- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
1. Контроль та захист інформації від внутрішніх загроз
1.1 Інформація та ризик
Від 70 до 80% втрат від злочинів у сфері ІТ доводиться на атаки зсередини. При цьому топ - менеджери компаній дуже часто недооцінюють збиток, що може бути нанесений бізнесу їхніми власними співробітниками.
Для того, щоб побудувати ефективну систему інформаційної безпеки, необхідні три речі: чітке розуміння того, що має потребу в захисті, поінформованість про відповідні загрози й здатність їх запобігти.
Якщо раніше зловмисники атакували більшою мірою малі й середні погано захищені компанії, то тепер у полі їхньої уваги великі організації, що володіють величезними інформаційними базами. Дрібних грабіжників змінили професіонали, чия мета - інформація. Вони використовують уразливості іншого роду - не проломи в технологіях, а слабкі місця в бізнес-процесах.
Дотепер системи ІТ-безпеки були схожі на глухі кріпосні стіни з пильно охоронюваними входами. Але в нинішніх умовах такий захист недостатній - ворог перемінив тактику. Для того, щоб залишатися захищеною, компанія повинна бути прозорою - так, щоб жоден процес не залишався за рамками моніторингу й контролю.
Корпоративні скандали й масові витоки інформації приводять до впровадження нових законодавчих норм і правил, і керівництво компаній змушене стежити за відповідністю численним національним і міжнародним правовим актам. Тенденція простежується дуже чітко - якщо компанія не вживає необхідних дій для забезпечення безпеки інформації своїх замовників, то результатом може стати втрата довіри, підрив репутації, зниження вартості акцій, штрафи, і, можливо, кримінальна відповідальність для відповідальних керівних осіб.
Організації, що виконують всі дії для того, щоб відповідати нормам, мають вагому перевагу перед інвесторами. Інформаційна безпека вийшла за рамки процесу керування ризиками, тепер вона має статус фундаментального елементу ведення бізнесу.
Кількість внутрішніх атак у компаніях різних сфер бізнесу на сьогоднішній день перевищує кількість зовнішніх. Причому ріст кількості внутрішніх атак за останній рік більш ніж дворазовий: з 14% від загальної кількості порушень інформаційної безпеки торік до 35% у нинішньому.
Найпоширеніші із внутрішніх загроз - неавторизований доступ у систему (сервер, персональний комп'ютер або базу даних), неавторизований пошук або перегляд конфіденційних даних і спроби обійти або зламати систему безпеки або аудиту. Крім того, це несанкціоновані маніпуляції з інформацією - зміна або знищення даних, а також збереження або обробка конфіденційної інформації в системі, не призначеної для цього.
Внутрішні атаки на інформаційні системи приносять величезний збиток, і не тільки фінансовий - витік конфіденційних даних це серйозний удар по репутації компанії. Технічно витік може відбутися по декількох каналах: через поштовий сервер - за допомогою електронної пошти, через прокси-сервер - при використанні відкритих поштових систем, через принтер - при фізичному друку документів, і через мобільні накопичувачі різного роду - дискети, CD-диски, переносні пристрої із флеш-пам'яттю та вбудованим жорстким диском.
Загрозам з боку власного персоналу не можна запобігти повністю, але ними можна управляти й звести до мінімуму. При створенні повномасштабної системи інформаційної безпеки варто враховувати всі можливі способи здійснення внутрішніх атак і шляхи витоку інформації. Необхідні системи захисту, що дозволяють контролювати інформацію, що проходить через кожний вузол мережі, і блокувати всі спроби несанкціонованого доступу до конфіденційних даних.
Захист кожної окремо взятої робочої станції й інформаційної системи в цілому повинна будуватися на двох принципах: перший - відключення сервісів, надлишкових для користувача, і другий - постійний моніторинг ситуації в активних сервісах. Дотримання балансу між цими принципами - постійний компроміс, але тільки так можна створити прозору й гнучку систему безпеки, що однаково ефективно захищає від зовнішніх і внутрішніх погроз.