2020-04-12
296
Zgate — шлюзовое решение для контроля интернет трафика. У него есть три составляющих. Это сервер журналов и консоль управления. Если они были развернуты при настройке Zlock, то их можно уже не устанавливать. Третий модуль — сам сервер Zgate, который необходим для анализа трафика и является основной частью системы защиты.
Установка модуля обычная и не требует объяснений, а вот на чем стоит заострить внимание, так это на выборе режиме работы системы защиты. У Zgate есть два режима работы. Первый - это работа в роли прокси-сервера. В этом режиме он фильтрует весь трафик, выявляет конфиденциальную информацию и не выпускает ее из корпоративной сети. С другой стороны, Zgate может работать только с зеркалированным трафиком. Второй режим не может предотвращать утечки. Тогда система просто фиксирует инциденты.
Может показаться, что первый вариант является на сто процентов предпочтительным, так как, конечно, лучше сразу же предотвращать утечки конфиденциальной информации, чем просто фиксировать их. Но на самом деле работа в режиме прокси-сервера может помешать нормальному протеканию бизнес-процессов компании. Например, если на сервер высокая нагрузки или имеются какие-либо сбои DLP-системы, которая работает в режиме прокси-сервера, может прерваться доступ к интернету. Также контекстный анализ, использующийся для исследования трафика, часто носит вероятностный характер и есть риск того, что DLP-система заблокирует к передаче разрешенную информацию. Исходя из этого, как правило, во многих крупных компаниях шлюзовые DLP-решения работают только с зеркалированным трафиком.
Так как компания ООО ”Факт” не является крупной, был сделан выбор в пользу варианта с фильтрацией трафика. Исходя из этого, Zgate должен быть установлен как прокси-сервер между корпоративным почтовым сервером и интернетом. Таким образом, он будет обрабатывать всю как исходящую и входящую информацию. Фильтрация веб-трафика возможна на ICAP-совместимом прокси-сервере или на сервере Microsoft Forefront TMG.
В заключение процесса развертывания нашего DLP-решения необходимо выполнить его настройку — определить контролируемые протоколы и режимы работы, права доступа сотрудников, параметры архивирования информации и журналирования событий. Первоначально необходимо настроить работу с электронной почтой. Для этого нужно выбрать соответствующий режим работы системы (прокси-сервер, анализ зеркалированного трафика или плагин к Microsoft Exchange) и в зависимости от него настроить параметры приема и передачи сообщений.
Рисунок 2.9 Настройка режима контроля почты
Контроль веб-трафика настраивается отдельно по протоколам. Для каждого из них можно выбрать свой режим работы — зеркалирование или фильтрация. Контроль протоколов, которые вообще не нужно, можно отключить. Необходимо заострить внимание на раздел протоколов HTTP/HTTPS. При его включении нужно определить область контроля. Дело в том, что этими протоколами пользуются большинство сайтов и веб-сервисов. И мы имеем возможность включать и выключать их независимо друг от друга. Это позволяет контролировать социальные сети, электронную почту, форумы и даже сайты поиска работы.
Рисунок 2.10 Настройка Zgate Web
Также нужно настроить архив — базу данных, в которой будет сохраняться вся собранная информация. Тут важно понимать отличие архива от журнала событий. Первый используется для хранения перехваченных писем, сообщений, отправленных через IM-клиенты, постов на форумах и в социальных сетях. А в журнале сохраняются заданные администратором события: инциденты, поступление в архив новой информации, изменение настроек, ошибки.
Рисунок 2.11 Настройка архива
Рисунок 2.12 Настройка журналирования
После общей настройки системы следует шаг настройки политики безопасности. Политика безопасности - это набор условий фильтрации и любые действия связанные с ними. Условий в политике может быть несколько. Причем мы можем назначить порядок их следования. То есть трафик поочередно проходит все проверки и на любом этапе признан нелегитимным.
Рисунок 2.13 Политики контроля
В Zgate есть восемь типов условий. Большая часть из них относится к формальным. Это проверка на наличие зашифрованных файлов, проверка адресов, типа вложенных файлов и параметров сообщений (по IP-адресу, размеру вложений, дате и времени отправки). Два типа условий используются для контекстного анализа — поиск текста и поиск по словарю. В них применяются дополнительные инструменты: морфологический анализ, стемминг, учет транслитерации, ошибок, поиск по шаблону.
Рисунок 2.14 Создание контентного анализа
Отдельного упоминания заслуживает условие «Проверка внешним приложением». Это условие позволяет расширить возможности Zgate с помощью подключения подключения других приложений и скриптов, даже самостоятельно написанных для каких-либо нужд компании. Последний тип условий — составной. В него можно включать условия любых других типов, объединяя их логическими операциями.
Для каждого условия необходимо задать одно или несколько действий, которые будет производить система при его выполнении. Решением от Zgate их предусмотрено много. Среди них есть полная блокировка соединения, автоматическое изменение сообщений (вставка в него определенного текста, удаление и добавление вложений, изменение полей), перемещение в карантин и сохранение в архиве, отправка уведомления администратору безопасности, журналирование. В общем, действия предусмотрены на все случаи жизни.
Рисунок 2.15 Настройка классов действий
После создания всех необходимых условий и привязки к каждому из них нужных действий мы получаем полноценную политику, которая может весьма гибко учитывать все нюансы. Этими действиями мы, определенно, уменьшили количество ложных срабатываний DLP-системы, сократив тем самым нагрузку на администраторов безопасности.
Заключение
Развитие IT технологий серьезно затронуло сферу бизнеса. Повсеместное развитие электронного документооборота, использование электронных каналов связи – всё это приводит к увеличению риска утечки конфиденциальной информации, объем которой неуклонно растет. Увеличение рисков ведет к развитию систем, обеспечивающих защиту от утечек конфиденциальной информации. Однако, даже несмотря на внедрение серьёзных DLP систем, остаются много возможностей попадания конфиденциальной информации в открытый доступ: благодаря халатности пользователей, их нежеланию соблюдать политику конфиденциальности или в случае системных ошибок.
Всё это приводит к тому, что тем или иным образом конфиденциальная информация может оказаться в открытом доступе без ведома администратора безопасности. В данной дипломной работе приводится решение этой проблемы путём внедрения DLP-системы в сеть компании.
Во введении данной работы сформулирована цель и поставлены задачи, которые необходимо решить для её достижения.
В первой главе проведены теоретические понятия о DLP-системах: понятие, принцип работы, теоретические основы о внедрении. Рассмотрены имеющиеся DLP-системы.
Во второй главе описаны основные методы, необходимые для достижения цели: обследование, юридическое сопровождение и развертывание выбранной системы.
В дальнейшем данный проект может иметь несколько путей развития:
1. Усовершенствование предложенных методов с целью увеличения точности поиска и анализа.
2. Исследование альтернативных методов представления политики конфиденциальности с целью получения качественно иных результатов в дополнение к уже имеющимся.
В заключение стоит отметить, что поставленная цель достигнута, подтверждением чему служит настроенная DLP-система.
Список литературы
1. Грибунин В. Г. Комплексная система защиты информации на предприятии. — М.: Академия, 2009.
2. Чернокнижный Г. М. Защита конфиденциальной информации в корпоративной сети от утечек. // Научные труды SWorld.
3. Ковалев А. Как выбрать DLP-систему? // Защита информации.
4. Обзор DLP-систем. — URL: http://aercom.by (дата обращения: 7.04.18).
5. Выбираем DLP-систему для средней организации. — URL: http://habrahabr.ru (дата обращения: 18.03.18).
6. Защита от утечек конфиденциальной информации (DataLossPrevention - DLP). — URL: http://www.security-microtest.ru (дата обращения: 6.05.18).
7. Официальный сайт разработчика DLP-системы Zecurion. — URL: http://www.zecurion.ru (дата обращения: 2.05.18).
8. Сравнение DLP-систем. — URL: http://www.osp.ru (дата обращения: 19.04.18).
9. Федеральный закон от 29.07.2004 №98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне» // СПС «Консультант плюс».
10. Шихов Е. Обзор DLP-систем на мировом и российском рынке. — URL: http://www.anti-malware.ru (дата обращения: 21.04.18).
11. Цветкова О.Л., Айдинян А.Р. Интеллектуальная система оценки информационной безопасности предприятия от внутренних угроз // Вестник компьютерных и информационных технологий.
12. Журилова Е.Е. О нормативно-правовых аспектах внедрения DLP-систем // Правовое регулирование защиты информации [Электронный ресурс]. – Режим доступа: http://www.info-secur.ru/is_17/Ghurilova.pdf
13. Применение DLP-систем для защиты персональных данных. Боридько, Забелинский и Коваленко. 2012 г., Безопасность информационных технологий Номер: 3, стр. 20-24.
14. Синельников А. Защита от утечки информации. URL: http://fingazeta.ru (дата обращения 13.04.2018).
