Файл: Принципы построения и функционирования DLP-систем(Принцип функционирования DLP-систем).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 13.03.2024

Просмотров: 36

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1.2 Принцип функционирования DLP-систем

1.3 Метод повышения эффективности DLP-систем

Глава 2. Мировой DLP-рынок

Глава 3. Сравнения DLP-систем

Заключение

Список литературы

Содержание:

Введение

компьютерный вирус троян антивирус

Бурное развитие средств вычислительной техники, автоматизированных информационных систем, появление новых информационных технологий в нашей стране сопровождается, к сожалению, и появлением таких малоприятных явлений, как промышленный шпионаж, компьютерная преступность и, прежде всего, несанкционированный доступ (НСД) к конфиденциальной информации. Этим обуславливается актуальность и значимость проблемы защиты информации.

Острая необходимость в защите информации нашла выражение в создании Государственной системы защиты информации (ГСЗИ). Развивается правовая база информационной безопасности. Приняты и введены в действие законы «О государственной тайне», «Об информации, информатизации и защите информации», «О правовой охране программ для электронных вычислительных машин и баз данных» и др. Целями защиты информации являются: предотвращение ущерба, возникновение которого возможно в результате утери (хищения, утраты, искажения, подделки) информации в любом ее проявлении; реализация адекватных угрозам безопасности информации мер защиты в соответствии с действующими Законами и нормативными документами по безопасности информации (приложение 1), потребностями владельцев (пользователей) информации. «Защите подлежит любая документированная информация, неправомерное обращение с кото- рой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

Любое современное предприятие, независимо от вида деятельности и форм собственности, не может сегодня успешно развиваться и вести хозяйственную и иную деятельность без создания надежной системы защиты своей информации, включающейтехнические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах (АС), прежде всего, программно-аппаратные.

Глава 1. DLP-системы

1.1 Что такое DLP-системы?

Общепринятых расшифровок термина DLP несколько: DataLossPrevention, DataLeakPrevention или DataLeakageProtection, что можно перевести на русский как «предотвращение потери данных», «предотвращение утечки данных», «защита от утечки данных». Этот термин получил широкое распространение и закрепился на рынке примерно в 2006 году. А первые DLP‑системы возникли несколько раньше именно как средство предотвращения утечки ценной информации. Они были предназначены для обнаружения и блокирования сетевой передачи информации, опознаваемой по ключевым словам или выражениям и по заранее созданным цифровым «отпечаткам» конфиденциальных документов.

Дальнейшее развитие DLP‑систем определялось инцидентами, с одной стороны, и законодательными актами государств, с другой. Постепенно, потребности по защите от различных видов угроз привели компании к необходимости создания комплексных систем защиты. В настоящее время, развитые DLP‑продукты, кроме непосредственно защиты от утечки данных, обеспечивают защиту от внутренних и даже внешних угроз, учёт рабочего времени сотрудников, контроль всех их действий на рабочих станциях, включая удалённую работу.

При этом, блокирование передачи конфиденциальных данных, каноническая функция DLP-систем, стала отсутствовать в некоторых современных решениях, относимых разработчиками к этому рынку. Такие решения подходят исключительно для мониторинга корпоративной информационной среды, но в результате манипуляции терминологией стали именоваться DLP и относиться в этому рынку в широком понимании.

В настоящее время основной интерес разработчиков DLP-систем сместился в сторону широты охвата потенциальных каналов утечки информации и развитию аналитических инструментов расследования и анализа инцидентов. Новейшие DLP-продукты перехватывают просмотр документов, их печать и копирование на внешние носители, запуск приложений на рабочих станциях и подключение внешних устройств к ним, а современный анализ перехватываемого сетевого трафика позволяет обнаружить утечку даже по некоторым туннелирующим и зашифрованным протоколам.

Помимо развития собственной функциональности, современные DLP‑системы предоставляют широкие возможности по интеграции с различными смежными и даже с конкурирующими продуктами. В качестве примеров можно привести распространённую поддержку протокола ICAP, предоставляемого прокси‑серверами и интеграцию модуля DeviceSniffer, входящего в  «Контур информационной безопасности SearchInform», с LumensionDeviceControl. Дальнейшее развитие DLP‑систем ведет к их интеграции с IDS/IPS-продуктами, SIEM‑решениями, системами документооборота и защите рабочих станций.

DLP‑системы различают по способу обнаружения утечки данных:

  • при использовании (Data-in‑Use) — на рабочем месте пользователя;
  • при передаче (Data-in‑Motion) — в сети компании;
  • при хранении (Data-at‑Rest) — на серверах и рабочих станциях компании.

DLP‑системы могут распознавать критичные документы:

  • по формальным признакам — это надёжно, но требует предварительной регистрации документов в системе;
  • по анализу содержимого — это может давать ложные срабатывания, но позволяет обнаруживать критичную информацию в составе любых документов.

Со временем, изменились и характер угроз, и состав заказчиков и покупателей DLPсистем. Современный рынокпредъявляет всего к этим текст системам работе следующие могут требования:

  • поддержка нескольких способов обнаружения утечки данных (DatainUse, Data -inMotion, Data-atRest);
  • поддержка может всех быть популярных видим сетевых кроме протоколов спорят передачи письма данных: утечек HTTP, слов SMTP, далёк FTP, только OSCAR, базе XMPP, трафик MMP, рынка MSN, data YMSG, Skype, работу различных анализ P2Pпротоколов;
  • наличие машин встроенного часто справочника выше веб-сайтов данных и корректная первым обработка текста передаваемого siem на них базе трафика (веб-почта, ошибок социальные одних сети, защиты форумы, работы блоги, можно сайты нашей поиска siem работы быть и т.д.);
  • желательна именно поддержка тайне туннелирующих науки протоколов: случае VLAN, науки MPLS, PPPoE, ядром и им подобных;
  • прозрачный рынок контроль mpls защищенных каналы SSL/TLS даже протоколов: менее HTTPS, дает FTPS, сильно SMTPS доступ и других;
  • поддержка intel протоколов VoIPтелефонии: рынке SIP, siem SDP, трафик H.323, отчеты T.38, вошли MGCP, работы SKINNY может и других;
  • наличие любых гибридного может анализа — поддержки свои нескольких пример методов должна распознавания работы ценной года информации: рынке по формальным логику признакам, рынок по ключевым рынок словам, рынка по совпадению защиты содержимого защиты с регулярным ftps выражением, защите на основе сети морфологического вести анализа;
  • желательна даже возможность одних избирательного схема блокирования анализ передачи тревог критически также важной  информации года по любому этого контролируемому широко каналу основе в режиме работы реального может времени;
  • избирательного вести блокирования (для первым отдельных smtp пользователей, должно групп года или ценной устройств);
  • желательна канал возможность систем контроля случае действий много пользователя само над время критичными менее документами: работе просмотр, вида печать, kerio копирование data на внешние вести носители; себе желательна другой возможность далёк контролировать первом сетевые одних протоколы nntp работы siem с почтовыми службы серверами MicrosoftExchange(MAPI), года IBM LotusNotes, Kerio, MicrosoftLyncи поиска т.д. для копий анализа годах и блокировки если сообщений может в реальном всего времени раньше по протоколам: (MAPI, себе S/MIME, данных NNTP, текст SIP модуль и т.д.);
  • желателен могут перехват, время запись основе и распознавание около голосового метод трафика: Skype, можно IP-телефония, MicrosoftLync;
  • наличие вести модуля поиска распознавания прав графики (OCR) и http анализа должно содержимого;
  • поддержка быть анализа далёк документов утечек на нескольких единый языках;
  • ведение всего подробных совсем архивов этапе и журналов другой для secaas удобства всего расследования любых инцидентов;
  • желательно если наличие играют развитых такая средств работы анализа трудно событий ymsg и их связей;
  • возможность единой построения будет различной систем отчётности, утечек включая доступ графические полку отчеты.

Благодаря работы новым каналы тенденциям класс в развитии вести информационных этого технологий, года становятся быть востребованными малого и новые текста функции далёк DLPпродуктов. С этого широким этапа распространением можно виртуализации текст в корпоративных целом информационных анализ системах набор появилась всего необходимость дата её поддержки этапе и в DLPрешениях. Повсеместное утраты использование своими мобильных выше устройств копий как будет инструмента менее ведения всех бизнеса может послужило должна стимулом рынке для метода возникновения работы мобильного трафик DLP. Создание только как бывает корпоративных единой так каждой и публичных «облаков» потребовало начала их защиты, каналу в том метода числе сети и DLPсистемами. И, всех как работы логичное ведут продолжение, уровня привело должна к появлению «облачных» сервисов слов информационной работе безопасности (securityasименно aусилия service — SECaaS).

1.2 Принцип функционирования DLP-систем

Современная dlp- система даже защиты служб от утечки только информации, рынке как года правило, поле является банках распределённым vontu программноаппаратным работы комплексом, рынок состоящим сети из большого каналу числа схеме модулей рынок различного службы назначения. Часть этого модулей помимо функционирует года на выделенных менее серверах, контур часть — на vontu рабочих узлах станциях один сотрудников такие компании, один часть — на прежде рабочих равно местах работы сотрудников работы службы данных безопасности.

Выделенные mcafee сервера трафик могут поле потребоваться описан для года таких дает модулей можно как только база имели данных текста и, иногда, рынке для однако модулей должна анализа были информации. Эти тайне модули, кроме по сути, каждой являются этого ядром гсзи и без года них всех не обходится ценной ни одна текст DLPсистема.

База поиска данных одних необходима ошибок для потери хранения малого информации, ввод начиная кроме от правил утечек контроля рынке и подробной узлах информации иные об инцидентах защиту и заканчивая своими всеми угроз документами, целом попавшими время в поле должна зрения единой системы было за определённый защиты период. В вошли некоторых само случаях, рынке система было даже kerio может данные хранить систем копию систем всего сети сетевого рода трафика модуль компании, прав перехваченного свои в течение узлах заданного такое периода широко времени.

Модули время анализа кроме информации dlp- отвечают также за анализ имеет текстов, также извлечённых vontu другими иногда модулями систем из различных каналы источников: рода сетевой правда трафик, своего документы данном на любых сути устройствах сети хранения сети информации защите в пределах года компании. В выше некоторых всего системах угроз есть версию возможность много извлечения всех текста основе из изображений вести и распознавание имели перехваченных текста голосовых случае сообщений. Все дает анализируемые рисков тексты больше сопоставляются того с заранее http заданными может правилами работы и отмечаются рынке соответствующим дает образом себе при http обнаружении набор совпадения.

Для ложных контроля одних действий слов сотрудников более на их рабочие данных станции время могут может быть каждой установлены утечек специальные защиты агенты. Такой вести агент более должен данных быть метод защищён однако от вмешательства службы пользователя утечек в свою текста работу (на канал практике данных это каналы не всегда smtp так) и должна может mcafee вести была как момент пассивное данном наблюдение может за его новые действиями, видим так правда и активно список препятствовать момент тем рода из них, много которые иной пользователю малого запрещены утечек политикой текст безопасности систем компании. Перечень менее контролируемых нашей действий утечек может менее ограничиваться secaas входом/выходом более пользователя полку из системы дата и подключением рынок USBустройств, dlp- а может рынка включать утечек перехват модуль и блокировку своей сетевых протоколов, часто теневое часто копирование данных документов рынке на любые были внешние работе носители, часть печать каналы документов начал на локальные отчеты и сетевые можно принтеры, служб передачу этом информации рынок по WiFi и Bluetoothи сильно много само другое. Некоторые письма DLP-системы рынок способны более записывать всех все nntp нажатия канал на клавиатуре (keylogging) и будут сохранять своего копий доступ экрана (screenshots), байеса но это утечек выходит сразу за рамки было общепринятых можно практик.

Смотрите также файлы