- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
2.1.10. Розподіл ролей
У системі Traffic Monitor передбачене розмежування повноважень залежно від ролі, що призначається кожному користувачеві при створенні його облікового запису.
В Traffic Monitor передбачені наступні ролі:
Адміністратор інформаційної безпеки має набір прав, достатніх для керування конфігурацією сервера контентної фільтрації, базою профілів і базою контентного аналізу. Виконання даних завдань здійснюється за допомогою програми Traffic Monitor Security Administrator.
Офіцер безпеки має набір прав, необхідних для роботи з листами, що надходять у карантин. Виконання даних завдань здійснюється через інтерфейс програми Traffic Monitor Security Officer.
Адміністратор сховища має набір прав, необхідних для адміністрування системи за допомогою програми Traffic Monitor DB Administrator.
Аналітик має набір прав, достатніх для виконання завдань пошуку й аналізу листів у програмі Traffic Monitor Analyser.
Чистильник має набір прав, необхідних для видалення листів з бази даних. Виконання даного завдання здійснюється за допомогою програми Traffic Monitor Eraser.
При створенні й редагуванні облікового запису кожному користувачеві може бути визначена одна або кілька ролей.
2.2. Принципи фільтрації
Обробка листа сервером контентної фільтрації полягає в послідовному застосуванні до нього правил фільтрації:
Обробка листа починається з аналізу: перевіряється виконання умов, описаних у правилі фільтрації. Причому перевірка умов ведеться в тому порядку, у якому вони задані в правилі фільтрації.
Якщо хоча б одна з умов не виконана, обробка листа даним правилом припиняється без виконання яких-небудь дій.
Якщо всі умови виконані, над листом послідовно виконуються дії, описані в правилі фільтрації (у тім порядку, у якому вони задані).
Правила фільтрації поєднуються в групи - профілі. Профілі бувають двох типів:
загальні - для всіх листів, незалежно від їхнього адресата;
персональні - для листів, спрямованих зазначеним адресатам (або для всіх адресатів, якщо не зазначені конкретні адресати).
Профілі у свою чергу утворюють базу профілів, що входить до складу певної конфігурації. Крім бази профілів до складу конфігурації входить база контентного аналізу, що містить дані, необхідні для проведення контентного аналізу листа.
2.2.1. Загальний аналіз листа
У правилах фільтрації можуть бути описані умови наступних типів (а також їхнього заперечення):
IP-адреса відправника збігається із зазначеною;
IP-адреса відправника входить у зазначений список;
IP-адреса відправника або одного із проміжних поштових серверів, через які пройшло лист, утримується в базі даних одного з RBL-серверів, зазначених у списку RBL-серверів;
e-mail адреса відправника листа збігається із зазначеною;
e-mail адреса відправника листа входить у зазначений список;
e-mail адреса одержувача листа (одного з одержувачів, якщо їх трохи) збігається із зазначеною;
e-mail адреса одержувача листа (одного з одержувачів, якщо їх трохи) входить у зазначений список;
зміст листа віднесений сервером контентної фільтрації до певної контентної категорії;
лист має який-небудь заголовок зазначеного типу (тобто із зазначеним ім'ям);
лист має заголовок із зазначеним ім'ям (наприклад, From або To), що відповідає заданому шаблону (regular expression). Повний опис regular expression можна знайти у документації по POSIX 1003.2 regular expressions.
загальний розмір листа перевищує зазначені межі;
лист має вкладення;
ім'я файлу вкладення відповідає заданому шаблону (regular expression);
тип файлу вкладення відповідає заданому шаблону (regular expression);
лист містить вкладення неконтрольованого формату.
IP-адреса відправника відсутня в DNS;
лист зашифрований (S/MIME або PGP).
Правило фільтрації може містити одночасно кілька умов різних типів. Наприклад, можуть блокуватися листи, у яких одержувач належить до списку А, а відправник до списку В (В - "чорний список" для одержувачів зі списку А).
Списки адрес, на які посилаються правила фільтрації, бувають наступних типів:
списки IP-адрес містять IP-адреси у форматі aaa.bbb.ccc.ddd або aaa.bbb.ccc.ddd/nn;
списки e-mail містять адреси e-mail у форматі user@hostname.domain або @hostname.domain;
списки служб DNS-based RBL - містять назви зон, які використовуються для формування запиту до DNS з метою перевірки IP-адреси на його присутність в "чорному" списку (наприклад, для перевірки IP=202.103.129.8 через zone="blackholes.mail-abuse.org" формується запит до DNS з ім'ям домену 8.129.103.202.blackholes.mail-abuse.org).