CC BY
51Бегич Е. С., Ленхорова И.А.
комплексная программа для защиты информации на конечных точках сети дизайнерских отделов предприятия
В связи с широким использованием информационных технологий в дизайне резко увеличивается вероятность утечки информации от разработчика проектной дизайнерской документации к злоумышленникам и снижения прибыли профильных предприятий. Плагиат проектов приобретает высокий уровень. Нами рассматриваются вопросы выбора концептуальной модели защиты дизайнерской информации в локальных сетях.
1. Концептуальная модель Zecurion Zlock Dizain
Zecurion Zlock Dizain предназначается для защиты от утечек конфиденциальной информации на конечных точках сети. Zecurion Zlock Dizain позволяет контролировать использование устройств, подключаемых к портам USB, LPT, COM, IrDA, IEEE 1394, слоту PCMCIA, внутренних устройств — в том числе встроенных сетевых карт, модемов, Bluetooth, Wi-Fi, CD/DVD-дисководов, а также используется для контроля печати через корпоративные локальные и сетевые принтеры.
Задачи программы:
- Разграничение доступа к любым устройствам и портам на основе гибкой настройки политик доступа.
- Контроль всей информации, которая копируется на съемные устройства и распечатывается на принтерах.
- Анализ содержимого файлов на предмет наличия в них конфиденциальных данных.
- Блокирование печати, чтения и записи на устройства при выявлении нарушений политик безопасности.
- архивирование всех записанных и распечатанных документов.
- Своевременное предотвращение утечек информации.
Контроль использования съёмных устройств необходим любой современной организации для эффективной защиты конфиденциальной информации от рисков утечки. Особенную актуальность проблема внутренних угроз получила в
ISSN 2313-1160
связи с появлением и повсеместным распространением мобильных накопителей информации, подключаемых через USB-порты: flash-дисков, винчестеров с USB-интерфейсом и т. д.
Zecurion Zlock Dizain также помогает предотвращать утечки информации через принтеры. Большое количество внутренних инцидентов происходит с бумажными документами. Ограничить распространение бумажных носителей конфиденциальной информации техническими средствами затруднительно. Именно поэтому необходим своевременный контроль печати и сохранение сведений о распечатываемых документах в архиве DLP. такой подход к контролю печати позволит при необходимости расследовать инцидент, а контентный анализ распечатываемых документов предотвратит потенциальную утечку через принтер. Нами разработана система защиты дизайнерской информации на основе использования программы криптопериметр.
Криптопериметр:
С помощью криптопериметра Zecurion Zlock Dizain может принудительно шифровать файлы при копировании их на USB-устройства в зависимости от политик безопасности, настроенных администратором. Шифрование происходит на уровне файлов, т. е. одно устройство может содержать как обычные файлы, так и защищенные. При этом администратор Zecurion Zlock Dizain может гибко настроить политики, при применении которых файлы, записываемые на USB-накопители, будут зашифровываться: по типам и атрибутам устройств, по типам файлов и по контенту. для анализа содержимого применяется комплекс технологий: лингвистический анализ MorphoLogic, проверка по шаблонам регулярных выражений, поиск по словарям и анализ транслита.
Криптопериметр работает в незаметном для пользователей «прозрачном» режиме. Ключи шифрования генерируются и хранятся на сервере конфигураций и передаются только тем пользователям, для которых открыт доступ администратором системы. При записи любого файла на USB-устройство Zlock применяет настроенные политики и при соблюдении условий моментально зашифровывает файл, содержащий конфиденциальную информацию. Защищенный файл можно беспрепятственно открыть, подключив флешку к тому же или другому авторизованному компьютеру с установленным Zecurion Zlock. Однако при подключении носителя к любому другому компьютеру пользователь не сможет открыть зашифрованный файл. таким образом, криптопериметр защищает важную информацию не только от доступа посторонних лиц, но и от случайных утечек по сценарию, когда сотрудник копирует на мобильный накопитель корпоративные документы, чтобы поработать с ними дома: документ просто невозможно будет открыть или скопировать на домашний компьютер.
В криптопериметре предусмотрена возможность доступа к зашифрованным файлам с компьютера, не подключенного к корпоративной сети. Если на компьютере установлен Zecurion Zlock Dizain и хотя бы единожды были загружены необходимые ключи шифрования, работать с ними можно будет и в оффлайн-режиме. Ключи хранятся локально в надежно защищенном хранилище,
и доступ к ним привязывается к учетной записи пользователя. Благодаря оффлайн-режиму сотрудники организации смогут при необходимости открывать конфиденциальные документы с USB-накопителя, например, на рабочем ноутбуке в командировке.
Криптопериметр — уникальная функция для DLP-систем — является принципиальным отличием Zlock от существующих на рынке решений для защиты конечных точек сети от утечек. Криптопериметр позволяет нейтрализовать широкий спектр угроз: сотрудники могут беспрепятственно копировать конфиденциальные документы на флешки и работать с ними на авторизованных компьютерах, а при утере, краже или использовании носителя третьими лицами зашифрованные файлы будут надежно защищены от несанкционированного доступа.
Шифрование в Zecurion Zlock Dizain происходит на уровне файлов, то есть одно USB-устройство может одновременно содержать как защищенные, так и обычные файлы. Криптопериметр работает в «прозрачном» для пользователей режиме и может зашифровывать конфиденциальные документы в зависимости от содержания, типа или других параметров. Открытие зашифрованных документов возможно на разрешенных политиками Zlock компьютерах, например, только на стационарных ПК предприятия.
Для защиты данных в Zecurion Zlock Dizain используются надежные алгоритмы шифрования с длиной ключа от 256 бит. Ключи шифрования централизованно хранятся на сервере и автоматически загружаются на клиентские компьютеры, а настройки системы позволяют перегенерировать ключи шифрования в любой момент или автоматически с заданной периодичностью.
Еще одно важное нововведение Zecurion Zlock Dizain - это возможность сохранения в архив скриншотов рабочих столов сотрудников. Эта функция позволит службам безопасности лучше знать, что происходит на компьютерах пользователей и эффективней предотвращать утечки. Также в новой версии появилась возможность журналировать попытки удаления агента, и расширился перечень возможных настроек на сервере конфигураций.
Возможности:
1. тотальный контроль использования устройств
Zecurion Zlock Dizain позволяет контролировать использование устройств и портов любого типа, модели и марки. Контроль осуществляется на основе гибкой настройки политик доступа.
2. Контроль выноса документов
Zecurion Zlock Dizain контролирует все документы и файлы, которые копируются сотрудниками на съемные устройства и распечатываются на локальных и сетевых принтерах.
3. Блокирование утечек информации
В отличие от других агентских систем, Zecurion Zlock Dizain способен предотвращать утечки информации через устройства в реальном времени. При выявлении нарушений политик безопасности Zecurion Zlock Dizain блокирует
ISSN 23l3-ll60
печать, чтение или запись на устройства.
4. Разграничение доступа и гибкая настройка политик
Для каждого типа устройств Zecurion Zlock Dizain предполагает возможность гибкой настройки прав доступа на основе списков контроля доступа (ACL). Разграничение доступа к внешним устройствам в Zecurion Zlock Dizain осуществляется на основе политик доступа. Политика доступа — это логическое понятие, которое связывает описание устройств и прав доступа к ним.
5. Разграничение ролей администраторов
В системе Zecurion Zlock Dizain существует возможность разграничения доступа к функциям управления для администраторов. Это позволяет, в частности, разделить функции администратора безопасности, который осуществляет весь комплекс действий по управлению системой, и аудитора, который имеет право только на просмотр собранных системой событий и данных теневого копирования.
В ходе данных исследований нами был адаптирован комплекс Zecurion Zlock Dizain по обеспечению возможности разграничения доступа к функциям управления для администраторов. это позволило в частности, разделить функции администратора безопасности, который осуществляет весь комплекс действий по управлению системой, и аудитора, который имеет право только на просмотр собранных системой событий и данных теневого копирования.
После общей настройки системы была разработана политика безопасности. Она представляет собой набор условий фильтрации и связанных с ними действий. Условий в политике может быть несколько. При этом администратор безопасности имеет возможность задать порядок их следования. То есть трафик поочередно проходит все проверки и на любом этапе может быть признан нелегитимным. После внедрения в систему информационной безопасности предприятия утечки графической информации по дизайнерским проектам практически прекратились.
ЛИТЕРАТУРА
1. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. - М.: Academia, 2011;
2. Петров В.А., Пискарев С.А., Шеин А.В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. - М., 2013.
3. Ярочкин В.И. Система безопасности фирмы. М: Ось-89, 2011.
