Технология DLP

Digital Light Processing (DLP) — передовая технология, изобретенная компанией Texas Instruments . Благодаря ей оказалось возможным создавать очень небольшие, очень легкие (3 кг — разве это вес?) и, тем не менее, достаточно мощные (более 1000 ANSI Lm) мультимедиапроекторы.

Краткая история создания

Давным-давно, в далекой галактике…

В 1987 году Dr. Larry J. Hornbeck изобрел цифровое мультизеркальное устройство (Digital Micromirror Device или DMD). Это изобретение завершило десятилетние исследования Texas Instruments в области микромеханических деформируемых зеркальных устройств (Deformable Mirror Devices или снова DMD). Суть открытия состояла в отказе от гибких зеркал в пользу матрицы жестких зеркал, имеющих всего два устойчивых положения.

В 1989 году Texas Instruments становится одной из четырех компаний, избранных для реализации «проекторной» части программы U.S. High-Definition Display, финансируемой управлением перспективного планирования научно-исследовательских работ (ARPA).

В мае 1992 года TI демонстрирует первую основанную на DMD систему, поддерживающую современный стандарт разрешения для ARPA.

High-Definition TV (HDTV) версия DMD на основе трех DMD высокого разрешения была показана в феврале 1994 года.

Массовые продажи DMD-чипов началиcь в 1995 году.

Технология DLP

Ключевым элементом мультимедиапроекторов, созданных по технологии DLP, является матрица микроскопических зеркал (DMD-элементов) из алюминиевого сплава, обладающего очень высоким коэффициентом отражения. Каждое зеркало крепится к жесткой подложке, которая через подвижные пластины соединяется с основанием матрицы. Под противоположными углами зеркал размещены электроды, соединенные с ячейками памяти CMOS SRAM. Под действием электрического поля подложка с зеркалом принимает одно из двух положений, отличающихся точно на 20° благодаря ограничителям, расположенным на основании матрицы.

Два этих положения соответствуют отражению поступающего светового потока соответственно в объектив и эффективный светопоглотитель, обеспечивающий надежный отвод тепла и минимальное отражение света.

Шина данных и сама матрица сконструированы так, чтобы обеспечивать до 60 и более кадров изображения в секунду с разрешением 16 миллионов цветов.

Матрица зеркал вместе с CMOS SRAM и составляют DMD-кристалл — основу технологии DLP.

Впечатляют небольшие размеры кристалла. Площадь каждого зеркала матрицы составляет 16 микрон и менее, а расстояние между зеркалами около 1 микрона. Кристалл, да и не один, легко помещается на ладони.

Всего, если Texas Instruments нас не обманывает, выпускаются три вида кристаллов (или чипов) c различными разрешениями. Это:

• SVGA: 848×600; 508,800 зеркал
• XGA: 1024×768 с черной апертурой (межщелевым пространством); 786,432 зеркал
• SXGA: 1280×1024; 1,310,720 зеркал

Итак, у нас есть матрица, что мы можем с ней сделать? Ну конечно, осветить ее световым потоком помощнее и поместить на пути одного из направлений отражений зеркал оптическую систему, фокусирующую изображение на экран. На пути другого направления разумным будет поместить светопоглотитель, чтобы ненужный свет не причинял неудобств. Вот мы уже и можем проецировать одноцветные картинки. Но где же цвет? Где яркость?

А вот в этом, похоже, и заключалось изобретение товарища Larry, речь о котором шла в первом абзаце раздела истории создания DLP. Если вы так и не поняли, в чем дело, — приготовьтесь, ибо сейчас с вами может случиться шок:), т. к. это само собой напрашивающееся элегантное и вполне очевидное решение является на сегодня самым передовым и технологичным в области проецирования изображения.

Вспомните детский фокус с вращающимся фонариком, свет от которого в некоторый момент сливается и превращается в светящийся круг. Эта шутка нашего зрения и позволяет окончательно отказаться от аналоговых систем построения изображения в пользу полностью цифровых. Ведь даже цифровые мониторы на последнем этапе имеют аналоговую природу.

Но что произойдет, если мы заставим зеркало с большой частотой переключаться из одного положения в другое? Если пренебречь временем переключения зеркала (а благодаря его микроскопическим размерам этим временем вполне можно пренебречь), то видимая яркость упадет не иначе как в два раза. Изменяя отношение времени, в течение которого зеркало находится в одном и другом положении, мы легко можем изменять и видимую яркость изображения. А так как частота циклов очень и очень большая, никакого видимого мерцания не будет и в помине. Эврика. Хотя ничего особенного, это всё давно известно:)

Ну, а теперь последний штрих. Если скорость переключения достаточно высока, то на пути светового потока мы можем последовательно помещать светофильтры и тем самым создавать цветное изображение.

Вот, собственно, и вся технология. Дальнейшее ее эволюционное развитие мы проследим на примере устройства мультимедиапроекторов.

Устройство DLP-проекторов

Texas Instruments не занимается производством DLP-проекторов, этим занимается множество других компаний, таких, как 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG и др. Большинство выпускаемых проекторов относятся к портативным, обладающим массой от 1,3 до 8 кг и мощностью до 2000 ANSI lumens. Проекторы делятся на три типа.

Одноматричный проектор

Самый простой тип, который мы уже описали, это — одноматричный проектор , где между источником света и матрицей помещается вращающийся диск с цветными светофильтрами — синим, зеленым и красным. Частота вращения диска определяет привычную нам частоту кадров.

Изображение формируется поочередно каждым из основных цветов, в результате получается обычное полноцветное изображение.

Все, или почти все портативные проекторы построены по одноматричному типу.

Дальнейшим развитием этого типа проекторов стало введение четвертого, прозрачного светофильтра, позволяющего ощутимо увеличить яркость изображения.

Трехматричный проектор

Самым сложным типом проекторов является трехматричный проектор , где свет расщепляется на три цветовых потока и отражается сразу от трех матриц. Такой проектор имеет самый чистый цвет и частоту кадров, не ограниченную скоростью вращения диска, как у одноматричных проекторов.

Точное соответствие отраженного потока от каждой матрицы (сведение) обеспечивается с помощью призмы, как вы можете видеть на рисунке.

Двухматричный проектор

Промежуточным типом проекторов является двухматричный проектор . В данном случае свет расщепляется на два потока: красный отражается от одной DMD-матрицы, а синий и зеленый — от другой. Светофильтр, соответственно, удаляет из спектра синюю либо зеленую составляющие поочередно.

Двухматричный проектор обеспечивает промежуточное качество изображения по сравнению с одноматричным и трехматричным типом.

Сравнение LCD и DLP-проекторов

По сравнению с LCD-проекторами DLP-проекторы обладают рядом важных преимуществ:

Есть ли недостатки у технологии DLP?

Но теория теорией, а на практике еще есть над чем поработать. Основной недостаток заключается в несовершенстве технологии и как следствие — проблеме залипания зеркал.

Дело в том, что при таких микроскопических размерах мелкие детали норовят «слипнуться», и зеркало с основанием тому не исключение.

Несмотря на приложенные компанией Texas Instruments усилия по изобретению новых материалов, уменьшающих прилипание микрозеркал, такая проблема существует, как мы увидели при тестировании мультимедиапроектора Infocus LP340 . Но, должен заметить, жить она особо не мешает.

Другая проблема не так очевидна и заключается в оптимальном подборе режимов переключения зеркал. У каждой компании, производящей DLP-проекторы, на этот счет свое мнение.

Ну и последнее. Несмотря на минимальное время переключения зеркал из одного положения в другое, едва заметный шлейф на экране этот процесс оставляет. Эдакий бесплатный antialiasing.

Развитие технологии

• Помимо введения прозрачного светофильтра постоянно ведутся работы по уменьшению межзеркального пространства и площади столбика, крепящего зеркало к подложке (черная точка посередине элемента изображения).
• Путем разбиения матрицы на отдельные блоки и расширения шины данных увеличивается частота переключения зеркал.
• Ведутся работы по увеличению количества зеркал и уменьшению размера матрицы.
• Постоянно повышается мощность и контрастность светового потока. В настоящее время уже существуют трехматричные проекторы мощностью свыше 10000 ANSI Lm и контрастностью более 1000:1, нашедшие свое применение в ультрасовременных кинотеатрах, использующих цифровые носители.
• Технология DLP полностью готова заменить CRT-технологию показа изображения в домашних кинотеатрах.

Заключение

Это далеко не все, что можно было бы рассказать о технологии DLP, например, мы не затронули тему использования DMD-матриц в печати. Но мы подождем, пока компания Texas Instruments не подтвердит информацию, доступную из других источников, дабы не подсунуть вам «липу». Надеюсь, этого небольшого рассказа вполне достаточно, чтобы получить пусть не самое полное, но достаточное представление о технологии и не мучать продавцов расспросами о преимуществе DLP-проекторов над другими.

Спасибо Алексею Слепынину за помощь в оформлении материала

О проблеме Сегодня, информационные технологии являются важной составляющей любой современной организации. Говоря образно, информационные технологии - это сердце предприятия, которое поддерживает работоспособность бизнеса и повышает его эффективность и конкурентоспособность в условиях современной, жесткой конкуренции.Системы автоматизации бизнес-процессов, такие как документооборот, CRM -системы, ERP -системы, системы многомерного анализа и планированияпозволяют оперативно собирать информацию, систематизировать и группировать ее,ускоряя процессы принятия управленческих решений и обеспечивая прозрачность бизнеса и бизнес-процессов для руководства и акционеров.Становится очевидным, что большое количество стратегических, конфиденциальных и персональных данных является важным информационным активом предприятия, и последствия утечки этой информации скажутся на эффективности деятельности организации.Использование традиционных на сегодня мер безопасности,таких как антивирусы и фаерволлы выполняют функции защиты информационных активов от внешних угроз, но не каким образом не обеспечивают защиту информационных активов от утечки, искажения или уничтожения внутренним злоумышленником.Внутренние же угрозы информационной безопасности могут оставаться игнорируемыми или в ряде случаев незамеченными руководством ввиду отсутствия понимания критичности этих угроз для бизнеса.Именно по этой причине защита конфиденциальных данных так важна уже сегодня.О решении Защита конфиденциальной информации от утечки является важной составляющей комплекса информационной безопасности организации. Решить проблему случайных и умышленных утечек конфиденциальных данных, призваны DLP-системы (система защиты данных отутечки).

Комплексная система защиты данных от утечек (DLP-система) представляют собой программный, либо программно-аппаратный комплекс, предотвращающий утечку конфиденциальных данных.

Осуществляется DLP-системой при помощи использования следующих основных функций:

• Фильтрация трафика по всем каналам передачи данных;
• Глубокий анализ трафика на уровне контента и контекста.

• Web (HTTP/HTTPS протоколы);
• Интернет – мессенджеры (ICQ, QIP, Skype, MSN и т.д.);
• Корпоративная и личная почта(POP, SMTP, IMAP и т.д.);
• Беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
• FTP – соединения.

• Серверах;
• Рабочих станциях;
• Ноутбуках;
• Системах хранения данных (СХД).

• Секретная информация;
• Конфиденциальная информация;
• Информация для служебного пользования;
• Общедоступная информация.

• Лингвистический анализ информации;
• Статистический анализ информации;
• Регулярные выражения (шаблоны);
• Метод цифровых отпечатков и т.д.

• Защиту информационных активов и важной стратегической информации компании;
• Структурированные и систематизированные данные в организации;
• Прозрачности бизнеса и бизнес-процессов для руководства и служб безопасности;
• Контроль процессов передачи конфиденциальных данных в компании;
• Снижение рисков связанных с потерей, кражей и уничтожением важной информации;
• Защита от вредоносного ПО попадающего в организацию изнутри;
• Сохранение и архивация всех действий связанных с перемещением данных внутри информационной системы;

• Контроль присутствия персонала на рабочем месте;
• Экономия Интернет-трафика;
• Оптимизация работы корпоративной сети;
• Контроль используемых пользователем приложений;
• Повышение эффективности работы персонала.

Стремительное развитие информационных технологий способствует глобальной информатизации современных компаний и предприятий. С каждым днем объемы информации, передаваемые через корпоративные сети больших корпораций и маленьких компаний, стремительно растут. Несомненно, что с ростом информационных потоков растут и угрозы, которые могут привести к потере важной информации, ее искажению или краже. Оказывается, потерять информацию гораздо проще, нежели какую-либо материальную вещь. Для этого не обязательно, чтобы кто-то совершал специальные действия для овладения данными – порой бывает достаточно неаккуратного поведения при работе с информационными системами или неопытности пользователей.

Возникает естественный вопрос, как же защитить себя, чтобы исключить факторы потери и утечки важной для себя информации. Оказывается, решить эту задачу вполне реально и сделать это можно на высоком профессиональном уровне. Для этой цели используются специальные DLP системы.

Определение DLP систем

DLP – это система предотвращения утечек данных в информационной среде. Она представляет собой специальный инструмент, с помощью которого системные администраторы корпоративных сетей могут отслеживать и блокировать попытки несанкционированной передачи информации. Кроме того, что такая система может предотвращать факты незаконного завладения информацией, она также позволяет отслеживать действия всех пользователей сети, которые связаны с использованием социальных сетей, общением в чатах, пересылкой e-mail сообщений и пр. Основная цель, на которую нацелены системы предотвращения утечек конфиденциальной информации DLP, является поддержка и выполнение всех требований политики конфиденциальности и безопасности информации, которые существуют в той или иной организации, компании, предприятии.

Область применения

Практическое применение DLP систем является наиболее актуальным для тех организаций, где утечка конфиденциальных данных может повлечь за собой огромные финансовые потери, существенный удар по репутации, а также потерю клиентской базы и личной информации. Наличие таких систем обязательно для тех компаний и организаций, которые устанавливают высокие требования к «информационной гигиене» своих сотрудников.

Лучшим инструментом для защиты таких данных, как номера банковских карт клиентов, их банковские счета, сведения об условиях тендеров, заказы на выполнения работ и услуг станут DLP системы – экономическая эффективность такого решение безопасности вполне очевидна.

Виды DLP-систем

Средства, применяемые для предотвращения утечек информации, можно разделить на несколько ключевых категорий:

1. стандартные инструменты безопасности;
2. интеллектуальные меры защиты данных;
3. шифрование данных и контроль доступа;
4. специализированные DLP системы безопасности.

К стандартному набору безопасности, который должен использоваться каждой компанией, относятся антивирусные программы, встроенные межсетевые экраны, системы выявления несанкционированных вторжений.

Интеллектуальные средства защиты информации предусматривают использование специальных сервисов и современных алгоритмов, которые позволят вычислить неправомерный доступ к данным, некорректное использование электронной переписки и пр. Кроме этого, такие современные инструменты безопасности позволяют анализировать запросы к информационной системе, поступающие извне от различных программ и сервисов, которые могут играть роль своего рода шпионов. Интеллектуальные средства защиты позволяют осуществлять более глубокую и детальную проверку информационной системы на предмет возможной утечки информации различными способами.

Шифрование важной информации и использование ограничения доступа к определенным данным – это еще один эффективный шаг к тому, чтобы минимизировать вероятность потери конфиденциальной информации.

Специализированная система предотвращения утечек информации DLP представляет собой сложный многофункциональный инструмент, который способен выявить и предупредить факты несанкционированного копирования и передачи важной информации за пределы корпоративной среды. Эти решения позволят выявить факты доступа к информации без наличия на это разрешения или с использованием полномочий тех лиц, которые такое разрешение имеют.

Специализированные системы используют для своей работы такие инструменты, как:

• механизмы определения точного соответствия данных;
• различные статистические методы анализа;
• использование методик кодовых фраз и слов;
• структурированная дактилоскопия и пр.;

Сравнение этих систем по функциональности

Рассмотрим сравнение DLP систем Network DLP и Endpoint DLP.

Network DLP – это специальное решение на аппаратном или программном уровне, которое применяется в тех точках сетевой структуры, которые расположены вблизи «периметра информационной среды». С помощью этого набора инструментов происходит тщательный анализ конфиденциальной информации, которую стараются отправить за пределы корпоративной информационной среды с нарушением установленных правил информационной безопасности.

Endpoint DLP представляют собой специальные системы, которые применяются на рабочей станции конечного пользователя, а также на серверных системах небольших организаций. Конечная информационная точка для этих систем может применяться для контроля как с внутренней, так и внешней стороны «периметра информационной среды». Система позволяет анализировать информационный трафик, посредством которого происходит обмен данными как между отдельными пользователями, так и группами пользователей. Защита DLP систем такого типа ориентирована на комплексную проверку процесса обмена данными, включая электронные сообщения, общение в социальных сетях и прочую информационную активность.

Нужно ли внедрять эти системы на предприятия?

Внедрение DLP систем является обязательным для всех компаний, которые дорожат своей информацией и стараются сделать все возможное, чтобы предотвратить случаи ее утечки и потери. Наличие таких инновационных инструментов безопасности позволит компаниям исключить распространение важных данных за пределы корпоративной информационной среды по всем доступным каналам обмена данными. Установив у себя DLP-систему, компания получит возможность контролировать:

• отправку сообщений с использованием корпоративной Web-почты;
• использование FTP-соединений;
• локальные соединения с использованием таких технологий беспроводной связи, как WiFi, Bluetooth, GPRS;
• обмен мгновенными сообщениями при помощи таких клиентов, как MSN, ICQ, AOL и пр.;
• применение внешних накопителей – USB, SSD, CD/DVD и пр..
• документацию, которая отправляется на печать с применением корпоративных устройств печати.

В отличие от стандартных решений безопасности, компания, у которой установлена DLP система Securetower или ей подобная, сможет:

• контролировать все виды каналов обмена важной информацией;
• выявлять передачу конфиденциальной информации в независимости от того, каким способом и в каком формате она передается за пределы корпоративной сети;
• блокировать утечку информации в любой момент времени;
• автоматизировать процесс обработки данных в соответствии принятой на предприятии политикой безопасности.

Использование DLP-систем будет гарантировать предприятиям эффективное развитие и сохранение своих производственных секретов от конкурентов и недоброжелателей.

Как происходит внедрение?

Чтобы установить у себя на предприятии в 2017 году DLP систему следует пройти несколько этапов, после реализации которых предприятие получит эффективную защиту своей информационной среды от внешних и внутренних угроз.

На первом этапе внедрения осуществляется обследование информационной среды предприятия, что включает в себя следующие действия:

• изучение организационно-распорядительной документации, которая регламентирует информационную политику на предприятии;
• изучение информационных ресурсов, которые используются предприятием и его сотрудниками;
• согласование перечня информации, которая может относиться к категории данных с ограниченным доступом;
• обследование существующих способов и каналов передачи и приема данных.

По итогам обследования составляется техническое задание, которое будет описывать те политики безопасности, которые нужно будет реализовать, используя DLP-систему.

На следующем этапе следует регламентировать юридическую сторону использования DLP-систем на предприятии. Важно исключить все тонкие моменты, чтобы потом не было судебных исков со стороны сотрудников в плане того, что компания за ними следит.

Уладив все юридические формальности, можно приступать к выбору продукта информационной безопасности – это может быть, например, DLP система Infowatch или любая иная с подобного рода функциональными возможностями.

После выбора подходящей системы можно приступать к ее установке и настройке для продуктивной работы. Настраивать систему следует таким образом, чтобы обеспечить выполнение всех задач безопасности, обусловленных в техническом задании.

Заключение

Внедрение DLP-систем достаточно сложное и кропотливое занятие, которое требует достаточно много времени и ресурсов. Но не стоит останавливаться на полпути – важно пройти все этапы в полной мере и получить высокоэффективную и многофункциональную систему защиты своей конфиденциальной информации. Ведь потеря данных может обернуться огромным ущербом для предприятия или компании как в финансовом плане, так и в плане ее имиджа и репутации в потребительской среде.

(Data Loss Prevention)

Системы контроля действий пользователей, система защиты конфиденциальных данных от внутренних угроз.

DLP-системы применяются для обнаружения и предотвращения передачи конфиденциальных данных на разных этапах. (при перемещении, использовании и хранении). DLP-система позволяет:

Контроллировать работу пользователей, не давая бесконтрольно тратить рабочее время в личных целях.

Автоматически, незаметно для пользователя, записывать все действия, включая отправляемые и принимаемые сообщения электройнной почты, общение в чатах и системах мгновенного обмена сообщениями, социальных сетях, посещаемые веб-сайты, набранные на клавиатуре данные, переданные, напечатанные и сохранённые файлы и т. д.

Контроллировать использование компьютерных игр на рабочем месте и учитывать количество рабочего времени, потраченного на компьютерные игры.

Контроллировать сетевую активность пользователей, учитывать объёмы сетевого трафика

Контроллировать копирование документов на различные носители (съемные носители, жесткие диски, сетевые папки и т. д.)

Контроллировать сетевую печать пользователя

Фиксировать запросы пользователей поисковым машинам и т. д.

Data-in-motion - данные в движении - сообщения email, передача веб-трафика, файлов и т. д.

Data-in-rest - хранящиеся данные - информация на рабочих станциях, файловых серверах, usb-устройствах и т. д.

Data-in-use - данные в использовании - информация, обрабатываемая в данный момент.

Архитектура DLP решений у разных разработчиков может различаться, но в целом выделяют 3 основных веяния:

Перехватчики и контроллеры на разные каналы передачи информации. Перехватчики анализируют проходящие потоки информации, исходящие с периметра компании, обнаруживают конфиденциальные данные, классифицируют информацию и передают для обработки возможного инцидента на управляющий сервер. Контроллеры для обнаружения хранимых данных запускают процессы обнаружения в сетевых ресурсах конфиденциальной информации. Контроллеры для операций на рабочих станциях распределяют политики безопасности на оконечные устройства (компьютеры), анализируют результаты деятельности сотрудников с конфиденциальной информацией и передают данные возможного инцедента на управляющий сервер.

Агентские программы, устанавливаемые на оконечные устройства: замечают конфиденциальные данные в обработке и следят за соблюдением таких правил, как сохранение на сменный носитель информации, отправке, распечатывании, копировании через буфер обмена.

Центральный управляющий сервер - сопоставляет поступающие с перехватчиков и контроллеров сведения и предоставляет интерфейс проработки инцидентов и построения отчётности.

В решениях DLP имеется широкий набор комбинированных методов обнаружения информации:

Цифровые отпечатки документов и их частей

Цифровые отпечатки баз данных и другой структурированной информации, которую важно защитить от распространения

Статистические методы (повышение чувствительности системы при повторении нарушений).

При эксплуатации DLP-систем характерно циклическое выполнение нескольких процедур:

Обучение системы принципам классификации информации.

Ввод правил реагирования в привязке к категории обнаруживаемой информации и групп сотрудников, контроль действий которых должен осуществляться. Выделяются доверенные пользователи.

Выполнение DLP-системой операции контроля (система анализирует и нормализует информацию, выполняет сопоставление с принципами обнаружения и классификации данных, и при обнаружении конфиденциальной информации, система сопоставляет с существующими политиками, назначенными на обнаруженную категорию информации и, при необходимости, создаёт инцидент)

Обработка инцидентов (например проинформировать, приостановить или заблокировать отправку).

Особенности создания и эксплуатации VPN с точки зрения безопасности

Варианты построения VPN:

На базе сетевых операционных систем

На базе маршрутизаторов

На базе МСЭ

На базе специализированного программно-аппаратного обеспечения

На базе специализированного ПО

Для корректной и безопасной работы VPN необходимо понимать основы взаимодействия VPN и межсетевых экранов:

VPN способны создавать сквозные связующие тунели, проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны межсетевого экрана, которому трудно анализировать зашифрованый трафик.

Благодаря своим функциям шифрования передаваемых данных, VPN можно использовать для обхода IDS-систем, не способных обнаруживать вторжения со стороны зашифрованных каналов связи.

В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов (NAT - network adress translation) может оказаться несовместима с некоторыми реализациями VPN и т. д.

По сути, во время принятия решений о внедрении VPN-компонентов в сетевую архитектуру, администратор может либо выбрать VPN в качестве обособленного внешнего устройства, либо выбрать интеграцию VPN в МСЭ, для обеспечения обеих функций одной системы.

МСЭ + Обособленный VPN. Варианты размещения VPN:

1. Внутри демилитаризованной зоны, между МСЭ и граничным маршрутизатором

   Вутри подзащитной сети на сетевых адаптерах МСЭ

   Внутри экранированной сети, позади МСЭ

   Параллельно с МСЭ, на точке входа в подзащитную сеть.

МСЭ + VPN, размещенные как единое целое - подобное интегрированное решение более удобно при техническом сопровождении, чем предыдущий вариант, не вызывает проблем, связанных с NAT (трансляцией сетевых адресов) и обеспечивает более надёжный доступ к данным, за который отвечает МСЭ. Недостатком интегрированного решения является большая изначальная стоимость покупки такого средства, а так же ограниченность вариантов оптимизации соответствующих VPN и Брендмауэр-компонент (то есть максимально удовлетворяющие запросам реализации МСЭ могут оказаться не приспособленными к построению на их основе VPN-компонентов. VPN может оказывать существенное воздействие на производительность сети и задержки могут возникать на следующих этапах:

1. При установлении защищённого соединения между VPN-устройствами (аутентификация, обмен ключами и т. д.)

   Задержки, связанные с зашифрованием и расшифрованием защищаемых данных, а так же преобразованиями, необходимыми для контроля их целостности

   Задержки, связанные с добавлением нового заголовка передаваемым пакетам

Безопасность электронной почты

Основные почтовые протоколы: (E)SMTP, POP, IMAP.

SMTP - simple mail transfer protocol, 25 порт TCP, нет аутентификации. Extended SMTP - добавлена аутентификация клиентов.

POP - post Office Protocol 3 - получение почты с сервера. Аутентификация в открытом виде. APOP - с возможностью аутентификации.

IMAP - internet message access protocol - незашифрованный почтовый протокол, который комбинирует свойства POP3 и IMAP. Позволяет работать напрямую с почтовым ящиком, без необходимости загрузки писем на компьютер.

Из-за отсутствия каких-либо нормальных средств шифровки информации, решили использовать SSL для шифровки данных этих протоколов. Отсюда появлились следующие разновидности:

POP3 SSL - 995 порт, SMTP SSL (SMTPS) 465 порт, IMAP SSL (IMAPS) - 993 порт, всё TCP.

Злоумышленник, работающий с системой электронной почты, может преследовать следующие цели:

Атака на компьютер пользователя посредством рассылки почтовых вирусов, отправка поддельных писем (подделка адреса отправителя в SMTP - тривиальная задача), чтение чужих писем.

Атака на почтовый сервер средствами электронной почты с целью проникновения в его операционную систему или отказ в обслуживании

Использование почтового сервера в качестве ретранслятора при рассылке непрошенных сообщений (спама)

Перехват паролей:

1. Перехват паролей в POP и IMAP сеансах, в результате чего злоумышленник может получать и удалять почту без ведома пользователя

   Перехват паролей в SMTP сеансах - в результате чего злоумышленник может быть незаконно авторизован для отправки почты через данный сервер

Для решения проблем безопасности с протоколами POP, IMAP и SMTP, чаще всего используется протокол SSL, позволяющий зашифровать весь сеанс связи. Недостаток - SSL - ресурсоёмкий протокол, может существенно замедлить связь.

Спам и борьба с ним

Виды мошеннического спама:

Лотерея - восторженное уведомление о выигрышах в лотереях, в которых получатель сообщения не участвовал. Всё, что нужно - посетить соответствующий сайт и ввести там номер своего счёта и пин-код карты, необходимых якобы для оплаты услуг доставки.

Аукционы - заключается данный вид обмана в отсутствии товара, который продают жулики. Расплатившись, клиент ничего не получает.

Фишинг - письмо, содержащее ссылку на некоторый ресурс, где от вас желают предоставления данных и т. д. Выманивание у доверчивых или невнимательных пользователей персональных и конфиденциальных данных. Мошенники рассылают массу писем, как правило замаскированных под официальные письма различных учреждений, содержащих ссылки, ведущие на сайты-ловушки, визуально копирующие сайты банков, магазинов и др. организаций.

Почтовое жульничество - набор персонала для некоторой фирмы якобы нуждающейся в представителе в какой-либо стране, способного взять на себя заботы о пересылке товаров или переводе денег иностранной компании. Как правило, здесь скрываются схемы по отмыванию денег.

Нигерийские письма - просят внести небольшую сумму перед получением денег.

Письма счастья

Спам бывает массовым и целевым.

У массового спама отсутствуют конкретные цели и используется мошеннические методы социальной инженерии против множества людей.

Целевой спам - техника, направленная на конкретное лицо или организацию, при которой злоумышленник выступает от имени директора, администратора или иного сотрудника той организации, в которой работает жертва или злоумышленник представляет компанию, с которой у целевой организации сложились доверительные отношения.

Сбор адресов осуществляется подбором по словарям имён собственных, красивых слов, частое сочетание слово-цифра, методом аналогии, сканированием всех доступных источников информации (чаты, форумы и т. д.), воровством БД и т. д.

Полученные адреса верифицируются (проверяются, что действующие), путём пробной рассылки сообщения, помещением в текст сообщения, уникальной ссылки на картинку со счётчиком загрузок или ссылка «отписаться от спам-сообщений».

В дальнейшем спам рассылается либо напрямую с арендованных серверов, либо с ошибочно сконфигурированных легальных почтовых сервисов, либо путём скрытой установки на компьютер пользователя злонамеренного ПО.

Злоумышленник усложняет работу антиспам-фильтров путём внесения случайных текстов, шума или невидимых текстов, с помощью графических писем или изменяющихся графических писем, фрагментированные изображения, в том числе использование анимации, префразировка текстов.

Методы борьбы со спамом

Существует 2 основных метода фильтрации спама:

Фильтрация по формальным признакам почтового сообщения

Фильтрация по содержанию

Формальный метод

1. Фрагментация по спискам: чёрным, белым и серым. Серые списки - метод временного блокирования сообщений с неизвестными комбинациями почтового адреса и ip-адреса сервера-отправителя. Когда первая попытка заканчивается временным отказом (как правило, программы спамеров повторную посылку письма не осуществляют). Недостатком способа является возможный большой временной интервал между отправлением и получением легального сообщения.

   Проверка, было ли письмо отправлено с настоящего или ложного (поддельного) почтового сервера из указанного в сообщении домена.

   «Обратный звонок» (callback) - при получении входящего соединения, сервер-получатель приостанавливает сессию и имитирует рабочую сессию с сервером-отправителем. Если попытка не удалась, приостановленное соединение разрывается без дальнейшей обработки.

   Фильтрация по формальным признакам письма: адреса отправителя и получателя, размер, наличие и количество вложений, ip-адрес отправителя и т. д.

Лингвистические методы - работающие с содержанием письма

1. Распознавание по содержанию письма - проверяется наличие в письме признаков спамерского содержания: определённого набора и распределение по письму специфических словосочетаний.

   Распознавание по образцам писем (сигнатурный метод фильтрации, включающий в себя графические сигнатуры)

   Байесовская фильтрация - фильтрация строго по словам. При проверке пришедшего письма, вычисляется вероятность того, что оно спам, на основании обработки текста, включающей в себя вычисления усреднённого «веса» всех слов данного письма. Отнесение письма к спаму или не спаму, производится по тому, превышает ли его вес некоторую планку, заданную пользователем. После принятия решения по письму, в базе данных обновляются «веса» для вошедших в неё слов.

Аутентификация в компьютерных системах

Процессы аутентификации могут быть разделены на следующие категории:

Но основе знания чего-либо (PIN, пароль)

На основе обладания чем-либо (смарт-карта, usb-ключ)

Не основе неотъемлимых характеристик (биометрические характеристики)

Типы аутентификации:

Простая аутентификация, использующая пароли

Строгая аутентификация на основе использования многофакторных проверок и криптографических методов

Биометрическая аутентификация

Основными атаками на протоколы аутентификации являются:

«Маскарад» - когда пользователь пытается выдать себя за другого пользователя

Повторная передача - когда перехваченный пароль пересылается от имени другого пользователя

Принудительная задержка

Для предотвращения таких атак сипользуются следующие приёмы:

Механизмы типа запрос-ответ, метки времени, случайные числа, цифровые подписи и т. д.

Привязка результата аутентификации к последующим действиям пользователей в рамках системы.

Периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи.

Простая аутентификация

1. Аутентификация на основе многоразовых паролей

   Аутентификация на основе одноразовых паролей - OTP (one time password) - одноразовые пароли действительны только для одного входа в систему и могут генерироваться с помощью OTP токена. Для этого используется секретный ключ пользователя, размещенный как внутри OTP токена, так и на сервере аутентификации.

Строгая аутентификация в её ходе доказывающая сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Бывает:

1. Односторонней

   Двухсторонней

   Трёхсторонней

Может проводиться на основе смарт-карт или usb-ключей или криптографией.

Строгая аутентификация может быть реализована на основе двух- и трёхфакторного процесса проверки.

В случае двухфакторной аутентификации, пользователь должен доказать, что он знает пароль или пин-код и имеет определённый персональных идентификатор (смарт-карту или usb-ключ).

Трёхфакторная аутентификация подразумевает, что пользователь предъявляет еще один тип идентификационных данных, например, биометрические данные.

Строгая аутентификация, использующая криптографические протоколы может опираться на симметричное шифрование и асимметричное, а также на хеш-функции. Доказывающая сторона доказывает знание секрета, но сам секрет при этом не раскрывается. Используются одноразовые параметры (случайные числа, метки времени и номера последовательностей), позволяющие избежать повтора пеердачи, обеспечить уникальность, однозначность и временные гарантии передаваемых сообщений.

Биометрическая аутентификация пользователя

В качестве наиболее часто используемых биометрических признаков, используются:

Отпечатки пальцев

Рисунок вен

Геометрия руки

Радужная оболочка

Геометрия лица

Комбинации вышеперечисленного

Управление доступом по схеме однократного входа с авторизацией Single Sign-On (SSO)

SSO даёт возможность пользователю корпоративной сети при их входе в сеть пройти только одну аутентификацию, предъявив только один раз пароль или иной требуемый аутентификатор и затем, без дополнительной аутентификации, получить доступ ко всем авторизованным сетевым ресурсам, которые нужны для выполнения работы. Активно применяются такие цифровые средства аутентификации как токены, цифровые сертификаты PKI, смарт-карты и биометрические устройства. Примеры: Kerberos, PKI, SSL.

Реагирование на инциденты ИБ

Среди задач, стоящих перед любой системой управления ИБ, можно выделить 2 наиболее значимые:

Предотвращение инцидентов

В случае их наступления, своевременная и корректная ответная реакция

Первая задача в большинстве случаев основывается на закупке разнообразных средств обеспечения ИБ.

Вторая задача находится в зависимости от степени подготовленности компании к подобного рода событиям:

Наличие подготовленной группы реагирования на инцидент ИБ с уже заранее распределёнными ролями и обязанностями.

Наличие продуманной и взаимосвязанной документации по порядку управления инцидентами ИБ, в частности, осуществлению реагирования и расследования выявленных инцидентов.

Наличие заготовленных ресурсов для нужд группы реагирования (средств коммуникации, ..., сейфа)

Наличие актуальной базы знаний по произошедшим инцидентам ИБ

Высокий уровень осведомлённости пользователей в области ИБ

Квалифицированность и слаженность работы группы реагирования

Процесс управления инцидентами ИБ состоит из следующих этапов:

Подготовка – предотвращение инцидентов, подготовка группы реагирования, разработка политик и процедур и т.д.

Обнаружение – уведомление от системы безопасности, уведомление от пользователей, анализ журналов средств безопасности.

Анализ – подтверждение факта наступления инцидента, сбор доступной информации об инциденте, определение пострадавших активов и классификация инцидента по безопасности и приоритетности.

Реагирование – остановка инцидента и сбор доказательств, принятие мер по остановке инцидента и сохранение доказательной информации, сбор доказательной информации, взаимодействие с внутренними подразделениями, партнёрами и пострадавшими сторонами, а так же привлечение внешних экспертных организаций.

Расследование – расследование обстоятельств инцидентов информационной безопасности, привлечение внешних экспертных организаций и взаимодействие со всеми пострадавшими сторонами, а так же с правоохранительными органами и судебными инстанциями.

Восстановление – принятие мер по закрытию уязвимостей, приведших к возникновению инцидента, ликвидация последствий инцидента, восстановление работоспособности затронутых сервисов и систем. Оформление страхового извещения.

Анализ эффективности и модернизация – анализ произошедшего инцидента, анализ эффективности и модернизация процесса расследования инцидентов ИБ и сопутствующих документов, частных инструкций. Формирование отчёта о проведении расследования и необходимости модернизации системы защиты для руководства, сбор информации об инциденте, добавление в базу знаний и помещение данных об инциденте на хранение.

Перед эффективной системой управления инцидентами ИБ стоят следующие цели:

Обеспечение юридической значимости собираемой доказательной информации по инцидентам ИБ

Обеспечение своевременности и корректности действий по реагированию и расследованию инцидентов ИБ

Обеспечение возможности выявления обстоятельств и причин возникновения инцидентов ИБ с целью дальнейшей модернизации системы информационной безопасности

Обеспечение расследования и правового сопровождения внутренних и внешних инцидентов ИБ

Обеспечение возможности преследования злоумышленников и привлечение их к ответственности, предусмотренной законодательством

Обеспечение возможности возмещения ущерба от инцидента ИБ в соответствии с законодательством

Система управления инцидентами ИБ в общем случае взаимодействует и интегририруется со следующими системами и процессами:

Управление ИБ

Управление рисками

Обеспечение непрерывности бизнеса

Интеграция выражается в согласованности документации и формализации порядка взаимодействия между процессами (входной, выходной информации и условий перехода).

Процесс управления инцидентами ИБ довольно сложен и объёмен. Требует накопления, обработки и хранения огромного количества информации, а так же выполнения множества параллельных задач, поэтому на рынке представлено множество средств, позволяющих автоматизировать те или иные задачи, например, так называемые SIEM-системы (security information and event management).

Chief Information Officer (CIO) – директор по информцаионным технологиям

Chief Information Security Officer (CISO) – руководитель отдела ИБ, директор по информационной безопасности

Основная задача SIEM-систем не просто собирать события из разных источников, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе, а так же своевременно информировать о событии. Перед SIEM-системой ставятся следующие задачи:

Консолидация и хранение журналов событий от различных источников – сетевых устройств, приложений, журналов ОС, средств защиты

Представление инструментов для анализа событий и разбора инцидентов

Корреляция и обработка по правилам произошедших событий

Автоматическое оповещение и управление инцидентами

SIEM-системы способны выявлять:

Сетевые атаки во внутреннем и внешнем периметрах

Вирусные эпидемии или отдельные вирусные заражения, неудалённые вирусы, бэкдоры и трояны

Попытки несанкционированного доступа к конфиденциальной информации

Ошибки и сбои в работе ИС

Уязвимости

Ошибки в конфигурации, средствах защиты и информационных системах.

Основные источники SIEM

Данные контроля доступа и аутентификации

Журналы событий серверов и рабочих станций

Сетевое активное оборудование

1. Антивирусная защита

   Сканеры уязвимостей

   Системы для учёта рисков, критичности угрозы и приоретизация инцидентов

   Прочие системы защиты и контроля политик ИБ:

   1. DLP-системы

      Устройства контроля доступа и т.д.

Системы инвентаризации

Системы учёта трафика

Наиболее известные SIEM-системы:

QRadar SIEM (IBM)

КОМРАД (ЗАО «НПО «ЭШЕЛОН»»)

28.01.2014 Сергей Кораблев

Выбор любого продукта корпоративного уровня является для технических специалистов и сотрудников, принимающих решения, задачей нетривиальной. Выбор системы предотвращения утечек данных Data Leak Protection (DLP) – еще сложнее. Отсутствие единой понятийной системы, регулярных независимых сравнительных исследований и сложность самих продуктов вынуждают потребителей заказывать у производителей пилотные проекты и самостоятельно проводить многочисленные тестирования, определяя круг собственных потребностей и соотнося их с возможностями проверяемых систем

Подобный поход, безусловно, правильный. Взвешенное, а в некоторых случаях даже выстраданное решение упрощает дальнейшее внедрение и позволяет избежать разочарования при эксплуатации конкретного продукта. Однако процесс принятия решений в данном случае может затягиваться если не на годы, то на многие месяцы. Кроме того, постоянное расширение рынка, появление новых решений и производителей еще более усложняют задачу не только выбора продукта для внедрения, но и создание предварительного шорт-листа подходящих DLP-систем. В таких условиях актуальные обзоры DLP-систем имеют несомненную практическую ценность для технических специалистов. Стоит ли включать конкретное решение в список для тестирования или оно будет слишком сложным для внедрения в небольшой организации? Может ли решение быть масштабировано на компанию из 10 тыс. сотрудников? Сможет ли DLP-система контролировать важные для бизнеса CAD-файлы? Открытое сравнение не заменит тщательного тестирования, но поможет ответить на базовые вопросы, возникающие на начальном этапе работ по выбору DLP.

Участники

В качестве участников были выбраны наиболее популярные (по версии аналитического центра Anti-Malware.ru на середину 2013 года) на российском рынке информационной безопасности DLP-системы компаний InfoWatch, McAfee, Symantec, Websense, Zecurion и «Инфосистем Джет».

Для анализа использовались коммерчески доступные на момент подготовки обзора версии DLP-систем, а также документация и открытые обзоры продуктов.

Критерии сравнения DLP-систем выбирались, исходя из потребностей компаний различного размера и разных отраслей. Под основной задачей DLP-систем подразумевается предотвращение утечек конфиденциальной информации по различным каналам.

Примеры продуктов этих компаний представлены на рисунках 1–6.

Рисунок 3. Продукт компании Symantec

Рисунок 4. Продукт компании InfoWatch

Рисунок 5. Продукт компании Websense

Рисунок 6. Продукт компании McAfee

Режимы работы

Два основных режима работы DLP-систем – активный и пассивный. Активный – обычно основной режим работы, при котором происходит блокировка действий, нарушающих политики безопасности, например отправка конфиденциальной информации на внешний почтовый ящик. Пассивный режим чаще всего используется на этапе настройки системы для проверки и корректировки настроек, когда высока доля ложных срабатываний. В этом случае нарушения политик фиксируются, но ограничения на перемещение информации не налагаются (таблица 1).

В данном аспекте все рассматриваемые системы оказались равнозначны. Каждая из DLP умеет работать как в активном, так и в пассивном режимах, что дает заказчику определенную свободу. Не все компании готовы начать эксплуатацию DLP сразу в режиме блокировки – это чревато нарушением бизнес-процессов, недовольством со стороны сотрудников контролируемых отделов и претензиями (в том числе обоснованными) со стороны руководства.

Технологии

Технологии детектирования позволяют классифицировать информацию, которая передается по электронным каналам и выявлять конфиденциальные сведения. На сегодня существует несколько базовых технологий и их разновидностей, сходных по сути, но различных по реализации. Каждая из технологий имеет как преимущества, так и недостатки. Кроме того, разные типы технологий подходят для анализа информации различных классов. Поэтому производители DLP-решений стараются интегрировать в свои продукты максимальное количество технологий (см. таблицу 2).

В целом, продукты предоставляют большое количество технологий, позволяющих при должной настройке обеспечить высокий процент распознавания конфиденциальной информации. DLP McAfee, Symantec и Websense довольно слабо адаптированы для российского рынка и не могут предложить пользователям поддержку «языковых» технологий – морфологии, анализа транслита и замаскированного текста.

Контролируемые каналы

Каждый канал передачи данных – это потенциальный канал утечек. Даже один открытый канал может свести на нет все усилия службы информационной безопасности, контролирующей информационные потоки. Именно поэтому так важно блокировать неиспользуемые сотрудниками для работы каналы, а оставшиеся контролировать с помощью систем предотвращения утечек.

Несмотря на то, что лучшие современные DLP-системы способны контролировать большое количество сетевых каналов (см. таблицу 3), ненужные каналы целесообразно блокировать. К примеру, если сотрудник работает на компьютере только с внутренней базой данных, имеет смысл вообще отключить ему доступ в Интернет.

Аналогичные выводы справедливы и для локальных каналов утечки. Правда, в этом случае бывает сложнее заблокировать отдельные каналы, поскольку порты часто используются и для подключения периферии, устройств ввода-вывода и т. д.

Особую роль для предотвращения утечек через локальные порты, мобильные накопители и устройства играет шифрование. Средства шифрования достаточно просты в эксплуатации, их использование может быть прозрачным для пользователя. Но в то же время шифрование позволяет исключить целый класс утечек, связанных с несанкционированным доступом к информации и утерей мобильных накопителей.

Ситуация с контролем локальных агентов в целом хуже, чем с сетевыми каналами (см. таблицу 4). Успешно контролируются всеми продуктами только USB-устройства и локальные принтеры. Также, несмотря на отмеченную выше важность шифрования, такая возможность присутствует только в отдельных продуктах, а функция принудительного шифрования на основе контентного анализа присутствует только в Zecurion DLP.

Для предотвращения утечек важно не только распознавание конфиденциальных данных в процессе передачи, но и ограничение распространения информации в корпоративной среде. Для этого в состав DLP-систем производители включают инструменты, способные выявлять и классифицировать информацию, хранящуюся на серверах и рабочих станциях в сети (см. таблицу 5). Данные, которые нарушают политики информационной безопасности, должны быть удалены или перемещены в безопасное хранилище.

Для выявления конфиденциальной информации на узлах корпоративной сети используются те же самые технологии, что и для контроля утечек по электронным каналам. Главное отличие – архитектурное. Если для предотвращения утечки анализируется сетевой трафик или файловые операции, то для обнаружения несанкционированных копий конфиденциальных данных исследуется хранимая информация – содержимое рабочих станций и серверов сети.

Из рассматриваемых DLP-систем только InfoWatch и «Дозор-Джет» игнорируют использование средств выявления мест хранения информации. Это не является критичной функцией для предотвращения утечки по электронным каналам, но существенно ограничивает возможности DLP-систем в отношении проактивного предотвращения утечек. К примеру, когда конфиденциальный документ находится в пределах корпоративной сети, это не является утечкой информации. Однако если место хранения этого документа не регламентировано, если о местонахождении этого документа не знают владельцы информации и офицеры безопасности, это может привести к утечке. Возможен несанкционированный доступ к информации или к документу не будут применены соответствующие правила безопасности.

Удобство управления

Такие характеристики как удобство использования и управления могут быть не менее важными, чем технические возможности решений. Ведь действительно сложный продукт будет трудно внедрить, проект отнимет больше времени, сил и, соответственно, финансов. Уже внедренная DLP-система требует к себе внимания со стороны технических специалистов. Без должного обслуживания, регулярного аудита и корректировки настроек качество распознавания конфиденциальной информации будет со временем сильно падать.

Интерфейс управления на родном для сотрудника службы безопасности языке – первый шаг для упрощения работы с DLP-системой. Он позволит не только облегчить понимание, за что отвечает та или иная настройка, но и значительно ускорит процесс конфигурирования большого количества параметров, которые необходимо настроить для корректной работы системы. Английский язык может быть полезен даже для русскоговорящих администраторов для однозначной трактовки специфических технических понятий (см. таблицу 6).

Большинство решений предусматривают вполне удобное управление из единой (для всех компонентов) консоли c веб-интерфейсом (см. таблицу 7). Исключение составляют российские InfoWatch (отсутствует единая консоль) и Zecurion (нет веб-интерфейса). При этом оба производителя уже анонсировали появление веб-консоли в своих будущих продуктах. Отсутствие же единой консоли у InfoWatch обусловлено различной технологической основой продуктов. Разработка собственного агентского решения была на несколько лет прекращена, а нынешний EndPoint Security является преемником продукта EgoSecure (ранее известного как cynapspro) стороннего разработчика, приобретенного компанией в 2012 году.

Еще один момент, который можно отнести к недостаткам решения InfoWatch, состоит в том, что для настройки и управления флагманским DLP-продуктом InfoWatch TrafficMonitor необходимо знание специального скриптового языка LUA, что усложняет эксплуатацию системы. Тем не менее, для большинства технических специалистов перспектива повышения собственного профессионального уровня и изучение дополнительного, пусть и не слишком ходового языка должна быть воспринята позитивно.

Разделение ролей администратора системы необходимо для минимизации рисков предотвращения появления суперпользователя с неограниченными правами и других махинаций с использованием DLP.

Журналирование и отчеты

Архив DLP – это база данных, в которой аккумулируются и хранятся события и объекты (файлы, письма, http-запросы и т. д.), фиксируемые датчиками системы в процессе ее работы. Собранная в базе информация может применяться для различных целей, в том числе для анализа действий пользователей, для сохранения копий критически важных документов, в качестве основы для расследования инцидентов ИБ. Кроме того, база всех событий чрезвычайно полезна на этапе внедрения DLP-системы, поскольку помогает проанализировать поведение компонентов DLP-системы (к примеру, выяснить, почему блокируются те или иные операции) и осуществить корректировку настроек безопасности (см. таблицу 8).

В данном случае мы видим принципиальное архитектурное различие между российскими и западными DLP. Последние вообще не ведут архив. В этом случае сама DLP становится более простой для обслуживания (отсутствует необходимость вести, хранить, резервировать и изучать огромный массив данных), но никак не для эксплуатации. Ведь архив событий помогает настраивать систему. Архив помогает понять, почему произошла блокировка передачи информации, проверить, сработало ли правило корректно, внести в настройки системы необходимые исправления. Также следует заметить, что DLP-системы нуждаются не только в первичной настройке при внедрении, но и в регулярном «тюнинге» в процессе эксплуатации. Система, которая не поддерживается должным образом, не доводится техническими специалистами, будет много терять в качестве распознавания информации. В результате возрастет и количество инцидентов, и количество ложных срабатываний.

Отчетность – немаловажная часть любой деятельности. Информационная безопасность – не исключение. Отчеты в DLP-системах выполняют сразу несколько функций. Во-первых, краткие и понятные отчеты позволяют руководителям служб ИБ оперативно контролировать состояние защищенности информации, не вдаваясь в детали. Во-вторых, подробные отчеты помогают офицерам безопасности корректировать политики безопасности и настройки систем. В-третьих, наглядные отчеты всегда можно показать топ-менеджерам компании для демонстрации результатов работы DLP-системы и самих специалистов по ИБ (см. таблицу 9).

Почти все конкурирующие решения, рассмотренные в обзоре, предлагают и графические, удобные топ-менеджерам и руководителям служб ИБ, и табличные, более подходящие техническим специалистам, отчеты. Графические отчеты отсутствуют только в DLP InfoWatch, за что им и была снижена оценка.

Сертификация

Вопрос о необходимости сертификации для средств обеспечения информационной безопасности и DLP в частности является открытым, и в рамках профессиональных сообществ эксперты часто спорят на эту тему. Обобщая мнения сторон, следует признать, что сама по себе сертификация не дает серьезных конкурентных преимуществ. В то же время, существует некоторое количество заказчиков, прежде всего, госорганизаций, для которых наличие того или иного сертификата является обязательным.

Кроме того, существующий порядок сертификации плохо соотносится с циклом разработки программных продуктов. В результате потребители оказываются перед выбором: купить уже устаревшую, но сертифицированную версию продукта или актуальную, но не прошедшую сертификацию. Стандартный выход в этой ситуации – приобретение сертифицированного продукта «на полку» и использование нового продукта в реальной среде (см. таблицу 10).

Результаты сравнения

Обобщим впечатления от рассмотренных DLP-решений. В целом, все участники произвели благоприятное впечатление и могут использоваться для предотвращения утечек информации. Различия продуктов позволяют конкретизировать область их применения.

DLP-система InfoWatch может быть рекомендована организациям, для которых принципиально важно наличие сертификата ФСТЭК. Впрочем, последняя сертифицированная версия InfoWatch Traffic Monitor проходила испытания еще в конце 2010 года, а срок действия сертификата истекает в конце 2013 года. Агентские решения на базе InfoWatch EndPoint Security (известного также как EgoSecure) больше подходят предприятиям малого бизнеса и могут использоваться отдельно от Traffic Monitor. Совместное использование Traffic Monitor и EndPoint Security может вызвать проблемы с масштабированием в условиях крупных компаний.

Продукты западных производителей (McAfee, Symantec, Websense), по данным независимых аналитических агентств, значительно менее популярны, нежели российские. Причина - в низком уровне локализации. Причем дело даже не в сложности интерфейса или отсутствии документации на русском языке. Особенности технологий распознавания конфиденциальной информации, преднастроенные шаблоны и правила «заточены» под использование DLP в западных странах и нацелены на выполнение западных же нормативных требований. В результате в России качество распознавания информации оказывается заметно хуже, а выполнение требований иностранных стандартов зачастую неактуально. При этом сами по себе продукты вовсе не плохие, но специфика применения DLP-систем на российском рынке вряд ли позволит им в обозримом будущем стать более популярными, чем отечественные разработки.

Zecurion DLP отличается хорошей масштабируемостью (единственная российская DLP-система с подтвержденным внедрением на более чем 10 тыс. рабочих мест) и высокой технологической зрелостью. Однако удивляет отсутствие веб-консоли, что помогло бы упростить управление корпоративным решением, нацеленным на различные сегменты рынка. Среди сильных сторон Zecurion DLP – высокое качество распознавания конфиденциальной информации и полная линейка продуктов для предотвращения утечек, включая защиту на шлюзе, рабочих станциях и серверах, выявление мест хранения информации и инструменты для шифрования данных.

DLP-система «Дозор-Джет», один из пионеров отечественного рынка DLP, широко распространена среди российских компаний и продолжает наращивать клиентскую базу за счет обширных связей системного интегратора «Инфосистемы Джет», по совместительству и разработчика DLP. Хотя технологически DLP несколько отстает от более мощных собратьев, ее использование может быть оправдано во многих компаниях. Кроме того, в отличие от иностранных решений, «Дозор Джет» позволяет вести архив всех событий и файлов.