Leserwahl
Populäre Artikel
Schutz vor Insidern und Informationslecks
Jüngste Forschungen im Bereich der Informationssicherheit, wie die jährliche CSI/FBI-Umfrage zur Computerkriminalität und Sicherheit, haben gezeigt, dass die finanziellen Verluste von Unternehmen durch die meisten Bedrohungen von Jahr zu Jahr abnehmen. Es gibt jedoch mehrere Risiken, deren Verluste wachsen. Einer davon ist der vorsätzliche Diebstahl vertraulicher Informationen oder der Verstoß gegen die Regeln für den Umgang damit durch diejenigen Mitarbeiter, deren Zugriff auf Geschäftsdaten zur Erfüllung ihrer dienstlichen Aufgaben erforderlich ist. Sie werden Insider genannt.
Der Diebstahl vertraulicher Informationen erfolgt in den allermeisten Fällen über mobile Medien: CDs und DVDs, ZIP-Geräte und vor allem alle Arten von USB-Laufwerken. Es war ihre massive Verbreitung, die zum Aufblühen von Insidern auf der ganzen Welt führte. Den Verantwortlichen der meisten Banken ist bewusst, was drohen könnte, wenn beispielsweise eine Datenbank mit personenbezogenen Daten ihrer Kunden oder darüber hinaus Transaktionen auf ihren Konten in die Hände krimineller Strukturen gelangen. Und sie versuchen, dem möglichen Informationsdiebstahl mit den ihnen zur Verfügung stehenden organisatorischen Mitteln entgegenzuwirken.
Allerdings sind hier organisatorische Methoden wirkungslos. Heute können Sie die Übertragung von Informationen zwischen Computern mithilfe eines Miniatur-Flash-Laufwerks, eines Mobiltelefons, eines TRZ-PLSSRA, einer Digitalkamera ... Erstens wird sich dies negativ auf die Beziehungen zu den Mitarbeitern auswirken, und zweitens ist es immer noch sehr schwierig, eine wirklich wirksame Kontrolle über die Menschen aufzubauen - eine Bank ist kein "Postfach". Und selbst das Deaktivieren aller Geräte auf Computern, die zum Schreiben von Informationen auf externe Medien (FDD- und ZIP-Disketten, CD- und DVD-Laufwerke usw.) und USB-Anschlüsse verwendet werden können, hilft nicht. Immerhin werden erstere für die Arbeit benötigt, während letztere an verschiedene Peripheriegeräte angeschlossen sind: Drucker, Scanner usw. Und niemand kann verhindern, dass eine Person den Drucker für eine Minute ausschaltet, ein Flash-Laufwerk in den freien Anschluss einführt und wichtige Informationen darauf kopiert. Sie können natürlich originelle Schutzmethoden finden. In einer Bank haben sie beispielsweise diese Methode zur Lösung des Problems ausprobiert: Sie füllten die Verbindungsstelle des USB-Ports und des Kabels mit Epoxidharz aus und "binden" letzteres fest an den Computer. Aber zum Glück gibt es heute modernere, zuverlässigere und flexiblere Steuerungsmethoden.
Das effektivste Mittel zur Minimierung der Risiken von Insidern ist eine spezielle Software, die alle Geräte und Ports eines Computers dynamisch verwaltet, die zum Kopieren von Informationen verwendet werden können. Das Prinzip ihrer Arbeit ist wie folgt. Für jede Benutzergruppe oder für jeden Benutzer einzeln werden Berechtigungen festgelegt, um unterschiedliche Ports und Geräte zu verwenden. Der größte Vorteil dieser Art von Software ist ihre Flexibilität. Sie können Einschränkungen für bestimmte Gerätetypen, deren Modelle und einzelne Instanzen festlegen. Dadurch können sehr komplexe Richtlinien zur Verteilung von Zugriffsrechten implementiert werden.
Einigen Mitarbeitern kann beispielsweise erlaubt werden, alle Drucker und Scanner zu verwenden, die an USB-Anschlüssen angeschlossen sind. Alle anderen an diesem Port angeschlossenen Geräte bleiben unzugänglich. Wenn die Bank ein tokenbasiertes Benutzerauthentifizierungssystem verwendet, können Sie in den Einstellungen das verwendete Schlüsselmodell angeben. Dann dürfen Benutzer nur die vom Unternehmen gekauften Geräte verwenden, und alle anderen sind nutzlos.
Basierend auf dem oben beschriebenen Prinzip der Schutzsysteme können Sie verstehen, worauf es bei der Auswahl von Programmen ankommt, die eine dynamische Sperrung von Aufnahmegeräten und Computerports implementieren. Erstens ist es Vielseitigkeit. Das Schutzsystem sollte den gesamten Bereich möglicher Ports und Ein-/Ausgabegeräte abdecken. Andernfalls bleibt das Risiko des Diebstahls von kommerziellen Informationen unannehmbar hoch. Zweitens sollte die betreffende Software flexibel sein und die Erstellung von Regeln unter Verwendung einer großen Menge verschiedener Informationen über Geräte ermöglichen: deren Typen, Modellhersteller, eindeutige Nummern, die jede Instanz hat usw. Und drittens soll sich das Insiderschutzsystem in das Informationssystem der Bank, insbesondere in das Active Directory, integrieren lassen. Andernfalls muss der Administrator oder Sicherheitsbeauftragte zwei Datenbanken von Benutzern und Computern pflegen, was nicht nur umständlich ist, sondern auch das Fehlerrisiko erhöht.
"Berater", 2011, N 9
„Wer Informationen besitzt, besitzt die Welt“ – dieser berühmte Aphorismus von Winston Churchill ist in der modernen Gesellschaft aktueller denn je. Wissen, Ideen und Technologie rücken in den Vordergrund, und die Marktführerschaft hängt davon ab, wie gut ein Unternehmen sein intellektuelles Kapital managen kann.
Unter diesen Bedingungen ist die Informationssicherheit der Organisation von besonderer Bedeutung.
Jegliche Weitergabe von Informationen an Wettbewerber oder die Weitergabe von Informationen über interne Prozesse wirkt sich sofort auf die Positionen des Unternehmens auf dem Markt aus.
Ein Informationssicherheitssystem sollte Schutz vor einer Vielzahl von Bedrohungen bieten: technischen, organisatorischen und solchen, die durch den Faktor Mensch verursacht werden.
Wie die Praxis zeigt, sind Insider der Hauptkanal für Informationslecks.
Der Feind ist im Rücken
Es ist in der Regel üblich, einen Insider als Mitarbeiter eines Unternehmens zu bezeichnen, der ihm durch die Preisgabe vertraulicher Informationen Schaden zufügt.
Betrachtet man jedoch die drei Hauptbedingungen, deren Bereitstellung das Ziel der Informationssicherheit ist – Vertraulichkeit, Integrität, Verfügbarkeit – lässt sich diese Definition erweitern.
Ein Insider kann als Mitarbeiter bezeichnet werden, der berechtigten offiziellen Zugang zu vertraulichen Informationen eines Unternehmens hat, was der Grund für die Offenlegung, Verzerrung, Beschädigung oder Unzugänglichkeit von Informationen ist.
Eine solche Verallgemeinerung ist zulässig, denn in der modernen Welt hat die Verletzung der Integrität und Verfügbarkeit von Informationen oft weitaus schwerwiegendere Konsequenzen für das Geschäft als die Offenlegung vertraulicher Informationen.
Für viele Unternehmen droht die Beendigung von Geschäftsprozessen auch nur für kurze Zeit mit spürbaren finanziellen Einbußen, und die Funktionsstörung innerhalb weniger Tage kann so hart zuschlagen, dass die Folgen fatal sein können.
Verschiedene Organisationen, die sich mit Geschäftsrisiken befassen, veröffentlichen regelmäßig ihre Forschungsergebnisse. Insider rangiert demnach seit vielen Jahren konsequent auf Platz eins in der Liste der Gründe für Verstöße gegen die Informationssicherheit.
Aufgrund der stetigen Zunahme der Gesamtzahl der Vorfälle kann der Schluss gezogen werden, dass die Dringlichkeit des Problems ständig zunimmt.
Bedrohungsmodell
Um ein zuverlässiges mehrschichtiges Informationssicherheitssystem aufzubauen, das hilft, das Problem effektiv zu lösen, ist es zunächst erforderlich, ein Bedrohungsmodell zu erstellen.
Sie müssen verstehen, wer die Insider sind und was sie antreibt, warum sie bestimmte Maßnahmen ergreifen.
Es gibt verschiedene Ansätze, solche Modelle zu erstellen, aber für praktische Zwecke können Sie die folgende Klassifizierung verwenden, die alle Haupttypen von Insidern umfasst.
Interner "Hacker"
Ein solcher Mitarbeiter verfügt in der Regel über eine überdurchschnittliche Ingenieurqualifikation, versteht die Struktur von Unternehmensressourcen, die Architektur von Computersystemen und Netzwerken.
Hacken handelt aus Neugier, sportlichem Interesse, ausloten der Grenzen der eigenen Fähigkeiten.
Normalerweise ist er sich des möglichen Schadens durch seine Handlungen bewusst, sodass er selten greifbaren Schaden anrichtet.
Der Gefährdungsgrad ist mittel, da seine Handlungen zu einem vorübergehenden Stopp einiger der im Unternehmen ablaufenden Prozesse führen können. Die Identifizierung der Aktivität ist in erster Linie technisch möglich.
Verantwortungsloser und gering qualifizierter Mitarbeiter
Kann verschiedene Fähigkeiten haben und in jedem Bereich des Unternehmens arbeiten.
Es ist gefährlich, weil es nicht dazu neigt, über die Konsequenzen seines Handelns nachzudenken, es kann mit den Informationsressourcen des Unternehmens "durch Versuch und Irrtum" arbeiten, unbeabsichtigt Informationen zerstören und verzerren.
Normalerweise erinnert er sich nicht an die Abfolge seiner Handlungen, und nachdem er negative Konsequenzen entdeckt hat, kann er einfach darüber schweigen.
Kann Informationen, die ein Geschäftsgeheimnis darstellen, in einem persönlichen Gespräch mit einem Freund oder sogar bei der Kommunikation in Internetforen und sozialen Netzwerken offenlegen.
Das Gefahrenniveau ist sehr hoch, insbesondere angesichts der Tatsache, dass diese Art von Eindringlingen häufiger vorkommt als andere. Die Folgen seiner Aktivitäten können viel schwerwiegender sein als die eines bewussten Angreifers.
Um die Folgen seines Handelns zu verhindern, ist eine ganze Reihe unterschiedlicher Maßnahmen erforderlich, sowohl technischer (Genehmigung, obligatorische Aufteilung der Arbeitssitzungen nach Konten) als auch organisatorisch (ständige Kontrolle des Prozesses und des Ergebnisses durch die Geschäftsführung). Arbeit).
Psychologisch instabile Person
Wie ein Vertreter des vorherigen Typs kann er in jeder Position arbeiten und hat sehr unterschiedliche Qualifikationen. Es ist gefährlich aufgrund einer Neigung zu schwach motivierten Handlungen bei psychischen Beschwerden: in Extremsituationen, psychischem Druck durch andere Mitarbeiter oder einfach nur starker Reizung.
In einem affektiven Zustand kann es vertrauliche Informationen preisgeben, Daten beschädigen, den üblichen Arbeitsablauf anderer Menschen stören.
Der Schweregrad ist mittel, aber diese Art von Eindringling ist nicht so häufig.
Um die negativen Folgen seines Handelns zu verhindern, ist es am effektivsten, administrative Maßnahmen zu ergreifen - um solche Personen in der Interviewphase zu identifizieren, den Zugang zu Informationen einzuschränken und ein angenehmes psychisches Klima im Team aufrechtzuerhalten.
Beleidigter, beleidigter Mitarbeiter
Die größte Gruppe potenzieller Verstöße gegen das Informationssicherheitsregime.
Theoretisch ist die überwiegende Mehrheit der Mitarbeiter in der Lage, unternehmensfeindliche Handlungen zu begehen.
Dies kann passieren, wenn das Management die Persönlichkeit oder die beruflichen Qualitäten des Mitarbeiters missachtet und dies die Höhe der Vergütung beeinflusst.
Potenziell birgt diese Art von Insider eine sehr hohe Gefahr - sowohl Lecks als auch Beschädigungen von Informationen sind möglich, und der Schaden durch sie wird garantiert für das Unternehmen greifbar sein, da der Mitarbeiter ihn absichtlich zufügt und alle Schwachstellen gut kennt.
Zur Identifizierung von Aktivitäten sind sowohl administrative als auch technische Maßnahmen erforderlich.
Unsauberer Mitarbeiter
Ein Arbeitnehmer, der versucht, sein persönliches Wohlergehen auf Kosten des Eigentums des Unternehmens, in dem er arbeitet, zu verbessern. Zugeordnete Elemente können verschiedene Speichermedien mit vertraulichen Informationen sein (Festplatten, Flash-Laufwerke, Unternehmens-Laptops).
In diesem Fall besteht die Gefahr, dass Informationen an Personen gelangen, für die sie nicht bestimmt sind, mit anschließender Veröffentlichung oder Weitergabe an Wettbewerber.
Die Gefahr ist durchschnittlich, aber dieser Typ ist keine Seltenheit.
Zur Identifizierung sind zunächst administrative Maßnahmen erforderlich.
Vertreter des Wettbewerbers
In der Regel ist er hochqualifiziert, bekleidet Positionen, die reichlich Gelegenheiten bieten, Informationen zu erhalten, auch vertrauliche Informationen. Dies ist entweder ein aktiver Mitarbeiter, der rekrutiert, von Wettbewerbern (häufiger) überboten wurde, oder ein speziell dem Unternehmen vorgestellter Insider.
Der Gefährdungsgrad ist sehr hoch, da der Schaden bewusst und mit einem tiefen Verständnis des Wertes von Informationen sowie der Schwachstellen des Unternehmens erfolgt.
Zur Identifizierung von Aktivitäten sind sowohl administrative als auch technische Maßnahmen erforderlich.
Was entführen wir?
Es ist unmöglich, das Insiderproblem zu verstehen, ohne die Art der gestohlenen Informationen zu berücksichtigen.
Laut Statistik werden personenbezogene Daten von Kunden sowie Informationen über Kundenunternehmen und Partner am meisten nachgefragt, sie werden in mehr als der Hälfte der Fälle gestohlen. Die Einzelheiten der Geschäfte, Vertragsbedingungen und Lieferungen folgen. Auch Jahresabschlüsse sind von großem Interesse.
Bei der Bildung eines Schutzmassnahmen-Sets für jedes Unternehmen stellt sich zwangsläufig die Frage: Welche konkreten Informationen erfordern besondere Schutzmassnahmen und welche nicht?
Grundlage für solche Entscheidungen sind natürlich die Daten, die als Ergebnis der Risikoanalyse gewonnen werden. Allerdings stehen einem Unternehmen oft nur begrenzte finanzielle Mittel zur Verfügung, die für ein Informationssicherheitssystem aufgewendet werden können, und reichen möglicherweise nicht aus, um alle Risiken zu minimieren.
Zwei Ansätze
Auf die Frage „Was zuerst zu schützen ist“ gibt es leider keine vorgefertigte Antwort.
Die Lösung dieses Problems kann von zwei Seiten angegangen werden.
Risiko ist ein komplexer Indikator, der sowohl die Wahrscheinlichkeit einer bestimmten Bedrohung als auch den möglichen Schaden davon berücksichtigt. Dementsprechend kann man sich bei der Festlegung von Sicherheitsprioritäten auf einen dieser Indikatoren konzentrieren. Das bedeutet, dass zunächst die Informationen geschützt werden müssen, die am leichtesten zu stehlen sind (z. B. wenn viele Mitarbeiter darauf zugreifen) und deren Diebstahl oder Sperrung schwerwiegende Folgen hätte.
Ein wichtiger Aspekt der Insiderproblematik ist der Kommunikationskanal. Je größer die physischen Möglichkeiten für eine unbefugte Weitergabe von Informationen außerhalb des Unternehmens sind, desto höher ist die Wahrscheinlichkeit, dass dies geschieht.
Übertragungsmechanismen
Übertragungsmechanismen lassen sich wie folgt klassifizieren:
- mündliche Übertragung (persönliches Gespräch);
- technische Datenübertragungskanäle (Telefon, Fax, E-Mail, Messaging-Systeme, verschiedene soziale Internetdienste usw.);
- tragbare Medien und mobile Geräte (Mobiltelefone, externe Festplatten, Laptops, Flash-Laufwerke usw.).
Laut Forschung sind die häufigsten Kanäle zur Übertragung vertraulicher Daten in unserer Zeit (in absteigender Reihenfolge): E-Mail, mobile Geräte (einschließlich Laptops), soziale Netzwerke und andere Internetdienste (wie Instant Messaging-Systeme) usw.
Zur Steuerung technischer Kanäle können verschiedene Mittel eingesetzt werden, von denen mittlerweile eine breite Palette auf dem Markt der Sicherheitsmittel angeboten wird.
Beispielsweise, Content-Filtering-Systeme (Dynamic Blocking Systems), Mittel zur Beschränkung des Zugangs zu Informationsträgern (CD, DVD, Bluetooth).
Es werden auch administrative Maßnahmen angewendet: Filtern des Internetverkehrs, Blockieren der physischen Ports von Workstations, Sicherstellen des Verwaltungsregimes und des physischen Schutzes.
Bei der Auswahl technischer Mittel zum Schutz vertraulicher Informationen ist ein systematischer Ansatz erforderlich. Nur so lässt sich die größtmögliche Effizienz aus deren Umsetzung erzielen.
Es ist auch wichtig zu verstehen, dass die Aufgaben, denen sich jedes Unternehmen gegenübersieht, einzigartig sind und es oft einfach unmöglich ist, die von anderen Organisationen verwendeten Lösungen zu verwenden.
Die Bekämpfung von Insiderinformationen sollte nicht allein erfolgen, sondern ist ein wichtiger Bestandteil des gesamten Geschäftsprozesses zur Gewährleistung des Informationssicherheitsregimes.
Sie sollte von Fachleuten durchgeführt werden und einen vollständigen Aktivitätszyklus vorsehen: Entwicklung einer Informationssicherheitspolitik, Definition des Geltungsbereichs, Risikoanalyse, Auswahl von Gegenmaßnahmen und deren Umsetzung sowie Prüfung des Informationssicherheitssystems.
Bietet ein Unternehmen keine Informationssicherheit im gesamten Komplex, steigen die Risiken finanzieller Verluste durch Datenlecks und Informationsbeschädigungen stark an.
Risiken minimieren
Untersuchung
- Gründliches Screening von Bewerbern, die sich für jede Position im Unternehmen bewerben. Es wird empfohlen, so viele Informationen wie möglich über den Kandidaten zu sammeln, einschließlich des Inhalts seiner Seiten in sozialen Netzwerken. Es kann auch hilfreich sein, ein Zeugnis für einen früheren Job zu beantragen.
- Kandidaten für Stellen als IT-Ingenieure sollten besonders hinterfragt werden. Die Praxis zeigt, dass mehr als die Hälfte aller Insider Systemadministratoren und Programmierer sind.
- Bei der Bewerbung um eine Stelle sollte zumindest eine psychologische Mindestuntersuchung der Kandidaten durchgeführt werden. Es hilft, Bewerber mit einer instabilen Psyche zu identifizieren.
Zugangsberechtigung
- System zur gemeinsamen Nutzung des Zugriffs auf Unternehmensressourcen. Das Unternehmen sollte eine behördliche Dokumentation erstellen, die Informationen nach dem Grad der Vertraulichkeit einordnet und eindeutige Zugriffsrechte darauf vorschreibt. Der Zugriff auf alle Ressourcen muss personalisiert sein.
- Die Zugriffsrechte auf Ressourcen sollten nach dem Grundsatz der „Mindestausreichend“ vergeben werden. Der Zugriff auf die Wartung technischer Geräte, auch mit Administratorrechten, muss nicht immer mit dem Zugriff auf die Einsicht der Informationen selbst einhergehen.
- Möglichst umfassende Überwachung der Benutzeraktionen mit obligatorischer Autorisierung und Aufzeichnung von Informationen über die durchgeführten Vorgänge im Protokoll. Je sorgfältiger die Protokolle geführt werden, desto mehr hat das Management die Situation im Unternehmen im Griff. Gleiches gilt für Mitarbeiterhandlungen bei der Nutzung des Servicezugangs zum Internet.
Kommunikationsstandard
- Innerhalb der Organisation muss ein eigener Kommunikationsstandard übernommen werden, der alle Formen von Fehlverhalten der Mitarbeiter untereinander (Aggression, Gewalt, übermäßige Vertrautheit) ausschließt. Dies gilt zunächst für das Verhältnis „Manager-Untergeordneter“.
Unter keinen Umständen darf ein Mitarbeiter das Gefühl haben, ungerecht behandelt, nicht ausreichend geschätzt, übertrieben ausgebeutet, getäuscht zu werden.
Die Einhaltung dieser einfachen Regel vermeidet die allermeisten Situationen, die Mitarbeiter nach innen drängen.
Vertraulichkeit
Eine Geheimhaltungsvereinbarung sollte keine reine Formalität sein. Es muss von allen Mitarbeitern unterschrieben werden, die Zugang zu wichtigen Informationsressourcen des Unternehmens haben.
Darüber hinaus muss den potenziellen Mitarbeitern bereits im Vorstellungsgespräch erklärt werden, wie das Unternehmen die Informationssicherheit steuert.
Kontrolle der Gelder
Es ist die Kontrolle der technischen Mittel, die von einem Arbeitnehmer zu Arbeitszwecken verwendet werden.
Beispielsweise, die Verwendung eines persönlichen Laptops ist unerwünscht, da bei der Entlassung eines Mitarbeiters höchstwahrscheinlich nicht festgestellt werden kann, welche Informationen darauf gespeichert sind.
Aus dem gleichen Grund ist es unerwünscht, E-Mail-Postfächer auf externen Ressourcen zu verwenden.
Interne Vorschriften
Das Unternehmen muss die internen Vorschriften einhalten.
Es ist notwendig, Informationen über die von den Mitarbeitern am Arbeitsplatz verbrachte Zeit zu haben.
Auch die Kontrolle über die Bewegung von Sachwerten muss gewährleistet sein.
Die Einhaltung aller oben genannten Regeln verringert das Risiko einer Beschädigung oder des Verlusts von Informationen durch den Insider, was bedeutet, dass erhebliche finanzielle Verluste oder Reputationsverluste vermieden werden.
Geschäftsführender Gesellschafter
Hosting Community Unternehmensgruppe
Mit der allgegenwärtigen Verbreitung aller Arten von Wechseldatenträgern hat das Problem des Insidertums, das zuvor sehr dringlich war, ein wahrhaft globales Ausmaß angenommen. Und das ist absolut nichts Überraschendes. Heute kann jeder Mitarbeiter, der Zugang zu vertraulichen Informationen hat, diese einfach und vor allem diskret kopieren und in Zukunft für verschiedene Zwecke verwenden. Und es ist auch gut, wenn dahinter der Wunsch steht, einfach zu Hause mit Verträgen zu arbeiten. Obwohl eine solche Aktion, unabhängig von den Absichten des Eindringlings, das Risiko einer Datenkompromittierung immer noch dramatisch erhöht (Heimcomputer sind normalerweise schwächer geschützt, verschiedene Personen können an ihnen sitzen und das Laufwerk kann verloren gehen). Ein Mitarbeiter kann jedoch Informationen kopieren, um sie an Wettbewerber weiterzugeben oder für eigene Zwecke zu verwenden. Das einfachste und offensichtlichste Beispiel dafür ist das Kopieren eines Kundenstamms (oder Verträge mit ihnen) vor der Entlassung, um sie zu einem anderen Unternehmen zu locken.
Das Hauptproblem besteht darin, dass es unmöglich ist, sich vor dieser Methode des Diebstahls von Informationen mit Standardmitteln, dh in Betriebssystemen integrierten Mitteln, zu schützen. Nehmen wir zum Beispiel USB-Sticks. Sie sind klein, billig und sehr geräumig. Mit ihrer Hilfe können Mitarbeiter unmerklich Gigabyte an Informationen aus dem Unternehmensinformationssystem „herausnehmen“. Es ist jedoch unmöglich, USB-Anschlüsse an Workstations einfach zu deaktivieren - sie sind heute notwendig, um viele Geräte anzuschließen: Drucker, Tastaturen, Mäuse, Tasten für die Softwarebedienung usw. DVDs, Mobiltelefone usw. Auch ein normaler Drucker kann eine Bedrohung darstellen . Schließlich hat der Mitarbeiter die Möglichkeit, vertrauliche Informationen auszudrucken und die Ausdrucke mit nach Hause zu nehmen. Allerdings wird es auch nicht möglich sein, sie auszuschalten, denn in der Regel werden all diese Geräte benötigt, damit Mitarbeiter ihre Dienstpflichten erfüllen können.
Die einzige Möglichkeit, ein Unternehmen vor dem Diebstahl vertraulicher Informationen über verschiedene Wechseldatenträger zu schützen, besteht darin, ein System zu implementieren, das deren Verwendung einschränkt und kontrolliert. Es wird mit einer speziellen Software implementiert. Aus irgendeinem Grund sind sich viele Unternehmen sicher, dass solche Produkte sehr komplex sind und einige spezielle Qualifikationen erforderlich sind, um sie zu implementieren und zu warten. Dies ist jedoch keineswegs der Fall. Das System zur Unterscheidung von Zugriffsrechten auf externe und interne Computergeräte ist so einfach, dass nicht nur ein qualifizierter Administrator, sondern auch nur ein erfahrener PC-Benutzer damit umgehen kann. Um diese Worte zu untermauern, betrachten wir heute ein Beispiel für die Einführung eines Zlock-Produkts von SecurIT in einen Unternehmens-IS. Bemerkenswert ist, dass es keinen Schutz vor dem Auslaufen vertraulicher Informationen über das Internet (z. B. per E-Mail über ICQ etc.) gleicher Entwickler). Aber Zlock bewältigt erfolgreich die Aufgabe, alle Arten von Wechseldatenträgern und Druckern zu überwachen.
Zlock-Struktur
Bevor Sie ein Gespräch über das Installationsverfahren für das betreffende System beginnen, müssen Sie dessen Struktur verstehen. Zlock besteht aus fünf Teilen.
· Managementkonsole... Ein Programm, das es dem Administrator ermöglicht, das System vollständig zu verwalten, einschließlich der Installation auf Workstations, der Änderung von Zugriffsrichtlinien, der Arbeit mit Protokoll- und Konfigurationsservern usw.
· Kundenmodul... Ein auf Workstations installiertes Dienstprogramm. Sie übt die Kontrolle und Sperrung des Zugriffs gemäß den angegebenen Richtlinien aus. Außerdem interagiert das Client-Modul mit dem Log-Server, prüft die Integrität des Zlocks usw.
· Protokollserver... Ein System zum Empfangen, Speichern und Verarbeiten von Informationen über Ereignisse, die von Clientmodulen übertragen werden. Bietet bequemen Administratorzugriff auf alle Daten.
· Konfigurationsserver... Zentralisiertes Konfigurationsmanagementsystem Zlock.
· Zlock-Konfigurationsmodul über Gruppenrichtlinien... Modul zum Installieren und Aktualisieren des Systems über Gruppenrichtlinien.
Zunächst müssen Sie herausfinden, wo welche Module installiert sind. Es ist klar, dass die Managementkonsole auf dem Rechner des Administrators oder des für die Informationssicherheit des Unternehmens verantwortlichen Mitarbeiters installiert werden muss. Dieser Vorgang unterscheidet sich nicht von der Installation anderer Software und wir werden daher nicht näher darauf eingehen.
Log-Server und Konfigurationsserver sind für die Funktion des Systems grundsätzlich nicht erforderlich. Zlock kann die ihm zugewiesenen Aufgaben erfolgreich und ohne sie bewältigen. Der Protokollserver ist jedoch sehr praktisch, um Ereignisse auf allen Arbeitsstationen gleichzeitig anzuzeigen. Nun, der Konfigurationsserver ist in großen Unternehmensnetzwerken unverzichtbar. Mit seiner Hilfe können Sie die Einstellungen von Client-Modulen auf einer großen Anzahl von Workstations einfach verwalten. Auch hier werden sie wie normale Software installiert. Dieses Verfahren wird lokal über das im Lieferumfang von Zlock enthaltene Distributions-Kit durchgeführt.
Der letzte Schritt der Installation des betreffenden Systems ist die Installation von Client-Modulen auf allen Computern, die überwacht werden müssen. Dies kann auf zwei Arten erfolgen (aus offensichtlichen Gründen ziehen wir die Option mit manueller Installation nicht in Betracht). Die erste davon beinhaltet die Verwendung der Verwaltungskonsole. Nach dem Start befinden sich mehrere Gruppen im linken Bereich des Hauptfensters. Sie müssen unter ihnen suchen und den Baum "Computer und Anwendungen" öffnen und dann den Zweig "Keine Anwendungen" öffnen. Es bietet eine vollständige Liste der Computer im lokalen Netzwerk, auf denen das Zlock-System nicht installiert ist.
Um den Installationsvorgang für die Client-Teile zu starten, muss der Administrator den oder die Computer (einschließlich der gesamten Domäne) des Ziels auswählen und auf die Schaltfläche "Zlock installieren oder aktualisieren ..." in der Symbolleiste klicken. In dem sich öffnenden Fenster sollten Sie den Ordner mit dem Distributionskit des Programms angeben (am besten ein Netzwerkordner, auf den alle Benutzer zugreifen können) und auch die Installationsoption auswählen. Es gibt drei davon: mit manuellem oder erzwungenem Neustart von Computern sowie ohne Neustart. Es ist zu beachten, dass die letzte, bequemste Option nicht verwendet werden kann, um zuvor installierte Client-Teile zu aktualisieren. Abschließend müssen nur noch die PCs ausgewählt werden, auf denen die Installation durchgeführt wird (vielleicht möchten Sie Zlock nicht auf allen Computern im Netzwerk installieren) sowie einen Benutzer mit lokalen Administratorrechten angeben. Darüber hinaus kann das Programm bei fehlender Berechtigung die Eingabe von Daten von einem anderen Benutzer verlangen.
Eine weitere Option zum Bereitstellen eines Schutzsystems auf Unternehmensarbeitsplätzen ist die Verwendung von Gruppenrichtlinien. Dafür ist im Zlock-Lieferset ein spezielles Installationspaket enthalten. Der Installationsvorgang selbst ist fast allen Systemadministratoren bekannt. Zunächst müssen Sie einen Netzwerkordner erstellen, den Zlock30 kopieren. msi und Zlockmsi. ini und gewähren Sie allen Domänenbenutzern Zugriff darauf. Wenn Sie bereits über eine Konfigurationsdatei verfügen, kann diese im selben Verzeichnis abgelegt werden. In diesem Fall wird es automatisch auf alle installierten Client-Module angewendet. Wenn keine solche Datei vorhanden ist, wendet das System die Standardrichtlinie an, die in Zukunft konfiguriert werden muss.
Gehen Sie danach in den Eigenschaften der Unternehmensdomäne (auf die über die Active Directory-Konsole zugegriffen wird) auf die Registerkarte "Gruppenrichtlinie" und erstellen Sie eine neue Richtlinie. Im Fenster dieser Richtlinie ist es notwendig, den Baum "Computerkonfiguration" zu erweitern, den Punkt "Programme installieren" auszuwählen und ein neues Paket zu erstellen, in dessen Eigenschaften der Netzwerkpfad zur Zlock30-Datei angegeben wird. msi. Als Ergebnis wird das Zlock-System mit Standard-OS-Tools installiert.
Zugriffsrichtlinien konfigurieren
Der vielleicht wichtigste Schritt bei der Implementierung des Zlock-Sicherheitssystems ist die Einrichtung von Zugriffsrichtlinien. Sie bestimmen die Fähigkeit aller Benutzer, mit bestimmten Geräten zu arbeiten. Jede Richtlinie besteht aus drei Teilen. Die erste ist eine Liste von Geräten oder deren Gruppen, für die jeweils die Zugriffsrechte verschiedener Benutzer auf sie registriert sind. Der zweite Teil der Richtlinie sind die Einstellungen für das Schattenkopieren von Dateien, die auf verschiedene Laufwerke kopiert wurden. Nun, der dritte Teil definiert die Einstellungen für das Schattenkopieren von Dokumenten, die auf Druckern gedruckt werden. Darüber hinaus verfügt jede Richtlinie über eine Reihe zusätzlicher Eigenschaften, auf die wir im Folgenden eingehen werden.
Das Funktionsprinzip von Richtlinien ist wie folgt. Jede Arbeitsstation enthält eine oder mehrere Richtlinien, die vom Administrator zugewiesen wurden. Wenn ein vom Sicherheitssystem kontrolliertes Ereignis eintritt (Geräteverbindung, Versuch, eine Datei auf einen Wechseldatenträger zu kopieren, ein Dokument auszudrucken usw.), überprüft das Client-Modul nacheinander die Einhaltung aller Richtlinien (die Reihenfolge ist festgelegt durch das Prioritätssystem) und wendet die erste von denen an, denen sie entspricht. Das heißt, es gibt kein System von Ausnahmen, das jedem in Zlock bekannt ist. Wenn Sie beispielsweise alle USB-Sticks außer einem bestimmten verbieten müssen, müssen Sie zwei Richtlinien verwenden. Die erste mit niedriger Priorität verbietet die Verwendung von Wechseldatenträgern. Und die zweite, mit einer höheren, ermöglicht die Verwendung einer bestimmten Instanz. Zusätzlich zu den vom Administrator erstellten Richtlinien gibt es auch eine Standardrichtlinie. Es definiert Zugriffsrechte auf diejenigen Geräte, die nicht in anderen Richtlinien beschrieben sind.
Sehen wir uns nun das Verfahren zum Erstellen einer Richtlinie an. Um es zu starten, müssen Sie die gewünschte Workstation im Management-Konsolenbaum auswählen und eine Verbindung zu dieser herstellen. Danach müssen Sie im Menü "Richtlinie" den Punkt "Hinzufügen" auswählen. Das gleichzeitig geöffnete Fenster besteht aus fünf Registerkarten. Der erste heißt "Zugriff". Es gibt den Namen der erstellten Richtlinie, ihre Priorität und Zugriffsrechte auf Geräte an. Hier stehen vier Optionen zur Verfügung: Vollzugriff für alle Benutzer, schreibgeschützter Gerätezugriff für alle Benutzer, Gerätezugriff für alle Benutzer verweigern und Gerätezugriffsrechte für Benutzer und Gruppen anpassen. Der Zweck der ersten drei geht aus ihren Namen hervor. Aber die letzte Option sollte separat erwähnt werden. Mit seiner Hilfe können Sie für einzelne Benutzer unterschiedliche Rechte festlegen, was sehr praktisch ist, da oft verschiedene Mitarbeiter am selben Computer arbeiten können. Um Zugriffsrechte einzugeben, klicken Sie auf die Schaltfläche "Bearbeiten" und fügen Sie im sich öffnenden Fenster die erforderlichen Konten (lokaler Computer oder Domäne) hinzu und definieren Sie die Berechtigungen für jeden von ihnen.
Nach Eingabe der Hauptparameter müssen Sie eine Liste der Geräte und Gruppen angeben, für die die Richtlinie gelten soll. Verwenden Sie dazu die Registerkarte "Geräte". Es gibt vier Möglichkeiten, Ausrüstung in Zlock einzugeben.
· Typische Geräte. Diese Option setzt die Auswahl aller Geräte eines bestimmten Typs voraus, zum Beispiel alle Wechsellaufwerke, CD-/DVD-Laufwerke, Festplatten usw.
· Angegebenes USB-Gerät. Ermöglicht die Definition von USB-Geräten nach Typ, Hersteller, Produktname, Geräteseriennummer usw.
· Drucker. Wird verwendet, um bestimmte lokale oder Netzwerkdrucker einzugeben.
Mit diesen Methoden können Sie eine sehr genaue und flexible Geräteliste erstellen. Bemerkenswert ist, dass Sie nicht nur das Gerät auswählen können, das gerade an den PC angeschlossen ist, sondern auch das, das einmal darauf verwendet wurde (sehr wichtig bei Wechseldatenträgern). Außerdem kann der Administrator einen sogenannten Gerätekatalog erstellen. Dies ist eine Datei, die alle Geräte auflistet, die mit Computern im Unternehmensnetzwerk verbunden sind. Sie kann entweder manuell oder automatisch durch Scannen aller Arbeitsplätze erstellt werden.
Im Prinzip haben wir danach schon eine komplett praktikable Politik. Zlock bietet jedoch eine Reihe zusätzlicher Einstellungen, die die Funktionalität des Schutzsystems erweitern. Wenn beispielsweise eine Richtlinie erstellt wird, die nicht dauerhaft in Kraft sein soll, ist es erforderlich, einen Zeitplan für ihre Arbeit festzulegen. Dies geschieht auf der gleichnamigen Registerkarte. Darin können Sie die Intervalle definieren, in denen die Richtlinie in Kraft ist. Der Administrator kann die Dauer der Richtlinie, die Uhrzeit, die Wochentage oder den Tag des Monats eingeben, an dem sie aktiv sein soll.
Wenn sich der Computer, für den die Richtlinie erstellt wird, vom Unternehmensnetzwerk trennen und / oder sich über das Internet damit verbinden kann, können Sie dafür spezifische Parameter definieren. Wechseln Sie dazu auf die Registerkarte "Anwendungsregeln". Es listet drei Punkte des möglichen Zustands des PCs relativ zur Unternehmensdomäne auf: Die Domäne ist lokal verfügbar, die Domäne ist über VPN verfügbar, die Domäne ist nicht verfügbar. Um die Aktion einer Richtlinie für eine von ihnen zu deaktivieren, müssen Sie nur das entsprechende Kontrollkästchen deaktivieren. Wenn Sie beispielsweise verhindern möchten, dass etwas von einem vom Firmennetzwerk getrennten Computer gedruckt wird, müssen Sie nur eine Richtlinie erstellen, die die Verwendung von Druckern verbietet und die Punkte "Domain nicht verfügbar" und "Domain über VPN erreichbar" aktivieren die Bewerbungsregeln.
Nachdem Sie eine oder mehrere Richtlinien auf einem der Computer erstellt haben, können Sie diese schnell auf andere Computer verteilen. Dazu müssen Sie im Leitstand eine Verbindung mit allen notwendigen Stationen herstellen und im Menü "Service" den Punkt "Konfiguration verteilen" auswählen. Markieren Sie im sich öffnenden Fenster die gewünschten Richtlinien und Computer mit den Kontrollkästchen, aktivieren Sie das Kontrollkästchen Hintergrund-Richtlinienverbreitung und wählen Sie die Aktion aus, die das Programm ausführen soll, wenn es Richtlinien mit übereinstimmenden Namen erkennt (fragen, ob überschrieben oder nicht überschrieben werden soll). Klicken Sie anschließend auf die Schaltfläche "OK" und warten Sie, bis der Vorgang abgeschlossen ist.
Jede Richtlinie kann in Zukunft geändert werden. Verbinden Sie sich dazu einfach mit dem Computer, auf dem es ursprünglich erstellt wurde, suchen Sie es im "Baum" und doppelklicken Sie mit der Maus darauf. Es öffnet sich ein bereits aus der Vorgehensweise zum Erstellen einer Richtlinie bekanntes Fenster, in dem Sie bestimmte Parameter ändern können. Bitte beachten Sie, dass Sie, wenn die von Ihnen bearbeitete Richtlinie auf andere Computer ausgedehnt wurde, vor der Änderung zunächst eine Verbindung zu allen diesen PCs herstellen müssen. In diesem Fall bietet das Zlock-Programm beim Speichern der Änderungen selbst an, veraltete Richtlinien mit den neuen zu synchronisieren. Das Entfernen von Richtlinien erfolgt auf die gleiche Weise.
Journaling und Schattenkopie konfigurieren
Das Zlock-System verfügt über ein Logging-System. Dadurch kann der Administrator oder eine andere für die Informationssicherheit verantwortliche Person alle überwachten Ereignisse einsehen und analysieren. Um es zu aktivieren, wählen Sie im Menü „Service“ den Punkt „Einstellungen“ und gehen im sich öffnenden Fenster auf den Reiter „Logging“. Es listet alle möglichen Ereignisse (Schreibverbot auf das Gerät, Änderung des Zugangs zum Netzwerk, Änderung der Konfiguration, Anwendung von Zugriffsrichtlinien usw.) sowie deren Status in Bezug auf die Protokollierung auf.
Um die Protokollierung für ein oder mehrere Ereignisse zu aktivieren, klicken Sie auf das Pluszeichen und wählen Sie die Option für die Protokollierung: Schreiben in eine Datei (System Event Log oder eine beliebige TXT- oder XML-Datei), in eine Datenbank auf einem SQL-Server oder einem Log-Server, einen Brief an E-Mail senden.
Danach müssen Sie im sich öffnenden Fenster die Protokollparameter konfigurieren (je nach ausgewählter Option: Dateiname, Datenbankzugriffsparameter usw.), die erforderlichen Ereignisse markieren und auf die Schaltfläche "OK" klicken.
Die Protokollierung von Dateivorgängen wird separat konfiguriert. Darunter sind Aktionen wie das Erstellen, Ändern und Bearbeiten von Dateien, Erstellen und Löschen von Verzeichnissen usw. zu verstehen. Es ist klar, dass es sinnvoll ist, solche Protokolle nur bei Verwendung von Wechseldatenträgern zu führen. Daher ist diese Art der Protokollierung an Zugriffsrichtlinien gebunden. Um es zu konfigurieren, wählen Sie in der Steuerkonsole im Menü "Service" den Punkt "File Operations". In dem sich öffnenden Fenster müssen Sie zunächst die Richtlinien markieren, für die eine Protokollierung durchgeführt werden soll. Es ist sinnvoll, diejenigen auszuwählen, die die Verwendung von Wechseldatenträgern steuern: USB-Geräte, CD- / DVD-Laufwerke usw. Danach müssen Sie die Aktionen eingeben, die das System ausführt, wenn Dateivorgänge erkannt werden. Um jeden von ihnen hinzuzufügen, müssen Sie auf das "Plus" klicken und die gewünschte Option auswählen. Drei Aktionen beziehen sich auf die Protokollierung – das Schreiben von Ereignisinformationen in eine Datei, in eine Datenbank oder das Senden einer E-Mail-Nachricht. Die letzte Option besteht darin, das angegebene Programm oder Skript auszuführen.
Als Nächstes können Sie mit dem Einrichten der Schattenkopie fortfahren. Dies ist ein sehr wichtiges Merkmal des Zlock-Systems, das nicht vernachlässigt werden sollte. Es bietet dem Benutzer eine nahtlose Vervielfältigung kopierter oder gedruckter Dateien in einer speziellen Speichereinrichtung. Schattenkopien sind erforderlich, wenn Mitarbeiter für ihre beruflichen Aufgaben Drucker oder Wechseldatenträger verwenden müssen. In solchen Fällen ist es fast unmöglich, Informationslecks mit technischen Mitteln zu verhindern. Durch das Schattenkopieren können Sie jedoch schnell darauf reagieren und zukünftige Vorfälle verhindern.
Um die Parameter der Schattenkopie einzustellen, wählen Sie im Menü "Service" den gleichnamigen Eintrag. Zunächst können Sie einen lokalen Speicher einrichten. Dazu müssen Sie den Ordner angeben, in dem die Dateien gespeichert werden, die verfügbare Größe (in Megabyte oder Prozent des freien Speicherplatzes auf der Festplatte) eingeben und auch eine Aktion bei Überlauf auswählen (Dateien im speichern, Kopieren und Drucken verbieten oder zulassen).
Bei Bedarf können Sie das Schattenkopieren auf den an das Netzwerk angeschlossenen Speicher konfigurieren. Wechseln Sie dazu auf den Reiter "Auf Server kopieren" und aktivieren Sie das Kontrollkästchen "Informationen über Schattenkopien und Dateien an den Server senden". Soll die Übertragung sofort erfolgen, dann wählen Sie den Punkt „Dateien so schnell wie möglich übertragen“. Eine andere Option ist ebenfalls möglich - das System kopiert Dateien in einer bestimmten Häufigkeit. Danach müssen Sie einen Netzwerkordner auswählen, in den die Dateien geschrieben werden. Beachten Sie, dass es sinnvoll ist, ein Verzeichnis zu wählen, auf das nur der Administrator Zugriff hat. Andernfalls kann der Mitarbeiter diese eingeben und die gespeicherten Dateien löschen oder zumindest anzeigen. Bei der Auswahl eines solchen Ordners müssen Sie den Benutzernamen und das Passwort eines Benutzers eingeben, der die Berechtigung zum Schreiben von Informationen hat.
Nun, am Ende der Konfiguration müssen Sie noch auf die Registerkarte "Richtlinien" gehen und die Richtlinien angeben, unter denen das Schattenkopieren funktioniert.
Temporäres Berechtigungssystem
Grundsätzlich, liebe Leserinnen und Leser, haben wir den Umsetzungsprozess von Zlock bereits analysiert. Nach seiner Fertigstellung wird das Insiderschutzsystem betriebsbereit sein und dem Unternehmen helfen, das Durchsickern von geschäftlichen und persönlichen Informationen zu vermeiden. Es gibt jedoch noch eine weitere sehr interessante Funktion in Zlock, die dem Administrator das Leben erheblich erleichtert. Hierbei handelt es sich um ein System zur Erteilung von befristeten Genehmigungen für die Nutzung bestimmter Geräte.
Warum möchten Sie sich auf diesen besonderen Moment konzentrieren? Alles ist sehr einfach. Die Praxis zeigt, dass es nicht selten zu Situationen kommt, in denen einer der Mitarbeiter ein Gerät benutzen muss, das für ihn normalerweise verboten ist. Darüber hinaus kann ein solcher Bedarf dringend auftreten. In der Folge kommt Panik auf, es wird dringend ein Administrator gesucht, der die Zugriffsrichtlinie ändern und vor allem die spätere Rückgabe nicht vergessen muss. Das ist natürlich sehr unpraktisch. Es ist viel besser, ein befristetes Genehmigungssystem zu verwenden.
Um es verwenden zu können, müssen Sie zunächst ein Administratorzertifikat generieren. Wählen Sie dazu im Menü "Service" den Punkt "Zertifikat ..." und klicken Sie im sich öffnenden Fenster auf die Schaltfläche "Zertifikat ändern". Danach müssen Sie im Assistenten das Optionsfeld "Neues Zertifikat erstellen" auswählen und seinen Namen eingeben. Dann müssen Sie nur noch eine Verbindung zu Remote-Computern herstellen, im Menü "Service" den Punkt "Einstellungen" auswählen, im sich öffnenden Fenster auf die Registerkarte "Allgemein" gehen und auf die Schaltfläche "Installieren" klicken.
In Zlock können befristete Genehmigungen auf zwei Arten genutzt werden - per E-Mail und per Telefon. Im ersten Fall wird die Erstellung einer Anfrage wie folgt durchgeführt. Der Benutzer sollte mit der rechten Maustaste auf das Zlock-Symbol in der Taskleiste klicken und aus dem Dropdown-Menü "Anfrage erstellen" auswählen. Im sich öffnenden Fenster muss er das gewünschte Gerät und die Zugriffsrechte (Nur-Lese- oder Vollzugriff) auswählen, die Adresse des Administrators und ggf. einen kurzen Kommentar eingeben. In diesem Fall generiert der standardmäßig im System installierte Mail-Client einen Brief mit einer angehängten Anforderungsdatei. Nach Erhalt muss der Administrator mit der Maus darauf doppelklicken. Dies öffnet ein Fenster mit Informationen zur Anfrage. Wenn der Administrator der Verarbeitung zustimmt, muss er auf die Schaltfläche "Weiter" klicken. Es öffnet sich das Fenster zum Anlegen einer neuen Richtlinie, in der das gewünschte Gerät bereits eingetragen ist. Der Administrator kann nur einen Zeitplan für diese Richtlinie festlegen. Es kann entweder dauerhaft oder einmalig sein. Im zweiten Fall ist die Richtlinie nur wirksam, bis der Benutzer die Windows-Sitzung beendet oder das Gerät entfernt wird (je nach Wahl des Administrators). Diese Richtlinie kann wie gewohnt auf den Computer des Mitarbeiters oder mit einer speziellen Datei per E-Mail übertragen werden (wird mit dem Zertifikat des Administrators geschützt). Nach Erhalt muss der Benutzer es nur noch starten, woraufhin er Zugriff auf das gewünschte Gerät hat.
Ähnlich funktioniert das Telefonberechtigungssystem. Der Benutzer muss zuerst eine Anfrage erstellen. Dieses Verfahren ist fast identisch mit dem, das wir oben besprochen haben. Erst im letzten Schritt wird keine E-Mail generiert, sondern ein spezieller Code bestehend aus fünf Zahlen- und Buchstabenblöcken. Der Mitarbeiter muss den Administrator anrufen und ihm diesen Zeichensatz diktieren. Der Administrator muss diesen Code in einem speziellen Fenster eingeben (er wird über den Punkt "Anfrage bearbeiten" im Menü "Richtlinie" aufgerufen). In diesem Fall zeigt der Bildschirm detaillierte Informationen zur Anfrage an. Als nächstes kann der Administrator eine Richtlinie auf eine uns bereits bekannte Weise erstellen. Der einzige Unterschied besteht darin, dass das System in der letzten Phase einen weiteren Code generiert. Dessen Administrator muss einem Mitarbeiter diktieren, der durch Eingabe in ein spezielles Feld den Zugriff auf das Gerät freischalten kann.
Zusammenfassen
Wie wir sehen, ist die Vorgehensweise bei der Inbetriebnahme eines Insiderschutzsystems im Prinzip nicht kompliziert. Um es auszuführen, benötigen Sie keine besonderen Fähigkeiten. Jeder Systemadministrator mit Grundkenntnissen in Netzwerktechnologien kann damit umgehen. Es ist jedoch zu beachten, dass die Wirksamkeit des Schutzes ausschließlich davon abhängt, wie kompetent und vollständig die Zugangsrichtlinien erstellt werden. An diesen Moment lohnt es sich mit größter Ernsthaftigkeit heranzugehen und ein verantwortungsbewusster Mitarbeiter sollte diese Arbeit erledigen.
Zlock: Kontrollieren Sie den Zugriff auf USB-Geräte
Zlock testen
Die wichtigsten erwarteten Vorteile des Systems sollten neben den wichtigsten funktionalen Merkmalen die einfache Implementierung und die intuitive Klarheit der Aktionen für seine Einrichtung und Konfiguration sein.
Abbildung 1. Standardzugriffsrichtlinie
Danach müssen Sie über die Zugriffsrichtlinien für den Zlock-Dienst selbst nachdenken, der bei der Installation auf Client-Sites ebenfalls verteilt wird. Bearbeiten Sie die Richtlinie für den Zugriff auf die Einstellungen der Client-Seite der Anwendung, damit Benutzer das Symbol sehen oder Warnungen zu Änderungen der Zugriffsrichtlinie erhalten. Einerseits sind diese Warnungen praktisch, da der Benutzer durch Senden eines Antrags auf Zugriff an den Administrator benachrichtigt wird, wenn die geänderte Richtlinie auf seinen Arbeitsplatz angewendet wird. Andererseits ziehen es Systemadministratoren oft vor, Benutzern keine unnötige visuelle Bestätigung von Schutzdiensten zu geben, die auf einer Workstation ausgeführt werden.
Dann wird die erstellte Richtlinie (in diesem Fall bleibt sie vorerst lokal auf der Konsolen-Workstation) als Datei mit dem Namen default gespeichert. zcfg in den Ordner mit dem clientseitigen Distributionskit.
Alles. Damit ist die globale Vorbereitung des Systems für die Masseninstallation abgeschlossen. Das Produkt ist beeindruckt von der Einfachheit der Erstellung von Richtlinien, die mit der Anwendung des Standardprinzips der Erstellung von Benutzerrechten wie ACL verbunden ist.
Für die Installation auf allen Computern wurde den Benutzern eine Popup-Nachricht mit der Aufforderung gesendet, alle Arbeitsstationen im Netzwerk einzuschalten, die sich in der Nähe befinden, aber derzeit nicht verwendet werden. Nachdem ich alle Workstations im Netzwerk aus der Liste der zu verbindenden Computer ausgewählt hatte (oder besser gesagt alle ausgewählt und dann die Server ausgeschlossen hatte), startete ich den Verbindungsprozess, um den Client-Teil weiter zu installieren. Das Verbinden mit einer solchen Anzahl von Computern (150) dauerte natürlich relativ lange, da es sequentiell ausgeführt wird und wenn der Computer ausgeschaltet wird, wartet er auf eine Verbindungszeitüberschreitung. Der Vorgang muss jedoch nur bei der Erstinstallation durchgeführt werden, weitere Richtlinien werden basierend auf den persönlichen Bedürfnissen der Benutzer gesteuert. Beim Versuch, den Client-Teil "auf einmal" auf allen 150 Computern des lokalen Netzwerks zu installieren, stieß ich auf mehreren Workstations auf kleinere Probleme, aber das System wurde auf den meisten Computern automatisch installiert. Es gab eigentlich nur ein Installationsproblem - die Inkompatibilität von Zlock mit veralteten Versionen des StarForce CD-Schutztreibers. Für eine korrekte Interaktion müssen Sie den StarForce-Treiber aktualisieren, indem Sie ihn von der Website des Herstellers herunterladen. Dies geschah auch aus der Ferne über den RIS-Dienst. Die Erklärung des Grundes für diese Inkompatibilität hat meiner Meinung nach das Recht auf Leben – schließlich interagiert Zlock mit dem I / O-Subsystem auf einer niedrigeren Ebene als die Anwendungsfunktionen des Betriebssystems, genau wie der CD-Kopierschutz.
Nachdem Sie die Arbeitsstationen ausgewählt haben, werden Sie aufgefordert, anzugeben, von wo aus Sie die Installationsverteilung ausführen möchten. Es ist diese Funktion, die es ermöglicht, andere Programme auf diese Weise zu installieren, ohne den Arbeitsplatz zu verlassen. Seien Sie vorsichtig bei der Auswahl der Installationsoption - "Neustart" oder "Neustart erforderlich". Wenn Sie "Mit Neustart" auswählen, werden die Client-Arbeitsstationen nach Abschluss der Installation automatisch neu gestartet, ohne dass Sie nach einer Bestätigung durch den Benutzer gefragt werden.
Damit ist die Erstinstallation abgeschlossen und nach einem Neustart beginnt der Zlock-Client-Teil mit der Ausführung der vorgeschriebenen Sicherheitsrichtlinie. Gleichzeitig erscheint in der Taskleiste das Zlock-Dienstsymbol, das Benutzern die Möglichkeit bietet, Zugriffsanfragen zu erstellen und Richtlinien unabhängig zu bearbeiten, wenn sie dies natürlich gemäß der von uns erstellten Standardrichtlinie durften .
Streben nach absoluter Vertraulichkeit...
Danach beginnt tatsächlich die Feinabstimmung des Zlock-Systems. Wenn Mitarbeiter in Ihrem Unternehmen häufig etwas auf Wechselmedien speichern müssen und Sie die Sicherheitsrichtlinien auf höchstem Niveau halten möchten, dann stimmen Sie Ihren Arbeitszeitplan so ab, dass Sie in der Woche nach dem Installation. Um die maximale Strenge der Zugriffsrichtlinie beizubehalten, wird empfohlen, Regeln für bestimmte Wechseldatenträger zu erstellen, da Sie mit Zlock den Zugriff auf Geräte auch basierend auf ihren vollständigen Merkmalen wie Marke, Modell, Seriennummer usw. In IT-Firmen ist die Situation komplizierter, da die Mitarbeiter ständig alle möglichen Informationen auf CD / DVD-R / RW-Discs aufzeichnen müssen. In diesem Fall empfehlen wir die Verwendung von dedizierten Workstations mit Aufzeichnungslaufwerken, auf denen Systemsicherheitsrichtlinien Regeln erstellen, die den Zugriff auf das Netzwerk von diesen Computern nicht zulassen. Solche Feinheiten sprengen jedoch den Rahmen des Zlock-Artikels.
Wie funktioniert es in der Praxis?
Sehen wir uns nun an, wie das Ganze bei der Arbeit aussieht. Ich möchte Sie daran erinnern, dass die von mir erstellte Zugriffsrichtlinie Benutzern das Lesen von allen Wechseldatenträgern ermöglicht und das Schreiben auf diese nicht zulässt. Ein Mitarbeiter der Serviceabteilung kommt ins Büro, um Berichte einzureichen und Aufgaben auf Diskette zu schreiben. Beim Anschluss eines Wechseldatenträgers schränkt das System den Zugriff ein und gibt eine entsprechende Warnung aus (siehe Abb. 2).
Abbildung 2. Warnung vor Zugriffsbeschränkungen
Der Mitarbeiter liest die von ihm mitgebrachten Informationen und versucht anschließend erfolglos, die vom Manager erhaltenen Aufgaben aufzuschreiben. Wenn ein Zugriff erforderlich ist, kontaktiert er entweder den Administrator telefonisch oder stellt über das Zlock Tray Applet eine automatische Anfrage mit dem Gerät, auf das er zugreifen möchte, benennt seinen Account und begründet die Notwendigkeit eines solchen Zugriffs.
Der Administrator entscheidet nach Erhalt einer solchen Anfrage über die Gewährung/Verweigerung eines solchen Zugriffs und ändert bei einer positiven Entscheidung die Richtlinie für diese Arbeitsstation. Gleichzeitig enthält die erstellte Anfrage alle Informationen zum Gerät, einschließlich Hersteller, Modell, Seriennummer usw. und das Zlock-System ermöglicht es Ihnen, basierend auf diesen Daten beliebige Richtlinien zu erstellen. So erhalten wir die Möglichkeit, einem bestimmten Benutzer auf dem angegebenen Gerät das Schreibrecht zu erteilen, ggf. ein Protokoll aller Dateivorgänge zu führen (siehe Abb. 3).
Abbildung 3. Erstellen einer Richtlinie basierend auf einer Benutzeranfrage
Damit wird dem Administrator die Erstellung zusätzlicher Freizügigkeitsrichtlinien bis zum Äußersten erleichtert und auf das zweifellos erfreuliche Check & Click-Prinzip reduziert.
Probleme
Können Ports auf der Firewall für die Zlock-Remoteverwaltung nicht geöffnet werden?
Für die Fernadministration von Zlock in der Firewall reicht es, einen Port zu öffnen. Standardmäßig ist dieser Port 1246, er kann jedoch geändert werden, wenn diese Nummer aus irgendeinem Grund nicht geeignet ist. Damit schneidet unser Produkt übrigens im Vergleich zu einigen Analoga gut ab, die den Remote Procedure Calls (RPC)-Dienst für die Verwaltung verwenden, der standardmäßig das Öffnen vieler Ports erfordert und ziemlich anfällig für externe Angriffe ist. Wie Sie wissen, nutzten die meisten modernen Viren nur Schwachstellen in RPC, um sich in einen Computer einzuschleusen und darin Administratorrechte zu erlangen.
2) Problem
Wir haben folgende Situation. In einer Abteilung arbeiten zwei Mitarbeiter an einem Computer. Jeder hat einen USB-Stick. Die Aufgabe besteht darin, das Flash-Laufwerk des ersten Mitarbeiters lesbar zu machen, das Flash-Laufwerk des zweiten jedoch nicht. Das Hauptproblem ist, dass diese Flash-Laufwerke die gleichen Nummern haben (VID_058F & PID_6387), Transcend-Flash-Laufwerke 256 MB und 1 GB. Bitte sagen Sie mir, was ich in dieser Situation tun soll? Vielen Dank.
Die Zahlen, von denen Sie sprechen, sind Produkt-IDs und Lieferanten-IDs. Um den Zugriff für Geräte mit derselben Produkt- und Herstellerkennung zu unterscheiden, müssen Sie deren Seriennummer in den Zlock-Richtlinien angeben. Es ist erwähnenswert, dass nicht alle Hersteller von USB-Laufwerken ihren Produkten eindeutige Seriennummern zuordnen, normalerweise sind Noname-Hersteller wegen fehlender Seriennummern schuldig.
II. SecurITZgate-Übersicht
In diesem Review beginnen wir eine detaillierte Geschichte über SecurIT Zgate, eine Unternehmenslösung, die entwickelt wurde, um den Internetverkehr auf Gateway-Ebene zu analysieren, um Versuche zu erkennen und zu blockieren, vertrauliche Daten oder andere nicht autorisierte Aktionen von Mitarbeitern zu veröffentlichen.
Einführung
Gemäß dem von SecurIT geförderten Konzept des umfassenden Schutzes vor internen Bedrohungen ist das SecurIT Zgate ein wichtiger Bestandteil des IPC-Systems. Das IPC-Konzept umfasst DLP (Data Loss Prevention) und Datenschutzlösungen bei der Speicherung. Die Kombination scheinbar unterschiedlicher Technologien wurde erstmals von IDC-Analyst Brian Burke in der Information Protection and Control Survey: Data Loss Prevention and Encryption Trends vorgeschlagen.
In IPC-Systemen wird eine für DLP-Systeme standardmäßige Liste von Kanälen gesteuert: E-Mail, Web-Ressourcen (Web-Mail, soziale Netzwerke, Blogs), ICQ, USB-Geräte und Drucker. IPC fügt diesen Funktionen auf Servern, Bändern und Netzwerkendpunkten wie PCs, Laptops und mobilen Laufwerken Verschlüsselung hinzu. Neben der Liste der überwachten Kanäle und verschlüsselten Medien unterscheiden sich IPCs deutlich im Methodensatz zur Erkennung vertraulicher Daten.
Somit ist das SecurIT Zgate-System, das es ermöglicht, den Verlust vertraulicher Informationen über Netzwerkkanäle zu verhindern, ein wichtiger, wenn nicht sogar der Schlüssel zu einem einheitlichen IPC-System. SecurIT Zgate analysiert alle Daten, die von Mitarbeitern außerhalb des Informationsnetzes der Organisation übermittelt werden. SecurIT Zgate verwendet modernste automatische Erkennungstechnologien, die den Vertraulichkeitsgrad der übertragenen Informationen unter Berücksichtigung der Besonderheiten des Geschäfts und der Anforderungen verschiedener Industriestandards genau bestimmen.
1. Systemvoraussetzungen
Die minimalen Systemvoraussetzungen für die SecurIT Zgate-Lösung sind in der folgenden Tabelle aufgeführt.
2. Hauptmerkmale von SecurIT Zgate:
Filterung von eingehendem, ausgehendem und internem Verkehr.
Inhaltsanalyse von übertragenen Nachrichten und Dateien mit einer beliebigen Kombination automatischer Kategorisierungsmethoden.
Kompatibel mit jedem Mailsystem (MTA), das das SMTP-Protokoll verwendet: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix usw.
Arbeiten Sie im passiven Überwachungsmodus, indem Sie eine Kopie der übertragenen Daten erstellen, oder im aktiven Modus, um Vorfälle in Echtzeit zu blockieren.
Flexible Richtlinien zum Prüfen, Blockieren und Archivieren von Daten mit der Möglichkeit, bis zu 30 Parameter zu konfigurieren.
Durchsetzung von Richtlinien basierend auf Übertragungszeit, Verkehrsrichtung und Benutzerstandort.
Praktische Tools zum Verwalten von Wörterbüchern, die verschiedene Kategorien von Dokumenten beschreiben.
Die Möglichkeit, verdächtige Nachrichten und Dateien manuell zu überprüfen.
Änderung von Nachrichten und Möglichkeit, Benutzer über Filterergebnisse zu benachrichtigen.
Integration mit Anwendungen von Drittanbietern zur zusätzlichen Verarbeitung durch Antivirus- und Anti-Spam-Systeme.
Die Möglichkeit, ein vollständiges Archiv der übertragenen Daten, einschließlich Anhangsdateien, in Microsoft SQL Server oder Oracle Database zu verwalten.
Skalierbarkeit und modulare Architektur, um die anspruchsvollsten Leistungsanforderungen zu erfüllen.
Installation und Verwaltung über eine einzige Konsole für alle SECURIT-Produkte.
Viele Möglichkeiten, die Rollen der Administratoren zu trennen.
Unterstützung für den Import statistischer Informationen in verschiedene Berichtsdesigner, z. B. Crystal Reports oder FastReport.
3. Installation von SecurIT Zgate
Wichtig! Wenn Sie die E-Mail-Verarbeitungstools von SecurIT Zgate in Microsoft Exchange 2007/2010 verwenden möchten, muss der SecurIT Zgate-Server auf demselben Computer installiert sein, auf dem auch Microsoft Exchange installiert ist.
SecurIT Zgate verwendet das Standard-InstallShield für die Installation. Es ist bemerkenswert, dass die gesamte Installation einfach ist und keine Schwierigkeiten bereitet.
Abbildung 1: SecurIT Zgate Installation starten
Beachten Sie in Abbildung 2, dass der Protokollserver nicht standardmäßig installiert ist. Es kann auf einem anderen Computer bereitgestellt werden. Das Ereignisprotokoll kann in einer XML-Datei gespeichert werden, einen separaten Protokollserver verwenden oder eine Datenbank (MSSQL Server oder Oracle Database) verwenden.
Abbildung 2: Module für die Installation von SecurIT Zgate . auswählen
Die Bedienung von SecurIT Zgate erfolgt über die Managementkonsole. Die Verwaltungskonsole kommuniziert mit dem SecurIT Zgate-Server über das TCP/IP-Protokoll und den Port 1246. Vergessen Sie nicht, diesen Port in Ihrer Firewall zu öffnen. Zukünftig können Sie diesen Port bei Bedarf ändern.
Wenn Sie SecurIT Zgate im Sniffer-Modus verwenden möchten, müssen Sie den WinPcap-Treiber auf dem Computer installieren, auf dem der SecurIT Zgate-Server bereits installiert ist. Der WinPcap-Treiber ist in der SecurIT Zgate-Distribution enthalten.
Die Verwaltungskonsole kann auf demselben Computer installiert werden, auf dem SecurIT Zgate bereits installiert ist, oder auf einem separaten Computer.
Beginnen wir also mit der Arbeit mit Zgate SecurIT.
4. Erste Schritte und Erstkonfiguration von SecurIT Zgate
Abbildung 3: Gesamtansicht der SecurIT Zgate Management Konsole
Um zu beginnen, müssen Sie eine Verbindung mit dem Computer herstellen, auf dem sich der Serverteil des Systems befindet. Die Liste der Computer befindet sich auf der linken Seite der Verwaltungskonsole unter dem Baumelement Keine Anwendungen. In unserem Beispiel haben wir den SecurIT Zgate-Server auf dem VM-2003TEST-Rechner installiert, den wir auswählen.
Nachdem wir den benötigten Computer ausgewählt haben und die Verbindung damit erfolgreich war, wird er aus dem Abschnitt "Keine Anwendungen" auf die Knoten der darauf installierten Anwendungen übertragen (in unserem Fall ist dies SecurIT Zgate) und a Eine baumartige Liste mit Einstellungen und Funktionen wird geöffnet ( Abbildung 4).
Abbildung 4: Die Verbindung zum Computer war erfolgreich - es stehen neue Optionen zur Verfügung
Beachten Sie, dass die Liste der Computer in der Domäne entweder über NetBIOS ermittelt oder von Active Directory heruntergeladen wird. Wenn Sie über eine große Anzahl von Computern im Netzwerk verfügen, können Sie die Suchoption verwenden.
Wenn Ihr Computer nicht in der Liste Keine Anwendungen aufgeführt ist, können Sie manuell eine Verbindung herstellen. Öffnen Sie dazu in der Verwaltungskonsole das Menü „Verbindung“ und wählen Sie den Punkt „Verbindung erstellen“. Geben Sie im sich öffnenden Fenster den Computernamen, die IP-Adresse, den Port (standardmäßig 1246) und die Benutzerdaten ein (Abbildung 5). Standardmäßig sind die Zugriffsrechte zur Konfiguration von SecurIT Zgate so konfiguriert, dass Benutzer der lokalen Administratorengruppe vollen Zugriff auf alle Systemfunktionen haben.
Abbildung 5: Verbindung manuell erstellen
Schauen wir uns also nacheinander die Einstellungen des SecurIT Zgate-Servers an.
Allgemein... In diesem Abschnitt (Abbildung 6) werden die Einstellungen des internen Mailservers, der Port des internen Mailservers, der Serverbetriebsmodus, das Verzeichnis für die temporäre Speicherung verarbeiteter Nachrichten sowie die maximale Größe dieses Verzeichnisses angegeben.
Abbildung 6: Allgemeine Servereinstellungen für Mailserver in SecurIT Zgate
Wie Sie der Abbildung entnehmen können, stehen die Betriebsarten "Mail-Filterung in Microsoft Exchange 2007/2010" und "Mail-Protokollierung in Microsoft Exchange 2007/2010" nicht zur Verfügung, da Microsoft Exchange derzeit nicht installiert und konfiguriert ist. Der Spiegelungsmodus (Analyse einer Kopie des übertragenen Datenverkehrs) ist verfügbar, da der WinPcap-Treiber installiert ist.
Das Spiegeln von Nachrichten, die mit verschlüsseltem SMTP-Datenverkehr (erstellt mit TLS mit dem Befehl STARTTTLS) und mit der XEXCH50 Exchange ESMTP-Erweiterung gesendet wurden, wird nicht unterstützt.
Rezeption... In diesem Abschnitt konfigurieren Sie den E-Mail-Empfang so, dass er in verschiedenen Modi des Serverbetriebs funktioniert (Abbildung 7).
Abbildung 7: Mail-Empfang für die Arbeit im Proxy-Modus konfigurieren (Logging)
Stellen Sie bei der Konfiguration der Filterung oder der Anmeldung im Proxy-Modus die Netzwerkschnittstelle und die Portnummer (standardmäßig 25) für den Empfang von E-Mails von außen durch das SecurIT Zgate-System ein; Netzwerkschnittstelle und Portnummer, die zum Empfangen von E-Mails vom internen E-Mail-Server verwendet wird; Verzeichnis für eingehende Nachrichten und seine maximale Größe. Im Posteingangsverzeichnis werden von SecurIT Zgate empfangene E-Mails gespeichert, bevor sie verarbeitet oder weitergeleitet werden.
Der Schutz vor Denial-of-Service-Angriffen wird auf derselben Registerkarte konfiguriert. Wie Sie in Abbildung 7 sehen können, besteht der Schutz vor Angriffen im Dienst aus einer Reihe von Bedingungen. Wenn sie nicht erfüllt sind, wird die Nachricht nicht akzeptiert. Diese Bedingungen können je nach Bedarf oder Nutzlosigkeit einer bestimmten Prüfung aktiviert oder deaktiviert werden.
Wenn der SecurIT Zgate-Server im Analysemodus für gespiegelten Datenverkehr läuft (aktiviert auf der Registerkarte Einstellungen Allgemein), dann die Registerkarte Rezeption hat die folgende Form (Abbildung 8).
Abbildung 8: Konfiguration des Mail-Empfangs im Analysemodus Mirrored Traffic
Die Einstellungen für diesen Betriebsmodus legen die Netzwerkschnittstelle fest, auf der gespiegelter Verkehr empfangen wird, die IP-Adresse des gespiegelten Mailservers, die Ports, die der gespiegelte Server zum Empfangen und Senden von E-Mails verwendet, sowie das Verzeichnis zum Speichern eingehender Nachrichten und dessen Volumen.
Wichtig! Damit SecurIT Zgate im Spiegelungsmodus arbeiten kann, muss der Netzwerk-Switch, an dem der Computer mit SecurIT Zgate angeschlossen ist, die Spiegelungsfunktion unterstützen. Port Mirroring ermöglicht das Kopieren von Datenverkehr auf einen Kontrollport, sodass er analysiert werden kann, ohne den Datenfluss zu beeinträchtigen.
Das Vorhandensein eines Switches mit Port-Mirroring-Funktion ist jedoch nicht erforderlich, wenn SecurIT Zgate auf dem Proxy-Server eines Unternehmens oder auf dem Computer installiert ist, von dem der Datenverkehr überwacht wird.
Bei Auswahl in der Registerkarte Allgemein Serverbetriebsmodi Mail-Filterung in Microsoft Exchange 2007/2010 oder Mail-Journaling in Microsoft Exchange 2007/2010, Registerkarten Rezeption und Übertragung ersetzt Registerkarte Microsoft Exchange.
Auf der Registerkarte Microsoft Exchange die Kataloge der eingehenden und ausgehenden Nachrichten und ihre maximale Größe werden konfiguriert (Kataloge dienen dazu, eine Warteschlange von Nachrichten zu organisieren, die zur Verarbeitung oder an den Mailserver des Empfängers gesendet werden). Auf dieser Registerkarte können Sie auch die Option "Interne E-Mails überwachen" auswählen. In diesem Modus werden auch interne Nachrichten zwischen Clients des überwachten Mailservers geprüft. Diese Funktion ist sehr wichtig, da es möglich wird, die interne Korrespondenz der Mitarbeiter zu kontrollieren.
Informationen zu Fehlern oder Warnungen werden unten auf der Registerkarte angezeigt.
Übertragung... Die Einstellungen für die Mailübertragung hängen nicht vom Serverbetriebsmodus ab und sind für Filterung und Protokollierung im Proxy-Modus und für Spiegelung gleich (Abbildung 9).
Abbildung 9: SecurIT Zgate Mail Transfer Einstellungen
Hier können Sie folgende Parameter konfigurieren: maximale Anzahl gleichzeitig ausgehender Verbindungen; Verbindungsversuchsschemata; Liste der Maildomänen, die vom internen Mailserver bedient werden; der Zustellserver, an den die nach außen gesendeten E-Mails übertragen werden (wenn der Zustellserver nicht angegeben ist und die Domäne des Empfängers nicht intern ist, wird die E-Mail von SecurIT Zgate selbst zugestellt und verbindet sich direkt mit dem Mailserver des Empfängers); ein Smarthost, an den E-Mails für Empfänger von akzeptierten Domänen weitergeleitet werden, die jedoch nicht auf den Lizenzierungslisten stehen; Verzeichnis für ausgehende Nachrichten und seine maximale Größe. Außerdem werden Briefe an den Smarthost gesendet, bei denen SecurIT Zgate die Adresse des Mailservers nicht per DNS ermitteln konnte oder der Mailserver gemeldet hat, dass der Empfänger nicht existiert.
Der Verbindungsplan mit dem Mailserver des Empfängers besteht aus Reihen. Die Serie besteht aus einer bestimmten Anzahl von Verbindungsversuchen mit dem Server des Empfängers der Nachricht und dem Intervall in Minuten zwischen den Versuchen. Konnte gemäß Schema keine Verbindung aufgebaut werden, wird die Meldung gelöscht und eine entsprechende Meldung im Protokoll angezeigt. In diesem Fall wird ein Brief mit einer Fehlermeldung an den Absender gesendet.
Zgate-Web-Tab wurde entwickelt, um Informationslecks über das Internet zu verhindern, beispielsweise wenn Mitarbeiter absichtlich oder versehentlich vertrauliche Daten über ihr Webmail versenden, in einem Forum oder Blog posten oder über ICQ versenden.
Der Betrieb von Zgate Web erfolgt durch Port-Spiegelung auf dem Switch oder durch das Abfangen des Netzwerkverkehrs auf dem Computer, auf dem SecurIT Zgate installiert ist. Um Zgate Web nutzen zu können, muss der WinPcap-Treiber auf dem Computer installiert sein, auf dem der SecurIT Zgate Server installiert ist.
In der aktuellen Version fängt Zgate Web den Datenverkehr ab, der mit den folgenden Protokollen und Ressourcen übertragen wird:
AOL ICQ Instant Messaging-Protokoll;
Dateiübertragungsprotokoll FTP;
Datenübertragungsprotokoll HTTP;
Maildienste: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;
SMS / MMS-Messaging-Dienste: Megafon, Beeline, MTS, TELE2, SKYLINK, Web-SMS;
Foren basierend auf PhpBb, IpBoard, Vbulletin-Software.
Wie Sie sehen können, sind die Fähigkeiten zur Verkehrssteuerung beeindruckend.
Für jede Nachricht generiert das Zgate Web Interception-Modul einen Brief, der Informationen über die Nachricht und eine Reihe zusätzlicher Parameter in Bezug auf den verwendeten Dienst enthält. Dieser Brief wird in eingehenden Nachrichten platziert und vom SecurIT Zgate-System wie ein normaler Brief, der über das SMTP-Protokoll empfangen wird, verarbeitet.
Die Zgate-Webeinstellungen sind in Abbildung 10 dargestellt.
Abbildung 10: Zgate-Webeinstellungen
Auf dieser Registerkarte können Sie Zgate Web aktivieren oder deaktivieren sowie die Netzwerkschnittstelle angeben, von der der Datenverkehr kopiert wird, die Liste der Adressbereiche der analysierten Pakete anzeigen und bearbeiten (Sie können Ihre eigenen Bereiche hinzufügen), ein Verzeichnis auswählen für das Speichern von temporären Dateien und deren Größe sowie die Auswahl der für die Arbeit erforderlichen Analysemodule.
Um einen eigenen Adressbereich für analysierte Pakete hinzuzufügen, müssen Sie auf die Schaltfläche „+“ klicken, die sich rechts neben der Liste der analysierten Pakete befindet, ein solches Fenster wird geöffnet (Abbildung 11).
Abbildung 11: Hinzufügen eines Bereichs geparster Paketadressen zum SecurIT Zgate
Nachdem Sie die benötigten Adressen und Ports angegeben und eine Aktion ausgewählt haben (analysieren oder von der Analyse ausschließen), klicken Sie auf die Schaltfläche OK. Das neue Sortiment ist startklar.
Archiv... Das Archiv dient der zentralen Aufbewahrung von Briefkopien, deren Einsicht und Weiterleitung. Darüber hinaus lagert das Archiv Quarantänebriefe. Ein Archiv in Form einer Datenbank kann mit Oracle oder Microsoft SQL Server organisiert werden (Abbildung 12). Einige der Einstellungen in Bezug auf die Archiveinstellungen befinden sich auf der Registerkarte „Zusätzlich“ (das Element „Einstellungen“ im Menü „Service“).
Abbildung 12: Auswahl einer Datenbank und Konfiguration der Archivparameter in SecurIT Zgate
Um das Archiv nutzen zu können, müssen wir MSSQL Express oder Oracle (in den Mindestsystemanforderungen angegeben) installieren und konfigurieren.
Nachdem wir die notwendigen Einstellungen und den Benutzer für den Zugriff auf die Datenbank festgelegt haben, können wir die Verbindung zur Datenbank selbst testen. Verwenden Sie dazu die Schaltfläche „Verbindung prüfen“ (Abbildung 13). Sie können auch die Möglichkeit angeben, Daten zu komprimieren. Wählen Sie die "goldene Mitte" zwischen Arbeitsgeschwindigkeit und Datenmenge.
Abbildung 13: Alles ist bereit um mit der Datenbank zu arbeiten – die Verbindung wird hergestellt
Lizenz... Der Zweck der Registerkarte ist aus dem Namen selbst klar. Hier werden die Anzahl der lizenzierten E-Mail-Adressen, das Ablaufdatum der Lizenz und eine Liste der lizenzierten Module für SecurIT Zgate - Email Control (Zgate Mail) und Web Traffic Control (Zgate Web) angezeigt. Lizenzierte Module sind mit einem grünen Häkchen gekennzeichnet (Abbildung 14).
Abbildung 14: Anzeigen und Verwalten von Lizenzen in SecurIT Zgate
Statistiken... Auch auf dieser Registerkarte ist alles klar. Hier wird die Statistik des SecurIT Zgate Servers angezeigt (Abbildung 15).
Abbildung 15: SecurIT Zgate Server Statistik
zusätzlich... Auf dieser Registerkarte werden zusätzliche Systemeinstellungen angezeigt (Abbildung 16). Eine detaillierte Beschreibung der einzelnen Parameter finden Sie in der Produktdokumentation.
Abbildung 16: Erweiterte Einstellungen von SecurIT Zgate
Zugang... Das SecurIT Zgate-System bietet die Möglichkeit, die Zugriffsrechte für die Verwaltung und das Arbeiten mit dem Nachrichtenarchiv zwischen mehreren Benutzern zu unterscheiden. Diese Registerkarte wird verwendet, um den Zugriff auf das System zu konfigurieren (Abbildung 17).
Abbildung 17: SecurIT Zgate Zugangskontrolle
Wie gesagt, standardmäßig sind die Zugriffsrechte zur Konfiguration von SecurIT Zgate so konfiguriert, dass Benutzer der lokalen Administratorengruppe vollen Zugriff auf alle Funktionen haben.
Um einen Benutzer oder eine Benutzergruppe zur Zugriffsliste hinzuzufügen, klicken Sie auf die Schaltfläche "+" und wählen Sie das gewünschte Konto oder die gewünschte Gruppe aus. Geben Sie dann unten im Fenster die Rechte an, die Sie dem angegebenen Konto erteilen möchten. Das Symbol "V" bedeutet, dass der Benutzer zu dieser Operation berechtigt ist, "X" bedeutet, dass dem Benutzer der Zugriff auf diese Funktion verweigert wird. Die Rechte des Benutzers und der Gruppe, zu der er gehört, sind ähnlich wie beim akzeptierten Zutrittskontrollsystem in Windows zusammengefasst.
Als Beispiel haben wir den Gastbenutzer ausgewählt und ihm das Recht gegeben, Parameter und Statistiken anzuzeigen (Abbildung 18).
Abbildung 18: Einen Benutzer auswählen und ihm die entsprechenden Rechte zuweisen
Protokollierung... SecurIT Zgate ermöglicht die zusätzliche Verarbeitung seiner Operationen durch einen Ereignisverarbeitungsmechanismus. Eine der Möglichkeiten für eine solche Verarbeitung ist die Protokollierung von SecurIT Zgate in das Windows-Systemprotokoll, in eine Datei oder in den Microsoft SQL Server.
Standardmäßig ist die Ereignisprotokollierung deaktiviert (Abbildung 19). Sie können die Protokollierung des einen oder anderen Ereignisses unabhängig voneinander aktivieren und wählen, wie genau die Ereignisprotokollierung durchgeführt werden soll.
Abbildung 19: Liste der zu überwachenden Ereignisse in SecurIT Zgate
Das Aktivieren der Protokollierung für ein Ereignis ist sehr einfach. Wählen Sie dazu das gewünschte Ereignis aus und klicken Sie rechts neben der Ereignisliste auf die Schaltfläche "+" und wählen Sie dann die gewünschte Protokollierungsoption aus. Nehmen wir als Beispiel die Option „Logging“ (Abbildung 20).
Abbildung 20: Parameter für die Protokollierung eines Ereignisses in einer Datei oder im Systemprotokoll konfigurieren
Es ist ersichtlich, dass Sie in diesem Fall die Protokollierung im Systemprotokoll auswählen und einen beliebigen Computer im lokalen Netzwerk auswählen können, um dieses Protokoll zu speichern, oder Sie können die Protokollierung in einer Datei auswählen. Darüber hinaus gibt es drei Optionen für das Dateiformat: Text ANSI, Text Unicode und XML. Der Unterschied zwischen dem Schreiben eines Protokolls im XML-Format und dem Schreiben in eine Textdatei besteht darin, dass eine Protokolldatei im XML-Format mit dem SecurIT Zgate-System geparst werden kann. Bei Textdateien ist diese Möglichkeit ausgeschlossen.
Sie können auch den Speicherort der Protokolldatei und die Rechte des Benutzers auswählen, in dessen Auftrag die Protokollierung durchgeführt wird.
Abbildung 21: Auswählen von Ereignissen für die Anmeldung in SecurIT Zgate
Nachdem Sie die gewünschten Ereignisse ausgewählt haben, müssen Sie nur noch auf die Schaltfläche "Fertigstellen" klicken. Das Ergebnis ist in Abbildung 22 zu sehen. Neben den protokollierten Ereignissen wurden entsprechende Symbole angezeigt, die die Protokollierungsparameter und den Speicherort des Protokolls anzeigen.
Abbildung 22: Drei Ereignisse sind sichtbar, die in einer XML-Datei protokolliert werden
Sie können sich auch beim Protokollserver und Microsoft SQL Server anmelden. Bei der Protokollierung auf einem SQL-Server erfolgt die Aufzeichnung von Informationen über ein Ereignis durch das Verarbeitungsmodul in einer mit Microsoft SQL Server organisierten Datenbank.
Wenn Sie die Anmeldung am Microsoft SQL Server auswählen, müssen Sie den Server mit MSSQL selbst auswählen, Benutzerparameter angeben und die Verbindung zur Datenbank überprüfen. Stimmt alles, werden Sie bei der Verbindungsprüfung aufgefordert, eine neue Datenbank anzulegen, der Name wird vom SecurIT Zgate-System angegeben (Abbildung 23).
Abbildung 23: Datenbankserver auswählen und Parameter für die Verbindung angeben
Abbildung 24: Bestätigen der Erstellung einer internen Datenbankstruktur zum Speichern des Protokolls
Abbildung 25: Festlegen der zu protokollierenden Ereignisse
Abbildung 26: Wir sehen die Ereignisse, die auf dem angegebenen SQL-Server protokolliert werden
Skripte... Eine weitere Art der zusätzlichen Verarbeitung von Operationen durch SecurIT Zgate kann die Ausführung von Skripten (Skripten) und das Starten ausführbarer Dateien sein.
Wenn das ausgewählte Ereignis eintritt, wird die angegebene Anwendung gestartet oder das angegebene Skript ausgeführt. Die Ereignisliste ähnelt der Ereignisliste für die Protokollierung.
Diese Option kann beispielsweise verwendet werden, um eine SMS zu einem Ereignis zu versenden oder einen Arbeitsplatz bis zum Eintreffen eines Sicherheitsbeauftragten zu sperren.
Abbildung 27: Auswahl der ausführbaren Datei
Im selben Fenster können Sie den Pfad zur Skriptdatei angeben und den Benutzer angeben, in dessen Namen die Datei oder das Skript ausgeführt wird. Bitte beachten Sie, dass Anwendungen standardmäßig unter dem SYSTEM-Konto gestartet werden.
Abbildung 28: Liste der Ereignisse, bei deren Eintritt die Anwendung gestartet wird
Damit ist die Phase der Vorkonfiguration des SecurIT-Systems abgeschlossen und die Konfiguration der Filtersubsysteme wird fortgesetzt.
Inhaltsanalyse und -filterung konfigurieren
Betrachten wir nun die Möglichkeiten der Konfiguration des Inhaltsanalysesystems.
Wörterbücher... Wörterbücher in Zgate bedeuten Wortgruppen, die durch ein Attribut (Kategorie) verbunden sind. In der Regel ermöglicht uns das Vorhandensein von Wörtern aus einem bestimmten Wörterbuch mit hoher Wahrscheinlichkeit in einem Buchstaben, einen Buchstaben in die von diesem Wörterbuch gekennzeichnete Kategorie einzuordnen. Wörterbücher in Zgate werden zum Filtern in der Wörterbuchanalyse und der Bayes'schen Verarbeitung verwendet.
Abbildung 29: Fenster zur Verwaltung von SecurIT Zgate-Wörterbüchern
Da SecurIT Zgate sowohl bei der Analyse einer Mail-Nachricht als auch bei der Verarbeitung nach der Bayes-Methode dieselben Wörterbücher verwendet, werden einem Wort beim Erstellen von Wörterbüchern immer zwei Parameter zugewiesen: Gewichtung in einer Kategorie und Gewichtung in einer Anti-Kategorie. Standardmäßig sind beide Parameter auf 50 eingestellt.
Um ein Wörterbuch hinzuzufügen, drücken Sie die „+“-Schaltfläche im Wörterbuchverwaltungsfenster und um Wörter zum Wörterbuch hinzuzufügen, wählen Sie das gewünschte Wörterbuch aus und drücken Sie die „Bleistift“-Schaltfläche (Abbildung 30, 31).
Abbildung 30: Hinzufügen eines Wörterbuchs zum SecurIT Zgate
Abbildung 31: Hinzufügen eines Wortes zum Wörterbuch in SecurIT Zgate
Bei der Eingabe von Wörtern können Sie Sonderzeichen verwenden:
eine beliebige Anzahl beliebiger Buchstaben oder Zahlen;
Ein beliebiges Zeichen (Buchstabe oder Zahl);
^ - ein Trennzeichen (Leerzeichen, Tabulator, Zeilenvorschub);
Ein Trennzeichen oder Satzzeichen;
# - eine Zeichen-Ziffer;
@ ist ein Buchstabe.
Gültige Symbole für das Wörterbuch sind Symbole (,),<, >, (,), -, _, Sonderzeichen und Sonderzeichen als einfache Zeichen (jedes Sonderzeichen kann durch Hinzufügen eines umgekehrten Schrägstrichs zu einem gewöhnlichen Zeichen gemacht werden). Test * bedeutet beispielsweise, dass das Wort Test * im Wörterbuch enthalten ist. Und test * bedeutet, dass das Wörterbuch alle Wörter enthält, die mit test beginnen - test, test, test usw.
Neben dem manuellen Erstellen und Ausfüllen des Wörterbuchs können Sie ein Wörterbuch erstellen, indem Sie Wörter aus einer zuvor erstellten Datei importieren, und es besteht auch die Möglichkeit der automatischen Generierung des Wörterbuchs.
Beim Importieren von Wörtern aus einer Datei wird jedem importierten Wort standardmäßig eine Gewichtung in Kategorie und Anti-Kategorie zugewiesen. Falsche Wörterbuchzeichen werden beim Import standardmäßig durch ein Trennzeichen (Leerzeichen) ersetzt.
Die automatische Generierung eines Wörterbuchs aus einer Datei ist möglich, indem eine speziell vorbereitete Textdatei mit einem entsprechenden Satz von Wörtern sowie echte Dokumente verwendet werden, die in die eine oder andere Kategorie gehören oder nicht.
Neben linguistischen Analysemethoden kann man das für diese Produktklasse beliebte Verfahren des "digitalen Fingerabdrucks" verwenden, mit dem nach Kopien von kontrollierten Dokumenten oder Dokumententeilen in einer E-Mail-Nachricht gesucht wird. In diesem Fall kann der gewünschte Text geändert werden oder nur ein Teil davon im Brief enthalten sein.
Die Fingerabdruckmethode besteht darin, dass alle vertraulichen Dokumente „digitaler Fingerabdruck“ sind. Empfangene Drucke werden in einer aktualisierten (im automatischen Modus) und aufgefüllten Datenbank gespeichert. Wenn ein Dokument überprüft werden muss, wird dafür ein "digitaler Fingerabdruck" berechnet, dann wird ein ähnlicher Fingerabdruck unter den in der Datenbank gespeicherten Fingerabdrücken von vertraulichen Dokumenten gesucht. Wenn der Fingerabdruck der geprüften Datei dem in der Datenbank gespeicherten Fingerabdruck ähnelt, wird eine entsprechende Warnung (Benachrichtigung) ausgegeben.
Um mit der Druckbasis zu arbeiten, müssen Sie in das Menü "Service" gehen und den Befehl "Drucke" ausführen.
Abbildung 32: Verwaltung der Fingerabdruckdatenbank in SecurIT Zgate
Um eine neue Kategorie von Dokumenten für die Fingerabdrücke hinzuzufügen, müssen Sie auf . klicken
die "+"-Taste. Zum Bearbeiten drücken Sie die "Bleistift"-Taste und die "X"-Taste - um die Kategorie zu löschen.
Abbildung 33: Erstellen einer Dokumentkategorie in SecurIT Zgate
Außerdem wird beim Erstellen einer Kategorie die Zeit für die Aktualisierung der Fingerabdruckdatenbank angegeben, die Parameter des Benutzers angegeben, in dessen Namen auf die Dateien zugegriffen wird, und Dateien hinzugefügt, die allgemeine Wörter enthalten, die vom Scannen ausgeschlossen sind.
Sie können die folgenden Dateiformate verwenden, um Ausdrucke zu erstellen:. TXT ,. doc,. docx ,. xls ,. xlsx ,. ppt ,. pptx ,. pdf, .html ,. rtf,. odt,. ods,. odp ,. dbf,. wps ,. xml * (.xml-Format wird als normales Textdokument geparst).
Die erstellte Kategorie kann einer Testprüfung unterzogen werden. Die Testdateiprüfung mit dem Fingerprint-Verfahren dient dazu, die Richtigkeit der Einstellungen für digitale Fingerabdrücke und die Richtigkeit der Kategoriebeschreibungen zu bestimmen. Bei der Prüfung wird festgestellt, ob der digitale Fingerabdruck der geprüften Datei (des Dokuments) dem digitalen Fingerabdruck des in einer zuvor erstellten Datenbank einer bestimmten Kategorie gespeicherten Dokuments ähnlich ist. Die Suche nach ähnlichen Dokumenten erfolgt unter Berücksichtigung der Tatsache, dass einige oder alle russischen Zeichen im geprüften Dokument durch englische Zeichen mit ähnlicher Schreibweise ersetzt werden könnten und umgekehrt.
Um dies zu überprüfen, müssen Sie unten im Fenster zur Verwaltung der Fingerabdruckdatenbank auf die Schaltfläche "Prüfen" klicken und die zu überprüfende Datei auswählen und den Prozentsatz der Ähnlichkeitswahrscheinlichkeit angeben.
Mit diesem fortschrittlichen Kategorisierungssystem können Sie separate Kategorien für verschiedene Nachrichteninhalte erstellen. Dies wiederum ermöglicht eine korrekte Kategorisierung von Vorfallmeldungen im Protokoll und ermöglicht dem Sicherheitsbeauftragten, Ereignisse zu priorisieren und zeitnah zu reagieren.
Abbildung 35: Traffic-Scan-Parameter in SecurIT Zgate einstellen
Abbildung 36: Testergebnis
Schutz vor Insidern mit einer Kombination aus Zgate und Zlock
Heutzutage gibt es zwei Hauptkanäle für den Verlust vertraulicher Informationen: an einen Computer angeschlossene Geräte (alle Arten von Wechseldatenträgern, einschließlich Flash-Laufwerken, CDs/DVDs usw., Drucker) und das Internet (E-Mail, ICQ, soziale Netzwerke, usw.) ? d.). Und wenn ein Unternehmen "reift", um ein Schutzsystem gegen sie zu implementieren, ist es daher ratsam, die Lösung umfassend anzugehen. Das Problem besteht darin, dass verschiedene Ansätze verwendet werden, um verschiedene Kanäle zu überlappen. In einem Fall ist der wirksamste Schutz die Kontrolle über die Verwendung von Wechseldatenträgern und im zweiten Fall verschiedene Optionen für die Inhaltsfilterung, mit denen Sie die Übertragung vertraulicher Daten in das externe Netzwerk blockieren können. Daher müssen Unternehmen zum Schutz vor Insidern zwei Produkte einsetzen, die zusammen ein umfassendes Sicherheitssystem bilden. Natürlich ist es vorzuziehen, Tools von einem Entwickler zu verwenden. In diesem Fall wird der Prozess ihrer Implementierung, Verwaltung und Schulung der Mitarbeiter erleichtert. Beispiele sind die Produkte Zlock und Zgate von SecurIT.
Zlock: Schutz vor Leckagen durch Wechseldatenträger
Zlock ist schon lange auf dem Markt. Und wir haben bereits seine Hauptmerkmale beschrieben. Im Prinzip macht es keinen Sinn, mich zu wiederholen. Seit der Veröffentlichung des Artikels sind jedoch zwei neue Versionen von Zlock erschienen, in denen eine Reihe wichtiger Funktionen aufgetaucht sind. Es lohnt sich, darüber zu sprechen, wenn auch nur sehr kurz.
Zuallererst ist die Möglichkeit zu erwähnen, einem Computer mehrere Richtlinien zuzuweisen, die unabhängig davon angewendet werden, ob der Computer direkt, über ein VPN mit dem Unternehmensnetzwerk verbunden ist oder autonom arbeitet. Dadurch können insbesondere USB-Ports und CD-/DVD-Laufwerke automatisch gesperrt werden, wenn der PC vom lokalen Netzwerk getrennt wird. Im Allgemeinen erhöht diese Funktion die Sicherheit von Informationen, die auf Laptops veröffentlicht werden, die Mitarbeiter unterwegs aus dem Büro oder zu Hause zur Arbeit mitnehmen können.
Die zweite neue Funktion besteht darin, den Mitarbeitern des Unternehmens vorübergehenden Zugriff auf gesperrte Geräte oder sogar Gerätegruppen über das Telefon zu ermöglichen. Das Funktionsprinzip besteht darin, vom Programm generierte Geheimcodes zwischen dem Benutzer und dem für die Informationssicherheit zuständigen Mitarbeiter auszutauschen. Bemerkenswert ist, dass die Nutzungserlaubnis nicht nur dauerhaft, sondern auch temporär (für eine bestimmte Zeit oder bis zum Ende einer Arbeitssitzung) erteilt werden kann. Dieses Tool kann als eine Art Entspannung im Schutzsystem angesehen werden, ermöglicht es Ihnen jedoch, die Reaktionsfähigkeit der IT-Abteilung auf Geschäftsanforderungen zu erhöhen.
Die nächste große Innovation in den neuen Versionen von Zlock ist die Kontrolle über die Verwendung von Druckern. Nach der Konfiguration zeichnet das Schutzsystem alle Benutzeraufrufe an Druckgeräte in einem speziellen Protokoll auf. Aber das ist nicht alles. Zlock führt das Schattenkopieren aller gedruckten Dokumente ein. Sie sind im PDF-Format geschrieben und stellen eine vollständige Kopie der gedruckten Seiten dar, unabhängig davon, welche Datei an den Drucker gesendet wurde. Auf diese Weise können Sie verhindern, dass vertrauliche Informationen auf Papierbögen durchsickern, wenn ein Insider die Daten ausdruckt, um sie aus dem Büro zu nehmen. Auch im Schutzsystem gab es eine Schattenkopie von Informationen, die auf CD / DVD-Disketten aufgezeichnet wurden.
Eine wichtige Neuerung war das Aufkommen der Serverkomponente Zlock Enterprise Management Server. Es bietet eine zentralisierte Speicherung und Verteilung von Sicherheitsrichtlinien und anderen Programmeinstellungen und erleichtert die Verwaltung von Zlock in großen und verteilten Informationssystemen erheblich. Nicht zu vergessen ist auch das Aufkommen eines eigenen Authentifizierungssystems, mit dem Sie bei Bedarf auf die Verwendung von Domänen- und lokalen Windows-Benutzern verzichten können.
Darüber hinaus sind in der neuesten Version von Zlock einige nicht so auffällige, aber auch sehr wichtige Funktionen erschienen: Kontrolle der Integrität des Client-Moduls mit der Möglichkeit, die Benutzeranmeldung zu blockieren, wenn eine Manipulation erkannt wird, erweiterte Funktionen zur Implementierung eines Sicherheitssystems , Unterstützung für Oracle DBMS usw.?
Zgate: Schutz vor Internetlecks
Also Zgate. Wie bereits erwähnt, ist dieses Produkt ein Schutzsystem gegen den Verlust vertraulicher Informationen über das Internet. Strukturell besteht Zgate aus drei Teilen. Die Hauptkomponente ist die Serverkomponente, die alle Datenverarbeitungsvorgänge durchführt. Es kann sowohl auf einem separaten Computer als auch auf Knoten installiert werden, die bereits im Unternehmensinformationssystem arbeiten - einem Internet-Gateway, einem Domänencontroller, einem Mail-Gateway usw. Dieses Modul wiederum besteht aus drei Komponenten: Kontrolle des SMTP-Verkehrs, Kontrolle der internen Mail des Microsoft Exchange 2007/2010-Servers und Zgate Web (es ist für die Kontrolle des HTTP-, FTP- und IM-Verkehrs verantwortlich).
Der zweite Teil des Sicherheitssystems ist der Logging-Server. Es dient dazu, Informationen über Ereignisse von einem oder mehreren Zgate-Servern zu sammeln, zu verarbeiten und zu speichern. Dieses Modul ist besonders in großen und geografisch verteilten Unternehmenssystemen nützlich, da es einen zentralen Zugriff auf alle Daten bietet. Der dritte Teil ist die Verwaltungskonsole. Es verwendet eine Standardkonsole für SecurIT-Produkte und wird daher nicht näher darauf eingegangen. Wir weisen nur darauf hin, dass Sie mit diesem Modul das System nicht nur lokal, sondern auch aus der Ferne steuern können.
Managementkonsole
Das Zgate-System kann in mehreren Modi betrieben werden. Darüber hinaus hängt ihre Verfügbarkeit von der Methode der Produktimplementierung ab. Die ersten beiden Modi sollen als Mail-Proxy-Server funktionieren. Um sie zu implementieren, wird das System zwischen dem Mailserver des Unternehmens und der "Außenwelt" (oder zwischen dem Mailserver und dem sendenden Server, wenn sie getrennt sind) installiert. In diesem Fall kann Zgate den Verkehr entweder filtern (anstößige und fragwürdige Nachrichten verzögern) und nur protokollieren (alle Nachrichten überspringen, aber im Archiv speichern).
Die zweite Implementierungsmethode beinhaltet die Verwendung eines Sicherheitssystems in Verbindung mit Microsoft Exchange 2007 oder 2010. Dazu müssen Sie Zgate direkt auf dem Mailserver des Unternehmens installieren. Gleichzeitig stehen auch zwei Modi zur Verfügung: Filterung und Protokollierung. Darüber hinaus gibt es eine weitere Implementierungsoption. Wir sprechen über das Protokollieren von Nachrichten im gespiegelten Verkehrsmodus. Um es verwenden zu können, muss natürlich sichergestellt werden, dass dieser gespiegelte Verkehr zu dem Computer fließt, auf dem Zgate installiert ist (normalerweise erfolgt dies über Netzwerkgeräte).
Auswahl der Zgate-Betriebsart
Die Webkomponente von Zgate verdient eine eigene Geschichte. Es wird direkt auf dem Internet-Gateway des Unternehmens installiert. Gleichzeitig erhält dieses Subsystem die Möglichkeit, HTTP-, FTP- und IM-Verkehr zu kontrollieren, d. h. zu verarbeiten, um Versuche zu erkennen, vertrauliche Informationen über Webmail-Schnittstellen und ICQ zu senden, in Foren, FTP-Servern zu veröffentlichen und soziale Netzwerke usw. Übrigens über ICQ. Die Funktion zum Blockieren von IM-Messengern ist in vielen ähnlichen Produkten verfügbar. Es gibt jedoch keinen ICQ in ihnen. Ganz einfach, weil es in russischsprachigen Ländern am weitesten verbreitet ist.
Das Funktionsprinzip der Zgate-Webkomponente ist recht einfach. Jedes Mal, wenn Informationen an einen der überwachten Dienste gesendet werden, generiert das System eine spezielle Nachricht. Es enthält die Informationen selbst und einige Servicedaten. Es wird an den Zgate-Hauptserver gesendet und nach den festgelegten Regeln verarbeitet. Das Versenden von Informationen im Dienst selbst wird selbstverständlich nicht blockiert. Das heißt, Zgate Web funktioniert nur im Protokollierungsmodus. Es kann einzelne Datenlecks nicht verhindern, aber es kann diese schnell erkennen und die Aktivitäten eines freiwilligen oder unfreiwilligen Angreifers unterdrücken.
Ich hoffe, dass der Artikel selbst und insbesondere seine Diskussion dazu beitragen werden, verschiedene Nuancen des Einsatzes von Softwaretools aufzudecken und zum Ausgangspunkt für die Entwicklung einer Lösung für das beschriebene Problem für Infzu werden.
nahna
Die Marketingabteilung von Infovatch überzeugt seit langem alle Interessierten - IT-Spezialisten ebenso wie die fortschrittlichsten IT-Manager, dass der größte Teil des Schadens durch die Verletzung der Informationssicherheit des Unternehmens auf Insider trifft - Mitarbeiter, die Geschäftsgeheimnisse preisgeben. Das Ziel ist klar - es ist notwendig, Nachfrage nach dem hergestellten Produkt zu schaffen. Und die Argumente sehen recht solide und überzeugend aus.
Formulierung des Problems
Aufbau eines Systems zum Schutz von Informationen vor Diebstahl durch Personal in einem LAN basierend auf Active Directory Windows 2000/2003. Benutzerarbeitsstationen, auf denen Windows XP ausgeführt wird. Unternehmensverwaltung und -buchhaltung auf Basis von 1C-Produkten.Geheime Informationen werden auf drei Arten gespeichert:
- DB 1C - Netzwerkzugriff über RDP (Terminal Access);
- freigegebene Ordner auf Dateiservern - Netzwerkzugriff;
- lokal auf dem PC des Mitarbeiters;
Was ist auf dem Markt
Die betrachteten Systeme habe ich in drei Klassen eingeteilt:- Auf Kontextanalysatoren basierende Systeme - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet usw.
- Systeme, die auf statischer Gerätesperre basieren - DeviceLock, ZLock, InfoWatch Net Monitor.
- Systeme, die auf dynamischer Blockierung von Geräten basieren - SecrecyKeeper, Guardian, Accord, SecretNet.
Systeme basierend auf Kontextanalysatoren
Arbeitsprinzip:In den übertragenen Informationen wird nach Schlüsselwörtern gesucht, anhand der Suchergebnisse wird entschieden, ob die Übertragung gesperrt werden muss.
Meiner Meinung nach hat InfoWatch Traffic Monitor (www.infowatch.ru) die maximalen Fähigkeiten unter den aufgeführten Produkten. Die Basis bildet die bewährte Engine Kaspersky Antispam, die die Besonderheiten der russischen Sprache am besten berücksichtigt. Im Gegensatz zu anderen Produkten berücksichtigt InfoWatch Traffic Monitor bei der Analyse nicht nur das Vorhandensein bestimmter Linien in den gescannten Daten, sondern auch das vorgegebene Gewicht jeder Linie. Somit wird bei einer endgültigen Entscheidung nicht nur das Vorkommen bestimmter Wörter berücksichtigt, sondern auch deren Kombinationen, was den Analysator flexibler macht. Andere Funktionen sind Standard für diese Art von Produkten - Analyse von Archiven, MS Office-Dokumenten, die Möglichkeit, die Übertragung von Dateien unbekannten Formats zu blockieren oder passwortgeschützte Archive.
Nachteile der betrachteten Systeme basierend auf Kontextanalyse:
- Es werden nur zwei Protokolle überwacht - HTTP und SMTP (für InfoWatch Traffic Monitor und für HTTP-Verkehr werden nur Daten überprüft, die mit POST-Anfragen übertragen wurden, was die Organisation eines Leckkanals mithilfe der Datenübertragung mit der GET-Methode ermöglicht);
- Datenübertragungsgeräte wie Disketten, CDs, DVDs, USB-Laufwerke usw. werden nicht kontrolliert. (Für diesen Fall hat Infowatch ein Produkt namens InfoWatch Net Monitor).
- um Systeme zu umgehen, die auf der Grundlage der Inhaltsanalyse erstellt wurden, reicht es aus, die einfachste Textcodierung (zum Beispiel: geheim -> c1e1k1p1e1t) oder Steganographie anzuwenden;
- das nächste Problem wird durch die Methode der Inhaltsanalyse nicht gelöst - eine passende formale Beschreibung fällt mir nicht ein, deshalb gebe ich nur ein Beispiel: es gibt zwei Excel-Dateien - im ersten Verkaufspreis (öffentliche Information), im zweiten - Großhandelspreise für einen bestimmten Kunden (geschlossene Informationen), der Inhalt der Dateien unterscheidet sich nur in Zahlen. Diese Dateien können durch die Inhaltsanalyse nicht unterschieden werden.
Die Kontextanalyse ist nur geeignet, um Verkehrsarchive zu erstellen und versehentlichem Informationsverlust entgegenzuwirken, und löst das Problem nicht.
Systeme basierend auf statischer Blockierung von Geräten
Arbeitsprinzip:Benutzern werden Zugriffsrechte auf überwachte Geräte zugewiesen, ähnlich wie Dateizugriffsrechte. Im Prinzip lässt sich mit Standard-Windows-Mechanismen fast der gleiche Effekt erzielen.
Zlock (www.securit.ru) - das Produkt ist vor relativ kurzer Zeit erschienen, daher hat es nur minimale Funktionen (ich glaube nicht, dass es kleine Funktionen gibt) und es unterscheidet sich nicht beim Debuggen, zum Beispiel stürzt die Verwaltungskonsole manchmal ab, wenn versuchen, die Einstellungen zu speichern.
DeviceLock (www.smartline.ru) ist ein interessanteres Produkt, es ist schon lange auf dem Markt, arbeitet also viel stabiler und hat vielfältigere Funktionen. Es erlaubt beispielsweise das Schattenkopieren von übertragenen Informationen, was bei der Untersuchung des Vorfalls helfen kann, aber nicht bei seiner Verhinderung. Zudem wird eine solche Untersuchung höchstwahrscheinlich bei Bekanntwerden des Lecks durchgeführt, d.h. nach einer beträchtlichen Zeit, nachdem es aufgetreten ist.
InfoWatch Net Monitor (www.infowatch.ru) besteht aus Modulen - DeviceMonitor (analog zu Zlock), FileMonitor, OfficeMonitor, AdobeMonitor und PrintMonitor. DeviceMonitor ist analog zu Zlock, Standardfunktionalität, keine Rosinen. FileMonitor - Dateizugriffskontrolle. Mit OfficeMonitor und AdobeMonitor können Sie die Arbeit mit Dateien in ihren jeweiligen Anwendungen steuern. Es ist derzeit ziemlich schwierig, für FileMonitor, OfficeMonitor und AdobeMonitor eine nützliche und keine Spielzeuganwendung zu entwickeln, aber in zukünftigen Versionen wird es möglich sein, die verarbeiteten Daten zu kontextualisieren. Vielleicht zeigen diese Module dann ihr Potenzial. Es sollte jedoch beachtet werden, dass die Aufgabe der Kontextanalyse von Dateioperationen nicht trivial ist, insbesondere wenn die Inhaltsfilterungsdatenbank dieselbe ist wie in Traffic Monitor, d.h. Netzwerk.
Unabhängig davon ist der Schutz des Agenten vor einem Benutzer mit lokalen Administratorrechten zu erwähnen.
ZLock und InfoWatch Net Monitor verfügen einfach nicht über einen solchen Schutz. Jene. Der Benutzer kann den Agenten stoppen, die Daten kopieren und den Agenten erneut starten.
DeviceLock verfügt über einen solchen Schutz, was ein klares Plus ist. Es basiert auf dem Abfangen von Systemaufrufen, um mit der Registrierung, dem Dateisystem und der Prozesssteuerung zu arbeiten. Ein weiteres Plus ist, dass der Schutz auch im abgesicherten Modus funktioniert. Es gibt jedoch auch einen Nachteil: Um den Schutz zu deaktivieren, reicht es aus, die Service Descriptor Table wiederherzustellen, was durch Herunterladen eines einfachen Treibers erfolgen kann.
Nachteile der betrachteten Systeme basierend auf statischer Blockierung von Geräten:
- Die Übertragung von Informationen an das Netzwerk wird nicht kontrolliert.
- -Ist nicht in der Lage, klassifizierte Informationen von nicht geheimen Informationen zu unterscheiden. Es funktioniert nach dem Prinzip entweder alles ist möglich oder nichts ist unmöglich.
- Der Schutz gegen das Entladen von Agenten ist nicht vorhanden oder wird leicht umgangen.
Es ist nicht ratsam, solche Systeme einzuführen, da sie lösen die gestellte Aufgabe nicht.
Systeme basierend auf dynamischer Geräteverriegelung
Arbeitsprinzip:der Zugang zu den Übertragungskanälen wird abhängig von der Zugangsebene des Benutzers und dem Grad der Geheimhaltung der Informationen, mit denen die Arbeit ausgeführt wird, gesperrt. Um dieses Prinzip umzusetzen, verwenden diese Produkte den autoritativen Zugangskontrollmechanismus. Dieser Mechanismus ist nicht sehr verbreitet, daher werde ich näher darauf eingehen.
Autoritative (erzwungene) Zugriffskontrolle ist im Gegensatz zur deskriptiven (implementiert im Sicherheitssystem von Windows NT und höher), dass der Besitzer einer Ressource (z stärke sie nur innerhalb deines Levels. Nur ein Benutzer mit besonderen Befugnissen - ein Beamter oder ein Info- kann die Anforderungen lockern.
Das Hauptziel bei der Entwicklung von Produkten wie Guard, Accord, SecretNet, DallasLock und einigen anderen war die Möglichkeit der Zertifizierung von Informationssystemen, in denen diese Produkte installiert werden, nach den Anforderungen der State Technical Commission (jetzt FSTEK). Eine solche Zertifizierung ist für Informationssysteme, in denen der Staat verarbeitet wird, obligatorisch. geheim, das im Wesentlichen die Nachfrage nach Nahrungsmitteln von Staatsbetrieben sicherstellte.
Daher wurde der in diesen Produkten implementierte Funktionsumfang durch die Anforderungen der entsprechenden Dokumente bestimmt. Dies wiederum führte dazu, dass die meisten der in den Produkten implementierten Funktionalitäten die reguläre Windows-Funktionalität entweder duplizieren (Objekte nach dem Löschen bereinigen, RAM bereinigen) oder diese implizit verwenden (deskriptive Zugriffskontrolle). Und die DallasLock-Entwickler gingen sogar noch weiter, indem sie die obligatorische Zugriffskontrolle ihres Systems durch den Windows-Deskriptor-Kontrollmechanismus implementierten.
Die praktische Verwendung solcher Produkte ist äußerst umständlich, zum Beispiel erfordert DallasLock für die Installation eine Neupartitionierung der Festplatte, die außerdem mit Software von Drittanbietern durchgeführt werden muss. Sehr oft wurden diese Systeme nach der Zertifizierung entfernt oder deaktiviert.
SecrecyKeeper (www.secrecykeeper.com) ist ein weiteres Produkt, das einen autoritativen Zugriffskontrollmechanismus implementiert. Laut den Entwicklern wurde SecrecyKeeper speziell entwickelt, um ein bestimmtes Problem zu lösen – um Informationsdiebstahl in einer kommerziellen Organisation zu verhindern. Daher wurde nach den Worten der Entwickler bei der Entwicklung besonderes Augenmerk auf Einfachheit und Benutzerfreundlichkeit gelegt, sowohl für Systemadministratoren als auch für normale Benutzer. Wie viel es möglich war, ist für den Verbraucher zu beurteilen, d.h. UNS. Darüber hinaus implementiert SecrecyKeeper eine Reihe von Mechanismen, die in den anderen genannten Systemen nicht verfügbar sind – zum Beispiel die Möglichkeit, die Geheimhaltungsstufe für Ressourcen mit Remote-Zugriff festzulegen und den Schutzmechanismus des Agenten.
Die Kontrolle der Informationsbewegung in SecrecyKeeper wird basierend auf der Informationssicherheitsstufe, Benutzerzugriffsstufen und Computersicherheitsstufen implementiert, die die Werte öffentlich, geheim und streng geheim annehmen können. Das Information Secrecy Level erlaubt es, die im System verarbeiteten Informationen in drei Kategorien zu klassifizieren:
öffentlich - keine geheimen Informationen, es gibt keine Einschränkungen bei der Arbeit damit;
geheim - geheime Informationen, bei der Arbeit werden Einschränkungen abhängig von den Zugriffsebenen des Benutzers eingeführt;
Streng geheim sind streng geheime Informationen; bei der Arbeit mit ihnen gelten Einschränkungen in Abhängigkeit von den Benutzerberechtigungsstufen.
Die Informationssicherheitsstufe kann für eine Datei, ein Netzlaufwerk und einen Port des Computers eingestellt werden, auf dem ein Dienst ausgeführt wird.
Mit den Benutzerfreigabestufen können Sie festlegen, wie der Benutzer je nach Datenschutzstufe Informationen verschieben kann. Es gibt folgende Benutzerfreigabestufen:
Benutzerfreigabestufe – begrenzt die maximale Vertraulichkeitsstufe von Informationen, auf die ein Mitarbeiter zugreifen kann;
Netzwerkzugriffsebene – begrenzt die maximale Vertraulichkeitsebene von Informationen, die ein Mitarbeiter über das Netzwerk übertragen kann;
Zugriffsebene für Wechselmedien – begrenzt die maximale Vertraulichkeitsstufe von Informationen, die ein Mitarbeiter auf externe Medien kopieren kann.
Druckersicherheitsstufe – begrenzt die maximale Sicherheitsstufe der Informationen, die ein Mitarbeiter drucken kann.
Computersicherheitsstufe - definiert die maximale Sicherheitsstufe von Informationen, die auf einem Computer gespeichert und verarbeitet werden können.
Der Zugriff auf Informationen mit einer öffentlichen Sicherheitsstufe kann von einem Mitarbeiter mit einer beliebigen Sicherheitsstufe durchgeführt werden. Solche Informationen können ohne Einschränkungen über das Netzwerk übertragen und auf externe Medien kopiert werden. Die Historie der Arbeit mit Informationen mit der öffentlichen Sicherheitsstufe wird nicht verfolgt.
Zugang zu Informationen mit Geheimhaltungsstufe Geheimhaltung erhalten nur Mitarbeiter mit einer Geheimhaltungsstufe oder höher. Nur Mitarbeiter, deren Netzwerkzugriffsebene geheim oder höher ist, können solche Informationen an das Netzwerk übertragen. Nur Mitarbeiter, deren Zugriffsebene auf Wechselmedien geheim oder höher ist, können solche Informationen auf externe Medien kopieren. Nur Mitarbeiter, deren Zugriffsberechtigung auf den Drucker geheim oder höher ist, können solche Informationen drucken. Die Geschichte der Arbeit mit Informationen, die eine geheime Geheimhaltungsstufe haben, d.h. Versuche, darauf zuzugreifen, Versuche, sie über das Netzwerk zu übertragen, Versuche, sie auf externe Medien zu kopieren oder zu drucken - werden protokolliert.
Zugang zu Informationen mit einem Top-Secret-Level erhalten nur Mitarbeiter, deren Sicherheitslevel dem Top-Secret-Level entspricht. Nur Mitarbeiter, deren Netzwerkzugriffsebene dem Top Secret entspricht, können solche Informationen an das Netzwerk übertragen. Nur Mitarbeiter, deren Zugriffsebene auf Wechselmedien streng geheim ist, können solche Informationen auf externe Medien kopieren. Nur Mitarbeiter, deren Zugriffsberechtigung auf den Drucker streng geheim ist, können solche Informationen drucken. Die Geschichte der Arbeit mit Informationen mit einem streng geheimen Level, d.h. Versuche, darauf zuzugreifen, Versuche, sie über das Netzwerk zu übertragen, Versuche, sie auf externe Medien zu kopieren oder zu drucken - werden protokolliert.
Beispiel: Lassen Sie einen Mitarbeiter eine Sicherheitsfreigabe von streng geheim, eine Netzwerkfreigabe von geheim, eine Wechselmedienfreigabe von öffentlich und eine Druckerfreigabe von streng geheim; in diesem Fall kann ein Mitarbeiter auf ein Dokument mit beliebiger Geheimhaltungsstufe zugreifen, ein Mitarbeiter kann Informationen mit einer Geheimhaltungsstufe nicht höher als geheim ins Netzwerk übertragen, z. B. auf Disketten kopieren, ein Mitarbeiter kann nur Informationen mit eine öffentliche Geheimhaltungsstufe und ein Mitarbeiter kann alle Informationen auf einem Drucker ausdrucken ...
Um die Verteilung von Informationen an das Unternehmen zu steuern, wird jedem einem Mitarbeiter zugewiesenen Computer eine Computersicherheitsstufe zugewiesen. Diese Stufe begrenzt die maximale Sicherheitsstufe der Informationen, auf die jeder Mitarbeiter von diesem Computer aus zugreifen kann, unabhängig von der Sicherheitsstufe des Mitarbeiters. Dass. Wenn ein Mitarbeiter eine Zugriffsstufe gleich streng geheim hat und der Computer, an dem er gerade arbeitet, eine Sicherheitsstufe gleich öffentlich hat, kann der Arbeitnehmer von dieser Arbeitsstation aus nicht auf Informationen mit einer höheren Geheimstufe als öffentlich zugreifen.
Bewaffnet mit der Theorie, versuchen wir, das Problem mit SecrecyKeeper zu lösen. Eine vereinfachte Beschreibung der im Informationssystem des betrachteten abstrakten Unternehmens verarbeiteten Informationen (siehe Problemstellung) kann anhand der folgenden Tabelle erfolgen:
Mitarbeiter des Unternehmens und der Bereich ihrer beruflichen Interessen werden anhand der zweiten Tabelle beschrieben:
Lassen Sie das Unternehmen die folgenden Server verwenden:
Server 1C
Dateiserver mit Kugeln:
SecretDocs - enthält geheime Dokumente
PublicDocs - enthält öffentliche Dokumente
Beachten Sie, dass die Standardfunktionen des Betriebssystems und der Anwendungssoftware verwendet werden, um die Standardzugriffskontrolle zu organisieren. um beispielsweise den Zugriff eines Vorgesetzten auf die personenbezogenen Daten von Mitarbeitern zu verhindern, müssen keine zusätzlichen Sicherheitssysteme eingeführt werden. Es geht gerade darum, der Verbreitung von Informationen entgegenzuwirken, zu denen der Arbeitnehmer legalen Zugang hat.
Fahren wir mit der direkten Konfiguration von SecrecyKeeper fort.
Ich werde den Installationsprozess der Managementkonsole und der Agenten nicht beschreiben, alles ist so einfach wie möglich - siehe die Dokumentation zum Programm.
Die Systemeinrichtung besteht aus den folgenden Schritten.
Schritt 1. Installieren Sie Agenten auf allen PCs außer den Servern – dies ermöglicht Ihnen sofort zu verhindern, dass Informationen an sie gelangen, deren Datenschutzstufe höher als öffentlich ist.
Schritt 2. Weisen Sie Mitarbeiterfreigabestufen gemäß der folgenden Tabelle zu:
| Benutzerfreigabestufe | Netzwerkfreigabestufe | Freigabeebene für Wechselmedien | Druckerfreigabestufe | |
| Direktor | Geheimnis | Geheimnis | Geheimnis | Geheimnis |
| Manager | Geheimnis | öffentlich | öffentlich | Geheimnis |
| Personalreferentin | Geheimnis | öffentlich | öffentlich | Geheimnis |
| Buchhalter | Geheimnis | öffentlich | Geheimnis | Geheimnis |
| Sekretär | öffentlich | öffentlich | öffentlich | öffentlich |
Schritt 3. Weisen Sie Computersicherheitsstufen wie folgt zu:
Schritt 4. Konfigurieren Sie die Datenschutzstufen auf den Servern:
Schritt 5. Konfigurieren Sie die Datenschutzstufen auf den PCs der Mitarbeiter für lokale Dateien. Dies ist der zeitaufwendigste Teil, da es notwendig ist, klar zu verstehen, welcher der Mitarbeiter mit welchen Informationen arbeitet und wie kritisch diese Informationen sind. Wenn eine Organisation ein Informationssicherheitsaudit durchgeführt hat, können deren Ergebnisse die Aufgabe erheblich erleichtern.
Schritt 6. Bei Bedarf können Sie mit SecrecyKeeper die Liste der Programme einschränken, die von Benutzern ausgeführt werden dürfen. Dieser Mechanismus wird unabhängig von der Windows-Richtlinie für Softwareeinschränkung implementiert und kann verwendet werden, wenn es beispielsweise erforderlich ist, Benutzern mit Administratorrechten Einschränkungen aufzuerlegen.
So ist es mit Hilfe von SecrecyKeeper möglich, das Risiko der unbefugten Verbreitung von Verschlusssachen – sowohl durch Leckage als auch Diebstahl – deutlich zu reduzieren.
Mängel:
- Schwierigkeiten bei der anfänglichen Einstellung der Datenschutzstufen für lokale Dateien;
Allgemeine Schlussfolgerung:
Maximale Möglichkeiten zum Schutz von Informationen vor Insidern bietet eine Software, die den Zugang zu Informationsübertragungskanälen dynamisch regeln kann, je nach Geheimhaltungsgrad der Informationen, mit denen die Arbeit ausgeführt wird, und Zugriffsebene des Mitarbeiters.
Unternehmen ist ein einzigartiger Service für Käufer, Entwickler, Händler und Affiliate-Partner. Darüber hinaus ist es einer der besten Online-Software-Shops in Russland, der Ukraine, Kasachstan, der den Kunden ein breites Sortiment, viele Zahlungsmethoden, eine schnelle (oft sofortige) Auftragsabwicklung und eine Verfolgung des Auftragsabwicklungsprozesses im persönlichen Bereich bietet.
Je mehr Erfolge die Menschheit bei der Bekämpfung externer Cyber-Bedrohungen erzielt, desto entschiedener treten interne Bedrohungen in den Vordergrund, mit denen laut Statistik mehr als 70 % aller Sicherheitsvorfälle verbunden sind. Dieser Artikel fasst die Erfahrungen eines russischen Unternehmens zusammen - eines Integrators im Bereich der Erstellung komplexer Systeme zur Verhinderung des Verlusts vertraulicher Informationen. Solche komplexen Systeme sind für das Funktionieren vieler moderner Unternehmen und Organisationen von entscheidender Bedeutung. Unternehmen nutzen eine ganze Reihe von Möglichkeiten, um Mitarbeiter zu überwachen: Sie schauen sich E-Mails an, fangen Telefonate ab, installieren Überwachungskameras und überwachen den Website-Traffic im Internet. Sind diese Aktionen legal? Derzeit werden vertrauliche Informationen und personenbezogene Daten in den automatisierten Systemen fast jedes Unternehmens verarbeitet. Natürlich müssen solche Informationen geschützt werden. Aber wie kann man sie schützen, was ist der Unterschied zwischen den Mitteln zum Schutz eines Heimcomputers und Computern in Unternehmensanwendungen, welche Aufgaben des Schutzes von Informationen und wie sollten in Kombination gelöst werden, um einen wirksamen Schutz vertraulicher Informationen zu gewährleisten? Niemand ist vor Sabotage der IT-Infrastruktur sicher. Jeder Mitarbeiter kann selbst aus dem kleinsten Grund Anstoß an der Geschäftsführung oder den Kollegen nehmen und dann eine echte Sabotage begehen: für das Unternehmen äußerst wichtige Informationen vernichten, obszöne Briefe an die Kunden des Unternehmens senden usw. Offensichtlich der Schaden in diesem Fall kann von einem verdorbenen Arbeitsklima bis hin zu direkten Verlusten in Höhe von mehreren Millionen Dollar reichen. Die Bedenken von Unternehmen bezüglich der internen IT-Sicherheit und des Schutzes ihrer Informationsressourcen werden durch Untersuchungen führender Unternehmen durchgängig bestätigt. Laut der im Januar 2006 veröffentlichten FBI-Umfrage zur Computerkriminalität aus dem Jahr 2005 waren 44% der amerikanischen Unternehmen im Laufe des Jahres von schweren Vorfällen in der internen IT-Sicherheit betroffen, während Insider vertrauliche Arbeitgeberdokumente stahlen, versuchten, Informationen zum Zwecke der Finanzbetrug, aus der Büroausstattung usw. Derzeit gibt es auf dem Markt für Systeme zum Schutz vertraulicher Informationen vor Lecks (DLP) mehrere grundlegende grundlegende Erkennungstechnologien, einschließlich linguistischer und kontextbezogener Analyse sowie digitaler Fingerabdrücke und Tags. Viele Leute in kommerziellen Organisationen sind mit der Unternehmenssteuerung vertraut, beispielsweise mit dem Abhören von Bürotelefonen. Dies wird in der Regel von Sicherheitsbeauftragten großer und mittlerer Unternehmen im Auftrag des Managements durchgeführt, wobei das Abhören sowohl öffentlich als auch privat erfolgen kann. Wie kann festgestellt werden, welche der Mitarbeiter der Organisation und derjenigen, die in die Arbeit eintreten, ihre Interessen verursacht oder schädlich sein können? Wie erkennt man potenzielle Alkoholiker, Menschen, die anfällig für Diebstahl sind, und solche, die nie produktiv sein werden? Schließlich können sie alle Mitarbeiter Ihres Unternehmens werden. Dies kompetent zu verstehen, ist keine leichte Aufgabe. Dieser Artikel beschreibt die Rolle des menschlichen Faktors bei der Gewährleistung der Sicherheit der Organisation, einige potenzielle Quellen von Personalrisiken und Maßnahmen zum Schutz der Organisation davor. Der Schutz von Unternehmensinformationen vor internen Bedrohungen hat sich in den letzten Jahren von einem modischen Trend für ausgewählte Unternehmen zu einem völlig eigenständigen Bereich der Informationssicherheit entwickelt. Top-Manager beginnen allmählich, ihre Einstellung zur Finanzierung zu überdenken und sehen den Datenschutz vor internen Bedrohungen nicht nur als Kostenquelle, sondern auch als Wettbewerbsvorteil für das Unternehmen. Viele Organisationen haben spezielle Teams und Abteilungen gebildet, um Geschäftsgeheimnisse, personenbezogene Daten und andere vertrauliche Informationen zu schützen. Der Wert von Informationen als Bestandteil jedes Unternehmens ist kaum zu überschätzen: Der Verlust von nur einem Viertel der als Geschäftsgeheimnis einer Organisation eingestuften Informationen führt nach Ansicht von Experten innerhalb weniger Monate zur Insolvenz von der Hälfte Organisationen, die solche Informationen weitergegeben haben. In der Informationstechnologie basiert der Erfolg des Unternehmens wie in keinem anderen Bereich oft ausschließlich auf gutem Know-how, technologischem Fortschritt, Marketingstrategie oder auch nur einer originellen Idee. Darüber hinaus existieren die wertvollsten Informationen über diese Entscheidungen, Schritte und Ideen in den Köpfen der Mitarbeiter des Unternehmens. Man kann nur zustimmen, dass die Speicherung bei weitem nicht die zuverlässigste ist, um vertrauliche Informationen vor unbefugtem oder ungewolltem Zugriff durch Dritte oder vor ihrer unlauteren Verwendung durch den Mitarbeiter selbst, beispielsweise zur Schaffung seiner eigenen Wettbewerbsentwicklung, zu schützen. Im Folgenden werden wir darüber sprechen, wie der Arbeitgeber die Verbreitung von wirtschaftlich wichtigen Informationen innerhalb und außerhalb des Unternehmens kontrollieren kann, wie die Rechte des Arbeitnehmers gewahrt werden können und welche Entschädigung er für eine bekannte Einschränkung dieser Rechte erhalten sollte. Und auch, wie der Arbeitnehmer für die Offenlegung der geheimen Informationen seines Arbeitgebers verantwortlich ist. "Möge diese Tasse an mir vorbeigehen!" Wir vertreiben die unangenehmsten Gedanken von uns selbst und sprechen diesen geheimen Zauber in den unterschiedlichsten Momenten unseres Lebens aus. Sei es ein Ausflug zu einem von Taschendieben verseuchten Kleidermarkt oder eine späte Heimkehr. Das Gefühl von Geborgenheit stellt sich bei uns manchmal nicht einmal in der eigenen Wohnung ein. Polizeiberichte ähneln der Chronik der Feindseligkeiten. Laut Statistik gibt es in Russland alle 3,5 Minuten einen Einbruch. Eine Erkennung von Einbrechern ist in der Regel nicht möglich. Aber kann eine solche Belästigung verhindert werden? Diese Frage beantworten die Spezialisten der Firma Promet, einem führenden Anbieter und Hersteller von Haushaltstresoren und Metallmöbeln, ganz eindeutig: Ein Tresor wird zum zuverlässigen Schutz Ihrer Ersparnisse. In letzter Zeit ist das Problem des Schutzes vor internen Bedrohungen zu einer echten Herausforderung für die verständliche und etablierte Welt der Ungeworden. Die Presse spricht über Insider, Forscher und Analysten warnen vor möglichen Verlusten und Problemen, und Newsfeeds sind voller Nachrichten über den nächsten Vorfall, der aufgrund von Fehlern oder Unaufmerksamkeit der Mitarbeiter zum Durchsickern von Hunderttausenden von Kundendatensätzen führte. Versuchen wir herauszufinden, ob dieses Problem so ernst ist, ob es angegangen werden muss und welche verfügbaren Mittel und Technologien es gibt, um es zu lösen. Jetzt verwenden immer mehr Unternehmen DLP-Lösungen (Data Loss Prevention), um Unternehmensinformationen vor Lecks zu schützen. Vor der Implementierung von DLP bewertet jedes Unternehmen die Risiken und erstellt ein Bedrohungsmodell, das die Klassen der geschützten Informationen, Datennutzungsszenarien und die damit verbundenen Bedrohungen vorschreibt. In den meisten Fällen werden externe Laufwerke, Drucker, Firmenmail und verschiedene Webdienste als potenzielle Kanäle für Datenlecks erkannt, und nur wenige denken darüber nach, auf Magnetbänder oder andere Sicherungsmedien geschriebene Daten zu schützen, die dann gespeichert und transportiert werden in ungeschützter Form. Die Untersuchung der Informationssicherheit von Unternehmen und der Wirksamkeit von Maßnahmen zu ihrer Gewährleistung, die derzeit in den Unternehmensinformationssystemen (CIS) von Banken implementiert sind, zieht unweigerlich die Aufmerksamkeit einer 2011 von Sailpoint Technologies durchgeführten Umfrage auf sich, in einem Aspekt, der etwas von den Definitionen von „Computerschutz vor unbefugtem Zugriff“ und „unberechtigter Zugriff auf Computerinformationen“ (NSD) – Analysten bewerteten die Loyalität der Mitarbeiter von Unternehmen zur Unternehmensethik im Hinblick auf die Arbeit mit Informationen von begrenztem Nutzen. Heute ist die Bedrohung durch Insider ein dringendes Problem für die Sicherheitsdienste des Unternehmens. Organisationen bieten ihren temporären und festangestellten Mitarbeitern Zugang zu kritischen Informationen, die eine ernsthafte Bedrohung für die Sicherheit der Organisation darstellen. Es ist für Mitarbeiter des Unternehmens einfacher als alle anderen, vorhandene Informationen zu stehlen oder zu missbrauchen, da sie direkten Zugriff auf die Informationsressourcen des Unternehmens haben. Laut einer Studie von Trustwave ereignen sich 80 % der Informationssicherheitsvorfälle aufgrund der Verwendung schwacher Passwörter. Insider waren die Hauptursache für die jüngsten Vorfälle im Gesundheitsministerium von Utah und South Carolina in den Vereinigten Staaten. Die Verwendung von Passwort-Authentifizierung im IS von Unternehmen und Organisationen wird obsolet. Durch die weitere Anwendung dieser traditionellen Zugangsmethode auf ihre eigenen Informationsbestände gefährden Unternehmen effektiv die Rentabilität und möglicherweise sogar die Existenz des Unternehmens. Eines Tages beginnen fast alle Unternehmen zu erkennen, dass sie einen zuverlässigen Schutz von Unternehmensinformationen benötigen. Eine der effektivsten Möglichkeiten zum Schutz Ihrer Daten ist die Installation eines DLP-Systems in Ihrem Unternehmen. In den meisten Fällen begründet die Organisation ihre Entscheidung damit, dass diese Systeme vertrauliche Informationen zuverlässig schützen und es ihnen ermöglichen, die Anforderungen der Aufsichtsbehörden zu erfüllen. Wie viele Kopien wurden in der Debatte, ob Insider eine echte Bedrohung für das Geschäft darstellen oder nicht, geknackt. Der Bankensektor, der an der Spitze moderner Technologien steht, war schon immer einer der ersten, der die Neuheiten der IT-Welt und insbesondere des Bereichs der Informationssicherheit getestet hat. Zwei-Faktor-Authentifizierung, biometrische Systeme und mehr. All dies fand dort Anklang, wo Praktiker ihre Ersparnisse lieber behalten. Aber so ist unsere slawische Mentalität angelegt, "bis der Donner losbricht". Lassen Sie uns daher die wichtigsten Mythen zerstreuen, die immer noch nein, nein, ja sind und im Bankensektor zu finden sind. In den letzten Jahren haben sich Betreiber der "Big Three" bereits zweimal mit SMS-Nachrichten blamiert. Zum ersten Mal hat Yandex "geholfen" und das Leck kann im Prinzip als "fahrlässiges" Leck eingestuft werden. Aber dieses Mal ... Der Föderale Sicherheitsdienst berichtete, dass eine Gruppe von Übeltätern entdeckt worden war, die Archive der SMS-Korrespondenz von drei hochrangigen Moskauer Beamten von den Mitarbeitern von MTS und VimpelCom erhalten hatten, woraufhin VimpelCom die Tatsache des Informationslecks bestätigte , während MTS im Gegenteil verneinte. Überlassen wir die Suche nach den Tätern den Ermittlungen und achten wir auf die Fallmaterialien: Unbekannte Mitarbeiter der Technikzentralen der Mobilfunkbetreiber haben vertrauliche Informationen an Dritte weitergegeben. In der Sprache der „Sicherheitsmänner“ gab es Aktionen von Insidern. Die Verhinderung von Informationslecks und unbefugtem Zugriff ist eine der wichtigsten Aufgaben des Informationssicherheitsdienstes jeder Organisation. Wenn es sich um vertrauliche Informationen (Staat, Geschäftsgeheimnis, persönliche Daten) handelt, besteht das Problem, diese vor Diebstahl, Löschung, Änderung, Einsichtnahme zu schützen. Mit dem Wachstum des Unternehmens steigt das Risiko von Informationsdiebstahl, auch durch Mitarbeiter, sowie Finanz- und Reputationsrisiken, was zu einer Verschärfung von Richtlinien und Kontrollsystemen führt. In unserer Zeit sind Informationen von großem Wert. Der Besitz bietet enorme Chancen in Wirtschaft, Wirtschaft, Politik und anderen Bereichen. Kein Wunder, dass sie sagen, wem Informationen gehören, besitzt die Welt, und wem die Informationen anderer Leute gehören, ist viel besser auf den Wettbewerb vorbereitet als seine Rivalen. Es gibt viele verschiedene Dateiformate, die Textinformationen speichern, darunter TXT, RTF, DOC, DOCX, HTML, PDF und mehr. usw. Allerdings bot kein einziges Unternehmen, weder in unserem Land noch auf der ganzen Welt, Schutz für die XML-Dokumentation. Sehen wir uns genauer an, was XML-Dateien sind, warum sie geschützt werden müssen und wie der Schutz für dieses Format zuerst erstellt wurde.
| Verwandte Artikel: | |
|
Schutz vor Insidern und Informationslecks
Neuere Forschungen im Bereich Informationssicherheit, zum Beispiel ... FastStone Image Viewer - Kostenlose Bildbetrachter- und Bearbeitungssoftware
Igor. Aktualisierung: 22. April 2019. Hallo, Schatz ... So erstellen Sie einen Screenshot einer Seite
Lassen Sie uns herausfinden, wie ein Screenshot tatsächlich aussieht ... | |
