DLP-система (англ. Data Loss Prevention) - Программно-аппаратный комплекс защиты информации, созданный специально для защиты данных от утечки.

Авторизация - вход пользователя под данными своей учетной записи.

Агент - совокупность программ для перехвата данных.

Внешние накопители - устройства для записи данных.

ИТ - Информационные технологии.

Интерфейс - графическая оболочка.

Скриншот - «фотография» экрана.

Теневое копирование файлов - незаметное для пользователя копирование, предназначенное для контроля информации, которая записывается на внешние носители.

Сервер - специализированный компьютер и/или специализированное оборудование для выполнения на нём сервисного программного обеспечения.

Ус-ва - устройства.

zlock шифрование лицензирование консоль

Введение

В современных компаниях несколько лет назад начали сталкиваться с проблемой утечки данных. По подсчетам ущерб нанесенный частным компаний от таких утечек порой весьма ощущается на прибыли для предприятий, в связи с этим ведущие компании в области ИТ безопасности стали разрабатывать dlp-системы, для защиты от таких утечек, с помощью программных методов защиты данных, фирмы стали защищать свои конфиденциальные данные от финансовых потерь.

Цель работы: приобретение навыков практической работы с системами DLP .

Zlock предназначен для разграничения доступа к аппаратным ресурсам компьютера. Для различных устройств и классов устройств могут назначаться следующие правила: разрешение или запрет доступа для всех пользователей, доступ только на чтение для всех пользователей, а также управление доступом на основе списка контроля доступа (access control list -- ACL).

Кроме управления доступом к аппаратным ресурсам, Zlock обеспечивает контроль операций с файлами на USB-носителях и печати документов. Контроль может быть организован как по типам файлов, так и по содержимому файла. При контроле доступа по содержимому файла, выполняется контентный анализ текста, содержащегося в файле и, на основе полученных результатов, выполняются действия, соответствующие политике безопасности.

Для управления большим парком компьютеров удобно использовать сервер конфигураций Zlock. Он позволяет централизовано управлять настройками и политиками Zlock для компьютеров вне зависимости от того, находятся ли они в домене или объединены в рабочие группы.

Zlock может создавать особое виртуальное пространство, которое обеспечивает автоматическое прозрачное шифрование носителей внутри него, и невозможность расшифровать данные за его пределами. Зашифрованная информация доступна только на компьютерах, входящих в состав такого пространства.

Zlock с заданной периодичностью может создавать графические файлы, содержащие снимки (изображение) активных экранов указанных пользователей. Файлы, содержащие снимки экранов помещаются в локальное хранилище теневых копий и могут быть переданы на сервер журналов для дальнейшего хранения.

1.2 Структура Zlock

Zlock состоит из пяти компонентов:

консоль управления;

клиентский модуль;

сервер журналов;

сервер конфигураций;

модуль для настройки Zlock через групповые политики.

Все компоненты могут быть установлены как вместе на одном компьютере, так и по отдельности независимо друг от друга.

1.3 Консоль управления

Консоль управления является основным средством для управления работой системы и может быть установлена на любом компьютере.

Для разграничения полномочий по управлению системой могут использоваться средства авторизации Microsoft Windows либо внутренний механизм -- авторизация пользователей Zecurion

В консоли управления, так же как и в клиентском модуле, доступен список подключенных устройств к удаленному компьютеру. Для просмотра этого списка необходимо выполнить соединение с удаленным компьютером и в дереве Zlock выбрать Подключенные устройства. В нижней части экрана будет показана информация о свойствах выбранных устройств

1.4 Клиентский модуль

Клиентский модуль устанавливается на каждый контролируемый системой Zlock компьютер и обеспечивает применение политик доступа, то есть, разграничение доступа к портам и устройствам этого компьютера.

Клиентский модуль системы Zlock обеспечивает выполнение функций по разграничению доступа. Если у пользователя будет возможность выгрузить или деактивировать клиентский модуль, или каким-то образом изменить его настройки, он сможет подключать и использовать любые внешние устройства без какого-либо контроля, то есть нарушать политику безопасности. Такая возможность де-факто есть у пользователей, обладающих правами локального администратора. Zlock может контролировать пользователей даже с правами локального администратора с помощью функции мониторинга клиентских модулей (см. п. 4.5.1 Настройка мониторинга). Однако в связи с особенностями архитектуры ОС семейства Windows их можно обойти. Во избежание риска нарушения пользователями политики безопасности и обхода системы защиты Zlock не следует давать им права локального администратора.

Подключенные устройства

1.5 Сервер журналов

Сервер журналов предназначен для централизованного хранения и обработки событий, информация о которых передается клиентскими модулями Zlock, сервером конфигураций, модулем мониторинга и другими компонентами Zlock. Он обеспечивает одновременную работу большого количества клиентов с одним хранилищем журналов и быструю обработку запросов по просмотру журналов администратором.

Сервер журналов может записывать информацию о событиях на сервер баз данных (Microsoft SQL Server или Oracle), или в локальный XML-файл.

Для управления сервером журналов, просмотра и анализа содержимого сервера журналов используется консоль управления.

1.6 Сервер конфигураций

Сервер конфигураций предназначен для централизованного управления конфигурациями Zlock.

Для управления, просмотра и настройки сервера конфигураций используется консоль управления.

1.7 Политики и правила доступа

Политика доступа определяет связь устройства или файла с правилами доступа к нему.

В системе используются два типа политик -- политики доступа к устройствам и политики контроля файлов. Политика доступа к устройствам позволяет регламентировать доступ к устройствам. Политика контроля файлов позволяет контролировать операции с файлами на USB-носителях и печать документов.

Параметры политики доступа к устройствам

Каждая политика доступа к устройствам имеет следующие параметры:

уникальное имя политики;

приоритет -- представляет собой число в диапазоне от 0 до 32 (0 -- наименьший, 32 --наивысший приоритет). Если какое-либо устройство подпадает более чем под одну политику, то применяется только одна политика с наивысшим приоритетом;

1.8 Теневое копирование

В Zlock поддерживается теневое копирование трех видов:

теневое копирование файлов;

теневое копирование записи на CD/DVD;

теневое копирование печати.

Теневое копирование файлов предназначено для контроля информации, которая записывается на внешние носители. При включенной опции теневого копирования файл перед записью на сменный носитель сначала копируется в локальное хранилище -- каталог на локальном жестком диске.

Теневое копирование записи на CD/DVD предназначено для контроля информации, которая записывается на диск. При включенной опции теневого копирования параллельно с записью данных на CD/DVD создается образ диска. После завершения записи файлы извлекаются из образа диска и копируются в локальное хранилище -- каталог на локальном жестком диске.

Теневое копирование печати предназначено для контроля документов, которые печатаются на локальных или сетевых принтерах. При включенном теневом копировании печати данные сохраняются в локальном хранилище в виде файлов с изображением в формате PDF.

В дальнейшем из локального хранилища файлы могут быть перенесены на сервер. Параметры операции также сохраняются на сервере журналов для последующего анализа.

1.9 Журналирование и обработка файловых операций

В свойствах каждой политики можно настроить журналирование и обработку файловых операций и печати.

Операции с файлами в политиках доступа к устройствам журналируются при записи файлов на устройства, которые имеют файловую систему (флешдиски, жесткие диски, дискеты и т.д.), при записи на CD/DVD и при печати документов на принтерах. В зависимости от типа доступа к съемным носителям журналируются следующие операции с файлами:

создание файла;

запись в файл;

чтение из файла;

переименование файла;

удаление файла;

создание каталога;

удаление каталога;

переименование каталога.

Типы устройств

Политики могут быть применены как к отдельному физическому устройству (порты COM и LPT, контроллеры SCSI, сетевые устройства, жесткие диски и т.д.) или принтеру, так и к группе устройств, имеющих определенные характеристики. К таким характеристикам, позволяющим объединить устройства, можно отнести:

Типы устройств. Например, Накопитель, к кото-рым относятся все накопители с интерфейсом USB, в том числе брелки флэш-памяти, МР3-плееры, фотокамеры и т.п.

Отдельные характеристики USB-устройств, в частности: класс, интерфейс, подкласс, протокол, идентификатор производителя, идентификатор продукта, название производителя, название про-дукта, серийный номер устройства (устройство будет отнесено к данному типу, если все выбран-ные в описании характеристики совпадают с теми, которые имеет устройство).

Классы физических устройств. Например, все устройства чтения смарт-карт.

Каталог устройств

Каталог устройств используется для хранения описаний аппаратных устройств, подключаемых пользователями к отдельным компьютерам в сети.

На основе данных, сохраненных в каталоге устройств, в политику могут быть добавлены любые устройства из каталога

1.10 Мониторинг

Zlock позволяет вести мониторинг состояния удаленных компьютеров для выявления каких-либо несанкционированных действий. Через определенные промежутки времени модуль мониторинга, устанавливаемый совместно с консолью администратора, производит опрос клиентских модулей и выявляет ситуации несанкционированного изменения конфигурации Zlock или нарушения его целостности.

При наступлении такой ситуации модуль мониторинга выполняет действия, заранее заданные в окне Обработка событий при мониторинге. Такими действиями могут быть журналирование в системный журнал или в файл, журналирование на сервер, отправка письма или вызов скрипта. (Подробнее см. п. 4.4 Обработка событий).

В консоли управления можно просмотреть текущий статус мониторинга

1.11 Конфигурации

Конфигурация представляет собой файл с расширением zcfg, который может включать в себя набор политик доступа к различным устройствам, файловых политик, правил доступа, методов обработки событий и другие настройки. Этот файл может быть использован для распространения настроек на различные компьютеры, группы компьютеров с помощью консоли управления, сервера конфигурации и групповых политик.

1.12 Шифрование файлов

В Zlock есть возможность автоматического шифрования файлов, записываемых на внешние носители. Расшифровывание таких файлов может быть выполнено на компьютерах с установленным клиентским модулем Zlock и подключенных к локальной сети организации.

Ключ шифрования хранится на сервере конфигураций и загружается на клиентский модуль при старте ОС. Клиентский модуль сохраняет ключ шифрования в защищенном локальном хранилище, что позволяет выполнять шифрование даже при временной недоступности сервера.

Существует возможность автоматически генерировать новые ключи шифрования с заданной периодичностью. В этом случае на сервере конфигураций будут храниться ранее использованные ключи шифрования для того, чтобы можно было открыть зашифрованные ими файлы.

Зашифровывание файла при записи осуществляется только в том случае, если файл или устройство подпадает под политику с включенным шифрованием.

Если опция шифрования включена, а ключ для шифрования отсутствует на клиентском компьютере и его не удалось загрузить с сервера конфигураций, то запись файла на носитель не выполняется.

1.13 Консоль управления

Консоль управления позволяет осуществлять администрирование Zlock. Используя консоль, можно редактировать политики доступа и настройки Zlock, управлять сервером журналов и сервером конфигураций. Кроме этого, консоль может соединяться с отдельными компьютерами и администрировать установленные на них клиентские модули Zlock.

В меню Вид консоли управления можно выбрать способ группировки элементов в левой части консоли управления. Существует два вида группировки -- По приложениям и По компьютерам. В виде По приложениям в меню Вид появляется опция Отображать домены и группы в приложениях.

1.14 Начало работы. Установка SecurIT Zlock

Установка проста. Мастер инсталляции использует стандартный InstallShield. Начало установки SecurIT Zlock

Работа и настройка SecurIT Zlock

Работа с SecurIT Zgate ведётся через консоль управления. Консоль управления едина для всей линейки продуктов компании SecurIT. Структура консоли управления описана в обзоре SecurIT Zgate Для связи с клиентами SecurIT Zlock используется протокол TCP/IP и порт 1246. Не забудьте открыть этот порт в фаерволле. В дальнейшем можно при необходимости изменить этот порт. При первом запуске консоли будет предложено создать или установить существующий сертификат, который будет использоваться для генерации запросов по телефону и их обработки на консоли управления. Сертификат можно настроить и позже

Запрос сертификата.

После этого сертификат будет автоматически создан и установлен. Теперь можно приступать к установке клиентской части. Для установки клиентской части SecurIT Zlock на рабочую станцию необходимо выбрать нужный нам компьютер в разделе "Без приложений" консоли управления и, щёлкнув правой кнопкой мыши на нём, выполнить команду меню "Установить или обновить Zlock". Потребуется указать каталог с дистрибутивом SecurIT Zlock

Также, в этом окне, помимо указания каталога с дистрибутивом, можно указать дополнительные параметры установки. Следующий этап установки - выбор рабочих станций . Хотя мы уже выбрали рабочую станцию, можно выбрать ещё несколько рабочих станций или все.

Выбор рабочих станций для установки клиентской части SecurIT Zlock

Завершающий этап установки - указание учётных данных пользователя, имеющего административные права на удалённых компьютерах

Соединение с клиентской частью установлено, можно начинать работу с Zconsole

Добавление новой политики для SecurIT Zlock

Добавление типов устройств в SecurIT Zlock

Политика по умолчанию определяет доступ к устройствам, не попавшим во все остальные политики.

При необходимости можно включить опции Журналирование и обработка файловых операций, Теневое копирование файлов (для принтеров -- Журналирование и обработка печати и Теневое копирование распечатываемых документов) и Шифрование файлов. Справа от этих опций находятся кнопки Настройки, нажав которые, можно настроить параметры со-ответствующих опций.

Опции Журналирование и обработка файловых операций и Теневое копирование файлов доступны в политике по умолчанию для следующих устройств:

устройства USB;

дисководы для гибких дисков;

съемные носители;

PCMCIA адаптеры;

устройства IEEE 1394 (FireWire);

DVD и CD дисководы.

Опция Журналирование и обработка файловых операций доступна при любом типе доступа кроме запрета, а опция Теневое ко-пирование файлов доступна при полном или выборочном доступе.

Опции Журналирование и обработка печати и Теневое копиро-вание распечатываемых документов доступны для принтеров при полном или выборочном доступе к ним.

Опция Шифрование файлов доступна только для USB-носителей при полном или выборочном доступе к устройству.

1.15 Доступ

Для задания основных параметров политики и правила доступа в окне Добавление политики доступа выбираем вкладку ДОСТУП и настраиваем политику.

Типовые устройства

USB-устройство с заданными характеристиками. В окне USB-устройства с заданными характеристиками, выбрав конкретное USB-устройство из списка, можно указать те характеристики, по которым это устройство будет идентифицироваться для применения политики. В списке отображаются устройства, подключенные к локальному или удаленному компьютеру, кроме того, можно добавлять устройства из каталога устройств.

Устройство с заданными характеристиками

При указании типа устройства Принтер будет отображен список доступных локальных или сетевых принтеров с их характеристиками.

1.16 Расписание

В окне Добавление политики доступа следует:

Выбрать вкладку Расписание и выбрать тип расписания политики.

В соответствии с выбранным типом расписания, при необходимости указать Срок действия политики и Время действия политики.

Контроль по типу файлов

Для добавления политики контроля по типу файлов в окне Добавление политики контроля файлов мы делаем следующее:

На вкладке Общее указываем имя политики, для которых она будет применяться.

Так же можно выбрать типы файлов:

Настройка доступа

В этой работе мы ограничивали доступ к USB-устройствам

При попытке открыть флешку появляется сообщение: “Нет доступа к E:\”.

Таким образом мы закрыли USB-порты для флеш-носителй.

Глава 2

Общие сведения о DeviceLock DLP Suite 8

Компания «Смарт Лайн» осенью 2014 года представила новую версию известного на рынке продукта -- DLP-систему DeviceLock 8.0. Мы прежде не делали подробных обзоров этого продукта, поэтому сначала расскажем про его эволюцию в последние годы. Очень многие в России знакомы с хорошо зарекомендовавшей себя на рынке версией DeviceLock 6.x. В отличие от нее версия DeviceLock 7.0 уже была совершенно иным по функциональности продуктом, в котором появились модули анализа сетевого трафика NetworkLock и контентного анализа ContentLock. В свою очередь, в версию DeviceLock 8.0 добавлен совершенно новый модуль DeviceLock Discovery. Помимо этого, в «восьмерке» значительно переработано ядро, усовершенствованы компоненты NetworkLock, ContentLock, и DeviceLock Search Server. Значительно усилен арсенал технологий контекстного анализа и контентной фильтрации, добавлен модуль распознавания символов в графике OCR, расширены инструменты администрирования, а также внедрено множество других улучшений, доработок и функций. В то же время разработчики сохранили привычный интерфейс, поэтому администраторам, уже работавшим с предыдущими версиями продукта, будет проще разобраться в новинке.

Состав программного комплекса DeviceLock DLP Suite 8

Восьмая версия DeviceLock DLP Suite -- очередной логичный шаг в развитии этого программного продукта. Она включает в себя не только традиционный для комплекса агентский компонент, устанавливаемый на конечный хост пользователя (Endpoint DLP), но и новый серверный компонент DeviceLock Discovery, расширяющий функциональные возможности комплекса. Программный комплекс DeviceLock DLP Suite включает в себя базовый компонент DeviceLock Base и взаимодополняющие его компоненты -- NetworkLock, ContentLock, DeviceLock Discovery и DeviceLock Search Server (DLSS). Они лицензируются отдельно, в любых комбинациях (см. рисунок 1).

Рисунок 1. Покомпонентный состав DeviceLock DLP Suite 8

В случае интеграции с групповыми политиками Active Directory (AD) роль сервера управления берет на себя контроллер домена. Такая реализация устраняет зависимость управления DLP-системой от доступности DLP-сервера и позволяет задействовать уже существующую в организации инфраструктуру управления компьютерами домена. Консоль управления DeviceLock прозрачно встраивается в стандартную оснастку Group Policy Editor, что позволяет автоматически устанавливать агентские компоненты на новые компьютеры, подключаемые к корпоративной сети, и управлять DLP-политиками через групповые политики домена. Агент DeviceLock выполняет весь спектр функций контроля внешних устройств и сетевого трафика на компьютере, где он установлен. То есть архитектурно анализ событий осуществляется непосредственно на рабочих станциях. Агент DeviceLock, содержащий в себе все три основных компонента комплекса (DeviceLock, NetworkLock, ContentLock), устанавливается на каждый компьютер, функционирует, начиная с уровня ядра Microsoft Windows, запускается автоматически и обеспечивает защиту от утечек данных, оставаясь в то же время невидимым для локального пользователя.

Рисунок 2. Контроль каналов утечки данных в Агенте DeviceLock

Компонент DeviceLock Discovery имеет своего собственного агента, который устанавливается выборочно на нужные сетевые узлы, если там не установлен уже агент DeviceLock, также способный решать задачи сканирования файловой системы

Рисунок 3. Архитектура комплекса DeviceLock DLP Suite 8

* DeviceLock Enterprise Manager, DeviceLock Management Console, DeviceLock WebConsole

Базисный компонент DeviceLock (или DeviceLock Base) -- основной компонент решения и инфраструктурное ядро для других компонентов комплекса, включающий в себя также консоли централизованного администрирования. Прежде всего, он реализует задачи контекстного контроля доступа к внешним и периферийным устройствам, портам ввода/вывода и сетевым протоколам.

DeviceLock Base можно приобретать и использовать как самостоятельный продукт EDPC-класса (то есть для противодействия утечкам данных посредством периферийных устройств, без контроля сети и функций контентной фильтрации). Именно с этого самостоятельного продукта, ставшего со временем основой DLP-комплекса, в 1996 году началось развитие решения DeviceLock DLP Suite.

DeviceLock Base контролирует весь спектр потенциально опасных устройств и сетевых коммуникаций: USB-устройства и порты, CD/DVD-приводы, FireWire, инфракрасные (IrDA), параллельные (LTP) и последовательные (COM) порты, беспроводные Wi-Fi- и Bluetooth-адаптеры, внутренние и внешние сменные накопители и жесткие диски, ленточные накопители, системный буфер обмена Windows. Кроме того, DeviceLock Base позволяет контролировать файлы, расположенные на локальных дисках и сетевых ресурсах.

Компонент NetworkLock обеспечивает контекстный контроль каналов сетевого обмена данными на рабочих компьютерах, включая распознавание сетевых протоколов и используемых портов, детектирование приложений, инициирующих соединение и их селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также протоколирование и теневое копирование передаваемых файлов (см. рисунок 4).

Рисунок 4. Ключевые возможности NetworkLock в составе DeviceLock DLP Suite 8

Компонент ContentLock обеспечивает механизмы контентного анализа и фильтрации данных, передаваемых как посредством сменных носителей, через канал печати или буфер обмена данными, так и по сети -- с помощью электронной почты, социальных сетей, служб мгновенных сообщений (IM), файлового обмена FTP и SFTP и т. д. (см. рисунок 5). ContentLock позволяет осуществить выборочное теневое копирование, в случае когда можно настроить правила контентной фильтрации для сохранения только значимых передаваемых данных для последующего аудита или расследований инцидентов информационной безопасности.

В арсенале ContentLock есть поиск по ключевым словам, морфологический анализ с использованием отраслевых словарей, анализ по регулярным выражениям, анализ по формальным признакам и расширенным свойствам документов и файлов, распознавание текста в графических документах и другие технологии контентного анализа.

Рисунок 5. Ключевые возможности ContentLock в составе DeviceLock DLP Suite 8

Серверный компонент DeviceLock Discovery предназначен для обнаружения несанкционированных копий файлов с конфиденциальными данными на рабочих станциях и сетевых ресурсах. В зависимости от заданной политики безопасности к обнаруженным файлам могут применяться различные действия: например, блокировка доступа, удаление, отправка оповещения пользователю и запись в файл отчёта. В будущих версиях производитель планирует добавить возможность карантина обнаруженных файлов, а также сканирование структурированных хранилищ данных (почтовые архивы, базы данных и пр.).

DeviceLock Discovery может сканировать рабочие станции пользователей под управлением Windows (локальные диски и подключенные устройства хранения), а также сетевые ресурсы общего доступа и системы хранения данных (SAN/NAS), доступные по протоколу SMB.

По всем найденным в соответствии с заданными правилами сканирования файлам DeviceLock Discovery может отправлять администратору безопасности оповещения в реальном времени и таким образом инициировать внешние процедуры управления инцидентами. Уникальная особенность компонента -- наличие собственного резидентного OCR модуля, включенного как в состав сервера Discovery, так и в агенты, для распознавания текста в графических файлах. Заметим, что модуль OCR входит в состав DeviceLock Discovery и не требует дополнительного лицензирования.

Для удаленного сканирования сервер DeviceLock Discovery использует протокол SMB, что позволяет сканировать локальные и сетевые Linux/Unix ресурсы.

DeviceLock Enterprise Server (DLES) -- второй ключевой компонент в архитектуре комплекса DeviceLock DLP Suite, при этом являющийся опциональным и нелицензируемым (бесплатным). Он применяется, прежде всего, для сбора с агентов DeviceLock и централизованного хранения запротоколированных событий и данных теневого копирования (для чего используется MS SQL Server). Вторая функция DLES -- мониторинг текущего состояния агентов и применяемых политик. DLES не требует лицензирования, поэтому он может быть использован в любом количестве для создания любой вариации распределенной инфраструктуры сбора данных аудита.

DeviceLock Search Server (DLSS) -- серверный компонент, обеспечивающий полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования, что позволяет существенно упростить и ускорить аудит и расследование инцидентов информационной безопасности. Компонент лицензируется отдельно.

Консоли управления -- интерфейс контроля, который администратор использует для удаленного управления любой системой, на которой установлены агенты или серверы комплекса DeviceLock DLP. DeviceLock поставляется с четырьмя различными консолями управления:

DeviceLock Management Console (оснастка для MMC)

DeviceLock Enterprise Manager

DeviceLock WebConsole

DeviceLock Group Policy Manager (интегрирован в редактор групповых политик Windows)

Для управления серверными компонентами DeviceLock DLP используются DeviceLock Management Console и DeviceLock WebConsole. Можно выбрать наиболее подходящую для конкретных задач консоль управления.

2.1 Особенности лицензирования DeviceLock DLP Suite 8

Политика лицензирования DeviceLock DLP Suite построена по модульному принципу. Она предусматривает как возможность приобретения лицензии «все в одном» (all-in-one), так и выборочное лицензирование по отдельным компонентам. Базовый компонент DeviceLock Base обязателен для любой инсталляции комплекса и может использоваться независимо. Опциональные компоненты -- ContentLock, NetworkLock, Discovery и DLSS -- могут приобретаться дополнительно к DeviceLock Base независимо друг от друга. Они лицензируются отдельно, что обеспечивает пользователям гибкое и экономное расширение функционала.

Поскольку инсталляционный пакет DeviceLock DLP Suite включает сразу все компоненты комплекса (в состав агента DeviceLock входят компоненты DeviceLock Base, ContentLock и NetworkLock), активация опциональных лицензий не требует переустановки каких-либо его частей, равно как и дополнительной установки компонентов.

2.2 Функциональные возможности DeviceLock DLP Suite 8

Функциональные возможности программного комплекса DeviceLock Endpoint DLP Suite весьма широки. Рассмотрим основные его функции и возможности.

1. Контроль доступа к устройствам и интерфейсам

DeviceLock Base обеспечивает полный контроль доступа пользователей и пользовательских групп к портам ввода-вывода (USB, FireWire, COM, LPT, IrDA), сетевым адаптерам WiFi и Bluetooth, любым типам принтеров (локальные, сетевые и виртуальные), мобильным устройствам (на базе iOS, Android, Windows Phone и других платформ), а также сменным носителям CD/DVD и т. п.

Для любого типа устройства или порта можно задать доступ в зависимости от времени и дня недели, а также задать тип доступа «только чтение» для сменных носителей.

2. Контроль сетевых коммуникаций

NetworkLock имеет механизм распознавания сетевых протоколов и используемых портов TCP/UDP, детектирования приложений, инициирующих соединение. Согласно настраиваемым политикам безопасности, выполняет селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также протоколирование и теневое копирование передаваемых файлов.

NetworkLock контролирует следующие сетевые протоколы и сервисы:

Почтовые протоколы: MAPI (Microsoft Exchange), SMTP/SMTPS.

Веб-сервисы (включая мобильные версии): Почта Mail.Ru, Рамблер-Почта, Яндекс.Почта, Gmail, AOL Mail, Hotmail/Outlook.com, Yahoo! Mail, GMX.de, Web.de, Outlook Web App/Access (OWA).

Социальные сети (включая мобильные версии): ВКонтакте (+API), Одноклассники, LiveJournal, LiveInternet.ru, Facebook (+API), Twitter, Google+, LinkedIn, Tumblr, MySpace, XING.com, MeinVZ.de, StudiVZ.de, Disqus.

Сетевые сервисы файлового обмена и синхронизации: Яндекс.Диск, Google Drive, Dropbox, OneDrive, RapidShare, Amazon S3, iFolder.ru (Rusfolder.com).

Службы мгновенных сообщений: Skype, Агент Mail.Ru, ICQ/AOL, MSN Messenger, Jabber, IRC, Yahoo! Messenger.

Сетевые протоколы: HTTP/HTTP-SSL, FTP/FTP-SSL, Telnet.

Прочее: внутрисетевые файловые ресурсы (SMB), звонки Skype.

3. Контентная фильтрация

ContentLock обеспечивает контентную фильтрацию данных, отправляемых на печать, передаваемых через буфер обмена, копируемых на съемные устройства хранения данных и передаваемых через сетевые протоколы. В арсенале ContentLock -- распознавание более чем 160 типов форматов файлов, анализ по регулярным выражениям с различными численными и логическими условиями соответствия заданным критериям, ключевым словам и другие технологии.

Контентная фильтрация представлена следующими технологиями:

Поиск по ключевым словам с применением морфологического анализа (для английского, французского, итальянского, немецкого, испанского, русского, португальского и польского языков). Поиск по целым словам или частичному совпадению, поддержка транслитерации для русского языка.

Поиск по шаблонам на базе регулярных выражений с числовыми и булевыми порогами срабатывания.

Поиск по встроенным комплексным шаблонам регулярных выражений (номера кредитных карт, адреса, паспортные данные и т. д.).

Встроенные отраслевые терминологические словари.

Поиск по расширенным свойствам документов и файлов (имя, размер, наличие парольной защиты, наличие текста, дата и время последнего изменения, титул, тема, метки и категории документа, комментарии и авторы, наличие отпечатка Oracle IRM и др.).

Оптическое распознавание символов (OCR) для следующих языков: болгарский, каталонский, хорватский, чешский, датский, голландский, английский, эстонский, финский, французский, немецкий, венгерский, индонезийский, итальянский, латышский, литовский, норвежский, польский, португальский, румынский, русский, словацкий, словенский, испанский, шведский и турецкий.

4. Контроль по типу файлов

DeviceLock DLP позволяет разрешать и запрещать доступ к определенным типам файлов вне зависимости от политик безопасности, установленных на отдельное устройство или сетевой протокол, а также задавать избирательные политики теневого копирования с целью исключения из хранимых на сервере файлов тех, что не имеют значимости для расследования инцидентов. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Алгоритм распознавания сигнатур на сегодня умеет распознавать более 4300 типов файлов, и этот перечень постоянно пополняется.

5. Контроль буфера обмена

Буфер обмена -- в умелых руках не менее опасный канал утечки информации, чем сетевые протоколы или флешки. DeviceLock позволяет эффективно предотвращать потенциальную утечку данных еще до того, как они будут переданы с компьютеров -- когда пользователь намеренно или случайно копирует данные между различными приложениями и документами через системный буфер обмена Windows. Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне объектов и типов данных, включая файлы, текстовые данные, графические изображения, аудиофрагменты (например, записи, сделанные Windows Sound Recorder), а также данные неопределенного типа. DeviceLock также позволяет селективно блокировать «снимки экрана», выполняемые стандартной функцией PrintScreen, как для отдельных пользователей, так и для различных приложений.

6. Белые списки

DeviceLock поддерживает формирование политик безопасности на основании белых списков:

Белый список USB-устройств -- по производителю, модели устройства или уникальному серийному номеру.

Белый список носителей CD/DVD-дисков на основе записанных на них данных с разрешением их использования, даже если сам CD/DVD-привод заблокирован.

Временный белый список для предоставления временного доступа к устройствам при отсутствии сетевого подключения, может также использоваться как механизм двойного набора политик безопасности для работы в офисной сети или за ее пределами. Для предоставления доступа к USB-устройству администратор безопасности сообщает пользователю специальный короткий буквенно-цифровой код (например, по телефону или текстовым сообщением), который временно разблокирует доступ только к требуемому устройству на заданное администратором время.

Белый список сетевых протоколов позволяет задавать политики безопасности для NetworkLock, основанные на принципе белого списка. Политики доступа в Белом списке могут быть заданы по IP-адресам, диапазонам и маскам подсетей, идентификаторам отправителей и получателей сообщений и писем (в мессенджерах и электронной почте), а также по сетевым портам TCP\UDP и их диапазонам.

7. Поиск несанкционированных копий конфиденциальных данных

Используя DeviceLock Discovery, можно автоматически сканировать локальные диски и сетевые системы хранения данных, размещенные как внутри, так и за пределами корпоративной сети. Администраторы могут задавать правила сканирования и обнаружения, определяющие, какого рода данные сотрудникам недопустимо хранить на рабочих станциях в корпоративной сети, и выполняющие различные опциональные действия с обнаруженными документами и файлами -- удаление, шифрование или изменение прав доступа.

8. Полнотекстовый поиск по журналам

DeviceLock Search Server позволяет проводить полнотекстовый поиск по содержимому файлов теневого копирования и журналам событийного протоколирования, хранящимся в центральной базе данных сервера DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда надо решить задачу оперативного поиска по содержимому документов, хранимых как теневые копии. DeviceLock Search Server может автоматически распознавать, индексировать и отображать документы множества форматов, таких как: Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, AutoCAD, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие.

9. Оптическое распознавание символов (OCR)

Использование OCR-технологий в резидентном модуле позволяет извлекать текст из графических файлов (например, отсканированных документов или скриншотов) и проверять его контентно-зависимыми правилами. Данный модуль встроен в агент DeviceLock, сервер и агент Discovery и не требует дополнительного лицензирования.

10. Теневое копирование

Этот механизм в DeviceLock позволяет сохранять точную копию данных, копируемых на внешние устройства, передаваемых через LPT- или COM-порты, печатаемых на локальных и сетевых принтерах, а также передаваемых по каналам сетевых коммуникаций (включая переписку и файлы в мессенджерах, сообщения и вложения в электронной почте и т. д.). Точные копии всех файлов и данных могут централизованно храниться в SQL-базе данных на сервере модулем DeviceLock Enterprise Server (DLES). DLES при этом может извлекать из ISO-образов CD/DVD/BD-дисков записываемые файлы.

Расширенные настройки аудита и теневого копирования в DeviceLock позволяют гибко настраивать потоковое сжатие данных, контроль пропускной способности сети, автоматический выбор оптимального сервера DLES и локальной квоты кэша данных.

Теневое копирование DeviceLock совместимо с библиотекой программного обеспечения, поддерживаемой национальным институтом стандартов и технологий США, а также с базой данных Hashkeeper, созданной и поддерживаемой министерством юстиции США. Данные теневого копирования могут быть проверены на вхождение в базы данных известных файлов, что позволяет их использовать в компьютерной криминалистике. Такие базы данных содержат цифровые отпечатки множества известных файлов (файлы операционных систем, прикладного программного обеспечения и т. п.). Возможно создание собственных баз данных цифровых отпечатков (поддерживаются алгоритмы SHA1, MD5 и CRC32) конфиденциальных файлов, чтобы затем использовать их для выявления фактов копирования пользователями этих конфиденциальных файлов.

11. Защита от локального администратора

Режим работы драйверов DeviceLock обеспечивает необходимый уровень защиты, даже если пользователи имеют административные привилегии на своих рабочих локальных компьютерах. Когда защита DeviceLock включена, никто, кроме авторизованных администраторов, не может подключиться к агенту, остановить или удалить сервис. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту. Все попытки некорректно завершить процесс будут игнорироваться системой или приведут к системной ошибке, что не позволит обойти политику безопасности.

12. Централизованное управление

Полная интеграция централизованного управления DeviceLock в групповые политики Windows позволяет автоматически устанавливать агенты DeviceLock на новые компьютеры и распространять DLP-политики как объекты групповых политик домена Active Directory. Управление DLP-политиками при интеграции с доменом осуществляется посредством консоли DeviceLock Group Policy Manager.

Агенты могут устанавливаться на удаленные компьютеры с уже определенными политиками безопасности путем развертывания заранее сформированного MSI-пакета. Он создается администратором при помощи стандартной консоли управления DeviceLock.

Наиболее часто применяемая консоль управления DeviceLock представляет собой оснастку для Microsoft Management Console (MMC) в стандартном стиле Windows, что обеспечивает интуитивно понятный и комфортный вариант работы для администраторов Windows. Для организаций, не использующих домен AD, предусмотрена дополнительная консоль с собственным интерфейсом -- DeviceLock Enterprise Manager, позволяющая единовременно управлять группами агентов на группах компьютеров.

13. Аудит действий пользователей

DeviceLock позволяет протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т. п.). Также можно настроить протоколирование изменений в настройках DeviceLock, время старта и остановки сервиса. DeviceLock использует стандартную подсистему протоколирования событий в Windows, а также автоматически собирает данные событийного протоколирования с удаленных компьютеров в локальной сети и хранит их в центральной базе данных SQL-сервера. Даже пользователи с административными правами (если они не входят в список авторизованных администраторов DeviceLock) не могут изменить, удалить или иным образом исказить теневые копии и данные журналов, как еще хранимые в локальном кэше на контролируемой рабочей станции, так и уже переданные на DeviceLock Enterprise Server.

14. Система тревожных оповещений

DeviceLock обеспечивает отправку тревожных оповещений для администратора в режиме реального времени. Оповещения могут отправляться в почтовых сообщениях по протоколам SMTP и/или SNMP. Предусмотрено два типа оповещений: административные (изменение настроек сервиса, остановка агента DeviceLock, изменения в списке администраторов, неуспешные попытки пользователя внести изменения в политики и т. п.) и специфичные для устройств и протоколов, отправляемые при наступлении какого-либо инцидента информационной безопасности (попытка доступа к запрещенному устройству, передача файла с конфиденциальными данными и т. д.). Настройка тревожных оповещений осуществляется администратором аналогично настройке событийного протоколирования, но при этом не заменяет его.

15. Централизованное хранение журналов событий и теневого копирования

Для централизованного сбора и хранения данных теневого копирования и журналов событийного протоколирования используется нелицензируемый компонент DeviceLock Enterprise Server (DLES). Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров DLES, которые, в свою очередь, используют любое количество доступных SQL-серверов для хранения данных. Это решает проблемы балансировки нагрузки в корпоративной сети и дает возможность гибкого масштабирования DLP-системы под различное количество защищаемых хостов.

16. Политики автономного и оперативного режима

DeviceLock может применять один набор политик для ситуации, когда компьютер подключен к сети, доступен контроллер домена или доступен DeviceLock Enterprise Server (онлайн-режим), и другой набор политик для ситуации, когда компьютер не подключен к сети, недоступен контроллер домена или недоступен DeviceLock Enterprise Server (офлайн-режим). Применение различных политик для двух режимов полезно, например, для запрета использования адаптеров Wi-Fi, когда компьютер подключен к офисной сети компании, и разрешения, когда находится за ее пределами.

17. Интеграция с внешними средствами шифрования

DeviceLock освобожден от привязки к национальным криптографическим алгоритмам, а взамен разработчики предлагают интеграцию со сторонним программным обеспечением. DeviceLock интегрируется со встроенными в Windows средствами шифрования, например BitLocker To Go. Есть поддержка FileVault -- встроенного в Apple OS X средства шифрования данных, а также ViPNet SafeDisk от компании «Инфотекс» (сертифицирован ФСБ России как СКЗИ), PGP Whole Disk Encryption, DriveCrypt и TrueCrypt (USB-флешки и другие съемные устройства), а также флеш-диски Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающие аппаратное шифрование данных. DeviceLock имеет возможность использования гибких политик интеграции -- например, можно разрешить запись только зашифрованных данных на съемные устройства и запретить запись незашифрованных данных.

18. Поддержка виртуальных и терминальных сред

В DeviceLock DLP Suite реализована поддержка виртуальных и терминальных сред (см. статью о DeviceLock Virtual DLP), что существенно расширяет возможности по предотвращению утечек данных в виртуальной инфраструктуре, созданной как в форме локальных виртуальных машин, так и терминальных сессий или опубликованных приложений на гипервизорах (серверах виртуализации). Поддерживаются рабочие среды и приложения от трех основных разработчиков -- Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop) и VMware (VMware View).

Рисунок 6. Защита терминальных сессий в DeviceLock DLP Suite 8

Благодаря полноценному набору контекстных и контентных методов фильтрации данных DLP-политики для виртуальных сред обеспечивают контроль потока данных между виртуальным рабочим столом (приложением) и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные CD\DVD\HDD-накопители, принтеры, USB-порты и буфер обмена данными. Более того, все сетевые соединения пользователей внутри терминальной сессии также контролируются DLP-механизмами DeviceLock. Как и в обычном режиме, обеспечиваются централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных.

Контроль удаленных устройств, подключенных к серверам организации через терминальные сессии, является универсальными и не зависящим от платформы на конечном устройстве, и работает на всех видах персональных устройств -- под управлением iOS, Android и Windows RT/Phone, а также на любых тонких клиентах, не говоря уже про полноценные рабочие станции и лэптопы. Такая особенность контроля терминальных сред связана с тем, что агент DeviceLock устанавливается на стороне корпоративной среды, а не на конечном устройстве. Таким образом, пользователь сохраняет возможность подключать к корпоративной среде через сторонние сети любые персональные устройства для получения доступа к рабочим данным и бизнес-приложениям, в том числе мобильные устройства. Для него этот процесс прозрачен, а DLP-система продолжает обеспечивать защиту данных в терминальной среде. Администратор может отслеживать, проверять и отфильтровывать содержимое обмена данными между защищенной виртуальной рабочей средой и персональным устройством пользователя, а также всеми перенаправленными в терминальную сессию периферийными устройствами и буфером обмена данными.

19. Контроль синхронизации мобильных устройств

DeviceLock Base обеспечивает обнаружение и контроль локальных подсоединений мобильного устройства на уровне интерфейса (USB, Bluetooth, IrDA, COM), по типу устройства (Windows Phone, iPhone, Android) и, если возможно и необходимо, по модели и уникальному идентификатору.

Далее результаты передаются парсеру протокола синхронизации, который осуществляет протокольный анализ потока данных, детектирует его отдельные объекты (файлы, фотографии, календарь, почта, задачи, заметки), фильтрует запрещенные типы и пропускает остальные к детектору типов файлов. На этом этапе производится фильтрация файлов по их реальному типу, а на окончательном этапе выполняется фильтрация с применением контентного анализа.

Рисунок 7. Контроль протоколов мобильной синхронизации DeviceLock DLP Suite 8

2.3 Соответствие законодательству

DeviceLock соответствует всем наиболее распространяемы требованиям и стандартам в области информационной безопасности. В частности, он соответствует требованиям ФЗ «О коммерческой тайне», ФЗ «О защите персональных данных». Продукт будет интересен банковскому сектору, поскольку он удовлетворяет техническим требованиям отраслевого стандарта СТО БР ИББС, стандарту по защите платежных систем PCI DSS, международного банковского стандарта Basel II. Следует отметить, что для наиболее требовательных клиентов у DeviceLock есть версии сертифицированные ФСТЭК. Несмотря на то, что 8-я версия пока находится в стадии сертификации, она полностью соответствует всем требованиям отечественного регулятора по технической защите информации.

2.4 Системные требования

DeviceLock не отличается большими системными требованиями к аппаратным ресурсам. Агент DeviceLock, выполняющий задачи DLP-контроля непосредственно на рабочих станциях, адаптирован для функционирования на локальном компьютере, при этом вычислительные ресурсы со стороны сервера не привлекаются.

DeviceLock работает на любом компьютере с операционными системами Windows NT 4.0 SP 6/2000/XP/Vista/7/8/8.1 и Windows Server 2003/2008/2012.

Поддерживаются 32-х и 64-х битные платформы. На компьютерах, работающих под управлением Windows NT 4.0 с пакетом обновлений 6 (SP 6), должен быть установлен обозреватель Microsoft Internet Explorer версии 4.0 или более поздней.

DeviceLock Service для Mac работает на любых компьютерах под управлением операционных систем Apple OS X 10.6.8 (Snow Leopard), 10.7 (Lion), 10.8 (Mountain Lion), 10.9 (Mavericks), OS X 10.10 (Yosemite). Поддерживаются как 32-битные, так и 64-битные платформы.

Для централизованного хранения данных теневого копирования и журналов событийного протоколирования может оказаться достаточно и одного сервера DeviceLock Enterprise Server в связке с одним экземпляром базы данных MS SQL. Для крупных компаний (особенно в филиальных структурах) и при значительном объеме и количестве файлов теневых копий, подлежащих централизованному хранению, разработчики рекомендуют использовать несколько экземпляров DLES и баз данных SQL.

2.5 Начало работы

В процессе установки я задал следующие разрешения для локальных устройств и протоколов:

Если отметить Create local groups if not existing программа создаст специальные локальные группы пользователей Allow_Access_To_ для каждого типа каналов (например, Allow_Access_To_Floppy для дисководов), если они не существовали на локальном компьютере. Программа назначит права Read, Write, Format и Eject членам группы Администраторы и учетной записи СИСТЕМА. Члены группы Allow_Access_To_будут иметь права Read, Write и Eject. Флажки Access control for USB HID, Access control for USB printers, Access control for USB scanners and still image devices, Access control for USB Bluetooth adapters, Access control for USB storage devices или Access control for FireWire storage devices разрешат агенту контролировать доступ к устройствам ввода (мышь, клавиатура и т.д.), принтерам, сканерам и фотоаппаратам, Bluetooth-адаптерам или устройствам хранения информации (таким как флеш-диски), подключаемым к USB-портам. Чтобы разрешить контроль доступа для USB и FireWire-сетевых карт, нужно установить флажок Access control for USB and FireWire network cards. В противном случае, даже если порты (USB и/или FireWire) заблокированы, эти устройства будут продолжать работать как обычно. Чтобы разрешить контроль доступа для модемов (внутренних или внешних), нужно установить флажок Access control for serial modems. Чтобы отключить блокирование виртуальных дисководов CD/DVD/BD на системах Windows 2000 и выше, нужно снять флажок Access controlfor virtual Optical Drives. Чтобы отключить блокирование виртуальных принтеров на системах Windows 2000 и выше, нужно снять флажок с Access control for virtual printers. Чтобы разрешить контроль доступа для операций копирования/вставки в/из буфера обмена в пределах приложения, нужно установить флажок Access control for intra-application copy/paste clipboard operations. В противном случае, даже если заблокирован буфер обмена, контроль доступа для операций копирования/вставки в пределах одного приложения приложениями будет отключен. Чтобы отключить FireWire-контроллер при наличии у учетной записи Everyone разрешения “Нет доступа” для типа FireWire port, нужно установить полировать доступ к Bluetooth-устройствам ввода (мышь, клавиатура и т.д.), установите флажок Access control for Bluetooth HID (mouse, keyboard, etc.). Флажок Switch PostScript printer to non-PostScript mode, чтобы принтеры PostScript могли работать как обычные принтеры. Это позволяет решить проблему, из-за которой DeviceLock Service не может корректно выполнить теневое копирование и анализ данных для печати на принтерах, использующих драйвер PostScript. Флажок Treat TS forwarded USB devices as regular ones, чтобы DeviceLock Service мог управлять доступом ко всем USB-устройствам, перенаправленным в терминальную сессию Citrix XenDesktop/MS RemoteFX всоответствии с правами, заданными для типа USB-порт. В противном случае, DeviceLock Service будет управлять доступом ко всем USB-устройствам, перенаправленным в терминальную сессию Citrix XenDesktop/MS RemoteFX, в соответствии с набором прав USB Devices Access для TS Devices. Чтобы DeviceLock Service мог выполнять аудит и блокирование нераспознанного трафика SSL, нужно установить флажок Block unrecognized outgoing SSL traffic. Если настройка отключена, то даже при заблокированных протоколах нераспознанный исходящий SSL-трафик не блокируется и аудит для него не выполняется. Чтобы DeviceLock Service мог блокировать все URL, содержащие IP-адреса, для пользователей, которым разрешен доступ по протоколу HTTP, нужно установить флажок Block IP addresses in URL. С помощью этой настройки можно заблокировать доступ к сайтам (например, Facebook), доступным по IP-адресу. Чтобы DeviceLock Service мог выполнять аудит и блокирование трафика от прокси-серверов, нужно установить флажок Block proxy traffic. Поддерживаются следующие типы прокси-серверов: HTTP, SOCKS4 и SOCKS5. Чтобы DeviceLock Service мог блокировать весь сетевой трафик при остановленной системной службе Base Filtering Engine (Служба базовой фильтрации), нужно установить флажок Block network if BFE service is stopped (Windows 8 and later). Чтобы DeviceLock Service мог перехватывать сетевой трафик приложения Microsoft Lync/Office Communicator, нужно установить флажок Intercept MS Lync connections.