- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
2.4.2. Виявлення ознак порушення
Аналіз листа проводиться з метою виявити ознаки порушення корпоративної політики безпеки. Правила, по яких виконується аналіз листа, задаються в загальному профілі Класифікація повідомлень (файл common.xml).
Відповідно до правил даного профілю листам привласнюється один з визначених статусів (Bad, Probable, Trusted, Not Detected). Крім статусу до листа можуть бути додані інформативні заголовки, такі як X-InfoWatch-Info, X-InfoWatch-Method, X-InfoWatch-Categories, InfoWatch-Formal-Categories.
На даному етапі, насамперед, лист перевіряється по локальним "білим" списках e-mail і IP-адрес (спискам довірених відправників і серверів). Ці списки повинні складатися й поповнюватися Адміністратором інформаційної безпеки за допомогою програми Traffic Monitor Security Administrator.
Далі проводяться більш детальні перевірки вмісту листа й вкладень. При цьому рекомендується спочатку перевіряти параметри, які можна визначити, не прибігаючи до трудомістких операцій (наприклад, зашифрований лист чи ні), і лише після цього проводити контентний аналіз листа.
У даному профілі можуть бути наступні правила фільтрації:
Правило 1:
Умови:
IF Розмір більше "0".
Дії:
Видалити всі заголовки із заданим ім'ям = " X-InfoWatch-Method".
Видалити всі заголовки із заданим ім'ям = " X-InfoWatch-Info".
Видалити всі заголовки із заданим ім'ям = " X-InfoWatch-Categories".
Видалити всі заголовки із заданим ім'ям = " X-InfoWatch-Status".
Видалити всі заголовки із заданим ім'ям = " X-InfoWatch-From".
Видалити всі заголовки із заданим ім'ям = " X-InfoWatch-To".
Видалити всі заголовки із заданим ім'ям = " InfoWatch-Formal-Categories".
Для того щоб виключити перетинання з якими-небудь іншими системами або можливість фальсифікації результатів перевірки листа, віддаляються заголовки X-InfoWatch-Method, X-InfoWatch-Info, X-InfoWatch-Categories, InfoWatch-Formal-Categories, X-InfoWatch-Status, X-InfoWatch-From і X-InfoWatch-To.
Правило 2:
Умови:
IF E-mail відправника в списку "Офіцери безпеки".
Дії:
Додати одержувача (список одержувачів): "security.good-archive@mm2. company.tst".
Якщо відправник визначений у списку адрес "Офіцери безпеки", то такий лист, безумовно, і без усякої обробки, приймається до доставки. Копія листа пересилається в архів гарних листів (логіка "білого" списку відправників).
Правило 3:
Умови:
IF E-mail відправника в списку "Довірені відправники".
Дії:
Установити значення заголовка X-InfoWatch-Status = "Trusted".
Створити новий заголовок: "( X-InfoWatch-Method; E-mail Lists)".
Створити новий заголовок: "( X-InfoWatch-Info; a message from trusted sender)".
Зупинити виконання профілю.
Якщо відправник визначений у списку адрес "Довірені відправники", то листу приписується статус Trusted (лист від довіреного відправника). Більше ніяких дій з листом не виконується, робота профілю завершується.
Правило 4:
Умови:
IF IP відправника в списку "Довірені relay-сервери".
Дії:
Установити значення заголовка X-InfoWatch-Status = "Trusted".
Створити новий заголовок: "( X-InfoWatch-Method; IP Lists)".
Створити новий заголовок: "( X-InfoWatch-Info; a message from trusted relay)".
Зупинити виконання профілю.
Аналогічно правилу 3, але умовою виконання дій є приналежність IP-адреси сервера до списку довірених серверів (передбачається, що є в мережі такі сервери, які ніколи не відправляють поганої пошти).
Правило 5:
Умови:
IF NOT Заголовок існує: "( InfoWatch-WebMail-Fin)".
Дії:
Замінити заголовок на заданий: "( X-InfoWatch-From; ${FROM})".
Замінити заголовок на заданий: "( X-InfoWatch-To; ${ORIG_RCPTS})".
У заголовках X-InfoWatch-From і X-infoWatch-To зберігаються адреси з вихідного SMTP-конверта.
Дане правило застосовується тільки до листів корпоративної пошти (тобто до листів без заголовка InfoWatch-WebMail-Fin). Це пояснюється тим, що в листах, отриманих від модуля фільтрації POST-запитів, уже проставлений заголовок X-InfoWatch-To.
Правило 6:
Умови:
IF Розмір більше "0".
IF NOT Заголовок існує: " Errors-To".
Дії:
Замінити заголовок на заданий: "( Errors-To; ${FROM})".
У заголовку Errors-To зберігається адреса для відправлення повідомлень про помилки.
Правило 6 завершує попередні дії по аналізу листа. Наступні правила реалізують пошук порушень корпоративної політики безпеки.
Правило 7:
Умови:
IF Лист зашифрований (MIME/PGP).
Дії:
Установити значення заголовка X-InfoWatch-Status = "Probable".
Замінити заголовок на заданий: "( X-InfoWatch-Method; Cryptography)".
Замінити заголовок на заданий: "( InfoWatch-Formal-Categories; Formal/Cryptography)".
Зупинити виконання профілю.
Відповідно до умов, заданих у правилі 7, лист перевіряється на наявність зашифрованих частин (PGP або S/MIME). Якщо умова виконується, то листу приписується статус Probable (можливе порушення) і привласнюється відповідна формальна категорія. Оскільки інших перевірок з таким листом виконувати не потрібно, робота профілю завершується.
Далі виконується аналіз змісту листа:
Правило 8:
Умови:
IF Категорія контентной фільтрації = "StrictlyConfidential".
Дії:
Установити значення заголовка X-InfoWatch-Status = "Bad". Створити новий заголовок:"( X-InfoWatch-Method; Content)". Створити новий заголовок: "( X-InfoWatch-Categories; ${CATEGORY})". Зупинити виконання профілю.
Починається контентний аналіз вмісту листа.
При аналізі контентних категорій варто йти від більш вузьких внутрішніх категорій. У цьому випадку в базі контентного аналізу категорія Strictly Confidential є підкатегорією великої категорії Confidential. Щоб відрізнити більше вузький випадок, перевірка цієї умови виноситься вперед. За результатами листу приписується статус Bad (порушення) і проставляються контентні категорії. На цьому робота даного профілю завершується.
Правило 9:
Умови:
IF Категорія контентной фільтрації = "Confidential".
Дії:
Встановити значення заголовка X-InfoWatch-Status = "Probable".
Створити новий заголовок: "( X-InfoWatch-Method; Content)".
Створити новий заголовок: "( X-InfoWatch-Categories; ${CATEGORY}).
Зупинити виконання профілю.
Дане правило має подібність із правилом 8, але перевірка виконується для більше загальної категорії Confidential. Якщо задані умови виконуються, то листу привласнюється статус - Probable (можливе порушення) і проставляються контентні категорії. На цьому робота профілю завершується.
Правило 10:
Умови:
IF Тип вкладення не визначений.
Дії:
Установити значення заголовка X-InfoWatch-Status = " Probable".
Замінити заголовок на заданий: "( X-InfoWatch-Method; File types control)".
Замінити заголовок на заданий: "( InfoWatch-Formal-Categories; Formal/UncontrolledFileTypes)".
Зупинити виконання профілю.
Перевіряється наявність у листі вкладень неконтрольованого формату графіки, файлів невідомого типу й т.п.
Дане правило вимагає акуратного застосування: якщо в організації дозволено відправляти поштою файли довільного формату, то таке правило може стати джерелом великої кількості помилкових тривог. У розглянутому прикладі такі листи одержують статус Probable (можливе порушення).
Правило 11:
Умови:
IF Ім'я вкладення (регулярне вкладення) = "[r][e][Ss][Uu][Mm])\([Рр][Ее][Зз][Юю][Мм]".
IF Вкладення існує.
Дії:
Установити значення заголовка X-InfoWatch-Status = "Probable".
Замінити заголовок на заданий: "( X-InfoWatch-Method; Attachment name)".
Замінити заголовок на заданий: "( InfoWatch-Formal-Categories; Formal/FileName)".
Зупинити виконання профілю.
Перевіряється наявність у листі вкладень, що містять у назві рядок резюме або resum (розглядаються всі можливі варіанти написання цих рядків: як малими, так і заголовними буквами). Якщо перевірка дає позитивний результат, то такому листу привласнюється статус Probable (можливе порушення).
Правило 12:
Умови:
IF Розмір більше "0".
Дії:
Установити значення заголовка X-InfoWatch-Status = "Not Detected".
Зупинити виконання профілю.
Оскільки правило 12 обробляє всі листи, які не були оброблені попередніми правилами, то команда Зупинити виконання профілю вказує на те, що дане правило є останнім у профілі. Всі наступні правила застосовуватися до листів не будуть.
Таким чином, два наступні правила фільтрації не діють. Щоб їх активувати, вам необхідно перемістити їх нагору на позиції 7-8. Докладніше про зміну порядку виконання правил фільтрації усередині профілю.
Правило 13:
Умови:
IF IP відправника в списку "Корпоративні поштові системи".
IF NOT E-mail відправника = "@mm2.company.tst".
Дії:
Установити значення заголовка X-InfoWatch-Status = "Probable".
Замінити заголовок на заданий: "( X-InfoWatch-Info; Validate sender address from envelope)".
Замінити заголовок на заданий: "( X-InfoWatch-Method; Sender address)".
Замінити заголовок на заданий: "( InfoWatch-Formal-Categories; Formal/Sender address)".
Зупинити виконання профілю.
Це правило описує процес блокування відправлення пошти з адресами, що не належать корпоративному домену mm2.company.tst. Для цього необхідно попередньо внести адреси корпоративних поштових серверів, через які користувачі відправляють пошту, у список "Корпоративні поштові системи". Тоді будь-який лист, отриманий з даних серверів і такий, що не відноситься до домену mm2.company.tst, буде позначений як потенційне порушення (статус Probable).
Наступне правило ілюструє можливість взаємодії системи фільтрації конфіденційних листів із сервером фільтрації спама SpamTest (передбачається, що зовнішні спамерські розсилання не порушують правил корпоративної політики безпеки):
Правило 14:
Умови:
IF IP відправника в списку "Антиспамерські поштові сервери"
IF Заголовок (регулярне вираження) = "( X-SpamTest-Status; [Ss][Pp][Aa][Mm])".
Дії:
Замінити заголовок на заданий: "( X-InfoWatch-Method; Spamtest detection)".
Замінити заголовок на заданий: "( X-InfoWatch-Info; Message detected as SPAM by Spamtest server)".
Установити значення заголовка X-InfoWatch-Status = "Trusted". Замінити заголовок на заданий: "( InfoWatch-Formal-Categories;
Formal/SPAM)".
Зупинити виконання профілю.
Лист уважається безпечним (статус Trusted), якщо цей лист отриманий від сервера фільтрації спама SpamTest і має позначку "spam".