Читайте также:
|
Существующие в настоящее время DLP-системы могут быть условно разделены на 3 группы:
– системы на основе контекстных анализаторов;
– системы на основе статической блокировки устройств;
– системы на основе динамической блокировки устройств.
Системы на основе контекстных анализаторов. Принцип работы: в передаваемой информации (архивах, документах MS Office и т.п.) ищутся ключевые слова, по результатам поиска принимается решение о необходимости блокировки передачи. Ряд DLP-систем рассматриваемой группы при принятии окончательного решения учитывает не только вхождение определенных слов, но и то, в каких сочетаниях они встречаются. Системы рассматриваемой группы блокируют передачу файлов неизвестного формата или запароленных архивов
Недостатки:
– контролируются только два протокола (HTTP и SMTP);
– не контролируются устройства переноса данных (CD-, DVD-, USB-диски и т.п.);
– для обхода систем, построенных на основе контентного анализа, достаточно применить простейшую кодировку текста либо стеганографию.
Следовательно, контекстный анализ годится только для создания архивов трафика и противодействия случайной утечки информации и поставленную задачу не решает.
Системы на основе статической блокировки устройств. Принцип работы: пользователям присваиваются права доступа к контролируемым устройствам, по аналогии с правами доступа к файлам.
Недостатки:
– не контролируется передача информации в сеть.
– работает по принципу либо «все разрешено» либо «все запрещено»;
– отсутствует либо легко обходится защита от удаления.
Системы на основе динамической блокировки устройств. Принцип работы:доступ к каналам передачи блокируется в зависимости от уровня допуска пользователя и степени секретности информации с которой ведется работа. Для реализации этого принципа используется механизм полномочного разграничения доступа. Полномочный (принудительный) контроль доступа заключается в том, что хозяин ресурса (например файла), не может ослабить требования на доступ к этому ресурсу, а может только усиливать их в пределах своего уровня. Ослаблять требования может только пользователь, наделенный особыми полномочиями – офицер или администратор информационной безопасности.Контроль перемещения информации в системах рассматриваемой группы реализован на основе уровня секретности информации, уровней допуска пользователя и уровня безопасности компьютера, которые могут принимать значения public, secret и top secret. Уровень секретности информации позволяет классифицировать обрабатываемую в системе информацию по трем категориям:
– public – не секретная информация, при работе с ней никаких ограничений нет;
– secret – секретная информация, при работе с ней вводятся ограничения в зависимости от уровней допуска пользователя;
– top secret – совершенно секретная информация, при работе с ней вводятся ограничения в зависимости от уровней допуска пользователя.
Уровень секретности информации может устанавливаться для файла, сетевого диска и порта компьютера на котором запущена какая-то служба. Уровни допуска пользователя позволяют определить, как пользователь может перемещать информацию, в зависимости от ее уровня секретности. Существуют следующие уровни допуска пользователя:
Уровень допуска пользователя ограничивает максимальный уровень секретности информации к которой, может получить доступ сотрудник;
Уровень допуска к сети ограничивает максимальный Уровень Секретности Информации, которую сотрудник может передавать по сети;
Уровень допуска к сменным носителям ограничивает максимальный уровень секретности информации, которую сотрудник может копировать на внешние носители.
Уровень допуска к принтеру ограничивает максимальный уровень секретности информации, которую сотрудник может распечатать. уровень безопасности компьютера определяет максимальный уровень секретности информации, которая может храниться и обрабатываться на компьютере. Доступ к информации, имеющей уровень секретности public, может быть осуществлен сотрудником с любым уровнем допуска. Такая информация без ограничений может передаваться по сети и копироваться на внешние носители. История работы с информацией имеющей уровень секретности public не отслеживается. Доступ к информации, имеющей уровень секретности secret, могут получить только сотрудники уровень допуска которых равен secret или выше. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен secret и выше. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен secret и выше. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен secret и выше. История работы с информацией имеющей уровень секретности secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется. Доступ к информации имеющей уровень секретности top secret, могут получить только сотрудники уровень допуска которых равен top secret. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен top secret. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен top secret. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен top secret. История работы с информацией имеющей уровень секретности top secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать – протоколируется. Пример: пусть сотрудник имеет уровень допуска равный top secret, Уровень Допуска к Сети равный secret, уровень допуска к сменным носителям равный public и уровень допуска к принтеру равный top secret; в этом случае сотрудник может получить доступ к документу имеющему любой уровень секретности, передать в сеть сотрудник может информацию имеющую уровень секретности не выше чем secret, копировать, например на дискеты, сотрудник может только информацию с уровнем секретности public и распечатывать на принтере сотрудник может любую информацию. Для управления распространением информации на предприятие каждому компьютеру, закрепленному за сотрудником, присваивается уровень безопасности компьютера. Этот уровень ограничивает максимальный уровень секретности информации, к которой любой сотрудник может получить доступ с данного компьютера, вне зависимости от уровней допуска сотрудника. Если сотрудник имеет уровень допуска, равный top secret, а компьютер, на котором он в данный момент работает, имеет уровень безопасности, равный public, то сотрудник не сможет с этой рабочей станции получить доступ к информации с уровнем секретности выше чем public.
Контрольные вопросы
1. Что такое DLP-система?
2. Каково назначение DLP-систем?
3. В чем заключаются основные отличия DLP-систем со статической и динамической блокировкой устройств?
4. С использованием каких категорий классифицируется информация, обрабатываемая в DLP-системах?
5. С какой целью организации внедряют DLP-системы?
Дата добавления: 2015-11-14; просмотров: 43 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Классификация информации в DLP-системах | | | ПОЯСНИТЕЛЬНАЯ ЗАПИСКА К МЕТОДИЧЕСКИМ УКАЗАНИЯМ ПО КУРСУ |