення таких POST-запитів, структура яких дає можливість перетворювати їх в SMTP-листи. До таких POST-запитів відносяться листи, що відправляються на сайти Web-пошти, форуми й т.ін. З перехоплених POST-запитів формуються SMTP-листи, які перевіряються сервером контентної фільтрації, що є частиною сервера поштової фільтрації.

Після проходження процедури фільтрації запити, у яких не знайдено ознак порушення корпоративної політики безпеки, пропускаються на зовнішній сервер для відправлення зазначеним адресатам. Відправлення запитів з виявленими ознаками порушень блокуються.

Всі листи, сформовані з перехоплених POST-запитів, перенаправляються в чергу повідомлень (локальне сховище повідомлень сервера поштової фільтрації), що очікують запису в базу даних (архів/карантин).

3.2.1.3 Traffic Monitor Security Administrator


Фільтрація листів сервером контентноїй фільтрації здійснюється за умови, що конфігурація зазначеного сервера настроєна належним чином.

Завдання забезпечення необхідної конфігурації сервера контентної фільтрації вирішуються за допомогою програми Traffic Monitor Security Administrator. Право на запуск даної програми має користувач, якому призначена роль Адміністратор інформаційної безпеки. Основні функції Адміністратора інформаційної безпеки:



  • створення бази профілів і бази контентного аналізу;

  • завантаження зазначених баз на сервер контентній фільтрації;

  • імпорт бази профілів і бази контентного аналізу з XML;

  • експорт бази профілів і бази контентного аналізу в XML.

3.2.1.4. Traffic Monitor Security Officer


Листи, у яких сервером поштової фільтрації були знайдені ознаки порушення корпоративної політики безпеки, відображаються в програмі Traffic Monitor Security Officer. За допомогою даної програми Офіцер безпеки може вирішувати наступні завдання:

  • аналіз листів, затриманих сервером контентній фільтрації;

  • ухвалення рішення про доставку затриманих листів;

3.2.1.5. Traffic Monitor DB Administrator


Програма Traffic Monitor DB Administrator призначена для виконання ряду завдань адміністрування системи. Право на роботу з даною програмою має користувач, якому призначена роль Адміністратор сховища. Основні функції Адміністратора сховища:

Крім того, Адміністратор сховища має можливість переглядати статистичні дані по обробці листів і обсягу зайнятого простору в БД, контролювати вхід користувачів у систему.
Сегмент (від лат. segmentum ‘відрізок, смуга’ від лат. seco ‘ріжу, розсікаю’) - у загальному значенні - відрізок, частина чого-небудь, наприклад, сегмент програми, сегмент пам'яті, сегмент слова.
Стати́стика - наука, що вивчає методи кількісного охоплення і дослідження масових, зокрема суспільних, явищ і процесів. А також власне кількісний облік масових явищ. Зокрема, облік у будь-якій галузі господарства, суспільного життя, що здійснюється методами цієї науки, а також дані цього обліку.

3.2.1.6. Traffic Monitor Analyser


Програма Traffic Monitor Analyser призначена для аналізу листів, що зберігаються в базі даних. Установка даної програми виконується опционально. Право на роботу з даною програмою має користувач, якому призначена роль Аналітик. Основні завдання Аналітика:

  • пошук листів по реквізитах і контексту;

  • перегляд і збереження листів;

  • видалення листів з бази даних.

3.2.1.7. Traffic Monitor Eraser


Після обробки сервером поштової фільтрації всі листи зберігаються в базі даних. Виключення становлять ті листи, для яких за умовами фільтрації виконується дія Не зберігати в базу даних. Таким чином, обсяг бази даних постійно збільшується. Зменшити обсяг і тим самим звільнити місце на жорсткому диску можна шляхом видалення тих листів, подальше зберігання яких у базі даних не потрібно. Для виконання даного завдання призначена програма Traffic Monitor Eraser.

У програмі Traffic Monitor Eraser відображаються тільки ті листи, які вже оброблені сервісом Deferred processor.

Працювати із програмою Traffic Monitor Eraser може користувач, якому призначена роль Чистильник. У процесі роботи Чистильник може переглядати відомості тільки про основні заголовки листа й не має доступу до інформації про зміст тіла листа, наявності й змісті вкладень. Основною функцією Чистильника є видалення листів з бази даних.

3.2.2 Принципи фільтрації


Обробка листа сервером контентної фільтрації полягає в послідовному застосуванні до нього правил фільтрації.

  1. Обробка листа починається з аналізу: перевіряється
    виконання умов, описаних у правилі фільтрації.
    Причому перевірка умов ведеться в тому порядку, у якому
    вони задані в правилі фільтрації.

  2. Якщо хоча б одне з умов не виконано, обробка листа даним правилом припиняється без виконання яких-небудь дій.

  3. Якщо всі умови виконані, над листом послідовно виробляються дії, описані в правилі фільтрації (у тому порядку, у якому вони задані).

Правила фільтрації поєднуються в групи - профілі. Профілі бувають двох типів:

  • загальні - для всіх листів, незалежно від їхнього адресата;

  • персональні - для листів, спрямованих зазначеним адресатам (або для всіх адресатів, якщо не зазначені конкретні адресати).

Профілі у свою чергу утворять базу профілів, що входить до складу певної конфігурації. Крім бази профілів до складу конфігурації входить база контентного аналізу, що містить дані, необхідні для проведення контентного аналізу листа.

3.2.3 Фільтрація Web-пошти


Фільтр Web-пошти, що діє в складі Proxy-сервера Microsoft ISA Server, здійснює перехоплення вихідних HTTP-запитів, формує із цих запитів SMTP-листи й передає ці листи на Сервер поштової фільтрації для розпізнавання. Обробка HTTP-запитів значно відрізняється від обробки звичайного листа.

У процесі фільтрації виконується обробка HTTP-запитів до сайтів Web-пошти, форумів і т.ін.



Обробка запиту виконується у два етапи: виявлення ознак порушень і маршрутизація листа.

Аналіз листа на першому етапі виконується з метою визначити статус листа, приналежність до контентним категорій.

На етапі маршрутизації приймається рішення про доставку листа адресатам. Рішення приймається на підставі статусу, привласненого листу на першому етапі. Залежно від ухваленого рішення модулю фільтрації POST-запитів направляється команда доставити лист зазначеним адресатам або блокувати доставку листа. По завершенні аналізу лист зберігається в базі даних (архів або карантин).

3.2.4 Профілі фільтрації


До складу системи Traffic Monitor входять предвстановлені профілі фільтрації. Предвстановлені профілі настроєні на роботу в режимі затримки листів, що порушують корпоративну політику безпеки, і реалізують наступну схему фільтрації:

  1. Виявлення ознак порушення корпоративної політики безпеки: аналіз і оцінка листа, присвоєння листу певного статусу за результатами оцінки.

  2. Протоколювання інформації, отриманої в ході аналізу листа.

  3. Обробка Web-пошти з метою ухвалення рішення про подальші дії з даним листом. Рішення приймається на підставі статусу, привласненого листу на кроці 1. Можливі наступні дії: відправити лист зазначеним адресатам або блокувати доставку листа.

  4. Обробка листів, для яких на кроці 3 було ухвалене рішення про відправлення зазначеним адресатам.

  5. Обробка листів, для яких на кроці 3 було ухвалене рішення блокувати доставку зазначеним адресатам.

  6. Обробка листів корпоративної електронної пошти.

  7. Заключна обробка листа. Обробці піддаються всі SMTP-листи, не оброблені на попередніх кроках.

3.2.5 Робота з Traffic Monitor Security Administrator


Програма Traffic Monitor Security Administrator призначена для керування настроюваннями параметрів фільтрації й завантаження даних параметрів на сервер контентної фільтрації.

Право на роботу із програмою Traffic Monitor Security Administrator надається Адміністраторові інформаційної безпеки.

У процесі роботи Адміністратор інформаційної безпеки вирішує наступні завдання:


  • створення бази профілів і бази контентного аналізу;

  • підтримка зазначених баз в актуальному стані;

  • завантаження бази профілів і бази контентного аналізу на сервер контентной фільтрації.

Перед тим як приступитися до настроювання сервера контентной фільтрації, ознайомтеся із принципами його роботи. Звернете особливу увагу на опис дій, виконуваних сервером контентной фільтрації, і на порядок застосування профілів і правил фільтрації, вивчите зразки профілів, що поставляються із сервером контентной фільтрації.

3.2.6 База профілів


Фільтрація листів сервером контентної фільтрації виконується на підставі правил фільтрації. Правила фільтрації поєднуються в профілі. Набір профілів, створених у рамках певної конфігурації сервера контентної фільтрації, становить базу профілів.

Профілі можуть бути як загальними, так і персональними. Активність і порядок застосування профілів задаються в довільному порядку. Кожний профіль складається з упорядкованого списку правил фільтрації. Правило фільтрації являє собою набір умов і дій.

Процес створення бази профілів полягає в послідовному виконанні наступних операцій:


  1. Складання списків адрес, які будуть використані при створенні персональних профілів, а також при складанні правил фільтрації.

  2. Поповнення довідника статусів, які можуть бути привласнені листу, у ході обробки.

  3. Створення загальних і персональних профілів фільтрації.

  4. Складання правил фільтрації для кожного профілю.

Таким чином, до листа, що попадає під дію конкретного профілю, послідовно застосовується ряд правил фільтрації. Спочатку перевіряється відповідність листа заданим умовам. Перевірка ведеться в порядку проходження й з урахуванням активності умов (умови в неактивному стані ігноруються). Якщо хоча б одна умова не виконується, то дія даного правила фільтрації припиняється. У випадку якщо лист задовольняє всім зазначеним умовам, до листа застосовується ряд дій, зазначених у даному правилі фільтрації. Причому виконуються тільки дії, що перебувають в активному стані.

Правила фільтрації створюються в рамках конкретного профілю. Для того щоб створити правило фільтрації, потрібно виконати наступну послідовність дій:



  1. Додати нове правило фільтрації в один з існуючих профілів. На даному кроці також настроюються загальні параметри правила фільтрації такі, як ім'я правила, активність, порядок застосування й т.п.

  2. Скласти списки умов і дій для правила фільтрації.

Правило фільтрації складається із двох частин:

  • списку умов, на відповідність яким перевіряється лист у ході фільтрації;

  • списку дій, які виконуються, якщо перевіряється письмо, що, задовольняє всім заданим умовам.

У процесі настроювання правила фільтрації Адміністратор інформаційної безпеки створює умови й дії, які будуть виконуватися в рамках даного правила.

Крім того, Адміністратор інформаційної безпеки може виконувати наступні операції:



  • редагувати умови й дії, задані в правилі фільтрації, у тому числі змінювати активність і порядок застосування умов і дій;

  • видаляти умови й дії.

3.2.7 Робота з Traffic Monitor Security Officer


Листи, у яких сервером контентної фільтрації були знайдені ознаки порушення корпоративної політики безпеки, відображаються в програмі Traffic Monitor Security Officer. Право на роботу із програмою надається Офіцерові безпеки. У процесі роботи Офіцер безпеки вирішує наступні завдання:

  • аналіз листів, затриманих сервером контентної фільтрації;

  • ухвалення рішення про подальші дії із затриманими листами.

За результатами аналізу Офіцер безпеки робить висновок, чи дійсно лист містить ознаки конфіденційної інформації або мало місце помилкове спрацьовування сервера контентної фільтрації. Залежно від винесеного вердикту Офіцер безпеки може виконувати різні дії:

  • становити та відправляти рапорти особам, відповідальним за ухвалення остаточного рішення про дії, які варто почати стосовно листів, що порушують корпоративну політику безпеки;

  • видавати дозвіл на доставку листа зазначеним адресатам при виявленні помилкового спрацьовування сервера контентной фільтрації.

Крім того, Офіцер безпеки може:

  • вивантажувати листа з бази даних на жорсткий диск, у мережну папку або на змінні носії інформації;
    Носі́й інформа́ції (data medium) - матеріальний об'єкт , створений природою або ж навмисно людиною, за допомогою якого можна зберігати і передавати інформацію


  • видаляти листи з бази даних.

3.2.8. Робота з Traffic Monitor DB Administrator


Програма Traffic Monitor DB Administrator призначена для виконання завдань адміністрування системи. Право на доступ до даної програми надається адміністраторові сховища. Адміністратор сховища може виконувати наступні завдання:

  • управляти обліковими записами користувачів;

  • набудовувати ротацію сегментів.

Крім того, Адміністратор сховища має можливість переглядати статистичні дані по обробці листів і обсягу зайнятого простору в БД, контролювати вхід користувачів у систему.

Всі облікові записи створюються, редагуються та видаляються Адміністратором сховища. Адміністратор сховища контролює стан облікових записів і при необхідності може заблокувати обліковий запис користувача. Крім того, якщо в СУБД Oracle включений аудит входу користувачів у систему, то Адміністратор сховища може переглядати дані журналу аудита через інтерфейс програми Traffic Monitor DB Administrator.

Настроювання ротації сегментів здійснюється Адміністратором сховища з метою побудови безперервного циклу прийому й обробки листів. Всі листи надходять у сегмент даних, де потім обробляються для подальшого використання. Сегмент даних - це логічна частина БД. У кожний момент часу над сегментом даних можна робити тільки одну операцію: або прийом нових листів, або переіндексацію отриманих листів.

Момент часу - точка на часовій осі. Про події, що відповідають одному моменту часу, говорять як про одночасні.
Адміністратор сховища задає періодичність, з якої виконується ротація сегментів.

3.2.10 Робота з Traffic Monitor Analyser


Програма Traffic Monitor Analyser призначена для аналізу листів, що зберігаються в базі даних. Право на доступ до програми надається Аналітикові. У процесі роботи Аналітик виконує наступні завдання:

  • пошук листів по реквізитах і контексту;

  • перегляд і збереження листів.

Крім того Аналітик може виконувати вибіркове видалення листів з бази даних.

Для пошуку листів у програмі передбачені функції роботи з пошуковими запитами: створення нового пошукового запиту, редагування та видалення існуючих пошукових запитів. Пошук листів може здійснюватися як по реквізитах листів, так і по контексту. Крім того, в Traffic Monitor Analyser передбачена можливість комбінування декількох умов пошуку шляхом використання логічних операторів AND і OR. Наприклад, можна об'єднати умови реквізитного та контекстного пошуку в одному пошуковому запиті.

Другим важливим завданням програми Traffic Monitor Analyser є забезпечення можливості перегляду та збереження знайдених листів. Функції вивантаження призначені для запису листів на жорсткий диск, у мережну папку або на змінний носій. Ви можете вивантажувати як окремі листи, так і весь список відразу. Також передбачена можливість вивантаження вкладення окремо від листа.

3.2.11 Робота з Traffic Monitor Eraser


Програма Traffic Monitor Eraser призначена для очищення бази даних від тих листів, подальше зберігання яких у базі даних не потрібно.

Після обробки сервером поштової фільтрації всі листи зберігаються в базу даних. Виключення становлять ті листи, для яких за умовами фільтрації виконується дія Не зберігати в базу даних. Таким чином, обсяг бази даних постійно збільшується. Зменшити обсяг і тим самим звільнити місце на жорсткому диску можна шляхом видалення тих листів, подальше зберігання яких у базі даних не потрібно.

У програмі Traffic Monitor Eraser відображаються тільки ті листи, які вже оброблені сервісом Deferred processor.

Працювати із програмою Traffic Monitor Eraser може користувач, якому призначена роль Чистильник. У процесі роботи Чистильник може переглядати відомості тільки про основні заголовки листа та не має доступу до інформації про наявність вкладень, змісті тіла листа та вкладень. Основною функцією Чистильника є видалення листів з бази даних.


3.2.12 Утиліта архівування


Утиліта архівування призначена для створення архіву листів шляхом експорту листів з бази даних у зазначене місце (з можливістю наступного відновлення створеного архіву листів).

Утиліта архівування є компонентом сервера поштової фільтрації. Шлях до утиліти архівування:

usr/local/infowatch/mm2/bin/iw_impexp

Роботу з утилітою архівування може виконувати користувач, якому призначені права власника схеми бази даних.

Утиліта архівування не має графічного користувальницького інтерфейсу. Вся робота виконується за допомогою команд.

Основні функції утиліти архівування:



  • Створення архіву листів шляхом експорту заданого інтервалу записів за межі бази даних. Архівування може здійснюватися як з видаленням, так і без видалення листів з бази даних.

  • Відновлення архіву листів шляхом імпорту заданого інтервалу записів у базу даних.

  • Виконання переіндексації після видалення листів з бази даних або додавання листів у базу даних.

1   ...   10   11   12   13   14   15   16   17   18



  • 3.2.1 Склад Traffic Monitor
  • 3.2.1.1. Traffic Monitor Server
  • 3.2.1.2 Traffic Monitor ISA Server Plugin
  • 3.2.1.3 Traffic Monitor Security Administrator
  • 3. 2.1.4. Traffic
  • 3. 2.1.5. Traffic
  • 3. 2.1.6. Traffic
  • 3. 2.1.7. Traffic
  • 3.2.2 Принципи фільтрації
  • 3.2.3 Фільтрація Web-пошти
  • 3.2.4 Профілі фільтрації
  • 3.2.5 Робота з Traffic Monitor Security Administrator
  • 3.2.6 База профілів
  • 3.2.7 Робота з Traffic Monitor Security Officer
  • 3.2.8. Робота з Traffic Monitor DB Administrator
  • 3. 2.10 Робота з Traffic Monitor Analyser
  • 3.2.11 Робота з Traffic Monitor Eraser
  • 3.2.12 Утиліта архівування