Разработка проекта модернизации системы защиты информации бухгалтерии предприятия ООО "Завод "Калининградгазавтоматика""

Zecurion DLP.

Zecurion DLP - комплексная система обеспечения защиты конфиденциальной информации от утечек от российского разработчика. Продукт имеет модульную структуру и включает в себя следующие компоненты, каждый из которых может работать автономно, но в целях снижения рисков реализации угроз информационной безопасности, рекомендуется внедрять комплексное решение:

Zecurion Zlock - программный модуль, осуществляющий контроль деятельности пользователей на уровне рабочих мест, включая такие операции с файлами, как чтение, редактирование, печать, удаление, переименование файлов. Архитектура представлена на рисунке 2.4;

Zecurion Zgate - программный модуль, осуществляющий контроль сетевых каналов передачи данных, включая электронную почту, веб-ресурсы, отправку файлов на внешние серверы. Архитектура представлена на рисунке 2.5;

Zecurion Zdiscovery - программный модуль, осуществляющий выявление конфиденциальной информации в сети предприятия и контроль соблюдения политик обращения с ней;

Zecurion Zserver - программный модуль, устанавливающийся на выделенный сервер с целью архивирования конфиденциальной информации и протоколирования действий пользователей с файлами, содержащими конфиденциальную информацию в журнал событий.

Рисунок 2.4 - Архитектура Zlock

Рисунок 2.5 - Архитектура Zgate

При выборе системы предотвращения утечки конфиденциальной информации необходимо учитывать следующие параметры:

комплексность - охват продуктом всевозможных потенциальных каналов утечки информации;

протоколирование - ведение журналов операций, совершаемых пользователями с конфиденциальной информацией.

Таблица 2.1 - Функционал программных решений по защите от утечек информации

Обобщая данные, полученные в ходе проведенного обзора программных продуктов, специализирующихся на предотвращении утечек конфиденциальной информации, подведем итог.

DLP-система InfoWatch обладает всеми преимуществами современных систем предотвращения утечки информации, однако, в связи со сложностью масштабирования подходит небольшим предприятиям.

Продукты западных производителей (Authentica, Onigma, PC Acme, Verdasys) не нашли широкого распространения в информационных системах российских предприятий. Главная причина этого - недостаточный уровень локализации. Речь идет не об отсутствии русскоязычного интерфейса или сопроводительной документации, а об отличиях в требованиях, предъявляемых подобного рода системам. Западные системы изначально разрабатывались с учетом западных же стандартов, соответствие которым неактуально для российских предприятий.

Zecurion DLP обладает высоким уровнем масштабируемости и высокой технологичностью. Также стоит отметить очень широкий спектр функциональных возможностей, полное покрытие всех потенциальных каналов утечки информации и модульность системы.

Система предотвращения утечки конфиденциальной информации Zecurion DLP соответствует всем сформулированным ранее требованиям. На следующем этапе работ было произведено внедрение в информационную инфраструктуру предприятия системы Zecurion DLP.

3. Практическая реализация проекта модернизации системы защиты информации

Каналы утечки конфиденциальной информации можно разделить на две большие группы. Первая группа включает в себя устройства, подключаемые к рабочим станциям сотрудников локально. К этой группе относятся различного рода электронные носители информации, принтеры, мобильные телефоны.

Вторая группа включает в себя сетевые каналы утечки информации, причем следует отметить, что подразумевается не сетевая инфраструктура предприятия, а глобальная сеть Интернет. К этой группе относится электронная почта, средства IP-телефонии, различного рода веб-сервисы, иными словами любые средства, предназначенные для взаимодействия с глобальной сетью.

Приведенные выше группы каналов утечки информации принципиально отличаются друг от друга, следовательно, требуют различных подходов к решению задачи предотвращения утечек. Так для эффективного контроля над локальными устройствами необходима программа-агент, которая устанавливается непосредственно на рабочую станцию пользователя, и иметь полномочия на управление доступом пользователей к локальным устройствам. В зависимости от установленной политики программа-агент обладает возможностью блокировки доступа к операциями с локальными устройствами.

Для осуществления контроля сетевых каналов утечки информации применяется иной подход. Для его реализации требуется шлюзовое решение, через который будет проходить весь внешний трафик, который сортируется по протоколам. Там же осуществляется анализ перехваченного трафика. Таким образом, система проверяет прошедшую через нее информацию на соответствие установленным политикам.

Комплексная система Zecurion DLP покрывает обе группы каналов утечки информации. Реализовано это было путем создания двух независимых друг от друга продуктов: Zlock и Zgate. Несмотря на автономность каждого из модулей, они имеют общую консоль управления, общий графический интерфейс, схожим аналитическим инструментарием и аналогичными настройками, что позволяет администратору безопасности осуществлять управление всей системой предотвращения утечек информации с одного рабочего места. Графический интерфейс консоли представлен на рисунке 3.1.

Рисунок 3.1 - Консоль управления продуктами Zecurion

Модульность системы позволяет предприятию не приобретать комплексную систему, если требуется функционал только одного из модулей. Также такой подход позволяет предприятию внедрять систему поэтапно по мере роста требований к защите информации.

По причине значительных различий в принципах функционирования модулей, их внедрение и настройку следует рассматривать отдельно.

3.1 Развертывание Zecurion Zlock

Внедрение Zlock в информационную систему предприятия начинается с установки серверных компонентов, которые обеспечивают централизованное управление системой предотвращения утечки, архивирование перехваченного трафика и сбор информации о выявленных агентами событиях. Процесс установки предусматривает выбор необходимых компонентов. Сервер конфигураций предназначен для централизованного конфигурирования агентов. Сервер журналов предназначен для организации хранения перехваченного трафика и сбора информации о событиях. Эти компоненты устанавливаются на сервер.

Консоль управления, предоставляющая администратору безопасности возможность удаленного управления всеми, как серверными, так и клиентскими компонентами системы, устанавливается на его рабочую станцию.

Клиентский модуль устанавливается на рабочие станции пользователя. Именно он является программой-агентом.

Этап, следующий за установкой серверных компонентов - внедрение агентов в требующие обеспечения безопасности данных рабочие станции. Это можно сделать двумя способами. Первый способ - ручная установка на рабочих станциях. Второй - централизованное формирование групповых политик.

После установки всех модулей системы Zlock производится первичная настройка системы посредством консоли централизованного управления. При первом запуске консоли пользователю автоматически предлагается создать цифровой сертификат, который содержит в себе публичный и закрытый ключи. Этот сертификат обеспечивает защиту каналов, по которым происходит обмен данными между сервером и агентами в рамках запросов пользователей на подключение внешних устройств. Процедура добавления разрешенных устройств представлена на рисунке 3.2. При возникновении необходимости сертификат можно изменить.

Рисунок 3.2 - Добавление устройств в политику в Zlock

Консоль централизованного управления состоит из двух частей. В левой части отображается список доступных рабочих станций. По умолчанию все компьютеры сгруппированы в зависимости от установленных на них приложений: серверных, клиентских и без установленных компонентов Zecurion DLP вообще. Также можно сгруппировать рабочие станции в системе с делением на рабочие группы.

Администратор безопасности имеет возможность подключения к любому компьютеру с установленной программой-агентом. В этом случае в правой части интерфейса отображаются функции, которые можно выполнить относительно рабочей станции.

После первого запуска консоли управления в первую очередь необходимо установить права доступа к Zlock. По умолчанию система настроена так, что локальный администратор имеет полные возможности по управлению защитой. Однако это будет необходимо исправить, если в компании функции системного администратора и администратора безопасности разделены. Выдавать доступ можно как на основе групп и имен пользователей Windows, так и вводя собственные аккаунты для продуктов Zecurion. Права можно настроить весьма гибко, указав разрешенные операции: изменение политик доступа, просмотр журналов и прочее.

В ходе первичной настройки необходимо определить параметры теневого хранилища. Это нужно для включения в политики теневого (незаметного для пользователей) копирования файлов. Что позволит администратору безопасности контролировать передачу на носители или распечатку даже тех документов, которые удовлетворяют политикам безопасности. В качестве хранилища может использоваться локальная папка (она недоступна для самих пользователей) или папка на сервере.

Также можно настроить систему мониторинга. Она позволяет автоматически с заданным интервалом времени опрашивать агенты и отслеживать таким образом их состояние. С мониторингом можно связать автоматическое обновление конфигураций, загруженных в клиентские программы.

В последней версии Zlock появилась еще одна интересная возможность. Речь идет о принудительном шифровании информации, записываемой на съемные накопители. Это позволяет организовать безопасный перенос данных на флешках даже помимо воли сотрудников. Если в компании планируется использовать эту возможность, то в процессе предварительной настройки необходимо сгенерировать ключ шифрования. Сделать это можно, подключившись к серверу конфигураций.

3.2 Настройка Zecurion Zlock

Настройка Zlock предполагает создание набора политик безопасности, которые описывают правила доступа сотрудников к тем или иным устройствам. Настройка политик представлена на рисунке 3.3. Таких политик может быть несколько. Каждая из них обладает собственным приоритетом, который определяет порядок их применения. Такой подход позволяет создать очень гибкие условия доступа. Если устройство подходит под несколько политик, то будет применяться та из них, которая имеет максимальный приоритет. Также в Zlock есть политика по умолчанию.

Она используется для задания прав доступа к тем устройствам, которые не попали ни под одну другую.

Рисунок 3.3 - Настройка правил работы политики в Zlock

Политики безопасности в рассматриваемой программе делятся на два типа. Первые определяют права на уровне устройства. Проще говоря, они позволяют полностью запретить или разрешить подключение какого-то оборудования. При этом для накопителей есть дополнительная возможность - открыть доступ только для чтения.

При создании такой политики в первую очередь указываются устройства, для которых она работает. Их можно выбирать из списка типовых (например, инфракрасные порты, модемы, съемные накопители, принтеры). Также можно указывать физическое устройство или целый их класс из перечня, подключенного к компьютерам оборудования или каталога устройств (в этот каталог можно добавить и в будущем использовать для создания политик все оборудование компании, подключенное к разным ПК). Отдельно в список вносятся принтеры и USB-устройства с заданными характеристиками (флешки определенных производителей, моделей или даже конкретные устройства).

Далее указываются настройки доступа. Это может быть полный запрет или же разрешение на чтение или чтение и запись. Примечательно, что права можно задавать с привязкой к пользователям. То есть некоторым группам сотрудников можно разрешить чтение с флешек, отдельным ответственным лицам - чтение и запись, а всем остальным вообще закрыть доступ к устройствам этого типа.

При необходимости дополнительно можно задать расписание действия политики по дням, неделям или месяцам. Также можно указать правила ее работы. Они определяют активность политики в зависимости от доступности домена: когда рабочая станция подключена к домену локально, через VPN или работает автономно. Это особенно актуально для ноутбуков, которые сотрудники могут выносить за пределы офиса.

В заключение настройки политики можно определить параметры контроля копируемых файлов. Такие функции, как журналирование событий, теневое копирование и шифрование, включаются, отключаются и настраиваются независимо друг от друга.

Вторая группа политик - политики контроля файлов. С их помощью можно определять права доступа в зависимости от типа или содержимого документов. При использовании таких политик подключенные к компьютерам сотрудников накопители и принтеры доступны. Однако скопировать на них или распечатать получится не любые, а только удовлетворяющие правилам файлы. Политики контроля файлов также могут быть привязаны к пользователям и их группам. Это обеспечивает необходимую гибкость системы защиты.

При создании политики второго типа в первую очередь необходимо определить тип контроля - по типу файлов или по их содержимому. При выборе первого варианта в списке поддерживаемых форматов нужно просто включить требуемые пункты. Это могут быть как отдельные типы, так и целые их группы, например, текстовые документы, архивы, видеофайлы и пр. Стоит отметить, что Zlock определяет формат не по расширению, а по содержимому файлов, сравнивая его с сигнатурами. Такая настройка представлена на рисунке 3.4.

Рисунок 3.4 - Настройка политики контроля файлов по типу файлов в Zlock

Второй вариант контроля используется только для документов, содержащих текст. Он позволяет разрешать или запрещать копирование файлов в зависимости от их содержимого. Правил анализа в одной политике может быть несколько. Это дает возможность использовать в одной политике сразу несколько разных инструментов исследований. Настройка политики по содержимому представлена на рисунке 3.5.

Рисунок 3.5 - Настройка политики контроля файлов по содержимому в Zlock

Всего в данном виде политик может применяться три разных типа анализа. Первый из них - «Содержит текст». Как видно из названия, политика будет срабатывать в том случае, если в исследуемом документе будут обнаружены заданные слова. При этом слова могут искаться точно в заданном виде, с учетом морфологии, стемминга (обработки окончаний), транслитерации и подстановочных символов. Второй инструмент во многом похож на первый. Вот только при его использовании происходит поиск не отдельных слов и выражений, а слов из предварительно заданного словаря. Таких словарей в системе может быть произвольное количество. Каждый из них должен содержать слова, которые позволяют отнести исследуемый текст к той или иной категории.

Третий способ контекстного анализа - поиск по шаблону. В нем используются шаблоны - наборы обычных и подстановочных символов. Такой вариант оптимален для поиска любой формализованной информации. И особенно хорош для контроля передачи персональных данных: номеров телефонов, паспортных данных, ИНН и прочего. Кстати, в комплект поставки уже входит целый набор шаблонов наиболее распространенных персональных данных.

В завершение настройки политики контроля файлов необходимо определить ее действия. Для чтения файлов со съемных накопителей это может быть запрет или разрешение с журналированием или без него. Для записи дополнительно появляется возможность теневого копирования и принудительного шифрования. Для печати документов доступны запрет и разрешение. Также для распечаток можно включить журналирование и копирование. Выбор действий представлен на рисунке 3.6.

После создания всех необходимых политик их нужно загрузить в установленные агенты. Сделать это можно несколькими способами. Самый простой - прямо через консоль управления. Для этого достаточно выбрать нужные компьютеры и выполнить специальную операцию - «Распространить конфигурацию». Второй вариант предполагает использование групповых политик Windows. В этом случае создается специальный файл с конфигурацией, который и распространяется на компьютеры конечных пользователей. Третий вариант - использование возможностей сервера конфигураций. Можно загрузить в него набор политик и указать настройки получения списка компьютеров и серверов. После этого модуль будет самостоятельно отслеживать ситуацию и автоматически загружать соответствующие конфигурации на все, в том числе и на вновь появляющиеся компьютеры.

Рисунок 3.6 - Выбор действий политики контроля файлов по содержимому в Zlock

3.3 Развертывание Zecurion Zgate

Zgate - шлюзовое решение для контроля сетевого трафика. В его дистрибутив входит три модуля. Два из них представляют собой сервер журналов и консоль управления. Если они были развернуты при настройке Zlock, то их можно уже не устанавливать. Третий модуль - сам сервер Zgate. Он предназначен для анализа трафика и является основной частью системы защиты.

Сама процедура установки не представляет особого интереса, ее мы опустим. А вот на чем стоит заострить внимание, так это на выборе режиме работы системы защиты. Дело в том, что рассматриваемое решение может работать двояко. С одной стороны, Zgate может выступать в роли прокси-сервера. В этом случае он получает возможность фильтровать трафик, выявляя и не выпуская конфиденциальную информацию из корпоративной сети. С другой стороны, Zgate может работать только с зеркалированным трафиком. В этом случае он не может предотвращать утечки данных, а только фиксирует инциденты.

На первый взгляд кажется, что выбор вполне очевиден. Лучше предотвращать утечки конфиденциальных данных, нежели просто фиксировать их. Однако на самом деле работа в режиме прокси-сервера может помешать нормальному протеканию бизнес-процессов компании. Например, при высокой нагрузке или каком-либо сбое DLP-система, работающая в режиме прокси-сервера, может прервать доступ к интернету. Кроме того, нельзя забывать, что контекстный анализ, который используется для исследования трафика, зачастую носит вероятностный характер. Поэтому всегда существует риск того, что система защиты заблокирует вполне легитимную передачу информации. Именно поэтому в большинстве крупных компаний шлюзовые DLP-решения работают только с зеркалированным трафиком.

В том случае, если был выбран вариант с фильтрацией трафика, Zgate должен быть установлен как прокси-сервер между корпоративным почтовым сервером и интернетом. Таким образом, он будет обрабатывать всю как исходящую, так и входящую корреспонденцию. Такой выбор представлен на рисунке 3.7.

Если было принято решение о работе в режиме мониторинга, то необходимо обеспечить поступление зеркалированного трафика на сервер Zgate. Для этого можно использовать разные возможности, например зеркалирование с порта прослушивания коммутатора.

Рисунок 3.7 - Выбор действий политики контроля файлов по содержимому в Zgate

В заключение процесса развертывания рассматриваемого решения необходимо выполнить его настройку - определить контролируемые протоколы и режимы работы, права доступа сотрудников, параметры архивирования информации и журналирования событий. В первую очередь стоит разобраться с электронной почтой. Для ее настройки нужно выбрать соответствующий режим работы системы (прокси-сервер, анализ зеркалированного трафика или плагин к Microsoft Exchange) и в зависимости от него настроить параметры приема и передачи корреспонденции.

3.4 Настройка Zecurion Zgate

Контроль веб-трафика настраивается отдельно по протоколам. Для каждого из них можно выбрать свой режим работы - зеркалирование или фильтрация. А контроль ненужных протоколов можно отключить вообще. Особое внимание необходимо уделить разделу HTTP/HTTPS. При его включении необходимо определить область контроля. Дело в том, что в его состав входит большое количество поддерживаемых рассматриваемым решением сайтов и веб-сервисов. И администратор безопасности может включать и выключать их независимо друг от друга. Это позволяет контролировать веб-почту, социальные сети, форумы и даже сайты поиска работы. Настройка контроля почты представлена на рисунке 3.8.

Рисунок 3.8 - Настройка режима контроля почты

Также необходимо настроить архив - базу данных, в которой будет сохраняться вся собранная информация. Для этого может использоваться MS SQL Server или Oracle Database. Тут важно понимать отличие архива от журнала событий. Первый используется для хранения перехваченных писем, сообщений, отправленных через IM-клиенты, постов на форумах и в социальных сетях. А в журнале фиксируются заданные администратором события: инциденты, поступление в архив новой информации, изменение настроек, ошибки.

После общей настройки системы можно переходить к разработке политики безопасности. Она представляет собой набор условий фильтрации и связанных с ними действий. Условий в политике может быть несколько. При этом администратор безопасности имеет возможность задать порядок их следования. То есть трафик поочередно проходит все проверки и на любом этапе может быть признан нелегитимным. Пример политики приведен на рисунке 3.9.

Рисунок 3.9 - Пример политики контроля в Zgate

Всего в Zgate предусмотрено восемь типов условий. Большая часть из них относится к формальным. Это проверка на наличие зашифрованных файлов, проверка адресов, типа вложенных файлов и параметров сообщений (по IP-адресу, размеру вложений, дате и времени отправки). Два типа условий используются для контекстного анализа - поиск текста и поиск по словарю. В них применяются дополнительные инструменты: морфологический анализ, стемминг, учет транслитерации, ошибок, поиск по шаблону.

Отдельного упоминания заслуживает условие «Проверка внешним приложением». Его наличие позволяет существенно расширить функциональность системы защиты и подключить к ней любые приложения или скрипты, в том числе и самостоятельно разработанные для конкретных условий данной компании. Последний тип условий - составной. В него можно включать условия любых других типов, объединяя их логическими операциями.

Для каждого условия необходимо задать одно или несколько действий, которые будет производить система при его выполнении. Операций доступно много. Среди них есть полная блокировка соединения, автоматическое изменение сообщений, перемещение в карантин и сохранение в архиве, отправка уведомления администратору безопасности, журналирование. В общем, действия предусмотрены на все случаи жизни. Настройка веб-каналов представлена на рисунке 3.10.

Таким образом, после создания всех необходимых условий и привязки к каждому из них нужных действий мы получаем полноценную политику, которая может весьма гибко учитывать все нюансы. Такой подход позволяет уменьшить количество ложных срабатываний системы защиты, сократив тем самым нагрузку на администраторов безопасности.

Помимо Zlock и Zgate, в состав Zecurion DLP входит еще один продукт - Zdiscovery. Он предназначен для мониторинга распространения конфиденциальной информации по локальной сети. С его помощью можно находить секретные данные на любых хранилищах (серверы, рабочие станции пользователей, NAS и прочее). Это позволяет отыскивать нелегитимные их копии и удалять или перемещать их, значительно уменьшая риск утечки конфиденциальной информации.

Рисунок 3.10 - Настройка режима контроля веб-каналов в Zgate

Существовавшая на предприятии система защиты информации не удовлетворяла принципу комплексности. На предотвращение реализации внутренних угроз информационной безопасности были направлены лишь организационные меры по защите информации. Таким образом, в случае нелояльности сотрудника или в силу его некомпетентности или халатности могла произойти утечка конфиденциальных данных.

Однако, после внедрения в информационную инфраструктуру предприятия комплексной системы защиты конфиденциальной информации от утечек по различным, как сетевым, так и локальным каналам утечки Zecurion DLP, можно утверждать, что после модернизации система защиты конфиденциальной информации на предприятии удовлетворяет сформулированным ранее требованиям и сводит к минимуму риск утечки конфиденциальной информации.

Заключение

В рамках дипломной работы по комплексному обеспечению информационной безопасности бухгалтерии ООО Завод «Калининградгазавтоматика» было произведено:

исследование объекта защиты;

изучение существующей системы защиты конфиденциальной информации;

выявление несоответствий системы защиты информации актуальным требованиям по организации защиты конфиденциальной информации;

постановка задачи на модернизацию системы защиты информации;

анализ существующих на рынке решений по предотвращению утечки конфиденциальной информации;

выбор и обоснование решений по модернизации системы защиты конфиденциальной информации;

разработка и внедрение проекта модернизации системы защиты конфиденциальной информации.

По итогам изучения объекта защиты были сформулированы актульные требования к защищенности конфиденциальной информации. В процессе анализа существующих мер по защите информации на предприятии было выявлено несоответствие системы защиты информации актуальным требованиям, в частности, несоответствие принципу комплексности, в связи с отсутствием контроля над потенциальными каналами реализации внутренних угроз.

В рамках разработки проекта модернизации системы защиты информации на предприятии был произведен поиск доступных решений выявленной проблемы, проведен их анализ и выбор из них наиболее подходящего под сформулированные требования.

В результате проведенной модернизации системы защиты конфиденциальной информации удалось доработать систему до соответствия предъявляемым требованиям по обеспечению информационной безопасности, в частности, до соответствия принципу комплексности. Проведена работа по минимизации риска реализации внутренних угроз путем внедрения в информационную систему предприятия системы предотвращения утечек информации.

Литература

программный аппаратный конфиденциальный контентный

1. Ворона В.А., Тихонов В.А. - Системы контроля и управления доступом. - М.: Горячая линия - Телеком, 2010. - 272с.

2. Хорев П.Б - Программно-аппаратная защита информации - М.: Форум, 2009. - 352с.

3. А.П. Росенко - Внутренние угрозы безопасности конфиденциальной информации - М.: Красанд, 2010. - 160с.

Размещено на Allbest.ru