- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch 20
- •3.6. Особливості розгортання субд Oracle 102
- •3.7. Вирішення проблем 106 вступ
- •1. Контроль та захист інформації від внутрішніх загроз
- •1.1 Інформація та ризик
- •1.2 Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •1.2.1 InfoWatch Mail Monitor
- •1.2.2 InfoWatch Web Monitor
- •1.2.3 InfoWatch Device Monitor
- •1.2.3 InfoWatch Mail Storage
- •1.2.4 InfoWatch Net Monitor
- •1.2.5 InfoWatch Enterprise Solution
- •Структура InfoWatch Enterprise Solution наведена на рисунку 6.
- •1.3 Сервіси
- •Розділ 2. Засоби та методи захисту мереж від витоків інформації
- •2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
- •2.1.1. Склад Traffic Monitor
- •2.1.2. Traffic Monitor Server
- •2.1.3. Traffic Monitor isa Server Plugin
- •2.1.4. Traffic Monitor Security Administrator
- •2.1.5. Traffic Monitor Security Officer
- •2.1.6. Traffic Monitor db Administrator
- •2.1.7. Traffic Monitor Analyser
- •2.1.8. Traffic Monitor Eraser
- •2.1.9. Схема роботи Traffic Monitor
- •2.1.10. Розподіл ролей
- •2.2. Принципи фільтрації
- •2.2.1. Загальний аналіз листа
- •2.2.2. Контентний аналіз листа
- •2.2.3. Дії над листами
- •2.3. Фільтрація Web-пошти
- •2.3.1. Цикл обробки Web-пошти
- •2.3.2. Особливості обробки Web-пошти
- •2.3.2.1. Авторизований і неавторизований режими роботи Web-фільтра
- •2.3.2.2. Обробка форм авторизації
- •2.3.2.3. Визначення кодування листа
- •2.4. Профілі фільтрації
- •2.4.1. Спеціальні заголовки
- •InfoWatch-Formal-Categories;
- •InfoWatch-WebMail-Fin.
- •2.4.2. Виявлення ознак порушення
- •2.5. Робота з Traffic Monitor Security Administrator
- •2.5.1. Головне вікно програми
- •2.5.2. Дерево конфігурацій
- •2.5.3. Конфігурація сервера контентної фільтрації
- •2.6. База профілів
- •2.6.1. Правила фільтрації
- •2.6.2. Призначення умов і дій у правилі фільтрації
- •2.7. Списки адрес
- •2.8. Робота з Traffic Monitor Security Officer
- •2.8.1. Головне вікно програми
- •2.8.2. Пошук листів
- •2.8.3. Моніторинг і аналіз листів
- •2.8.4. Перегляд листів
- •2.8.5. Ухвалення рішення
- •2.8.6. Робота з листами
- •2.8.8. Довідник X-InfoWatch-Status
- •2.9. Робота з Traffic Monitor db Administrator
- •2.9.1. Головне вікно програми
- •2.9.2. Керування обліковими записами
- •2.9.3. Сегменти даних
- •2.9.4 Перегляд статистики
- •2.10. Робота з Traffic Monitor Analyser
- •2.10.1. Головне вікно програми
- •2.10.2. Аналіз листів
- •2.10.3. Перегляд листів
- •2.10.4. Робота з листами
- •2.11. Робота з Traffic Monitor Eraser
- •2.11.1. Головне вікно програми
- •2.11.2. Пошук листів
- •2.11.3. Перегляд листів
- •2.12. Утиліта архівування
- •Розділ 3. Встановлення та конфігурування системи traffic monitor
- •3.1. Вимоги до апаратного та програмного забезпечення
- •3.1.1. Traffic Monitor Server
- •3.1.2. Traffic Monitor isa Server Plugin
- •3.1.3. Traffic Monitor Security Administrator, Traffic Monitor Security Officer
- •3.1.4. Traffic Monitor db Administrator, Traffic Monitor Analyser, Traffic Monitor Create Database Wizard, Traffic Monitor Eraser
- •3.2. Traffic Monitor Create Database Wizard
- •3.3. Створення схем баз даних
- •3.4. Traffic Monitor Server
- •3.4.1. Підготовка до встановлення
- •3.4.2. Встановлення Traffic Monitor Server
- •3.4.3. Настроювання Traffic Monitor Server
- •3.4.4. Настроювання з'єднання із сервером субд Oracle
- •3.4.5. Настроювання інтеграції з Postfix
- •3.4.6. Взаємодія із серверами субд Oracle
- •3.5. Traffic Monitor isa Server Plugin
- •3.5.1. Встановлення Traffic Monitor isa Server Plugin
- •3.5.2. Настроювання Traffic Monitor isa Server Plugin
- •3.6. Особливості розгортання субд Oracle
- •3.6.1 Вимоги до обов'язкового набору функціональності субд Oracle
- •3.6.2. Короткий опис процесу установки
- •3.6.3. Вирішення проблеми зв'язку із сервером субд Oracle
- •3.7. Вирішення проблем
- •Перелік використаних джерел
Розділ 2. Засоби та методи захисту мереж від витоків інформації
2.1. Забезпечення безпеки конфіденційної інформації за допомогою програмних продуктів компанії InfoWatch
Ядро сучасної системи безпеки - керування ризиками. Ідентифікація, аналіз ризиків і правила реагування на реалізовані загрози - все це складає систему керування ІТ інцидентами. Її функції - фіксація факту порушення політики інформаційної безпеки та оповіщення про нього офіцера безпеки, ранжирування інцидентів по ступені критичності та визначення регламентів реагування на них, консолідація й зберігання інформації про інциденти, що відбулися, у масштабі всього підприємства, і, нарешті, ретроспективний аналіз інцидентів, що відбулися.
Сімейство продуктів InfoWatch розроблено з урахуванням цих вимог і являє собою збалансований засіб для ефективного керування інформаційною безпекою компанії, без якого немислимо безперервне ведення сучасного бізнесу.
InfoWatch допомагає зберегти репутацію замовника, мінімізувати фінансові ризики, пов'язані із втратою конфіденційності даних і привести інформаційну систему у відповідність із національними й міжнародними законами та стандартами.
Рішення компанії забезпечують контроль над найпоширенішими шляхами витоку, моніторинг доступу співробітників до корпоративних інформаційних ресурсів і зберігання докладного архіву операцій з документами.
InfoWatch у масштабі реального часу фільтрує поштовий і веб-трафик і контролює операції з документами на робочих станціях, запобігаючи виводу конфіденційних даних за межі інформаційної системи. У випадку виявлення фактів порушення корпоративної політики ІТ безпеки система оперативно повідомляє про інцидент компетентним особам і поміщає підозрілі об'єкти в область карантину.
InfoWatch Traffic Monitor (далі Traffic Monitor або система) - це розподілена багатокомпонентна система, призначена для контролю за трафиком вихідних листів, переданих по протоколах SMTP і HTTP.
Для виконання даного завдання в системі передбачені два види перехоплювачів:
Mail Monitor - призначений для перехоплення SMTP-трафика. Перехоплення SMTP-трафика здійснюється за допомогою інтеграції з поштовим сервером Postfix.
Web Monitor - призначений для перехоплення HTTP-трафика. Поставляється у вигляді окремого компонента - Traffic Monitor ISA Server Plugin. Перехоплення HTTP-трафика здійснюється за допомогою інтеграції із Proxy-сервером MS ISA Server.
У процесі роботи системи Traffic Monitor накопичується великий обсяг даних. Завдання зберігання отриманих даних вирішується інтеграцією системи Traffic Monitor із СУБД Oracle.
2.1.1. Склад Traffic Monitor
До складу системи Traffic Monitor входять наступні компоненти:
Traffic Monitor Server (сервер поштової фільтрації).
Traffic Monitor ISA Server Plugin (модуль фільтрації POST-запитів).
Компоненти користувальницького інтерфейсу:
Traffic Monitor Security Administrator.
Traffic Monitor Security Officer.
Traffic Monitor DB Administrator.
Traffic Monitor Analyser.
Traffic Monitor Eraser.
2.1.2. Traffic Monitor Server
Traffic Monitor Server (далі Traffic Monitor Server або сервер поштової фільтрації) призначений для виконання наступних функцій:
здійснення тематичної класифікації поштових листів;
виділення з потоку електронної кореспонденції листів, що містять ознаки конфіденційної інформації;
збереження копій листів, що відповідають корпоративній політиці безпеки в архіві;
модифікація заголовків листів, списків одержувачів, відповідно до вимог корпоративної політики безпеки;
передачу затриманих листів, що порушують корпоративну політику безпеки в карантин (з можливістю відкладеного прийняття Офіцером безпеки рішення про відправлення листа одержувачам);
створення архіву листів шляхом експорту листів з бази даних у зазначене місце (з можливістю імпорту створеного архіву листів назад у базу даних).
Кожний електронний лист, що проходить через сервер поштової фільтрації, перевіряється на його відповідність корпоративній політиці безпеки.
По-перше, виконується перевірка атрибутів листа на відповідність або невідповідність певним умовам. До таких атрибутів відносяться:
адреси відправника й одержувачів (з SMTP-конверта);
розмір листа, його заголовки;
кількість та тип вкладених файлів.
По-друге, використовується контентна фільтрація, тобто аналізується зміст самого листа та вкладених файлів. Застосовуються лінгвістичні алгоритми, засновані на:
пошуку характерних термінів (слів і словосполучень);
порівнянні з листами-зразками.