Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite::Журнал СА 5.2012
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Архив номеров
Контакты
   

  Опросы
  Статьи

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

Принципы проектирования  

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

 Читать далее...

Рынок труда  

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

 Читать далее...

Книжная полка  

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

 Читать далее...

Принципы проектирования  

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10308
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8497
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8598
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5479
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6158
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

Друзья сайта  

 Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite

Архив номеров / 2012 / Выпуск №5 (114) / Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite

Рубрика: Администрирование /  ИТ в финансах

Илья Кузьминов ИЛЬЯ КУЗЬМИНОВ, специалист по защите информации

Практическое использование DLP-системы
Задание DLP-политик в DeviceLock Endpoint DLP Suite

Данный цикл статей посвящен описанию особенностей, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде. Третья статья цикла описывает некоторые нюансы задания DLP-политик для контроля устройств и каналов сетевых коммуникаций

Контроль доступа к внешним устройствам

DeviceLock не препятствует установке устройств в системе, но фильтрует обращения к устройствам пользователей на уровне драйвера. При обращении пользователя к устройству драйвер запрашивает у сервиса заданные DLP-политикой для этого пользователя разрешения на доступ к этому устройству и предоставляет или ограничивает его.

Все многообразие интерфейсов, доступ к которым способен контролировать DeviceLock , разбивается на порты и типы устройств:

  • порты: Bluetooth, FireWire, Infrared, Parallel Port, Serial port, USB Port.
  • типы устройств: DVD/CD-ROM, Floppy, Hard Disk, Printer, Removable, Tape, WiFi, а также смартфоны/КПК Blackberry, iPhone/iPad, и устройства под управлением ОС Palm и Windows Mobile.

Последние четыре из перечисленных типов устройств распознаются, когда они подключаются к компьютеру включенными, и устанавливается синхронизация между ними и компьютером.

Начиная с седьмой версии DeviceLock, появился также контроль доступа к буферу обмена Windows, с помощью которого можно контролировать операции копирования/вставки фрагментов текста, графики в документы. Этот интерфейс стоит особняком, не относясь ни к портам, ни к типам устройств.

Агент DeviceLock определяет, давать ли доступ пользователю к устройству, в следующем порядке:

  • есть ли у него доступ к тому или иному порту (задается в разделе настроек Devices/Permissions);
  • есть ли у него доступ к тому или иному типу устройств (задается там же);
  • есть ли доступ к тому или иному типу файлов (задается в разделе настроек Devices/Content Aware Rules).
Интерфейс белого списка: исключение устройства с серийным номером 4211D… из любых запретов для специальной учетной записи Everyone, кроме запретов на уровне устройства – Removable (верхнее окно); выбор устройства из списка всех устройств, подключавшихся к компьютеру (нижнее окно)
Интерфейс белого списка: исключение устройства с серийным номером 4211D… из любых запретов для специальной учетной записи Everyone, кроме запретов на уровне устройства – Removable (верхнее окно); выбор устройства из списка всех устройств, подключавшихся к компьютеру (нижнее окно)

Так, если для пользователя задан доступ к порту USB и есть доступ к типу устройств Removable, но нет доступа к файлам Jpeg, то он сможет передавать через порт USB, в частности на/с устройств(а) Removable, все файлы, кроме Jpeg.

Если же у пользователя есть доступ к порту USB, но нет доступа к типу устройств Removable, то он сможет работать со всеми устройствами, работающими через порт USB, кроме устройств Removable.

Наконец, если у пользователя нет доступа к порту USB, то даже если у него есть доступ к типу устройств Removable, он не сможет воспользоваться этими устройствами.

Замечание: DeviceLock относит к Removable все устройства, которые Windows относит к таковым, т.е. все Storage устройства, кроме Floppy, DVD/CD. Есть характерный признак для определения, относится ли устройство к классу Removable – Windows для Removable-устройств позволяет делать Safe remove. Отметим также, что определение типа файлов в DeviceLock осуществляется не по расширению, а методом сигнатурного анализа.

Описанная иерархия была бы слишком жесткой и неудобной, если бы для нее не были предусмотрены исключения.

Первое по приоритету исключение – «Белый список» USB-устройств. Настраивается он в разделе Devices/USB Devices White List.

В белый список может быть внесена определенная линейка устройств одного производителя (Vendor ID + Product ID) либо конкретное уникальное устройство (Vendor ID + Product ID + Serial Number). Серийный номер должен быть присвоен устройству на производстве.

Если в белый список внесена линейка/устройство и при настройке белого списка снят флажок Control as Type, то доступ к линейке/устройству будет открыт независимо от запретов на уровне порта и уровне типа устройств, и операции с ним не будут отражены в журнале аудита (впрочем, в следующей версии разработчик планирует включить аудит и для устройств в Белом списке).

Каждому пользователю можно назначить свой Белый список. Это дает возможность построить надежно защищенную систему, в которой ни один пользователь не сможет воспользоваться «чужой флешкой».

Второе по приоритету исключение – снятие контроля на уровне порта для отдельных типов устройств. Это исключение настраивается в разделе Devices\Security Settings – единым списком, либо в окне Security Settings настроек доступа каждого из портов – только для устройств, которые могут работать через этот конкретный порт.

В частности, из контроля доступа на уровне порта USB могут исключаться: Human Interface Devices (HID) – клавиатура, мышь и т.д., принтеры, Bluetooth-адаптеры, USB and FireWire network cards, сканеры, Removable-устройства.

Что касается смартфонов/КПК, то если вы соедините их с рабочей станцией выключенными, они будут видеться как Removable, и вы сможете записать на них данные как на флеш-карту. Тонко настраиваемый контроль доступа к функциями этих гаджетов (включая, например, отключение доступа на чтение или запись в контактов, календаря, заметок, на исполнение файлов) работает, когда устройства соединяются с рабочей станцией в режиме синхронизации. Контроль доступа возможен для стандартных интерфейсов синхронизации (ActiveSync – для WindowsMobile, iTunes – для IPhone, IPod), а также для интерфейсов программирования приложений (API), предоставляемых разработчиком устройства и используемых приложениями различных разработчиков для взаимодействия с устройством.

Контроль доступа к каналам сетевых коммуникаций

Контроль доступа пользователей к каналам сетевых коммуникаций выстроен аналогично контролю устройств. Более того, ядро программы, контролирующее обращения к сетевым протоколам, работает непосредственно на контролируемой машине, а не где-то в сети на шлюзе. Это обеспечивает возможность контроля пользователей, даже если они находят вариант выхода в Интернет, минуя сетевой шлюз (скажем, через модем 3G).

Модуль NetworkLock, отвечающий за фильтрацию обращений к сетевым протоколам, пользователей, функционирует также на уровне драйвера.

В числе контролируемых модулем NetworkLock каналов сетевых коммуникаций, приложений и сервисов – как повседневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), web-доступ по протоколам HTTP/HTTPS, файловый обмен по протоколам FTP/SFTP, так и наиболее популярные сетевые приложения и сервисы – сервисы веб-почты, службы мгновенных сообщений, социальные сети, а также Telnet-сессии.

Как и для контроля USB-устройств в DeviceLock, в модуле NetworkLock реализован «белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем сервисам и узлам, которые необходимы для выполнения их бизнес-задач. Например, можно запретить всем пользователям доступ к протоколам SMTP и Web Mail, а затем использовать «белый список», чтобы разрешить определенным пользователям отправлять электронную почту на указанные адреса электронной почты. Применение таких гибких DLP-политик снижает риск утечки и кражи данных.

В следующей статье цикла мы рассмотрим некоторые особенности работы с журналами аудита и теневого копирования в DeviceLock Endpoint DLP Suite.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru