Системы предотвращения утечки данных - Сравнительный анализ DLP-систем, их функциональные возможности
Необходимость защиты информации от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально внешние угрозы считались более опасными. В последние годы на внутренние угрозы стали обращать больше внимания, и популярность DLP систем возросла. Общепринятых расшифровок термина DLP несколько:
- - Data Loss Prevention - "предотвращение потери данных" - Data Leak Prevention - "предотвращение утечки данных" - Data Leakage Protection - "защита от утечки данных".
Первые DLP системы возникли как средство предотвращения утечки ценной информации. Они были предназначены для обнаружения и блокирования сетевой передачи информации.
Основной задачей DLP-систем, что очевидно, является предотвращение передачи конфиденциальной информации за пределы информационной системы. Такая передача (утечка) может быть намеренной или ненамеренной. Большая часть ставших известными утечек (порядка 3/4) происходит не по злому умыслу, а из-за ошибок, невнимательности, безалаберности, небрежности работников. Выявлять подобные утечки проще. Остальная часть связана со злым умыслом операторов и пользователей информационных систем. Кроме основной перед DLP-системой могут стоять и вторичные (побочные) задачи. Они таковы:
Архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
Предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объемов данных и т. п.);
Предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
Предотвращение использования работниками казенных информационных ресурсов в личных целях;
Оптимизация загрузки каналов, экономия трафика;
Контроль присутствия работников на рабочем месте;
Отслеживание благонадежности сотрудников, их политических взглядов, убеждений, сбор компромата.
Практический во всех странах охраняется законом право на тайну частной жизни. Использование DLP-систем может противоречить местным законом в некоторых режимах или требовать особого оформления отношений между работниками и работодателем. Поэтому при внедрении DLP-системы необходимо привлекать юриста на самом раннем этапе проектирования.
В настоящее время основной интерес разработчиков DLP-систем сместился в сторону широты охвата потенциальных каналов утечки информации и развитию аналитических инструментов расследования и анализа инцидентов. Новейшие DLP-продукты перехватывают просмотр документов, их печать и копирование на внешние носители, запуск приложений на рабочих станциях и подключение внешних устройств к ним, а современный анализ перехватываемого сетевого трафика позволяет обнаружить утечку даже по некоторым туннелирующим и зашифрованным протоколам.
Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введенных меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок первого рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т. д. Пропуски конфиденциальной информации (ошибки второго рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ дает ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.
DLP системы различают по способу обнаружения утечки данных:
При использовании (Data-in Use) - на рабочем месте пользователя;
При передаче (Data-in Motion) - в сети компании;
При хранении (Data-at Rest) - на серверах и рабочих станциях компании.
В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т. п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, печать документов на локальные и сетевые принтеры, передачу информации по Wi Fi и Bluetooth инсталляцию программ для туннелирования, и другие возможные методы для обхода контроля и много другое. Некоторые DLP-системы способны записывать все нажатия на клавиатуре (key logging) и сохранять копий экрана (screen shots).
Современная система защиты от утечки информации, как правило, является распределенным программно-аппаратным комплексом, состоящим из большого числа модулей различного назначения. Часть модулей функционирует на выделенных серверах, часть - на рабочих станциях сотрудников компании, часть - на рабочих местах сотрудников службы безопасности.
Выделенные сервера могут потребоваться для таких модулей как база данных и, иногда, для модулей анализа информации. Эти модули, по сути, являются ядром и без них не обходится ни одна DLP система.
База данных необходима для хранения информации, начиная от правил контроля и подробной информации об инцидентах и заканчивая всеми документами, попавшими в поле зрения системы за определенный период. В некоторых случаях, система даже может хранить копию всего сетевого трафика компании, перехваченного в течение заданного периода времени.
Обычно, в составе DLP-системы присутствует модуль управления, предназначенный для мониторинга работы системы и ее администрирования. Этот модуль позволяет следить за работоспособностью всех других модулей системы и производить их настройку.
Модули анализа информации отвечают за анализ текстов, извлеченных другими модулями из различных источников: сетевой трафик, документы на любых устройствах хранения информации в пределах компании. В некоторых системах есть возможность извлечения текста из изображений и распознавание перехваченных голосовых сообщений. Все анализируемые тексты сопоставляются с заранее заданными правилами и отмечаются соответствующим образом при обнаружении совпадения.
Для удобства работы аналитика службы безопасности в DLP-системе может быть отдельный модуль, позволяющий настраивать политику безопасности компании, отслеживать ее нарушения, проводить их детальное расследование и формировать необходимую отчетность. Как ни странно, при прочих равных именно возможности анализа инцидентов, проведения полноценного расследования и отчетность выходят на первый план по важности в современной DLP-системе.
Таким образом, необходимость защиты информации от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности.
Основной задачей DLP-систем является предотвращение передачи конфиденциальной информации за пределы информационной системы. Кроме основной задачи DLP-системы могут решать и вторичные (побочные) задачи.
Похожие статьи
-
Заключение - Сравнительный анализ DLP-систем, их функциональные возможности
Как показывают опубликованные данные аналитического центра InfoWatch, специализирующейся на производстве и продаже систем DLP, 2014 год ознаменовался...
-
Введение - Сравнительный анализ DLP-систем, их функциональные возможности
В современном мире появляется все больше устройств обработки, передачи и хранения данных. С одной стороны это позволяет сотрудникам компаний быть...
-
Этапы развития Dlp систем - Сравнительный анализ DLP-систем, их функциональные возможности
Рынок DLP систем начал формироваться уже в этом веке. само понятие "DLP" распространилось примерно в 2006 году. Наибольшее число компаний, создававших...
-
Современные DLP системы - Сравнительный анализ DLP-систем, их функциональные возможности
SearchInform "Контур информационной безопасности SearchInform" - одно из наиболее совершенных решений по контролю над информационными потоками...
-
Корпоративная интеграционная подсистема на базе IBM WebSphere Business Integration Message Broker [28] отвечает за выстраивание корпоративной...
-
В данной главе представлено описание возможных вариантов совершенствования архитектуры предприятия в части гибкого подключения сторонних систем и их...
-
Как известно , необходимость интеграции нескольких информационных систем как внутри одной организации (системы являются подсистемами к историчной...
-
Для того, чтобы разработать оптимальный метод интеграции сторонних систем в существующую ИТ-инфраструктуру систем компании, требуется точно поставить...
-
Для достижения цели, поставленной в данной работе, необходимо проанализировать текущую ситуацию в области информационных систем, сравнить информационные...
-
По результатам данного исследования необходимо выявить недостатки и ограничения существующих технологий интеграции. Для проведения исследования...
-
Информационная система крупной организации, как правило, представляет собой исторически сложившуюся совокупность отдельно работающих систем, которые...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
Сравнение DLP-систем - Сравнительный анализ DLP-систем, их функциональные возможности
В процессе выбора между тем или иным решением, неизбежно возникают вопросы. Чем принципиально отличаются между собой различные решения? На что...
-
Управляющим компонентом многих СУБД является ядро, выполняющее следующие функции: Хоменко А. Д. Основы современных компьютерных технологий /А. Д....
-
Текущая инфраструктура компании совершенствуется, всегда появляются новые системны для подключения и внедрения. Инфраструктура построена на схеме...
-
Известно, что создание систем "с нуля" приводит к глобальным затратам компании на фонд оплаты труда, на поддержание созданного решения. К тому же, чем...
-
Теоретические предпосылки исследования Системы поддержки принятия решений Системы поддержки принятия решений (СППР), представляют собой приложения узкого...
-
При достижении целей внедрения организация получает следующие эффекты: *Обеспечение прозрачности бизнес-процессов; Возможность оперативно отслеживать...
-
Полное наименование разрабатываемой системы - корпоративная информационная система "Бюджетное планирование и отчетность" группы компаний, занимающейся...
-
После того, как был реализован процесс карьерного планирования в информационной системе, можно сделать выводы о том, что внедрение информационной системы...
-
Информационная система Lumesse ETWeb является системой, которая автоматизирует весь комплекс процессов управления персоналом. Важно отметить, что данная...
-
Требования к функциональным характеристикам система должна обеспечивать выполнение следующих функций: - Актуальная информативность Исходные данные:...
-
Построение модели предметной области с помощью описания структур данных и программного кода является классическим подходом в разработке ИС. Зачастую...
-
Экономить можно то, что учтено. Сегодня нет масштабной федеральной программы совершенствования учета. До сих пор большинство потребителей пользуется...
-
Прогнозируемая оценка проекта после реализации единой шины данных как прослойки между всеми компонентами ИТ-ландшафта компании выполняется по методу...
-
Специалисты Gartner предполагали, что к 2006 году более 60% компании будут внедрять сервис-ориентированную архитектуру (Service-Oriented Architecture -...
-
Ниже представлена инструкция пользователя автоматизированной системы "Аптека": Краткое описание возможностей Информационно-справочная система "Аптека"...
-
В данном пункте представлено описание подключаемых к общей архитектуре ИС компании систем. Описание систем является справочной информацией для...
-
После создания диапазона критериев можно запустить расширенный фильтр и подвергнуть данные списка фильтрации. Для этого надо: Поместить указатель ячейки...
-
Классификация АИС по функциональному признаку Функциональный признак определяет назначение подсистемы, а также ее основные цели, задачи и функции....
-
Наиболее распространенная форма - ЭВМ. Раньше чаще использовались вычислительные центры (ВЦ). Вычислительный центр - организуется и специализируется на...
-
Введение - Технологии больших данных: анализ и выбор решения для реализации проекта
В конце 2000х годов были уже сформированы решения класса Business Intelligence, которые являются альтернативой традиционным методам управления базами...
-
Подход NoSQL - Технологии больших данных: анализ и выбор решения для реализации проекта
Понятие NoSQL означает "Не только SQL" или "Не SQL". Термин получил известность, начиная с 2009 год, когда развитие интернет-технологий и социальных...
-
Построение ER диаграмм - Модернизация структуры базы данных на основе анализа требований предприятия
При построении моделей информационных систем важнейшей методикой является ER-моделирование или построение диаграмм сущность-связь. Сущность представляет...
-
Современные информационные технологии определяются как непрерывные процессы обработки, хранения, передачи и отображения информации, направленные на...
-
В этом разделе описаны запросы, выполняемых всеми компонентами, а также типы данных, используемые при описании запросов. Стандарт типов данных При...
-
UML - унифицированный язык моделирования, призванный упростить построение больших информационных систем. Состоит из диаграмм, связей и сущностей....
-
Онлайн исследования в социологии: новые методы анализа данных - Распространение новостной информации
На сегодняшний день анализ социальных сетей и медиа, Интернет-сообществ, пользователей в целом используется в основном в маркетинге. Компания может...
-
Базы данных - Система управления базами данных
Предметная область АИС "материализуется" в форме, хранимой в памяти ЭВМ структурированной совокупности данных, которые характеризуют состав объектов...
-
Причины возникновения систем баз данных Основой решения большинства задач является обработка информации. Информация - это совокупность фактов,...
Системы предотвращения утечки данных - Сравнительный анализ DLP-систем, их функциональные возможности