Контент на предприятиях передается и перерабатывается самыми различными способами. Причем эта информация все чаще оказывается критически значимой для предприятия, играя существенную роль в достижении успеха. Она должна быть защищена особенно тщательно, поэтому необходимо классифицировать контент и его потоки в сети, а также контролировать доступ к нему.

Обеспечение безопасности контента требует систематического подхода: уже на шлюзе необходимо установить проактивные системы для противодействия вторжениям прямо на входе в сеть и блокирования новых угроз. Наряду с реактивными мерами такая система должна предлагать проактивные механизмы распознавания атак. Это особенно важно для эффективной политики предприятия по защите информации от кражи или манипуляций с ней, а также по защите от неправомочного доступа к конечным устройствам, серверам, шлюзам и мобильным устройствам.

Сюда же относится и контроль над такими устройствами, как накопители USB и пишущие дисководы DVD, а также над документооборотом или процессом простого вывода на печать. Необходимо вести наблюдение и за тем, не делаются ли и не отправляются ли без разрешения моментальные снимки экрана. Современные решения по управлению контентом должны отвечать этим требованиям на различных уровнях сети. В подобных случаях применяются так называемые решения по предотвращению потери данных (Data Loss Prevention, DLP), о которых и пойдет речь в дальнейшем.

ДЕТАЛЬНЫЙ КОНТРОЛЬ НАД ПОТОКАМИ ДАННЫХ

Каким образом можно управлять и следить за доступом и маршрутами передачи конфиденциальной цифровой информации по всей сети? Для этого были разработаны различные технологии, обеспечивающие контроль за маршрутом передачи информации. Некоторые решения фокусируются на наблюдении за контентом определенного вида, а именно, на соответствии информации какому-либо конкретному содержанию, другие следят за интерфейсами конечных устройств (USB, DVD, принтера) и запрещают, к примеру, недозволенное копирование информации на компакт-диск.

Лишь некоторые решения реализуют целостную программу контроля за потоками данных и таким образом полностью соответствуют концепции предотвращения потери данных. Защита данных должна обеспечиваться как в сети, так и на хосте. Однако большую часть этих систем легко обойти, скажем, путем шифрования конфиденциального контента и дальнейшей передачи его по электронной почте. Поэтому надежное решение должно применяться уже там, где эти данные впервые используются или предоставляются в распоряжение пользователю. Лишь при таком условии можно будет обеспечить абсолютный контроль потока данных с момента их появления вплоть до контролируемого разрешения на доступ к ним.

Решение должно проверять и регламентировать передачу контента с мобильных клиентов — смартфонов, КПК, неконтролируемых ноутбуков партнеров или внештатных сотрудников — в точках подключения к сети предприятия. Отсюда следует, что такие решения подлежат обязательной установке как на конечных устройствах, так и на шлюзах.

Необходимо принимать в расчет и те данные, которые недоступны из центра, к примеру, сохраненные лишь на жестком диске ноутбука. Нередко они считаются сугубо локальными, поскольку копируются на ноутбук и в течение некоторого времени обрабатываются в автономном режиме без подключения к сети. Решения по предотвращению потери данных должны следить за таким контентом, также в автономном режиме и функционально соответствовать действующим на уровне предприятия требованиям по контролю потока данных. Для этого при помощи консоли управления в Active Directory вводятся правила. Если на конечных устройствах установлен агент, правила загружаются при доступе в сеть, продолжая действовать и в автономном режиме.

Дополнительно возникает необходимость реализации, применения и наблюдения за директивами в квазиреальном времени. Это требование вытекает из условия, что срок жизни информации невелик, а факт нарушения необходимо установить очень быстро, и соответствующий сигнал тревоги должен быть подан немедленно. В идеальном случае такой подход поддерживается локальными системами обеспечения безопасности, в частности, решениями по противодействию вирусам и предотвращению вторжений на хост, которые в этом случае оптимально защищают клиентское устройство, например, работающее в точке общего доступа. Для обеспечения всеобъемлющей защиты от возможной потери данных приходится привлекать различные функции обеспечения безопасности (см. Рисунок 1).

КЛАССИФИКАЦИЯ — ЭТО ВСЕ

Решение по защите контента, ориентированное на предотвращение потери данных, должно быть направлено на осуществление мониторинга различных каналов передачи данных, приложений, с помощью которых производится первоначальная обработка и дальнейшая переработка конфиденциальных данных, а также подключенных конечных устройств.

Рисунок 1. Защита контента — это больше, чем простая система фильтров.
С технической точки зрения подобная система отличается не только наличием фильтра контента, который задает отдельное правило для каждого вида содержимого. Фильтр маркирует документ или источник данных вне зависимости от его структуры, объема и типа с помощью так называемого тега. Последний классифицирует тип документа и степень его конфиденциальности. В соответствии с такой классификацией различные действия и реакции определяются как разрешенные или неразрешенные. В идеальном случае информация об этом отражается и хранится в Active Directory или базе данных. После установления таких правил уже не удастся, к примеру, частично скопировать документ Word, получить его цифровое изображение путем создания снимка экрана или даже зашифровать.

В процессе копирования и тег, и классификация просто переходят в новый файл. То же самое относится к перекодированию в новый формат. Правила обработки контента не распространяются лишь на производимую вручную перепечатку файла. Этот независимый процесс никак не связан с двоичным копированием или другими техническими механизмами обработки исходного файла. Создание снимка экрана, печать файла или перезапись документа на другое устройство выполняются и контролируются средствами интеллектуального управления устройствами. Таким образом, открытый классифицированный документ Word и его содержимое не смогут быть опубликованы на странице Web путем копирования и вставки текста, поскольку источник — в данном случае документ Word — и его классификация воспретят подобные действия благодаря назначенному правилу реагирования.

На рынке имеются решения, предлагающие подобные функции и, таким образом, исключающие широкий спектр возможностей передачи целых документов или частей их содержимого. Если дополнительно будут доступны подключаемые программные модули (plug-in) для почтовых клиентов и систем мгновенного обмена сообщениями, то само приложение (скажем, Outlook) сможет воспрепятствовать пересылке. Если к письму прикрепляются соответствующим образом классифицированные документы или только копии частей некоторого документа, отправка автоматически блокируется, а значит, шлюзовым или сетевым решениям не придется заниматься еще и перехватом подобного трафика.

Рисунок 2. После проведения классификации контента осуществлять наблюдение за ним становится проще.В то же время на обработку конфиденциальных документов на конечной системе этот процесс не влияет, как и на создание копий данных на том же самом устройстве, к примеру, на локальном жестком диске. В конечном счете классификация — вместе с информацией о том, откуда документ поступил, — передается по наследству новому экземпляру создаваемого файла. Если, допустим, таблица Excel перекодируется и преобразуется в новый файл формата PGP, информация о его классификации будет отражена в Active Directory. Правила подобной системы описывают, что может происходить с основанной на контенте информацией или классифицированными источниками и что не допускается ни в коем случае. Детализация на уровнях устройств и приложений предлагает даже возможность ввода ограничений для применения накопителей USB какого-либо определенного производителя.

Важнейшая функция системы предотвращения потери данных — задание тегов и связанных с ними правил, по которым происходят передача файлов и доступ к ним. Эта классификация источника документа (к примеру, совместно используемого ресурса) и постоянно растущего множества изменяемых различными способами или просто копируемых документов все время автоматически регистрируется. Она всегда остается связанной с установленными для источника действиями, разрешениями и правилами. Поэтому главной задачей пользователя становится определение точных правил работы с контентом, не зависящих от источника какого-либо отдельного файла. В идеале задание явной классификации информации должно быть возможным для автора документа уже на уровне каталога. Соответствующие права — кто какой документ может классифицировать — следует вводить в пределах всего предприятия или подразделения. Если описанную систему в полном объеме включить или интегрировать в систему управления (см. Рисунок 2), то будет выполнено требование не только обеспечения контроля, но и возможности администрирования, а также эффективности работы предприятия.

Рольф Хас — старший системный инженер компании McAfee.


© AWi Verlag


Волшебное слово «классификация»

Организация защиты контента на предприятиях во все большей степени превращается в управление контентом, направленное на обеспечение потребностей безопасности и защиты данных. Однако оно успешно функционирует именно тогда, когда еще до реализации технического решения активизируется как раз тот элемент, о котором так подробно рассказывает Рольф Хас, — классификация неструктурированных или частично структурированных данных и надлежащих действий в корпоративной сети с точки зрения соблюдения конфиденциальности. Если пропустить этот крайне важный организационный шаг, который требует сотрудничества руководителей отделов и специалистов с менеджментом ИТ, то система защиты контента быстро выльется в парализующую всех и вся среду «Большого Брата» с бессмысленными запретами на использование носителей данных, почты и даже, возможно, моментальных снимков экрана. Подобный подход способен настолько замедлить творческое общение, что в итоге обеспечение безопасности помешает достижению успеха. Все названные меры могут оказаться осмысленными и необходимыми, но лишь в отношении той информации, которая оправдывает столь сложные препятствия для нормальной работы.

Д-р Йоханес Виле — редактор журнала LANline.

Поделитесь материалом с коллегами и друзьями