TECHNICAL ASPECTS OF IMPLEMENTATION OF DLP-SYSTEMS, BASED ON FALCONGAZE SECURE TOWER

Abstract


It was analyzes the actual problem of preventing the leakage of restricted access information in corporate systems, which requires implementation of new software-technical decisions. Prevent the necessary statistical data. The concept of DLP-system, as the main instrument to counter information leaks, was formed. It was analyzed the basic and advanced functional capabilities of such systems, which variety allows to provide the highest level of protection from information leakage. The difficult task of protection confidential information against leaks in large establishments and organizations, including the educational institutions was determined. Providing of information security in conditions of implementation the tasks of PSTU, as high level educational institution is expected with the using DLP-system, based on software solutions Falcongaze Secure Tower. It was analyzed the main functions of Falcongaze Secure Tower, order and options of installation and configuring the software. It outlines the main features and benefits of system setup options. It was illustrated the admin console, which involves: a status monitor, interface to configure indexing, interface to configure process digital prints, interface to configure users and agents, the interface, which allows you to control the processing of mail and the image recognition, and also license information. It was reveal the methods of installing agents of workstations: manually, using the group policies and using the capabilities of admin console, and also reveal the methods of morphological analysis of the processed information. It was shown the structural- functional scheme of working system Falcongaze Secure Tower, and described the basic algorithm of its work. It was prevented the necessary results of evaluation the effectiveness of the system, based on experimental data.

Full Text

В настоящее время достаточно актуальной является проблема обеспечения информационной безопасности корпоративных систем, для которых одной из основных задач при создании систем защиты является блокирование каналов утечки информации. Согласно статистике 2014 г. (рис. 1) большинство утечек происходит через интернет-сервисы [1]. Традиционно к основным средствам предотвращения утечки информации из-за использования интернет-сервисов относятся DLP (Data Loss Prevention)-системы. Существует множество таких систем от различных производителей и с разнообразными функциональными возможностями, однако основным предназначением подобных систем является анализ потоков данных, пересекающих периметр защищаемой информационной системы. В качестве дополнительных возможностей могут быть такие, как периодические снимки рабочего стола, прослушивание микрофонов, составление отчетных графиков, составление статистики авторизации пользователей для предотвращения входа в систему злоумышленника путем кражи учетной записи. Разнообразные дополнительные функциональные возможности позволяют обеспечить наиболее высокий уровень защиты информации от утечек. Рис. 1. Статистика утечек конфиденциальной информации через различные источники Еще одним немаловажным достоинством подобных систем является возможность усиленного контроля нелояльных сотрудников. Например, сотрудники, попадающие под сокращение, могут распространить конкурентам активы компании [2]. Особенно сложной представляется задача защиты от утечек конфиденциальной информации в крупных учреждениях и организациях, как правило, имеющих значительное количество разнообразных информационных ресурсов, в том числе и ресурсов ограниченного доступа. Примером подобных организаций могут считаться образовательные учреждения высшего профессионального образования. Пермский национальный исследовательский политехнический университет представляет собой организацию, состоящую из большого количества разнообразных структурных подразделений, использующих в повседневной деятельности значительные объемы постоянно циркулирующей информации. Данные информационные потоки могут содержать значительное количество информации ограниченного распространения, включая персональные данные студентов и работников ПНИПУ, результаты научных исследований, отчетную документацию. Обеспечить защиту информации в условиях реализации задач высшего учебного заведения на необходимом уровне безопасности информационных процессов предполагается с использованием DLP-системы на основе программного решения Falcongaze Secure Tower. Система Falcongaze Secure Tower, как правило, включает несколько компонентов, находящихся на одном сервере или размещенных на нескольких серверных станциях. При этом локализация небольшого количества администрируемых рабочих станций рационально предполагает ограничиться одним сервером. Благодаря наличию технологии виртуализации такое решение является возможным и позволит более полноценно использовать ресурсы сервера [3]. Установка и настройка программного обеспечения имеют стандартный вид и интуитивно понятный интерфейс. Перед установкой прежде всего необходимо определиться со способом перехвата данных с контролируемых рабочих станций. Secure Tower предоставляет на выбор два способа: перехват с помощью агентов, устанавливаемых на рабочие станции, либо централизованно через порт зеркалирования сетевого коммутатора [4]. Преимуществом первого варианта является возможность перехвата как нешифрованного, так и шифрованного трафика, при этом установки сервера перехвата не требуется. Необходимый комплект компонентов для установки в данном случае состоит из сервера обработки данных, сервера контроля агентов, сервера обработки почты, сервера распознавания, сервера лицензирования и центров отчетности и безопасности. Второй же способ позволяет осуществить перехват только нешифрованного трафика. Также использование второго способа влечет за собой физическое изменение топологии сети, снижающее ее пропускную способность, что является существенным недостатком данного способа. Одной из основных функциональных особенностей данной системы является возможность автоматического составления графиков по различным показателям для их анализа [5]. Например, график использования рабочего времени пользователями позволяет увидеть и проанализировать, какое количество времени тратится ими на обработку данных, на серфинг по интернет-страницам, общение с другими пользователями. Согласно статистическим данным сотрудники могут тратить на посторонние дела в коммерческих организациях и банках до 10 %, в государственных структурах - до 26 %, а в проектных организациях - до 40 % рабочего времени [6]. Для настройки системы, руководства мониторингом, управления системой существуют два интерфейса: консоль администратора и консоль пользователя. Обе консоли могут быть установлены на любую рабочую станцию, и администратор может управлять настройками программы из любого места как удаленно, так и с конкретной рабочей станции. Консоль администратора содержит: монитор состояния, интерфейс для настройки индексирования, интерфейс для настройки обработки цифровых отпечатков, интерфейс настройки пользователей и агентов, интерфейс, позволяющий управлять обработкой почтовых отправлений и распознаванием изображений, а также лицензионную информацию [4]. Монитор состояния показывает краткую информацию по всем работающим серверам, например, скорость передачи сетевого трафика и количество активных агентов для сервера контроля агентов (рис. 2). Рис. 2. Консоль администратора - монитор состояния Настройка индексирования позволяет создать свой индекс поиска либо изменить индекс, настроенный по умолчанию. Если индекс не настроен, то данные индексируются по стандартному индексу. Индексирование данных позволяет распределять и упорядочивать данные, что облегчает их дальнейший поиск по меткам. Если перехваченные данные не проиндексированы или это сделано не корректно, то при поиске информации система не будет выводить адекватные результаты. Большим преимуществом системы Falcongaze Secure Tower является возможность импорта пользователей из Active Directory, сохраняя имеющуюся уже там структуру. Существуют два режима обращения Falcongaze Secure Tower к AD: ручной и автоматический. В ручном режиме указывается список доменов и пользователи интегрируются только с ним. В автоматическом же режиме Falcongaze сканирует локальную сеть на предмет доступных доменов и импортирует списки пользователей из найденных доменов. Если интеграция с Active Directory не требуется, список пользователей можно составлять вручную, вводя информацию о них в учетные карточки. Данная DLP-система имеет три способа установки агентов на рабочие станции: вручную, используя файл с расширением .exe, с помощью групповых политик, используя файл с расширением .msi, либо используя возможности консоли администратора. При установке агентов необходимо настроить хранилище информации, где будет храниться перехваченный трафик. Ручная установка рациональна, если число рабочих станций незначительное, в остальных же случаях лучше использовать групповые политики или консоль администратора. Консоль пользователя позволяет работать с перехваченным трафиком. К основным ее возможностям относятся: просмотр сетевой активности пользователей, простой и комбинированный поиск информации, мониторинг в реальном времени, построение отчетов, создание правил безопасности и отправка оператору сообщений о нарушениях правил безопасности [7]. Интерфейс поиска информации предоставляет большой выбор параметров для поиска. Поиск может осуществляться по словам, фразам, регулярным выражениям. В зависимости от необходимости можно настроить поиск слов, написанных с использованием транслитерации, либо на основе морфологического анализа [8]. Морфологический анализ представляет собой выделение ключевых слов во входящем потоке текста, что вызывает некоторую сложность, поскольку в русском языке существует большое количество слов исключений, не поддающихся стандартному разбору. В настоящее время используются три основных способа морфологического анализа: 1. Ручное составление морфологического словаря для конкретного предприятия. Данный способ является трудоемким и неэффективным. 2. Использование алгоритма стэмминга. Данный метод выделения морфологически постоянных частей слов путем удаления известных частей слов, выполняющих заведомо вспомогательную роль, в соответствии с заранее предопределенными правилами. 3. Определение слова по аффиксу и суффиксу. Данный способ, основанный на приведении слова к его первоначальной форме, сегодня является наиболее часто используемым [9]. Кроме того, поиск данных может осуществляться по конкретному пользователю, порту, IP-адресу, дате и времени. В свою очередь, комбинированный поиск позволяет создавать условия поиска информации, объединяя их в логические блоки. Однако DLP-система, построенная только на анализе информации, не может считаться полноценной и служить надежным средством контроля передачи данных. Необходимо также не забывать о вспомогательных специализированных решениях для логического и физического контроля каналов [10]. В системе Falcongaze Secure Tower существуют как уже настроенные стандартные правила безопасности, так и возможна настройка дополнительных правил безопасности, в зависимости от сферы деятельности организации. Для анализа эффективности работы системы возможны настройка и имитация инцидентов. При этом сообщения об инцидентах в зависимости от настроек могут отправляться по указанному почтовому адресу. Рис. 3. Структурно-функциональная схема работы системы Falcongaze Secure Tower Структурно-функциональная схема работы системы представлена на рис. 3 и состоит в следующем. Агенты, установленные на рабочие станции, накапливают данные из приложений, запущенных пользователем, и передают их на хранение в базу данных. Сервер обработки информации выполняет обращения к базе данных, индексирует хранящиеся там данные, выявляет нарушения правил безопасности и осуществляет поиск по индексированным данным. Клиентская консоль реализует функцию поиска, взаимодействия оператора с центром обработки информации, а также взаимодействует с центром безопасности. Консоль администратора позволяет осуществлять настройку всех подсистем. Сервер контроля рабочих станций контролирует работу агентов и может осуществлять управление агентами. Цифрой 1 (см. рис. 3) показано движение перехваченных данных от агентов к базе данных. В то же время цифра 2 показывает возможность сервера контроля рабочих станций посылать команды для управления агентами, установленными на рабочих станциях. Цифрой 3 обозначен обмен командами и информацией между базой данных и сервером обработки информации. Сервер обработки информации посылает управляющую команду для индексирования данных. Также через него поступают команды на поиск данных, а база данных отправляет в ответ найденную информацию. Взаимодействие между клиентской консолью и сервером обработки информации обозначено цифрой 4. С помощью клиентской консоли оператор отправляет запросы на сервер обработки информации, получая в ответ сообщения о нарушениях, поисковые данные, либо иные требуемые данные. Цифрой 5 обозначены команды управления, посылаемые оператором через консоль администратора для настройки подсистем. Цифра 6 означает посылаемые через консоль администратора команды управления, но уже для сервера контроля агентов. Оценка эффективности защиты информации с использованием предлагаемого программного решения на базе ПНИПУ и определение степени корректности реагирования системы на нарушения требований безопасности информации были осуществлены экспериментально. Были смоделированы нарушения правил безопасности пользователями с использованием 50 рабочих станций. В результате эксперимента в подразделении ПНИПУ из 37 попыток отправить конфиденциальные данные по открытым каналам связи были выявлены все, а сообщения о нарушениях правил безопасности были отправлены по указанным почтовым адресам. Таким образом, внедрение системы Falcongaze Secure Tower позволяет решить задачу блокирования распространения конфиденциальной информации через каналы связи в инфраструктуре ПНИПУ. Кроме того, возможности программы позволяют определить структурное подразделение - источник и канал утечки, что, в свою очередь, позволит избежать утечек в дальнейшем. При этом функциональные возможности Falcongaze Secure Tower позволяют обеспечить решение задач защиты информации на достаточно эффективном уровне, что обусловливает применение подобной системы как в подразделениях ПНИПУ, так и в других образовательных учреждениях.

About the authors

A. S Shaburov

Perm National Research Polytechnic University

E. E Zhurilova

Perm National Research Polytechnic University

V. S Luzhnov

South Ural State University (National Research University)

References

  1. Программный комплекс «Стахановец» как DLP-система: предотвращение утечек конфиденциальной информации [Электронный ресурс]. - URL: https://www.infowatch.ru/report2014 (дата обращения: 07.10.2105).
  2. Тимошенко А. DLP как эффективный инструмент работы с нелояльными сотрудниками // Информационная безопасность. - 2015. - № 3. - URL: http://itsec.ru/articles2/dlp/dlp-kak-effektivnyy-instrument-raboty-s-neloyalnymi-sotrudnikami (дата обращения: 30.09.2015).
  3. Шабуров А.С., Рашевский Р.Б. Практическое применение VMWARE VSHIELD APP для обеспечения безопасности виртуального веб-сервера // Вестник Пермского национального исследовательского политехнического университета. Электротехника, информационные технологии, системы управления. - Пермь, 2014. - № 11. - С. 94-101.
  4. Falcongaze Secure Tower. Руководство системного администратора. - М., 2010.
  5. Сайт компании «Фалконгейз». - М., 2010. - URL: http://falcongaze.ru (дата обращения: 10.07.2015).
  6. Вахонин С. Эффективность применения контентной фильтрации в DLP-системах // Информационная безопасность. - 2015. - № 3. - URL: http://itsec.ru/articles2/dlp/effektivnost-primeneniya-kontentnoy-filtratsii-v-dlp-sistemah (дата обращения: 30.09.2015).
  7. Falcongaze Secure Tower. Руководство пользователя. - М., 2010.
  8. Кизянов А.Ф. Разработка и исследование методов и средств полнотекстового индексирования информации с учетом морфологии естественного языка: дис. канд. техн. наук. - Таганрог, 2005.
  9. Жаринов Р.Ф. Метод защиты от перлюстрации в DLP-системах // Доклады Томск. гос. ун-та систем управления и радиоэлектроники. - 2012. - № 1-2.
  10. Вахонин С. Конфиденциальные данные - под надежный контроль! Использование современной DLP-системы для предотвращения утечек информации // Информационная безопасность. - 2015. - № 3. - URL: http://itsec.ru/articles2/dlp/konfidentsialnye-dannye-pod-nadezhnyy-kontrol-ispolzovanie-sovremennoy-dlp-sistemy-dlya-predotvrascheniya-utechek-informatsii (дата обращения: 30.09.2015).

Statistics

Views

Abstract - 23

PDF (Russian) - 17

Refbacks

  • There are currently no refbacks.

Copyright (c) 2015 Shaburov A.S., Zhurilova E.E., Luzhnov V.S.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies