- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
2.3.2. Особливості обробки Web-пошти
Обробка Web-листів має кілька особливостей, пов'язаних як з особливостями реалізації модуля POST-фільтрації, так і з неоднозначністю, що виникає в процесі формування листа з перехопленого POST-запиту.
2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
Момент, коли Web-фільтр повинен зробити аналіз умісту POST-запиту, визначається або як момент, коли отриманий останній байт запиту (неавторизований режим), або коли отримана інформація про те, що користувач авторизований на Proxy-сервері.
Якщо Proxy-сервер вимагає обов'язкової авторизації з'єднання, необхідно використовувати режим авторизованої обробки з'єднань. У цьому випадку:
підвищується продуктивність системи в цілому, тому що в цьому випадку Web-фільтром не обробляються запити, відхилені Proxy-сервером з вимогою авторизації користувача;
забезпечується визначення ім'я користувача на підставі даних про авторизацію на тім Proxy-сервері, що намагається відправити інформацію за допомогою Web-пошти .
Однак у випадку, якщо Proxy-сервер не вимагає авторизації користувача, Web-фільтр необхідно встановлювати в режимі неавторизованої обробки з'єднань. Особливостями даного режиму є те, що листа можуть проходити через сервер, не маючи певної авторизації, що в деяких випадках не дає можливості визначити, який користувач зробив відправлення підозрілого листа.
2.3.2.2. Обробка форм авторизації
Через особливості фільтрації HTTP-трафика можливе виникнення наступного ефекту: якщо в паролях для доступу до тих або інших ресурсів (наприклад, у паролі користувача для доступу до Web-пошти) зустрічаються слова, які присутні в базі контентного аналізу, то такі запити також можуть бути заблоковані.
2.3.2.3. Визначення кодування листа
При відправленні листів з деяких сайтів Web-пошти кодування тексту явно не вказується. У цьому випадку виконується автоматичне детектовання кодування листа засобами сервера контентної фільтрації. Здійснення даної операції має наступне обмеження: розпізнавання кодування листа можливе тільки за умови, що в темі й/або тілі листа є як мінімум два слова. У противному випадку визначення кодування стає неможливим.
2.4. Профілі фільтрації
До складу системи Traffic Monitor входять предвстановлені профілі фільтрації. Предвстановлені профілі настроєні на роботу в режимі затримки листів, що порушують корпоративну політику безпеки, і реалізують наступну схему фільтрації:
Виявлення ознак порушення корпоративної політики безпеки: аналіз і оцінка листа, присвоєння листу певного статусу за результатами оцінки.
Протоколювання інформації, отриманої в ході аналізу листа.
Обробка Web-пошти з метою ухвалення рішення про подальші дії з даним листом. Рішення приймається на підставі статусу, привласненого листу на кроці 1. Можливі наступні дії: відправити лист зазначеним адресатам або блокувати доставку листа.
Обробка листів, для яких на кроці 3 було ухвалене рішення про відправлення зазначеним адресатам.
Обробка листів, для яких на кроці 3 було ухвалене рішення блокувати доставку зазначеним адресатам.
Обробка листів корпоративної електронної пошти.
Заключна обробка листа. Обробці піддаються всі SMTP-листи, не оброблені на попередніх кроках.