- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
2.4.1. Спеціальні заголовки
У процесі фільтрації листів стандартні технічні заголовки листи можуть бути модифіковані або замінені новими.
Для реалізації пропонованої схеми фільтрації використовуються наступні спеціальні заголовки листів:
X-InfoWatch-Status;
X-InfoWatch-Method;
X-InfoWatch-Info;
X-InfoWatch-Categories;
InfoWatch-Formal-Categories;
X-InfoWatch-From;
X-InfoWatch-To;
X-InfoWatch-ClientHost;
X-InfoWatch-ClientIP;
X-InfoWatch-WebMailHost;
X-InfoWatch-Auth;
X-InfoWatch-WebMail;
InfoWatch-WebMail-Fin.
Крім цього передбачені два заголовки, за допомогою яких можна настроювати правила збереження листів у базу даних:
X-nfoWatch-Strore2Db;
X-InfoWatch-NotStrore2Db.
Розглянемо докладніше кожний з перерахованих заголовків:
X-InfoWatch-Status - заголовок, що проставляється сервером контентної фільтрації в процесі аналізу листа. Кожному обробленому листу може бути привласнений тільки один статус. Результат оцінки листа виражається певним значенням статусу:
Bad - лист містить конфіденційну інформацію.
Probable - лист із великою ймовірністю містить конфіденційну інформацію, однак виявлені ознаки не дають затверджувати це з достатньою впевненістю.
Trusted - лист прийшов з відомого джерела (згаданого в одному з "білих" списків - списків довірених відправників і серверів) і повинен бути прийнятим.
Not Detected - у листі, що прийшов з невідомого джерела (не згаданого в жодному з "білих" списків), не виявлено ознак, достатніх для присвоєння одного з "поганих" статусів (Bad або Probable).
Значення заголовка X-InfoWatch-Status ураховується при винесенні рішення, дозволити або блокувати доставку листа адресатам. Крім того, даний заголовок використовується при модифікації листа й записі листа в базу даних (архів/карантин).
X-InfoWatch-Method - заголовок, що проставляється Сервером контентної фільтрації в процесі аналізу листа. Містить інформацію про те, яким образом був оброблений лист, і на підставі яких ознак був зроблений висновок про наявність або відсутність порушення. Наприклад, після обробки зашифрованого листа заголовок X-InfoWatch-Method буде містити значення Cryptography, а після обробки листа від довіреного відправника - значення E-mail Lists.
X-InfoWatch-Info - заголовок, що проставляється сервером контентной фільтрації в процесі аналізу листа. Містить інформацію про те, які саме проблеми були виявлені в процесі аналізу листа.
X-InfoWatch-Categories - заголовок, що проставляється сервером контентної фільтрації в процесі аналізу листа. Містить інформацію про те, які контентні категорії були привласнені листу за результатами контентного аналізу.
InfoWatch-Formal-Categories - заголовок, що проставляється сервером контентної фільтрації в процесі аналізу листа. Містить інформацію про те, до якої категорії був віднесений лист у результаті загального аналізу (тобто способами, відмінними від методу контентного аналізу). Наприклад, якщо лист зашифрований, то заголовок InfoWatch-Formal-Categories буде містити значення Formal/Cryptography.
X-InfoWatch-From - заголовок, що містить інформацію про відправника листа; може проставлятися як сервером контентної фільтрації, так і модулем фільтрації POST-запитів.
У випадку обробки листів корпоративної пошти заголовок проставляється сервером контентної фільтрації в процесі аналізу листа. Значення заголовка береться з SMTP-конверта.
У випадку обробки Web-листа заголовок створюється модулем Web-фільтрації на стадії формування SMTP-листа по даним перехопленого POST-запиту. Як значення заголовка використовується поштова адреса, сформована з використанням даних авторизації:
Domain-User@Host.ClientMX,
де:
Domain - ім'я домена, у якому зареєстрований користувач (якщо є).
User - ім'я, під яким зареєстрований користувач.
Host - ім'я сервера Web-пошти, з якого виконувалося відправлення листа (відповідає значенню заголовка X-InfoWatch-WebMailHost).
ClientMX - загальний для всіх адрес префікс, що використовується для того, щоб відокремити Web-листа від звичайних електронних листів.
X-InfoWatch-To - заголовок, у якому розміщена інформація про одержувачів листа; може проставлятися як сервером контентної фільтрації, так і модулем фільтрації POST-запитів. У випадку, коли заголовок проставляється сервером контентної фільтрації, значення береться з SMTP-конверта. Якщо заголовок створюється модулем фільтрації POST-запитів, то значення заголовка береться з полів уведення адрес одержувача (From, CC і BCC) по даним аналізованого POST-запиту.
X-InfoWatch-ClientHost - заголовок, що використовується тільки при обробці Web-листів і проставляється модулем фільтрації POST-запитів. Заголовок містить ім'я комп'ютера (hostname), з якого виконувалося відправлення Web-листа.
X-InfoWatch-ClientIP - заголовок, що використовується тільки при обробці Web-листів і проставляється модулем фільтрації POST-запитів. Містить IP-адресу комп'ютера, з якого виконувалося відправлення Web-листа.
X-InfoWatch-WebMailHost - заголовок, що використовується тільки при обробці Web-листа й проставляється модулем фільтрації POST-запитів. Містить ім'я сервера, до якого виконується HTTP-запит (значення збігається зі значенням, записуваним у частину Host заголовка X-InfoWatch-From).
X-InfoWatch-Auth - заголовок, що використовується тільки при обробці Web-листів і проставляється модулем фільтрації POST-запитів. Містить ім'я, під яким відправник листа був авторизований на ISA сервері.
X-InfoWatch-WebMail - заголовок, що використовується тільки при обробці Web-листів і проставляється модулем фільтрації POST-запитів. Цей заголовок використовується як ознака того, що лист проходить етап виявлення порушень (результатом даного етапу є рішення, пропускати HTTP-запит на зовнішній сервер чи ні).
InfoWatch-WebMail-Fin - заголовок, що використовується тільки при обробці Web-листів і проставляється модулем фільтрації POST-запитів. Заголовок служить ознакою того, що лист проходить етап маршрутизації (по закінченні даного етапу лист зберігається в базу даних).
X-nfoWatch-Strore2Db - заголовок, що використовується для настроювання правил збереження листів у базу даних. Якщо даний заголовок має значення True, то листи, що задовольняють заданим умовам, в обов'язковому порядку будуть зберігатися в базу даних.
X-InfoWatch-NotStrore2Db - заголовок, що використовується для настроювання правил збереження листів у базу даних. Якщо даний заголовок має значення True, то листи, що задовольняють заданим умовам, не будуть зберігатися в базу даних.