Сравнительный анализ DLP-систем, их функциональные возможности
Необходимость защиты информации от внутренних угроз. Системы предотвращения утечки данных. Обнаружение и блокирование сетевой передачи информации. Основные способы распознавания конфиденциальной информации в DLP-системах. Современные DLP-системы.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 30.06.2016 |
Размер файла | 54,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Содержание
- Введение
- § 1. Системы предотвращения утечки данных
- § 2. Этапы развития Dlp систем
- § 3. Современные DLP системы
- 3.1 Сравнение DLP-систем
- Заключение
- Список использованных источников
Введение
В современном мире появляется все больше устройств обработки, передачи и хранения данных. С одной стороны это позволяет сотрудникам компаний быть мобильными и решать задачи компании вне зависимости от своего место положения. С другой стороны, растёт риск утечки конфиденциальной информации, и крайне сложно отследить передвижение важных для компании данных.
Информация - это активы, как и другие активы, имеет определенную ценность для учреждения и нуждается в соответствующей защите. Это особенно важно в условиях бизнеса.
Информационная безопасность - предполагает защиту информации от несанкционированного доступа. Информационная безопасность достигается путём внедрения совокупности необходимых средств защиты, в число которых могут входить политики, процессы, процедуры, рекомендации, инструкции и функции программного обеспечения и оборудования. После определения требований к безопасности необходимо выбрать и внедрить средства, которые помогут снизить риск до приемлемого уровня.
Информационная защита - зашита информации, от широкого диапазона угроз (потери, утечки данных вовне и т.д.).
Какие данные отнести к конфиденциальной информации каждая компания решает самостоятельно. На законодательном уровне существует чёткая классификация видов конфиденциальной информации:
· персональные данные - номера паспортов, кредитных карт, страховок, ИНН, водительских удостоверений, номер телефона, адрес проживания, информация о доходе, кредитных обязательствах и т.д.
· корпоративные данные - информация о финансовом состоянии и т.д.
· интеллектуальная собственность - информация о новых разработках, конструкторская документация и т.д.
Объект исследования: DLP-системы.
Предмет исследования: достоинства и недостатки DLP-систем.
Цель исследования: провести сравнительный анализ DLP-систем, исследовать функциональные возможности DLP-систем, дать рекомендации по выбору DLP-системы.
Структура работы: работа состоит из введения, основной части, которая состоит из 3 параграфов, заключения, списка использованных источников.
защита информация утечка сетевая
§ 1. Системы предотвращения утечки данных
Необходимость защиты информации от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально внешние угрозы считались более опасными. В последние годы на внутренние угрозы стали обращать больше внимания, и популярность DLP систем возросла. Общепринятых расшифровок термина DLP несколько:
· Data Loss Prevention - "предотвращение потери данных"
· Data Leak Prevention - "предотвращение утечки данных"
· Data Leakage Protection - "защита от утечки данных".
Первые DLP системы возникли как средство предотвращения утечки ценной информации. Они были предназначены для обнаружения и блокирования сетевой передачи информации.
Основной задачей DLP-систем, что очевидно, является предотвращение передачи конфиденциальной информации за пределы информационной системы. Такая передача (утечка) может быть намеренной или ненамеренной. Большая часть ставших известными утечек (порядка 3/4) происходит не по злому умыслу, а из-за ошибок, невнимательности, безалаберности, небрежности работников. Выявлять подобные утечки проще. Остальная часть связана со злым умыслом операторов и пользователей информационных систем. Кроме основной перед DLP-системой могут стоять и вторичные (побочные) задачи. Они таковы:
архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.);
предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
предотвращение использования работниками казённых информационных ресурсов в личных целях;
оптимизация загрузки каналов, экономия трафика;
контроль присутствия работников на рабочем месте;
отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.
Практический во всех странах охраняется законом право на тайну частной жизни. Использование DLP-систем может противоречить местным законом в некоторых режимах или требовать особого оформления отношений между работниками и работодателем. Поэтому при внедрении DLP-системы необходимо привлекать юриста на самом раннем этапе проектирования.
В настоящее время основной интерес разработчиков DLP-систем сместился в сторону широты охвата потенциальных каналов утечки информации и развитию аналитических инструментов расследования и анализа инцидентов. Новейшие DLP-продукты перехватывают просмотр документов, их печать и копирование на внешние носители, запуск приложений на рабочих станциях и подключение внешних устройств к ним, а современный анализ перехватываемого сетевого трафика позволяет обнаружить утечку даже по некоторым туннелирующим и зашифрованным протоколам.
Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок первого рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки второго рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.
DLP системы различают по способу обнаружения утечки данных:
при использовании (Data-in Use) - на рабочем месте пользователя;
при передаче (Data-in Motion) - в сети компании;
при хранении (Data-at Rest) - на серверах и рабочих станциях компании.
В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, печать документов на локальные и сетевые принтеры, передачу информации по Wi Fi и Bluetooth инсталляцию программ для туннелирования, и другие возможные методы для обхода контроля и много другое. Некоторые DLP-системы способны записывать все нажатия на клавиатуре (key logging) и сохранять копий экрана (screen shots).
Современная система защиты от утечки информации, как правило, является распределённым программно-аппаратным комплексом, состоящим из большого числа модулей различного назначения. Часть модулей функционирует на выделенных серверах, часть - на рабочих станциях сотрудников компании, часть - на рабочих местах сотрудников службы безопасности.
Выделенные сервера могут потребоваться для таких модулей как база данных и, иногда, для модулей анализа информации. Эти модули, по сути, являются ядром и без них не обходится ни одна DLP система.
База данных необходима для хранения информации, начиная от правил контроля и подробной информации об инцидентах и заканчивая всеми документами, попавшими в поле зрения системы за определённый период. В некоторых случаях, система даже может хранить копию всего сетевого трафика компании, перехваченного в течение заданного периода времени.
Обычно, в составе DLP-системы присутствует модуль управления, предназначенный для мониторинга работы системы и её администрирования. Этот модуль позволяет следить за работоспособностью всех других модулей системы и производить их настройку.
Модули анализа информации отвечают за анализ текстов, извлечённых другими модулями из различных источников: сетевой трафик, документы на любых устройствах хранения информации в пределах компании. В некоторых системах есть возможность извлечения текста из изображений и распознавание перехваченных голосовых сообщений. Все анализируемые тексты сопоставляются с заранее заданными правилами и отмечаются соответствующим образом при обнаружении совпадения.
Для удобства работы аналитика службы безопасности в DLP-системе может быть отдельный модуль, позволяющий настраивать политику безопасности компании, отслеживать её нарушения, проводить их детальное расследование и формировать необходимую отчётность. Как ни странно, при прочих равных именно возможности анализа инцидентов, проведения полноценного расследования и отчетность выходят на первый план по важности в современной DLP-системе.
Таким образом, необходимость защиты информации от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности.
Основной задачей DLP-систем является предотвращение передачи конфиденциальной информации за пределы информационной системы. Кроме основной задачи DLP-системы могут решать и вторичные (побочные) задачи.
§ 2. Этапы развития Dlp систем
Рынок DLP систем начал формироваться уже в этом веке. само понятие "DLP" распространилось примерно в 2006 году. Наибольшее число компаний, создававших DLP системы, возникло в США. Там был наибольший спрос на эти решения и благоприятная обстановка для создания и развития такого бизнеса.
Почти все компании, начинавшие создание DLP-систем и добившиеся в этом заметных успехов, были куплены или поглощены, а их продукты и технологии интегрированы в более крупные информационные системы. Например, Symantec приобрела компанию Vontu (2007), Websense - компанию PortAuthority Technologies Inc. (2007), EMC Corp. приобрела компанию RSA Security (2006), а McAfee поглотила целый ряд компаний: Onigma (2006), SafeBoot Holding B. V. (2007), Reconnex (2008), TrustDigital (2010), tenCube (2010).
В настоящее время, ведущими мировыми производителями DLP систем являются: Symantec Corp., RSA (подразделение EMC Corp.), Verdasys Inc, Websense Inc. (в 2013 куплена частной компанией Vista Equity Partners), McAfee (в 2011 куплена компанией Intel). Заметную роль на рынке играют компании Fidelis Cybersecurity Solutions (в 2012 куплена компанией General Dynamics), CA Technologies и GTB Technologies
Со временем, изменились и характер угроз, и состав заказчиков и покупателей DLP-систем. Современный рынок предъявляет к этим системам следующие требования:
поддержка нескольких способов обнаружения утечки данных (Data in Use, Data - in Motion, Data-at Rest);
поддержка всех популярных сетевых протоколов передачи данных: HTTP, SMTP, FTP, OSCAR, XMPP, MMP, MSN, YMSG, Skype, различных P2P протоколов;
наличие встроенного справочника веб-сайтов и корректная обработка передаваемого на них трафика (веб-почта, социальные сети, форумы, блоги, сайты поиска работы и т.д.);
желательна поддержка туннелирующих протоколов: VLAN, MPLS, PPPoE, и им подобных;
прозрачный контроль защищенных SSL/TLS протоколов: HTTPS, FTPS, SMTPS и других;
поддержка протоколов VoIP телефонии: SIP, SDP, H.323, T.38, MGCP, SKINNY и других;
наличие гибридного анализа - поддержки нескольких методов распознавания ценной информации: по формальным признакам, по ключевым словам, по совпадению содержимого с регулярным выражением, на основе морфологического анализа;
желательна возможность избирательного блокирования передачи критически важной информации по любому контролируемому каналу в режиме реального времени; избирательного блокирования (для отдельных пользователей, групп или устройств);
желательна возможность контроля действий пользователя над критичными документами: просмотр, печать, копирование на внешние носители;
желательна возможность контролировать сетевые протоколы работы с почтовыми серверами Microsoft Exchange (MAPI), IBM Lotus Notes, Kerio, Microsoft Lync и т.д. для анализа и блокировки сообщений в реальном времени по протоколам: (MAPI, S/MIME, NNTP, SIP и т.д.);
желателен перехват, запись и распознавание голосового трафика: Skype, IP-телефония, Microsoft Lync;
наличие модуля распознавания графики (OCR) и анализа содержимого;
поддержка анализа документов на нескольких языках;
ведение подробных архивов и журналов для удобства расследования инцидентов;
желательно наличие развитых средств анализа событий и их связей;
возможность построения различной отчётности, включая графические отчеты.
Благодаря новым тенденциям в развитии информационных технологий, становятся востребованными и новые функции DLP продуктов. С широким распространением виртуализации в корпоративных информационных системах появилась необходимость её поддержки и в DLP решениях. Повсеместное использование мобильных устройств как инструмента ведения бизнеса послужило стимулом для возникновения мобильного DLP. Создание как корпоративных, так и публичных "облаков" потребовало их защиты, в том числе и DLP системами. И, как логичное продолжение, привело к появлению "облачных" сервисов информационной безопасности.
Таким образом рынок DLP-систем начал формироваться уже в этом веке. само понятие "DLP" распространилось примерно в 2006 году. Наибольшее число компаний, создававших DLP системы, возникло в США.
Одной из компаний лидеров производителей DLP-систем из зарубежных компаний является Symantec Corp., на российском рынке популярны продукты отечественных разработчиков DLP-систем: SearchInform, InfoWatch EndPoint Security, Solar Dozor.
§ 3. Современные DLP системы
SearchInform
"Контур информационной безопасности SearchInform" - одно из наиболее совершенных решений по контролю над информационными потоками предприятия на всех уровнях. Продукт имеет модульную структуру, то есть заказчик может по своему выбору установить только часть компонентов. В число модулей контура входят:
SearchInform NetworkSniffer - платформа для перехвата данных на уровне зеркалируемого трафика. Включает в себя следующие продукты:
SearchInform MailSniffer - позволяет перехватывать всю входящую и исходящую электронную почту, включая передаваемую и получаемую через почтовые Web-сервисы;
SearchInform IMSniffer - позволяет перехватывать сообщения интернет-пейджеров (ICQ, QIP, MSN, JABBER), а также отслеживать общение в популярных социальных сетях (Одноклассники, LinkedIn, Facebook и т.д.);
SearchInform HTTPSniffer - позволяет перехватывать информацию, отправляемую на интернет-форумы, блоги и прочие web-сервисы;
SearchInform FTPSniffer - предназначен для перехвата документов, переданных и полученных по протоколу FTP.
SearchInform EndpointSniffer - агенты позволяют перехватывать, а также контролировать и отслеживать:
SearchInform NicrophoneSniffer - позволяет записывать разговоры, ведущиеся сотрудниками внутри офиса, либо в командировках;
SearchInform MobileSniffer - позволяет контролировать деятельность сотрудника, работающего с корпоративными мобильными устройствами на базе iOS;
SearchInform MonitorSniffer - информацию, отображаемую на мониторах пользователей;
SearchInform FileSniffer - операции с файлами, хранящимися на серверах и в общих сетевых папках;
SearchInform PrintSniffer - содержимое документов, отправленных на печать;
SearchInform FTPSniffer - информацию, передаваемую по протоколу FTP;
SearchInform HTTPSniffer - позволяет перехватывать информацию, отправляемую на интернет-форумы, блоги и прочие web-сервисы;
SearchInform DeviceSniffer - информацию, записываемую на различные внешние устройства (например, USB-флешки, CD/DVD диски);
SearchInform SkypeSniffer - голосовые и текстовые сообщения Skype;
SearchInform IMSniffer - сообщения интернет-пейджеров (ICQ, QIP, MSN, JABBER), а также отслеживать общение в популярных социальных сетях (Одноклассники, LinkedIn, Facebook и т.д.);
SearchInform MailSniffer - всю входящую и исходящую электронную почту, включая передаваемую и получаемую через почтовые Web-сервисы;
SearchInform EndpointSniffer - платформа для перехвата трафика через агенты на рабочих станциях и лэптопах работников. Позволяет контролировать сотрудника, находящегося за пределами корпоративной сети, передавая их для анализа отделу ИБ, как только лэптоп снова окажется в корпоративной сети;
SearchInform AlertCenter - "мозговой центр" всей системы безопасности. Опрашивает все модули и, при наличии в перехваченной информации определенных ключевых слов, фраз или фрагментов текста, немедленно оповещает об этом офицеров безопасности;
SearchInform ReportCenter - позволяет собирать статистику по активности пользователей и инцидентам, связанным с нарушениями политики безопасности, и представлять ее в виде отчетов;
SearchInform DataCenter - центр управления всеми индексами, созданными компонентами "Контура информационной безопасности SearchInform".
SolarDozor
Как классическая DLP-система SolarDozor решает задачи по мониторингу, фильтрации и анализу каждого сообщения на наличие конфиденциальной информации. Но при решении задач по выявлению корпоративного мошенничества применяется другой подход. Для этого SolarDozor осуществляет накопление переписки сотрудников, профилирование их действий и в режиме реального времени контроль появления косвенных, на первый взгляд незначительных, признаков противозаконных действий сотрудников, аномалий в их поведении. Эти механизмы позволяют проводить ретроспективный анализ и расследования по накопленным данным и переписке сотрудника на всем объеме коммуникаций сотрудника.
Проблемы, которые решает Solar Dozor:
Действия нелояльных сотрудников, сотрудников из групп риска (коммерческие отделы, отделы закупок, сотрудники, попадающие под сокращение, сотрудники на испытательном сроке), наносящих экономический ущерб организации;
Корпоративное мошенничество, противоправные действия, преднамеренный экономический ущерб от сотрудников;
Появление конфиденциальной и другой защищаемой информации и информационных активов у конкурентов или в публичных источниках;
Случайные и непреднамеренные утечки конфиденциальной информации;
Необходимость удовлетворения требований российского законодательства.
Основные возможности Solar Dozor
Программный комплекс Solar Dozor - это DLP-система, предназначенная для мониторинга, анализа и блокирования корпоративных коммуникаций сотрудников, включая проверку сообщений электронной почты, систем мгновенных сообщений, файлов и других данных.
SolarDozor собирает трафик двумя путями. Основным методом сбора информации является установка на шлюзе, подключение системы по SPAN/RSPAN или ICAP к прокси-серверу и сбор и анализ всего, что можно сделать на шлюзе.
Это сбор и анализ веб-почты, включая чтение входящий сообщений, сообщения из социальных сетей, форумов, сайтов поиска работы, передачи файлов по FTP/WebDav, и многое другое.
Второй вариант сбора трафика - это сбор трафика с протоколов, которые технически нельзя осуществить на шлюзе, это, например, Skype, перехват печати на принтер, контроль буфера обмера, контроль USB-устройств.
Преимущества системы хранения трафика комплекса SolarDozor:
· собственная система хранения и обработки данных, гибридное хранилище формата BigData: база данных + файловое хранилище - надежность хранения;
· неограниченный срок хранения данных;
· подтвержденная работа на действительно больших данных - срок хранения до 10 лет;
· наличие средств управления долгосрочным и оперативным хранением - большая возможная глубина расследований;
· масштабируемость системы хранения - подходит для компаний от 100 пользователей до ?;
Политика безопасности SolarDozor позволяет создать сколь угодно сложные сценарии для детектирования действительно нужной информации, позволяя, например, получить из 10 000 входящих сообщений 100, но действительно самых важных и требующих более пристального изучения сотрудниками безопасности.
Некоторые ключевые особенности:
Возможность мониторинга событий ИБ - сокращение объема первичной информации для обработки, фокусировка на важном;
Workflow - автоматизации работы сотрудников безопасности, возможность передачи "дел", инцидентов, контроль работы сотрудников со стороны руководителя. Работа с бизнес-подразделениями - реконструкция инцидентов, вырезание части информации из сообщений;
Подсветка срабатываний - экономия времени, возможность быстро понять на что сработали правила политики безопасности в сообщении;
Мониторинг состояния системы - любые ошибки или сомнения в работоспособности выводятся на экран. Ничего не будет пропущено. Снижение издержек эксплуатации и сервиса;
Условия по показателям - отправка уведомлений на e-mail администраторам, автоматические действия системы, прогнозы использования ресурсов;
Возможность тонкой настройки системы - такие технические параметры как: нагрузка на сеть, на CPU, распределение нагрузки на узлы;
Модульная структура комплекса - позволяет настраивать производительность, надежность и скорость работы в зависимости от имеющихся задач, оборудования и трафика. Проектирование отсутствия единой точки отказа.
InfoWatch EndPoint Security
Разграничение доступа сотрудников к важной информации
В процессе работы сотрудники активно пользуются съемными носителями, флешками, планшетами, смартфонами и другими коммуникационными устройствами - всё это несет серьезный риск того, что сотрудники скопируют и используют в личных целях важную для компании информацию. InfoWatch EndPoint Security обеспечивает контроль доступа к устройствам, портам, сетевым интерфейсам, сетевым каталогам и облачным хранилищам.
Продукт предлагает множество возможностей для управления правами доступа:
· по списку разрешенных классов носителей;
· по разрешенным моделям устройств (в таком случае разрешается доступ лишь к тем моделям устройств, которые находятся в разрешенном списке, доступ к остальным запрещен);
· по серийному номеру устройства (в таком случае разрешается доступ к устройствам с определенным серийным номером независимо от прав пользователя);
· по списку разрешенных беспроводных сетей (можно запретить доступ к Wi-Fi сетям, не входящим в список разрешенных).
Автоматический мониторинг нежелательных действий сотрудников
InfoWatch EndPoint Security позволяет вести журнал событий и выявлять нецелевые действия сотрудников в отношении с важной информацией.
В журнале событий InfoWatch EndPoint Security отображаются действия каждого сотрудника: кто и когда выполнял те или иные операции, используя съемные устройства, телефоны, Wi-Fi сети, сетевые папки, облачные хранилища (чтение, копирование, создание или удаление).
Функция теневого копирования позволяет получить доступ к журналируемым файлам прямо из консоли продукта.
Контроль информации во время ее копирования, хранения и использования в облачных хранилищах. Небольшие компании активно пользуются "облаками" для обмена и хранения данных, однако лишь малая доля таких компаний задумывается о защите информации, отправляемой в "облако".
InfoWatch EndPoint Security отслеживает все файлы, отправляемые сотрудниками в Dropbox, SkyDrive, GoogleDrive, ЯндексДиск, BoxSync, а также регулирует эти процессы, запрещая или разрешая перемещение документов по определенному типу и формату данных.
Возможности InfoWatch EndPoint Security позволяют обмениваться файлами через облачные хранилища и не беспокоиться о безопасности информации.
Защита информации от кражи при потере ноутбуков и флешек
Съемные носители и ноутбуки - наиболее уязвимое звено в корпоративной инфраструктуре компании, поскольку сотрудники их часто теряют или "забывают".
InfoWatch EndPoint Security предлагает простой и удобный способ защитить информацию, зашифровав данные. Включив функцию шифрования в InfoWatch EndPoint Security, можно значительно повысить безопасность хранимой информации:
· никто из посторонних людей не сможет прочитать данные;
· потеря или кража устройства не повлечет за собой утечку информации;
· все данные автоматически шифруются сразу при их создании, не мешая сотрудникам и не требуя дополнительных временных затрат (прозрачное шифрование).
Продукт может шифровать информацию на ноутбуках, ПК, внешних устройствах, каталогах облачных хранилищ.
Шифрование данных происходит в фоновом режиме и абсолютно прозрачно незаметно для сотрудников.
Шифрование в InfoWatch EndPoint Security может осуществляться как по инициативе сотрудника, так и в принудительном порядке системным администратором. С помощью функции мобильного шифрования InfoWatch EndPoint Security обеспечивает безопасную работу с данными, когда сотрудники находятся вне офиса.
InfoWatch EndPoint Security позволяет управлять запуском приложений и контролировать доступ к ним сотрудников с помощью разрешенного (белого) или запрещенного (черного) списков. Это гарантирует, что никакая запрещенная программа или файл не будут установлены или запущены в рабочее время на компьютере предприятия.
Система управления энергопитанием позволяет настроить возможность отключать неиспользуемые компьютеры по расписанию или заданным параметрам, понижать их энергопотребление при простое, а также классифицировать включение компьютеров во внерабочее время как инцидент.
Администратор может настроить регулярное безвозвратное уничтожение данных в корзине и временных директориях пользователей, а также дать им возможность безвозвратно удалять любые файлы и папки самостоятельно. Механизм предусматривает 5 возможных методов безвозвратного удаления информации, от наименее ресурсоемких, до самых надежных.
Отчеты позволяют просматривать журналы событий, назначения и изменения прав пользователей, использования внешних устройств, активности компьютеров, состояние самой системы, протоколы действий пользователей с внешними устройствами.
Symantec Data Loss Prevention
С расширением набора поддерживаемых приложений и устройств становится все сложнее обеспечивать последовательное выполнение требований и политик в области безопасности. Унифицированная консоль управления Symantec DLP позволяет повсеместно применять единожды созданные политики и быстро устранять последствия инцидентов на основе автоматизированных рабочих процессов. В состав Symantec DLP включены надежные средства подготовки отчетов, которые позволяют принимать более взвешенные решения по управлению рисками, демонстрируя преимущества DLP.
В состав Symantec Data Loss Prevention входят следующие модули:
Data Loss Prevention for Cloud
Для многих предприятий перенос локальных приложений в облако позволяет повысить гибкость и снизить затраты. Но как реализовать преимущества облачных технологий без потери наглядности и контроля? Symantec DLP for Cloud решает эту проблему путем добавления надежных функций поиска, мониторинга и предотвращения утечки данных для облачных хранилищ и электронной почты, включая Microsoft Office 365 и Box.
Data Loss Prevention for Endpoint
Несмотря на ускоренное внедрение мобильных и облачных технологий, традиционные конечные точки по-прежнему являются центральным репозиторием конфиденциальной корпоративной информации. Symantec DLP for Endpoint обеспечивает надежную защиту всей информации, предоставляя функции поиска, мониторинга и защиты данных на физических и виртуальных конечных точках для пользователей внутри корпоративной сети или за ее пределами.
Data Loss Prevention for Mobile
Идея BYOD (сотрудник организации вместо корпоративного компьютера использует для работы собственное устройство) стирает границы между работой и личной жизнью. Сегодня пользователи рассчитывают на круглосуточный доступ к конфиденциальным корпоративным данным независимо от используемого устройства или соединения. По статистике, двое из пяти сотрудников загружают рабочие файлы на свои смартфоны и планшеты. Symantec DLP for Mobile обеспечивает наглядное представление и контроль для мобильных пользователей, не подвергая риску вашу информацию.
Data Loss Prevention for Network
Согласно результатам исследований, примерно половина сотрудников постоянно пересылают рабочие файлы по электронной почте на личные учетные записи, поэтому неудивительно, что электронная почта и Интернет являются самыми распространенными каналами утечки данных. Symantec DLP for Network помогает решить эту, по сути, глобальную проблему с помощью функций мониторинга широкого спектра сетевых протоколов и предотвращения случаев неправильной обработки конфиденциальных данных как законными пользователями, так и посторонними лицами.
Data Loss Prevention for Storage
Объем неструктурированных данных растет с пугающей быстротой, увеличиваясь на 70 процентов каждый год, в результате многие организации испытывают трудности при управлении информацией и ее защите. Symantec DLP for Storage помогает получить контроль над всеми неструктурированными данными, чтобы исключить риски, связанные с небрежными действиями сотрудников или атаками злоумышленников.
3.1 Сравнение DLP-систем
В процессе выбора между тем или иным решением, неизбежно возникают вопросы. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе DLP-системы? Как выбрать наиболее подходящее решение для вашей компании?
Ответ на эти вопросы кроется в задачах, которые планируется решать с помощью DLP-системы. К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого.
Таблица 1. Общая информация
SearchInform |
InfoWatch EndPoint Security |
Solar Dozor |
Symantec Data Loss Prevention |
||
Сравниваемые версии |
Endpoint Sniffer 5.0.16.31, Network Sniffer 5.0.342.0, AlertCenter 4.0.57.4, SearchInformClient 4.5.9.85, DataCenter 2.0.0.4, ReportCenter 3.3.5.92 |
InfoWatch Traffic Monitor Enterprise 5.1 |
Дозор-Джет 5.01 |
Symantec Data Loss Prevention 12.0.1 |
|
Сертификаты |
ФСТЭК. Сертификат соответствия №2851 от 8.05.2013 г. ГСТЗИ Украины. Сертификат соответствия №448 от 21.06.2013 г. |
ФСТЭК. Сертификат соответствия НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, Экспертное заключение ОАЦ при Президенте Республики Беларусь |
ФСТЭК ОУД 3+ 1Г НДВ 4 и ИСПДн 1, Газпромсерт |
ФСТЭК. Сертификат соответствия № 2602 от 22.03.2012 ТУ+НДВ по 4 уровню контроля |
|
Сроки внедрения |
От 1 рабочего дня в зависимости от предварительной подготовки и количества рабочих станций |
От нескольких часов до 1 рабочей недели в зависимости от размера компании и решаемых клиентом задач |
От нескольких дней до 1 рабочей недели |
От 1 рабочего дня в зависимости от масштаба внедрения |
|
Интерфейс |
Русский, английский (опционально: Польский, Литовский, Латышский) |
Английский, Русский, Белорусский, Украинский |
Русский, Английский |
Русский, Английский, Японский, Китайский, Бразильский, Французский и другие |
|
Целевой сегмент |
Крупные корпоративные клиенты, средний и малый бизнес |
Крупные корпоративные клиенты, госсектор. Для SMB компаний решение InfoWatch Traffic Monitor Standard |
Крупные корпоративные клиенты, госсектор |
Малый бизнес, средний и крупный бизнес от 50 до более 100 тыс. рабочих мест |
Таблица 2. Режимы работы
SearchInform |
InfoWatch EndPoint Security |
Solar Dozor |
Symantec Data Loss Prevention |
||
Работа в режиме мониторинга |
Да |
Да |
Да |
Да |
|
Работа в режим блокировки |
Да |
Да |
Да |
Да |
|
Работа системы вне сети компании |
Да |
Да |
Да |
Да |
Таблица 3. Контроль пользователей
SearchInform |
InfoWatch EndPoint Security |
Solar Dozor |
Symantec Data Loss Prevention |
||
Снимки экрана |
Да |
Да |
Да, с возможностью выбора режима |
Нет, но можно отключить возможность делать снимки |
|
Просмотр рабочего стола в режиме реального времени |
Да |
Нет |
Нет |
Нет |
|
Запись звука через микрофон ноутбука или подключённую гарнитуру |
Да |
Нет |
Нет |
Нет |
|
Протоколирование времени работы в приложениях |
Да |
Нет |
Нет |
Нет |
|
Контроль запуска приложений |
Да |
Да |
Да |
Да |
Таблица 4. Поиск конфиденциальной информации в сети предприятия
SearchInform |
InfoWatch EndPoint Security |
Solar Dozor |
Symantec Data Loss Prevention |
||
Сканирование рабочих станций |
Да |
Да |
Да |
Да |
|
Сканирование общих сетевых хранилищ |
Да |
Да |
Да |
Да |
|
Сканирование хранилищ Microsoft SharePoint |
Да |
Да |
Да |
Да |
|
Создание теневых копий найденных конф. документов |
Да |
Да |
Да |
Да |
|
Запуск заданий вручную или по расписанию |
Вручную, по расписанию |
Вручную, по расписанию |
Вручную, по расписанию |
Вручную, по расписанию |
|
Удаление или перемещение конфиденциальных данных в карантин |
Нет |
Нет |
Нет |
Да |
|
Автоматическое определение первоначального владельца данных на основе заданных критериев |
Да, но только при ручном поиске |
Нет |
Нет |
Да |
Заключение
Как показывают опубликованные данные аналитического центра InfoWatch, специализирующейся на производстве и продаже систем DLP, 2014 год ознаменовался рядом крупнейших утечек персональных и платежных данных. Атака на инфраструктуру сети магазинов Target была самой громкой, но не единственной. В результате 14 "мега-утечек" были скомпрометированы более 683 млн записей - 89% от всего объема утекших персональных данных. Зафиксировано более 30 случаев, когда объем персональных данных, скомпрометированных в результате утечки, составил свыше 1 млн записей. Компании среднего размера заняли главенствующее положение в ряду "поставщиков" конфиденциальной информации. В этом аспекте особенно "отличились" образовательные и медицинские учреждения.
Системы DLP на сегодняшний день наиболее эффективный инструмент для защиты конфиденциальной информации, и актуальность данных решений будет со временем только увеличиваться. Согласно ч.1 ст. 19 ФЗ-№152 "Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" и пункту 11 Постановления РФ-№781 "при обработке персональных данных в информационной системе должно быть обеспечено проведение мероприятий, направленных на предотвращение … передачи их лицам, не имеющим права доступа к такой информации" необходимо выполнить требования, которые именно системы DLP в состоянии наиболее эффективно решить.
С учетом представленных статистических данных и требований правовых актов, понятно, что востребованность и актуальность систем DLP очень высока и не уменьшается с течением времени.
Таким образом при выборе DLP-системы нужно учитывать какие задачи ставятся перед DLP-системой, количество рабочих мест, стоимость системы. Согласно данным из таблицы 1, малому и среднему бизнесу можно рекомендовать такие системы как SearchInform Endpoint Sniffer 5.0.16.31, Symantec Data Loss Prevention 12.0.1, а для использования в крупных компаниях DLP-системы SearchInform Endpoint Sniffer 5.0.16.31, Network Sniffer 5.0.342.0, AlertCenter 4.0.57.4, SearchInformClient 4.5.9.85, DataCenter 2.0.0.4, ReportCenter 3.3.5.92, InfoWatch Traffic Monitor Enterprise 5.1, Дозор-Джет 5.01, Symantec Data Loss Prevention 12.0.1.
Список использованных источников
1. Лапшин В.А. Онтологии в компьютерных системах. - М.: Научный мир, 2010. - 224 с.
2. Черняк Л. Семантический анализ на службе // Журнал "Открытые системы". - 2010. - № 10. Актуальные проблемы безопасности информационных технологий: материалы.
3. Учебно-практическое пособие "Основы защиты информации в компьютере" В.М. Самсонов, Н. Новгород 2011. - 80с
4. Infowatch http://www.infowatch.ru/
5. Byte - онлайн-издание для IT-специалистов http://www.bytemag.ru/
6. Основы информационной безопасности http://www.intuit.ru/
7. Гарант Информационно-правовой портал http://base. garant.ru
8. Как работают DLP-системы: разбираемся в технологиях предотвращения утечки информации. http://www.xakep.ru/
9. Защита от утечек конфиденциальных данных Symantec DLP. http://computel.ru/decision/ssb/Symantec/
10. DLP-системы-выбор, сравнение, рекомендации http://www.anti-malware.ru/dlp.
Размещено на Allbest.ru
Подобные документы
Анализ подходов по защите от утечки конфиденциальной информации. Разработать программный модуль обнаружения текстовых областей в графических файлах для решения задач предотвращения утечки конфиденциальной информации. Иллюстрация штрихового фильтра.
дипломная работа [12,8 M], добавлен 28.08.2014Обработка информации, анализ каналов ее возможной утечки. Построение системы технической защиты информации: блокирование каналов несанкционированного доступа, нормативное регулирование. Защита конфиденциальной информации на АРМ на базе автономных ПЭВМ.
дипломная работа [398,5 K], добавлен 05.06.2011Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.
курс лекций [60,3 K], добавлен 31.10.2009Классификация каналов утечки информации, виды угроз. Основные принципы и средства обеспечения информационной безопасности. Методы предотвращения утечки, утраты, хищения, искажения, подделки информации и других несанкционированных негативных воздействий.
реферат [515,2 K], добавлен 03.04.2017Необходимость защиты информации. Виды угроз безопасности ИС. Основные направления аппаратной защиты, используемые в автоматизированных информационных технологиях. Криптографические преобразования: шифрование и кодирование. Прямые каналы утечки данных.
курсовая работа [72,1 K], добавлен 22.05.2015Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
курсовая работа [476,3 K], добавлен 19.05.2014Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Определение назначения и характеристика видов систем защиты информации. Описание структур систем по защите накапливаемой, обрабатываемой и хранимой информации, предупреждение и обнаружение угроз. Государственное регулирование защиты информационных сетей.
реферат [43,6 K], добавлен 22.05.2013