Системы предотвращения утечек конфиденциальной информации DLP
Информация - Компьютеры, программирование
Другие материалы по предмету Компьютеры, программирование
?т на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, поскольку администратор безопасности всегда будет точно знать, какую информацию сотрудник записывает на внешние накопители.
Вся информация, записываемая пользователем на внешний носитель, незаметно для него копируется в защищенное хранилище на локальной машине и потом переносится на сервер. Функция теневого копирования создает точные копии файлов, которые пользователь записывают на устройства, и расширяет возможности аудита, позволяя проводить расследование возможных инцидентов.
Теневое копирование может отслеживать информацию только для определенных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это делает теневое копирование высокоточным инструментом, применение которого позволяет службе безопасности предприятия получать только ту информацию, которая ей нужна.
Дополнительно в Zlock реализовано теневое копирование распечатываемых документов. Это дает возможность контролировать действия пользователей даже в том случае, если им разрешено использование принтеров, но необходимо точно знать, что, где и когда они печатали. В теневой копии сохраняется вся служебная информация и сам распечатанный документ в формате PDF.
Сервер журналирования
В Zlock есть возможность сохранять журналируемые события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий Zlock.
Клиентские модули Zlock записывают все происходящие события на сервер журналирования, при этом, если он недоступен, информация о событиях временно хранится на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер.
Сервер журналов может записывать информацию о событиях в базу данных Microsoft SQL Server, OracleDatabase или в XML-файлы. Использование для хранения событий Microsoft SQL Server или OracleDatabase позволяет обеспечить более высокую надежность и производительность.EMS предназначен для централизованного хранения и распространения политик и настроек Zlock. Синхронизация с ZlockEnterpriseManagementServer происходит с заданной администратором периодичностью и включает в себя проверку текущих политик и настроек агентов и их обновление в случае необходимости. Синхронизация происходит по защищенному каналу и может распространяться как на всю сеть, так и на определенные домены, группы или компьютеры.
Контроль целостности Zlock
В Zlock имеется возможность контроля целостности файлов и настроек Zlock. Если какие-либо компоненты Zlock были несанкционированно модифицированы, возможность входа в систему будет лишь у администратора. Это позволит защитить Zlock от изменений со стороны пользователей и вредоносных программ.
McAfee Host Data Loss Prevention
Система защиты от утечек, основанная на агентском контроле использования конфиденциальной информации.DLP состоит из агентских программ, устанавливаемых на рабочие станции сотрудников, и сервера управления.
Вычислительная часть решения McAfeeHost DLP функционирует на уровне конечных рабочих станций заказчика. Для этого на каждый компьютер централизованно рассылается и устанавливается программа - агентский модуль McAfeeHost DLP. Агент устойчив к выгрузке, - его невозможно деинсталлировать, даже имея права администратора.
Для обучения системе необходимо выделить папки (на файловом сервере), в которых будут расположены защищаемые файлы. Согласно заданной администратором безопасности политике, на защищаемые документы навешиваются метки.Эти метки существуют в параллельных потоках NTFS и не видны невооруженным взглядом.
Метки видны агентским программам McAfeeHost DLP. Этот агент может ограничить отправку, запись на сменные носители, копирование в буфер и прочие операции, противоречащие установленным политикам для конкретного пользователя с конкретной меткой.
Локально метки работают вкупе с цифровыми отпечатками (для слежения не только за контейнером, но и контентом). При открытии или копировании с сервера секретного документа агентская программа McAfeeHost DLP отследит метку документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от передачи за пределы станции в соответствии с установленными политиками безопасности. Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и созданный на основе этого фрагмента новый документ унаследует метку.
В существующую инфраструктуру должны быть установлены агентские модули на каждую рабочую станцию и установлен сервер управления:
По результатам работы агентских программстатистика инцидентовцентрализованно собирается на управляющий сервер McAfeeePolicy для анализа.
Основные возможности решения заключаются в 10 правилах реакции, которые может выполнять клиент на рабочих станциях:
1.Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;
2.ClipboardProtectionRule. Позволяет выполнять блокировку копирования в буфер обмена для определенного контента. К примеру, копирование информации через буфер обмена, содержащей словосочетание финансовый отчет из программы Excel в Word может быть запрещено;
.EmailProtectionRule. Позволяет анализировать исходящие сообщения в электронной почте и блокировать утечку конфиденциальной информации;
4.Network File System Protection Rule. Позволяет отслеживать перемещение конфиденциальной информации между контроли