17311

ЗАХИСТ ЛОКАЛЬНИХ МЕРЕЖ ВІД ВИТОКІВ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ

Лекция

Информатика, кибернетика и программирование

Лекція 22. Захист локальних мереж від витоків конфіденційної інформації Основні характеристики систем запобігання витокам інформації З розвитком ІТ секрети стали уразливі як ніколи. У епоху паперових документів співробітникові було скрутно непомітно винести докум

Украинкский

2013-06-30

161 KB

3 чел.

Лекція 22. Захист локальних мереж від витоків конфіденційної інформації

Основні характеристики систем запобігання витокам інформації 

З розвитком ІТ секрети стали уразливі як ніколи. У епоху паперових документів співробітникові було скрутно непомітно винести документацію — тепер же він просто копіює її на будь-який доступний йому знімний носій, наприклад мобільний телефон. І абсолютна більшість організацій не можуть нічого з цим поробити.

Багато компаній зберігають не тільки свою інформацію, але і відомості про власних клієнтів. Уявіть, що відбудеться з респектабельним банком, якщо інформація про транзакції його клієнтів раптом з'явиться на сторонньому сайті в Internet. Банк зазнає колосальних збитків і втратить величезну кількість клієнтів.

Захистити корпоративні секрети на сто відсотків не зможе жодна компанія. Нинішній розвиток технологій дозволяє говорити лише про мінімізацію ризиків. Як правило, захист секретів є комплексним завданням, яке включає організаційні, адміністративні, а також технічні заходи.

Що таке DLP? 

Мова піде тільки про витоки, що пов'язані з ІТ-інфраструктурою  організації. Саме вони складають левову долю витоків інформації. Звичайно, цілком можлива ситуація, коли співробітник компанії «зливає» концепцію нового проекту по телефону, проте боротися з таким інсайдом практично неможливо.

Витокі інформації відбуваються по різних каналах. З концептуальної точки зору існує два таких канали — по-перше це глобальна мережа і, по-друге, мобільні пристрої. Декомпозицію можна продовжити і далі, розділивши канал Internet на підканали: електронна пошта, ftp і P2P-мережі, а канал мобільні пристрої: на підканали ноутбуки, флэш-накопичувачі і КПК. Окремо відзначимо канал принтери, який можна віднести саме до мобільних пристроїв.

Крім того, кожен витік має власну причину. Поняття «причина» і «канал» взаємозв'язані, проте ототожнювати їх не можна. Як правило, причина витоку дозволяє припустити, який канал при цьому використовувався, і навпаки.

Причини витоків бувають зовнішніми і внутрішніми. Такий розподіл є  умовним, оскільки деякі інциденти (назвемо їх змішаними) мають і ту і іншу причину. До змішаних витоків можна віднести, наприклад, хакерське вторгнення з елементами соціальної інженерії, або атаку з боку колишнього співробітника.

Якщо зовнішні погрози давно відомі практично всім крупним організаціям, то з внутрішніми витоками справа йде набагато гірше. Як правило, під внутрішньою загрозою мається на увазі умисний інсайд, коли один із співробітників свідомо виносить корпоративний секрет назовні. Але це лише верхівка айсберга. Велику небезпеку представляють ненавмисні внутрішні інциденти. За даними аналітичного центру компанії Perimetrix, саме ненавмисні витоки складають до 90% внутрішніх інцидентів.

Крім адміністративних заходів, для захисту від витоків інформації необхідно упроваджувати спеціалізовані продукти — системи запобігання витокам інформації (Data Loss Prevention, DLP). Проте до цих пір немає чіткого розуміння цього терміну.

Дійсно, DLP-системой можна назвати навіть антивірус, оскільки він дозволяє уникнути установки троянів, які посилають інформацію з локального пристрою своїм творцям або замовникам, і програму для блокування USB-портів, оскільки вона бореться з витоками через USB-накопичувачі. Проте і антивірус, і система блокування портів не захищають організацію від витоків — вони лише закривають один з каналів або усувають одну з причин. Теоретично за допомогою подібних «клаптевих» рішень можна запобігти витокам, проте для великих організацій такий підхід категорично неприйнятний.

Тому під DLP-системою зазвичай розуміють комплексне рішення корпоративного масштабу, яке бореться з витоками для різних каналів і причин. Це визначення є неповним, оскільки під нього цілком підходить гіпотетична система, яка фізично блокує всі порти і перекриває доступ до Internet.

Таке рішення можна упровадити в бухгалтерії або секретаріаті, проте в цілому воно не має сенсу.

Сучасним організаціям потрібні Internet і доступ до мобільних накопичувачів. Перекривати ці канали ми не можемо — а значить, доступ до них потрібно контролювати. Іншими словами, DLP-система зобов'язана аналізувати трафік, який проходить по каналах і «голосно кричати» адміністраторові, якщо цей трафік виявився секретним. Остання теза є ключовою, такою, що відокремлює функціонал DLP-систем від більшості других рішень по інформаційній безпеці.

Перше покоління DLP: аналіз контенту 

В рамках окремого узятого каналу DLP-система працює як «чорний ящик», куди на вхід подається інформація, що йде по каналу, а на виході формується вердикт, чи є вхідна інформація секретною. Даний принцип не залежить від специфіки каналу, яка, втім, може бути використана в алгоритмі винесення вердикту.

Таким чином, основна цінність DLP-системи полягає в алгоритмі, на основі якого працює «чорний ящик». Архітектура і навіть список підтримуваних каналів є вторинними характеристиками даного ПЗ. Проте, з погляду кінцевого замовника, дані чинники також дуже важливі, оскільки без них додаток практично марний.

На даний момент в галузі не існує стандартного алгоритму аналізу трафіку, більш того — не існує навіть стандартної технології. Кожна, представлена на ринку компанія, сповідає власний спосіб фільтрації даних, що йдуть по каналах. В цілому можна говорити про два концептуально різних підходи, що мають як переваги, так і недоліки.

Перший підхід базується на фільтрації контенту, тобто змістовного наповнення інформації. Це означає, наприклад, що при перевірці на секретність стандартних офісних документів у форматі .doc система спочатку переведе їх в текстовий формат, а потім, використовуючи заздалегідь підготовлені дані, винесе по цьому тексту вердикт. Контекстна фільтрація використовує принципово іншу схему: замість аналізу контенту система перевіряє контекст, в якому передається інформація: витягує метадані файлу, дивиться на його розмір або аналізує поведінку користувача.

Перші системи, що з'явилися на ринку, використовували алгоритми контентної фільтрації, до яких поступово додавалися функції по роботі з контекстом. У залежності від мовних особливостей і точки зору кожного конкретного вендора вироблялися різні алгоритми (див.  таблиці 1 та 2).

Табліця 1. Порівняльний аналіз методів контентної фільтрації

Табліця 2. Порівняльний аналіз методів контексної фільтрації

Проте у всіх без виключення методів є один основний недолік — низька точність визначення.

Жоден з наявних методів не може забезпечити захист всіх типів конфіденційної інформації. Навіть в рамках одного типу є численні обмеження. Практика показує, що навіть комбінація декілька контентних і контекстних алгоритмів рідко забезпечує прийнятну точність в умовах обмеженої продуктивності системи.

За даними компанії Perimetrix ефективність фільтрації із застосуванням контентних технологій досягає лише 80%. Це означає, що 20% корпоративних секретів можуть безперешкодно покинути мережу компанії. Крім того, система фільтрації контенту допускає помилки другого типу, визнаючи легітимні відомості секретними.

Проте, не дивлячись на очевидні обмеження, контентно-контекстні системи першого покоління як і раніше домінують на DLP-ринку. Оскільки спочатку контентний підхід використовувався у більшості систем, більшість традиційних гравців DLP-ринку не наважуються змінити основну технологію, яка розроблялася роками.

Друге покоління DLP: детерміністські методи 

Після того, як неефективність класичних контентних методів стала очевидною, деякі компанії почали упроваджувати принципово інший, детерміністський підхід. Такий підхід припускає, що всі конфіденційні файли повинні бути спеціальним чином помічені. Розмітка файлів близька до контекстної фільтрації (а мітки близькі до метаданих), проте насправді ці підходи принципово різні. У детерміністському підході мітки спеціально вбудовуються в документ самою DLP-системою, тоді як класичний контекстний аналіз оперує незалежним від DLP-системи контекстом.

Технологічно мітка може вбудовуватися в документ по-різному. У деяких продуктах ця мітка може бути «вшита» у ім'я файлу. В цьому випадку кожне імя файлу повинно починатися, наприклад, з класу конфіденційності або рівня секретності, що приводить до створення корпоративних політик іменування файлів. Природно, на практиці це дуже незручно, не прозоро і заважає співробітникам ефективно працювати.

Тим часом є більш тонкі методи роботи з документами, які не припускають таке грубе вбудовування. Наприклад, мітка може бути інкапсульована всередину файлу, скажімо, в один з його службових заголовків. Коли такий документ покидає корпоративну мережу через мережеві канали, наприклад по електронній пошті, фільтру не потрібно аналізувати контент. Достатньо лише проаналізувати мітку і застосувати положення політики безпеки. Іншими словами, знаючи мітку, система захисту може безпомилково визначити, є файл секретним або публічним.

Очевидно, що для впровадження детерміністської системи потрібно провести повну класифікацію всіх електронних документів в організації і помітити всі секретні файли відповідним чином. Також зрозуміло, що ефективність захисту помічених файлів рівна 100% (звичайно, за умови захисту від несанкціонованої зміни).

Головний недолік детерміністських методів полягає в тому, що помітити всі конфіденційні документи, як правило, неможливо. Ще важче постійно підтримувати базу помічених документів в актуальному стані. Щоб вирішити цю проблему, застосовуються різні способи. Наприклад, можна переносити мітки в нові файли із старих документів і таким чином істотно спростити управління платформою.

В цілому детерміністські методи мають право на існування, проте в більшості випадків вони також неефективні. Сьогодні сучасний ринок потребує  нових рішень, що належать до класу DLP-систем третього покоління.

Третє покоління DLP 

Можливим варіантом тут є використання детерміністських методів у разі помічених документів і контентної фільтрації для решти файлів. При цьому поєднуються плюси обох підходів: точність  і гнучкість фільтрації контента. За даними компанії Perimetrix ефективність такого поєднання досягає 99,6%.

Проте проста інтеграція підходів не може бути підставою для появи чергового покоління продуктів. Розвиток галузі показав, що концептуально нові DLP-системы повинні підтримувати функціонал шифрування для захисту інформації на мобільних носіях. Жоден з традиційних DLP-подходів не може забезпечити захист від крадіжки ноутбука, а цей захист украй необхідний для повноцінної DLP-системы.

За даними Ponemon Institute, практично половина (49%) сучасних витоків відбувається в результаті крадіжки мобільних пристроїв. Єдиним способом захисту тоді є шифрування — решта всіх підходів (паролі, фізичний захист і так далі) давно показала власну неспроможність. Проблема полягає тільки в тому, що переважна більшість рішень класу DLP не може забезпечити шифрування, а рішення по шифруванню не можуть проводити фільтрацію витікаючого трафіку.

Підприємствам і організаціям, як повітря, необхідний уніфікований функціонал. Перш за все, щоб отримати одну систему захисту від всіх загроз витоку інформації, а не дві. Щоб використовувати єдині інтегровані політики для фільтрації і шифрування документів. Нарешті, щоб забезпечити просту і швидку відповідність різним нормативним актам і стандартам (за кордоном — федеральний закон «Про персональні дані», акт Сарбейнса — Окслі, угода Basel II або стандарт PCI DSS).

Забезпечення захисту конфіденційної інформації від витоків за допомогою програмних продуктів компанії InfoWatch

Сімейство продуктів InfoWatch являє собою збалансований засіб для ефективного керування інформаційною безпекою компанії, без якого немислимо безперервне ведення сучасного бізнесу.

InfoWatch допомагає зберегти репутацію замовника, мінімізувати фінансові ризики, пов'язані із втратою конфіденційності даних і привести інформаційну систему у відповідність із національними й міжнародними законами та стандартами.

Рішення компанії забезпечують контроль над найпоширенішими шляхами витоку, моніторинг доступу співробітників до корпоративних інформаційних ресурсів і зберігання докладного архіву операцій з документами.

InfoWatch у масштабі реального часу фільтрує поштовий і веб-трафик і контролює операції з документами на робочих станціях, запобігаючи виводу конфіденційних даних за межі інформаційної системи. У випадку виявлення фактів порушення корпоративної політики ІТ безпеки система оперативно повідомляє про інцидент компетентним особам і поміщає підозрілі об'єкти в область карантину.

InfoWatch Traffic Monitor (далі Traffic Monitor або система) - це розподілена багатокомпонентна система, призначена для контролю за трафіком вихідних листів, переданих по протоколах SMTP і HTTP.

Для виконання даного завдання в системі передбачені два види перехоплювачів:

  •  Mail Monitor - призначений для перехоплення SMTP-трафіку. Перехоплення SMTP-трафіку здійснюється за допомогою інтеграції з поштовим сервером Postfix.
  •  Web Monitor - призначений для перехоплення HTTP-трафіка. Поставляється у вигляді окремого компонента - Traffic Monitor ISA Server Plugin. Перехоплення HTTP-трафіка здійснюється за допомогою інтеграції із Proxy-сервером MS ISA Server.

У процесі роботи системи Traffic Monitor накопичується великий обсяг даних. Завдання зберігання отриманих даних вирішується інтеграцією системи Traffic Monitor із СУБД Oracle.

Склад Traffic Monitor

До складу системи Traffic Monitor входять наступні компоненти:

  •  Traffic Monitor Server (сервер поштової фільтрації).
  •  Traffic Monitor ISA Server Plugin (модуль фільтрації POST-запитів).
  •  Компоненти користувальницького інтерфейсу:
  •  Traffic Monitor Security Administrator.
  •  Traffic Monitor Security Officer.
  •  Traffic Monitor DB Administrator.
  •  Traffic Monitor Analyser.
  •  Traffic Monitor Eraser.

Traffic Monitor Server

Traffic Monitor Server (далі Traffic Monitor Server або сервер поштової фільтрації) призначений для виконання наступних функцій:

  •  здійснення тематичної класифікації  листів;
  •  виділення з потоку електронної кореспонденції листів, що містять ознаки конфіденційної інформації;
  •  збереження копій листів, що відповідають корпоративній політиці безпеки в архів;
  •  модифікація заголовків листів, списків одержувачів, відповідно до вимог корпоративної політики безпеки;
  •  переміщення затриманих листів, що порушують корпоративну політику безпеки в карантин (з можливістю відкладеного прийняття Офіцером безпеки рішення про відправлення листа одержувачам);
  •  створення архіву листів шляхом експорту листів з бази даних у зазначене місце (з можливістю імпорту створеного архіву листів назад у базу даних).

Кожний електронний лист, що проходить через сервер поштової фільтрації, перевіряється на його відповідність корпоративній політиці безпеки.

По-перше, виконується перевірка атрибутів листа на відповідність або невідповідність певним умовам. До таких атрибутів належать: адреси відправника й одержувачів (з SMTP-конверта), розмір листа, його заголовки, кількість та тип вкладених файлів.

По-друге, використовується контентна фільтрація, тобто аналізується зміст самого листа та вкладених файлів. Застосовуються лінгвістичні алгоритми, засновані на:

  •  пошуку характерних термінів (слів і словосполучень);
  •  порівнянні з листами-зразками.

Traffic Monitor ISA Server Plugin

Traffic Monitor ISA Server Plugin (далі Traffic Monitor ISA Server Plugin або модуль фільтрації POST-запитів) здійснює перехоплення таких POST-запитів, структура яких дає можливість перетворювати їх в SMTP-листи. До таких POST-запитів відносяться листи, що відправляються на сайти Web-пошти, форуми й т.ін. З перехоплених POST-запитів формуються SMTP-листи, які перевіряються сервером контентної фільтрації, що є частиною сервера поштової фільтрації.

Після проходження процедури фільтрації запити, у яких не знайдено ознак порушення корпоративної політики безпеки, пропускаються на зовнішній сервер для відправлення зазначеним адресатам. Відправлення запитів з виявленими ознаками порушень блокується.

Всі листи, сформовані з перехоплених POST-запитів, перенаправляються в чергу повідомлень (локальне сховище повідомлень сервера поштової фільтрації), що очікують запису в базу даних (архів/карантин).

Traffic Monitor Security Administrator

Фільтрація листів сервером контентноїй фільтрації здійснюється за умови, що конфігурація зазначеного сервера настроєна належним чином.

Завдання забезпечення необхідної конфігурації сервера контентної фільтрації вирішуються за допомогою програми Traffic Monitor Security Administrator. Право на запуск даної програми має користувач, якому призначена роль Адміністратор інформаційної безпеки. Основні функції Адміністратора інформаційної безпеки:

  •  створення бази профілів і бази контентного аналізу;
  •  завантаження зазначених баз на сервер контентній фільтрації;
  •  імпорт бази профілів і бази контентного аналізу з XML;
  •  експорт бази профілів і бази контентного аналізу в XML.

Traffic Monitor Security Officer

Листи, у яких сервером поштової фільтрації були знайдені ознаки порушення корпоративної політики безпеки, відображаються в програмі Traffic Monitor Security Officer. За допомогою даної програми Офіцер безпеки може вирішувати наступні завдання:

  •  аналіз листів, затриманих сервером контентної фільтрації;
  •  ухвалення рішення про доставку затриманих листів;

Traffic Monitor DB Administrator

Програма Traffic Monitor DB Administrator призначена для виконання ряду завдань адміністрування системи. Право на роботу з даною програмою має користувач, якому призначена роль Адміністратор сховища. Основні функції Адміністратора сховища:

  •  розподіл ролей користувачів;
  •  настроювання ротації сегментів.

Крім того, Адміністратор сховища має можливість переглядати статистичні дані по обробці листів і обсягу зайнятого простору в БД, контролювати вхід користувачів у систему.

Traffic Monitor Analyser

Програма Traffic Monitor Analyser призначена для аналізу листів, що зберігаються в базі даних. Установка даної програми виконується опціонально. Право на роботу з даною програмою має користувач, якому призначена роль Аналітик. Основні завдання Аналітика:

  •  пошук листів по реквізитах і контексту;
  •  перегляд і збереження листів;
  •  видалення листів з бази даних.

Traffic Monitor Eraser

Після обробки сервером поштової фільтрації всі листи зберігаються в базі даних. Виключення становлять ті листи, для яких за умовами фільтрації виконується дія Не зберігати в базу даних. Таким чином, обсяг бази даних постійно збільшується. Зменшити обсяг і тим самим звільнити місце на жорсткому диску можна шляхом видалення тих листів, подальше зберігання яких у базі даних не потрібно. Для виконання даного завдання призначена програма Traffic Monitor Eraser.

У програмі Traffic Monitor Eraser відображаються тільки ті листи, які вже оброблені сервісом Deferred processor.

Працювати із програмою Traffic Monitor Eraser може користувач, якому призначена роль Чистильник. У процесі роботи Чистильник може переглядати відомості тільки про основні заголовки листа й не має доступу до інформації про зміст тіла листа, наявності й змісті вкладень. Основною функцією Чистильника є видалення листів з бази даних.

Принципи фільтрації

Обробка листа сервером контентної фільтрації полягає в послідовному застосуванні до нього правил фільтрації.

  1.  Обробка листа починається з аналізу: перевіряється
    виконання умов, описаних у правилі фільтрації.
    Причому перевірка умов ведеться в тому порядку, у якому
    вони задані в правилі фільтрації.
  2.  Якщо хоча б одна з умов не виконана, обробка листа даним правилом припиняється без виконання яких-небудь дій.
  3.  Якщо всі умови виконані, над листом послідовно виконуються дії, описані в правилі фільтрації (у тому порядку, у якому вони задані).

Правила фільтрації поєднуються в групи - профілі. Профілі бувають двох типів:

  •  загальні - для всіх листів, незалежно від їхнього адресата;
  •  персональні - для листів, спрямованих зазначеним адресатам (або для всіх адресатів, якщо не зазначені конкретні адресати).

Профілі у свою чергу утворять базу профілів, що входить до складу певної конфігурації. Крім бази профілів до складу конфігурації входить база контентного аналізу, що містить дані, необхідні для проведення контентного аналізу листа.

Фільтрація Web-пошти

Фільтр Web-пошти, що діє в складі Proxy-сервера Microsoft ISA Server, здійснює перехоплення вихідних HTTP-запитів, формує із цих запитів SMTP-листи й передає ці листи на Сервер поштової фільтрації для розпізнавання. Обробка HTTP-запитів значно відрізняється від обробки звичайного листа.

У процесі фільтрації виконується обробка HTTP-запитів до сайтів Web-пошти, форумів і т.ін.

Обробка запиту виконується у два етапи: виявлення ознак порушень і маршрутизація листа.

Аналіз листа на першому етапі виконується з метою визначити статус листа, приналежність до контентним категорій.

На етапі маршрутизації приймається рішення про доставку листа адресатам. Рішення приймається на підставі статусу, привласненого листу на першому етапі. Залежно від ухваленого рішення модулю фільтрації POST-запитів  направляється  команда доставити лист зазначеним адресатам або блокувати доставку листа. По завершенні аналізу лист зберігається в базі даних (архів або карантин).

Профілі фільтрації

До складу системи Traffic Monitor входять предвстановлені профілі фільтрації. Предвстановлені профілі настроєні на роботу в режимі затримки листів, що порушують корпоративну політику безпеки, і реалізують наступну схему фільтрації:

  1.  Виявлення ознак порушення корпоративної політики безпеки: аналіз і оцінка листа, присвоєння листу певного статусу за результатами оцінки.
  2.  Протоколювання інформації, отриманої в ході аналізу листа.
  3.  Обробка Web-пошти з метою ухвалення рішення про подальші дії з даним листом. Рішення приймається на підставі статусу, привласненого листу на кроці 1. Можливі наступні дії: відправити лист зазначеним адресатам або блокувати доставку листа.
  4.  Обробка листів, для яких на кроці 3 було ухвалене рішення про відправлення зазначеним адресатам.
  5.  Обробка листів, для яких на кроці 3 було ухвалене рішення блокувати доставку зазначеним адресатам.
  6.  Обробка листів корпоративної електронної пошти.
  7.  Заключна обробка листа. Обробці піддаються всі SMTP-листи, не оброблені на попередніх кроках.

Робота з Traffic Monitor Security Administrator

Програма Traffic Monitor Security Administrator призначена для керування настроюваннями параметрів фільтрації й завантаження даних параметрів на сервер контентної фільтрації.

Право на роботу із програмою Traffic Monitor Security Administrator надається Адміністраторові інформаційної безпеки.

У процесі роботи Адміністратор інформаційної безпеки вирішує наступні завдання:

  •  створення бази профілів і бази контентного аналізу;
  •  підтримка зазначених баз в актуальному стані;
  •  завантаження бази профілів і бази контентного аналізу на сервер контентной фільтрації.

Фільтрація листів сервером контентної фільтрації виконується на підставі правил фільтрації. Правила фільтрації поєднуються в профілі. Набір профілів, створених у рамках певної конфігурації сервера контентної фільтрації, становить базу профілів.

Профілі можуть бути як загальними, так і персональними. Активність і порядок застосування профілів задаються в довільному порядку. Кожний профіль складається з упорядкованого списку правил фільтрації. Правило фільтрації являє собою набір умов і дій.

Процес створення бази профілів полягає в послідовному виконанні наступних операцій:

  1.  Складання списків адрес, які будуть використані при створенні персональних профілів, а також при складанні правил фільтрації.
  2.  Поповнення довідника статусів, які можуть бути привласнені листу у ході обробки.
  3.  Створення загальних і персональних профілів фільтрації.
  4.  Складання правил фільтрації для кожного профілю.

Таким чином, до листа, що попадає під дію конкретного профілю, послідовно застосовується ряд правил фільтрації. Спочатку перевіряється відповідність листа заданим умовам. Перевірка ведеться в порядку проходження й з урахуванням активності умов (умови в неактивному стані ігноруються). Якщо хоча б одна умова не виконується, то дія даного правила фільтрації припиняється. У випадку якщо лист задовольняє всім зазначеним умовам, до листа застосовується ряд дій, зазначених у даному правилі фільтрації. Причому виконуються тільки дії, що перебувають в активному стані.

Правила фільтрації створюються в рамках конкретного профілю. Для того щоб створити правило фільтрації, потрібно виконати наступну послідовність дій:

  1.  Додати нове правило фільтрації в один з існуючих профілів. На даному кроці також настроюються загальні параметри правила фільтрації такі як ім'я правила, активність, порядок застосування й т.п.
  2.  Скласти списки умов і дій для правила фільтрації.

Правило фільтрації складається із двох частин:

  •  списку умов, на відповідність яким перевіряється лист у ході фільтрації;
  •  списку дій, які виконуються, якщо перевіряється письмо, що, задовольняє всім заданим умовам.

У процесі настроювання правила фільтрації Адміністратор інформаційної безпеки створює умови й дії, які будуть виконуватися в рамках даного правила.

Крім того, Адміністратор інформаційної безпеки може виконувати наступні операції:

  •  редагувати умови й дії, задані в правилі фільтрації, у тому числі змінювати активність і порядок застосування умов і дій;
  •  видаляти умови й дії.

Робота з Traffic Monitor Security Officer

Листи, у яких сервером контентної фільтрації були знайдені ознаки порушення корпоративної політики безпеки, відображаються в програмі Traffic Monitor Security Officer. Право на роботу із програмою надається Офіцерові безпеки. У процесі роботи Офіцер безпеки вирішує наступні завдання:

  •  аналіз листів, затриманих сервером контентної фільтрації;
  •  ухвалення рішення про подальші дії із затриманими листами.

За результатами аналізу Офіцер безпеки робить висновок, чи дійсно лист містить ознаки конфіденційної інформації або мало місце помилкове спрацьовування сервера контентної фільтрації. Залежно від винесеного вердикту Офіцер безпеки може виконувати різні дії:

  •  складати та відправляти рапорти особам, відповідальним за ухвалення остаточного рішення про дії, які варто почати стосовно листів, що порушують корпоративну політику безпеки;
  •  видавати дозвіл на доставку листа зазначеним адресатам при виявленні помилкового спрацьовування сервера контентной фільтрації.

Крім того, Офіцер безпеки може:

  •  вивантажувати листи з бази даних на жорсткий диск, у мережну папку або на змінні носії інформації;
  •  видаляти листи з бази даних.

Робота з Traffic Monitor DB Administrator

Програма Traffic Monitor DB Administrator призначена для виконання завдань адміністрування системи. Право на доступ до даної програми надається Адміністраторові сховища. Адміністратор сховища може виконувати наступні завдання:

  •  управляти обліковими записами користувачів;
  •  настроювати ротацію сегментів.

Крім того, Адміністратор сховища має можливість переглядати статистичні дані по обробці листів і обсягу зайнятого простору в БД, контролювати вхід користувачів у систему.

Всі облікові записи створюються, редагуються та видаляються Адміністратором сховища. Адміністратор сховища контролює стан облікових записів і при необхідності може заблокувати обліковий запис користувача.

Настроювання ротації сегментів здійснюється Адміністратором сховища з метою побудови безперервного циклу прийому й обробки листів. Всі листи надходять у сегмент даних, де потім обробляються для подальшого використання. Сегмент даних - це логічна частина БД. У кожний момент часу над сегментом даних можна робити тільки одну операцію: або прийом нових листів, або переіндексацію отриманих листів. Адміністратор сховища задає періодичність, з якою виконується ротація сегментів.

Робота з Traffic Monitor Analyser

Програма Traffic Monitor Analyser призначена для аналізу листів, що зберігаються в базі даних. Право на доступ до програми надається Аналітикові. У процесі роботи Аналітик виконує наступні завдання:

  •  пошук листів по реквізитах і контексту;
  •  перегляд і збереження листів.

Крім того Аналітик може виконувати вибіркове видалення листів з бази даних.

Для пошуку листів у програмі передбачені функції роботи з пошуковими запитами: створення нового пошукового запиту, редагування та видалення існуючих пошукових запитів. Пошук листів може здійснюватися як по реквізитах листів, так і по контексту. Крім того, в Traffic Monitor Analyser передбачена можливість комбінування декількох умов пошуку шляхом використання логічних операторів AND і OR. Наприклад, можна об'єднати умови реквізитного та контекстного пошуку в одному пошуковому запиті.

Другим важливим завданням програми Traffic Monitor Analyser є забезпечення можливості перегляду та збереження знайдених листів. Функції вивантаження призначені для запису листів на жорсткий диск, у мережну папку або на змінний носій. Ви можете вивантажувати як окремі листи, так і весь список відразу. Також передбачена можливість вивантаження вкладення окремо від листа.

Робота з Traffic Monitor Eraser

Програма Traffic Monitor Eraser призначена для очищення бази даних від тих листів, подальше зберігання яких у базі даних не потрібно.

Працювати із програмою Traffic Monitor Eraser може користувач, якому призначена роль Чистильник. У процесі роботи Чистильник може переглядати відомості тільки про основні заголовки листа та не має доступу до інформації про наявність вкладень, змісті тіла листа та вкладень. Основною функцією Чистильника є видалення листів з бази даних.

Утиліта архівування

Утиліта архівування призначена для створення архіву листів шляхом експорту листів з бази даних у зазначене місце (з можливістю наступного відновлення створеного архіву листів).

Утиліта архівування є компонентом сервера поштової фільтрації. Роботу з утилітою архівування може виконувати користувач, якому призначені права Власника схеми бази даних.

Утиліта архівування не має графічного користувальницького інтерфейсу. Вся робота виконується за допомогою команд.

Основні функції утиліти архівування:

  •  Створення архіву листів шляхом експорту заданого інтервалу записів за межі бази даних. Архівування може здійснюватися як з видаленням, так і без видалення листів з бази даних.
  •  Відновлення архіву листів шляхом імпорту заданого інтервалу записів у базу даних.
  •  Виконання переіндексації після видалення листів з бази даних або додавання листів у базу даних.


 

А также другие работы, которые могут Вас заинтересовать

43520. Технология производства хлористого калия методом растворения-кристаллизации 426 KB
  Осветление горячего насыщенного щелока от глинистых и солевых частиц. Охлаждение осветленного насыщенного щелока за счет самоиспарения под вакуумом и кристаллизация хлористого калия. Сгущение хлоркалиевой пульпы с целью отделения основной массы маточного щелока от кристаллов хлористого калия. Нагрев растворяющего щелока.
43521. НАПРЯМИ ТА ПРОПОЗИЦІЇ ЩОДО ВДОСКОНАЛЕННЯ ПРОФЕСІЙНОГО ПІДБОРУ ПЕРСОНАЛУ НА ПІДПРИЄМСТВІ 276.5 KB
  Якщо чисельність персоналу менша від нормативної, кадрового потенціалу стає недостатньо для розв’язання нагальних проблем розвитку організації. Планові перетворення виробничої та управлінської бази організації в цьому разі не забезпечуються достатньою професійною й інтелектуальною підтримкою наявних кадрів.
43522. Оценка эффективности затрат на предупреждение аварии и обучение нештатных АСФ 521 KB
  Основная причина и прогнозирование масштаба аварии. Технологический способ локализации аварии. Расчет сил и средств локализации аварии. Задание на учение и решение руководителя по ликвидации аварии.
43523. Облік операцій з фінансової оренди (лізингу) підприємства 816.5 KB
  Виходячи з вищесказаного була вибрана тема курсової роботи – Облік операцій з фінансової оренди лізингу підприємства. Тема оренди та лізингу є однією з найбільш актуальних як для великих підприємств так і для невеликих фірм. Оскільки подібні угоди не допускають можливості дострокового припинення оренди правильне визначення величини періодичної плати забезпечує власникові повне відшкодування...
43524. Расчёт и конструирование асинхронных двигателей 730 KB
  Расчёт обмоток статора Расчёт размеров зубцовой зоны статора и воздушного зазора Сердечники статора и ротора собраны из штампованных листов электротехнической стали толщиной Обмотка короткозамкнутого ротора и закорачивающие кольца выполняются алюминиевыми обмотка статора медной.
43525. Социальные конфликты современной России 162.5 KB
  Социальная неоднородность общества, различие в уровне доходов, власти, престиже и т.д. нередко приводят к конфликтам. Конфликты являются неотъемлемой частью общественной жизни. Это обуславливает пристальное внимание социологов к исследованию конфликтов.
43526. Многомерная модель базы данных и ее реализация на основе Microsoft SQL Server 479.5 KB
  Поэтому не удивительно то внимание которое сегодня уделяется средствам реализации и концепциям построения информационных систем ориентированных на аналитическую обработку данных. И в первую очередь это касается систем управления базами данных основанными на многомерном подходе МСУБД. Требования к средствам реализации систем оперативной и аналитической обработки данных.
43527. Организация отдыха детей и молодежи: технологии, опыт, проблемы 246.5 KB
  Правильно организованный отдых детей и молодежи обеспечит их разностороннее развитие и формирование личности, духовное, патриотическое, нравственное воспитание, укрепление здоровья, оздоровление организма и восстановление работоспособности. В современной России возникла проблема, касающаяся организации досуга и отдыха детей и молодежи
43528. Анализ и прогнозирование финансового состояния предприятия ООО «Зеркало-инфо» 455 KB
  Объектом исследования курсовой работы является ООО Зеркалоинфо предмет исследования – финансовое состояние предприятия. Цель курсовой работы – исследование финансового состояния предприятия ООО Зеркалоинфо выявление основных проблем финансовой деятельности. В первой главе работы проводится анализ финансового состояния предприятия.