Semakin sukses yang dicapai umat manusia dalam memerangi ancaman dunia maya eksternal, semakin kuat ancaman internal yang muncul, yang menurut statistik, lebih dari 70% dari semua insiden keamanan terkait. Artikel ini merangkum pengalaman perusahaan integrator Rusia di bidang pembuatan sistem terintegrasi untuk mencegah kebocoran informasi rahasia. Sistem kompleks seperti itu sangat penting untuk berfungsinya banyak perusahaan dan organisasi modern. Perusahaan menggunakan seluruh gudang cara untuk mengontrol karyawan: mereka melihat melalui email, mendengarkan percakapan telepon, memasang kamera pengintai, memantau lalu lintas ke situs web di Internet. Apakah tindakan seperti itu legal? Saat ini, informasi rahasia dan data pribadi diproses di AS di hampir semua perusahaan. Secara alami, informasi semacam itu perlu dilindungi. Tapi inilah cara melindunginya, apa perbedaan antara cara melindungi komputer rumahan dan komputer dalam aplikasi perusahaan, tugas perlindungan informasi apa dan bagaimana harus diselesaikan di kompleks untuk memastikan perlindungan informasi rahasia yang efektif? Tidak ada yang kebal dari sabotase infrastruktur TI. Setiap karyawan dapat, bahkan pada kesempatan yang paling sepele, menyinggung manajemen atau rekan kerja, dan kemudian melakukan sabotase nyata: menghancurkan informasi yang sangat penting bagi perusahaan, mengirim surat cabul kepada klien perusahaan, dll. Jelas, kerusakan dalam hal ini kasus dapat bervariasi dari iklim kerja yang rusak hingga kerugian langsung jutaan dolar. Kekhawatiran bisnis tentang keamanan TI internal dan perlindungan aset informasi mereka terus-menerus dikonfirmasi oleh penelitian dari organisasi terkemuka. Menurut Survei Kejahatan Komputer FBI 2005 yang diterbitkan pada Januari 2006, 44% perusahaan AS terpengaruh sepanjang tahun sebagai akibat dari insiden serius yang terjadi dalam keamanan TI internal, sementara orang dalam mencuri dokumen rahasia perusahaan, mencoba mengubah informasi untuk tujuan penipuan keuangan, mengambil dari peralatan kantor, dll. Saat ini, ada beberapa teknologi deteksi utama yang mendasari di pasar untuk sistem yang dirancang untuk melindungi informasi rahasia dari kebocoran (DLP), termasuk analisis linguistik dan kontekstual, serta sidik jari dan tag digital. Banyak karyawan organisasi komersial yang akrab dengan manifestasi kontrol perusahaan seperti penyadapan telepon kantor. Biasanya ini dilakukan oleh petugas keamanan dari organisasi besar dan menengah atas nama manajemen, dan penyadapan dapat dilakukan secara terbuka dan terselubung. Bagaimana menentukan mana dari karyawan organisasi dan mereka yang memasuki pekerjaan yang menyebabkan atau dapat menyebabkan kerusakan pada kepentingannya? Bagaimana mengidentifikasi calon pecandu alkohol, orang yang cenderung mencuri dan mereka yang tidak akan pernah produktif di tempat kerja? Lagi pula, mereka semua bisa menjadi karyawan perusahaan Anda. Melakukannya dengan benar bukanlah tugas yang mudah. Artikel ini menceritakan tentang peran faktor manusia dalam memastikan keamanan organisasi, beberapa potensi sumber risiko personel dan langkah-langkah untuk melindungi organisasi dari mereka. Melindungi informasi perusahaan dari ancaman internal dalam beberapa tahun terakhir telah berkembang dari tren modis untuk perusahaan terpilih menjadi arah keamanan informasi yang sepenuhnya independen. Manajer puncak secara bertahap mulai mempertimbangkan kembali sikap mereka terhadap pembiayaan dan mempertimbangkan untuk melindungi data dari ancaman internal tidak hanya sebagai sumber pengeluaran, tetapi juga sebagai keunggulan kompetitif bagi perusahaan. Banyak organisasi memiliki tim dan departemen khusus untuk melindungi rahasia dagang, data pribadi, dan informasi rahasia lainnya. Nilai informasi sebagai salah satu komponen bisnis apa pun tidak dapat ditaksir terlalu tinggi: menurut para ahli, hilangnya hanya seperempat informasi yang diklasifikasikan sebagai rahasia dagang suatu organisasi dalam beberapa bulan menyebabkan kebangkrutan setengahnya. organisasi yang membocorkan informasi tersebut. Dalam teknologi informasi, lebih dari di mana pun, kesuksesan perusahaan sering kali sepenuhnya didasarkan pada pengetahuan yang baik, langkah teknologi, strategi pemasaran, atau bahkan hanya ide orisinal. Selain itu, informasi paling berharga tentang keputusan, gerakan, dan gagasan ini ada di benak karyawan perusahaan. Orang tidak bisa tidak setuju bahwa repositori jauh dari yang paling dapat diandalkan dalam hal melindungi informasi rahasia dari akses yang tidak sah atau tidak diinginkan oleh pihak ketiga, atau dari penggunaan yang tidak adil oleh karyawan itu sendiri, misalnya, untuk menciptakan pengembangan kompetitifnya sendiri. Di bawah ini kita akan berbicara tentang bagaimana majikan dapat mengontrol penyebaran informasi penting secara komersial di dalam dan di luar perusahaan, bagaimana hak-hak karyawan dapat dihormati dan kompensasi apa yang harus dia terima untuk pembatasan yang diketahui atas hak-hak ini. Dan juga bagaimana karyawan bertanggung jawab untuk mengungkapkan informasi rahasia majikannya. "Biarkan cangkir ini berlalu dariku!" Mengusir pikiran yang paling tidak menyenangkan dari diri kita sendiri, kita mengucapkan mantra rahasia ini di berbagai momen dalam hidup kita. Baik itu perjalanan ke pasar pakaian yang dipenuhi pencopet atau pulang terlambat. Kami tidak merasa aman, bahkan terkadang di apartemen kami sendiri. Laporan polisi mengingatkan pada kronik permusuhan. Menurut statistik, setiap 3,5 menit di Rusia ada perampokan. Biasanya tidak mungkin untuk mendeteksi penyusup. Tapi bisakah gangguan seperti itu dicegah? Spesialis dari perusahaan Promet, pemasok dan produsen terkemuka brankas domestik dan furnitur logam, menjawab pertanyaan ini dengan pasti: brankas akan menjadi perlindungan yang andal untuk tabungan Anda. Baru-baru ini, masalah perlindungan terhadap ancaman internal telah menjadi tantangan nyata bagi dunia keamanan informasi perusahaan yang jelas dan mapan. Pers berbicara tentang orang dalam, peneliti dan analis memperingatkan kemungkinan kerugian dan masalah, dan umpan berita penuh dengan laporan insiden lain yang menyebabkan kebocoran ratusan ribu catatan pelanggan karena kesalahan atau kurangnya perhatian karyawan. Mari kita coba mencari tahu apakah masalah ini begitu serius, apakah perlu ditangani, dan alat serta teknologi apa yang tersedia untuk menyelesaikannya. Sekarang semakin banyak organisasi yang menggunakan solusi kelas DLP (Pencegahan Kehilangan Data) untuk melindungi informasi perusahaan dari kebocoran. Sebelum menerapkan DLP, setiap perusahaan menilai risiko dan membuat model ancaman yang menjelaskan kelas informasi yang dilindungi, skenario penggunaan data, dan ancaman terkait. Dalam kebanyakan kasus, drive eksternal, printer, surat perusahaan, dan berbagai layanan web dikenali sebagai saluran kebocoran data potensial, dan hanya sedikit orang yang berpikir untuk melindungi data yang direkam pada pita magnetik atau media cadangan lainnya, yang, sebagai hasilnya, disimpan dan diangkut dalam bentuk yang tidak terlindungi. Mempelajari keamanan informasi perusahaan dan efektivitas langkah-langkah untuk memastikannya, yang saat ini sedang diimplementasikan dalam sistem informasi perusahaan (CIS) bank, seseorang tanpa sadar menarik perhatian pada survei yang dilakukan pada tahun 2011 oleh Sailpoint Technologies, dalam aspek yang agak berbeda dari definisi "perlindungan komputer dari akses tidak sah" dan "akses tidak sah ke informasi komputer" (UAC) - analis menilai loyalitas karyawan perusahaan terhadap etika perusahaan dalam hal bekerja dengan informasi terbatas. Saat ini, ancaman orang dalam merupakan masalah mendesak bagi layanan keamanan perusahaan. Organisasi memberi karyawan sementara dan permanen mereka akses ke informasi penting, yang merupakan ancaman serius bagi keamanan organisasi. Lebih mudah bagi personel perusahaan untuk mencuri atau menyalahgunakan informasi yang ada daripada orang lain, karena mereka memiliki akses langsung ke aset informasi organisasi. Menurut sebuah studi oleh Trustwave, 80% insiden keamanan informasi diakibatkan oleh penggunaan kata sandi yang lemah. Orang dalam telah menjadi penyebab utama insiden baru-baru ini di Departemen Kesehatan AS di Utah dan Carolina Selatan. Penggunaan otentikasi kata sandi di IS perusahaan dan organisasi menjadi usang. Dengan terus menerapkan teknik akses tradisional ini ke sumber informasi mereka sendiri, perusahaan sebenarnya membahayakan profitabilitas dan, mungkin, keberadaan perusahaan itu sendiri. Suatu hari, hampir semua organisasi mulai memahami bahwa mereka membutuhkan perlindungan informasi perusahaan yang andal. Salah satu cara paling efektif untuk melindungi data Anda adalah dengan memasang sistem DLP di perusahaan Anda. Dalam kebanyakan kasus, organisasi memotivasi keputusannya dengan fakta bahwa sistem ini secara andal melindungi informasi rahasia dan memungkinkan mereka untuk mematuhi persyaratan otoritas pengatur. Berapa banyak salinan telah rusak dalam perdebatan tentang apakah orang dalam menimbulkan ancaman nyata bagi bisnis atau tidak. Sektor perbankan, yang terdepan dalam teknologi modern, selalu menjadi salah satu yang pertama menguji inovasi terbaru di dunia TI dan di bidang keamanan informasi pada khususnya. Otentikasi dua faktor, sistem biometrik, dan lainnya. Semua ini telah bergema di mana orang-orang praktis lebih memilih untuk menyimpan tabungan mereka. Tetapi mentalitas Slavia kita diatur sedemikian rupa sehingga "sampai guntur pecah." Dan menurut ini, mari kita hilangkan mitos utama yang masih ditemukan di dunia perbankan. Selama beberapa tahun terakhir, operator "Tiga Besar" telah dua kali dipermalukan dengan pesan SMS. Untuk pertama kalinya, Yandex "membantu" dan, pada prinsipnya, kebocoran dapat diklasifikasikan sebagai kebocoran "lalai". Tapi kali ini... Dinas Keamanan Federal mengumumkan bahwa sekelompok penyusup telah ditemukan yang telah menerima arsip korespondensi SMS dari tiga pejabat tinggi Moskow dari karyawan MTS dan VimpelCom, setelah itu VimpelCom mengkonfirmasi fakta kebocoran informasi, dan MTS, sebaliknya, membantah. Mari kita serahkan pencarian pelaku ke penyelidikan dan perhatikan materi kasusnya: karyawan tak dikenal dari pusat teknis operator seluler mentransfer informasi rahasia ke pihak ketiga. Berbicara dalam bahasa "pengamanan", ada tindakan orang dalam. Pencegahan kebocoran informasi, akses tidak sah adalah salah satu tugas terpenting dari layanan keamanan informasi organisasi mana pun. Jika ada informasi rahasia (negara, rahasia komersial, data pribadi), maka ada masalah perlindungannya dari pencurian, penghapusan, modifikasi, penayangan. Dengan pertumbuhan perusahaan, risiko pencurian informasi, termasuk oleh karyawan, meningkat, risiko keuangan dan reputasi meningkat, yang mengarah pada pengetatan kebijakan dan sistem kontrol. Saat ini, informasi sangat berharga. Kepemilikan itu memberikan peluang luar biasa dalam bisnis, ekonomi, politik, dan bidang lainnya. Tidak heran mereka mengatakan siapa yang memiliki informasi, dia memiliki dunia, dan siapa yang memiliki informasi orang lain, dia jauh lebih siap untuk bersaing daripada para pesaingnya. Ada banyak format file berbeda yang menyimpan informasi teks, termasuk TXT, RTF, DOC, DOCX, HTML, PDF, dan banyak lagi. dll. Namun, tidak ada satu perusahaan pun, baik di negara kita maupun di seluruh dunia, yang menawarkan perlindungan untuk dokumentasi XML. Mari kita lihat lebih dekat apa itu file XML, mengapa mereka perlu dilindungi, dan bagaimana perlindungan untuk format ini pertama kali dibuat.

Dengan keberadaan semua jenis drive yang dapat dilepas, masalah orang dalam, yang sebelumnya cukup relevan, telah memperoleh skala yang benar-benar global. Dan sama sekali tidak ada yang mengejutkan dalam hal ini. Saat ini, setiap karyawan yang memiliki akses ke informasi rahasia dapat dengan mudah dan, yang terpenting, secara diam-diam menyalinnya ke diri mereka sendiri dan menggunakannya di masa mendatang untuk berbagai tujuan. Dan bagus juga jika di balik ini ada keinginan untuk sekedar bekerja dengan kontrak di rumah. Meskipun, tindakan seperti itu, terlepas dari niat penyusup, masih secara dramatis meningkatkan risiko kompromi data (komputer rumahan biasanya kurang terlindungi, orang yang berbeda dapat duduk di atasnya, dan drive dapat hilang). Tetapi bagaimanapun juga, seorang karyawan dapat menyalin informasi untuk mentransfernya ke pesaing atau menggunakannya untuk tujuan pribadi mereka sendiri. Contoh paling sederhana dan paling jelas dari ini adalah menyalin basis pelanggan (atau kontrak dengan mereka) sebelum pergi untuk memikat mereka ke perusahaan lain.

Masalah utama adalah tidak mungkin untuk melindungi diri Anda dari metode mencuri informasi ini menggunakan cara standar, yaitu alat yang dibangun ke dalam sistem operasi. Ambil, setidaknya, USB flash drive. Mereka kecil, murah dan sangat luas. Dengan bantuan mereka, karyawan dapat secara diam-diam "mengambil" gigabyte informasi dari sistem informasi perusahaan. Namun, Anda tidak bisa begitu saja menonaktifkan port USB pada workstation - hari ini port tersebut diperlukan untuk menghubungkan banyak perangkat: printer, keyboard, mouse, kunci perangkat lunak, dll. Selain itu, kita tidak boleh melupakan opsi lain untuk mencuri informasi, misalnya, menggunakan CD / DVD, ponsel, dll. Bahkan printer biasa pun bisa menjadi ancaman. Bagaimanapun, karyawan memiliki kesempatan untuk mencetak informasi rahasia dan membawa pulang hasil cetakannya. Namun, tidak mungkin untuk mematikannya juga, karena biasanya semua perangkat ini diperlukan bagi karyawan untuk melakukan tugas resmi mereka.

Satu-satunya cara untuk melindungi perusahaan dari pencurian informasi rahasia melalui berbagai drive yang dapat dilepas adalah dengan menerapkan sistem untuk membatasi dan mengontrol penggunaannya. Ini diimplementasikan menggunakan perangkat lunak khusus. Untuk beberapa alasan, banyak perusahaan percaya bahwa produk semacam itu sangat kompleks, dan beberapa kualifikasi khusus diperlukan untuk menerapkan dan memeliharanya. Namun, ini sama sekali tidak terjadi. Sistem untuk membatasi hak akses ke perangkat eksternal dan internal komputer sangat sederhana sehingga tidak hanya administrator yang memenuhi syarat, tetapi bahkan pengguna PC yang berpengalaman pun dapat menanganinya. Dan sebagai konfirmasi dari kata-kata ini, hari ini kita akan mempertimbangkan contoh pengenalan produk Zlock dari SecurIT ke dalam IS perusahaan. Perlu dicatat bahwa itu tidak dapat melindungi dari kebocoran informasi rahasia melalui Internet (misalnya, melalui email melalui ICQ, dll.), Ini memerlukan produk lain dengan prinsip operasi yang sama sekali berbeda (misalnya, Zgate dari yang sama pengembang). Tetapi Zlock berhasil mengatasi tugas mengendalikan semua jenis drive dan printer yang dapat dilepas.

Struktur Zlock

Sebelum memulai percakapan tentang prosedur pemasangan sistem yang dimaksud, perlu dipahami strukturnya. Zlock terdiri dari lima bagian.

· Konsol Manajemen. Program yang memungkinkan administrator untuk melakukan manajemen sistem penuh, termasuk instalasinya di stasiun kerja, mengubah kebijakan akses, bekerja dengan server log dan konfigurasi, dll.

· Modul klien. Utilitas yang diinstal pada workstation. Dialah yang mengontrol dan memblokir akses sesuai dengan kebijakan yang ditentukan. Selain itu, modul klien berinteraksi dengan server log, memeriksa integritas Zlock, dll.

· Server Log. Sebuah sistem untuk menerima, menyimpan dan memproses informasi tentang peristiwa yang dikirimkan oleh modul klien. Menyediakan akses administrator yang nyaman ke semua data.

· Server Konfigurasi. Sistem manajemen konfigurasi terpusat Zlock.

· Modul Konfigurasi Zlock melalui Kebijakan Grup. Modul untuk menginstal dan memperbarui sistem melalui kebijakan grup.

Pertama-tama, Anda perlu mencari tahu di mana modul mana yang diinstal. Jelas bahwa konsol manajemen harus dipasang di komputer administrator atau karyawan yang bertanggung jawab atas keamanan informasi perusahaan. Proses ini tidak berbeda dengan menginstal perangkat lunak lain, dan oleh karena itu kami tidak akan membahasnya secara rinci.

Server log dan server konfigurasi, pada prinsipnya, tidak diperlukan agar sistem dapat bekerja. Zlock dapat berhasil mengatasi tugas yang diberikan padanya dan tanpanya. Namun, server log sangat berguna untuk melihat acara di semua workstation sekaligus. Nah, konfigurasi server sangat diperlukan dalam jaringan perusahaan besar. Dengannya, Anda dapat dengan mudah mengelola pengaturan modul klien di sejumlah besar workstation. Mereka diinstal lagi seperti perangkat lunak biasa. Prosedur ini dilakukan secara lokal dari paket distribusi yang disertakan dengan Zlock.

Tahap akhir dari instalasi sistem yang dimaksud adalah instalasi modul client pada semua komputer yang memerlukan monitoring. Ini dapat dilakukan dengan dua cara (untuk alasan yang jelas, kami tidak mempertimbangkan opsi dengan instalasi manual). Yang pertama melibatkan penggunaan konsol manajemen. Setelah diluncurkan, beberapa grup terletak di panel kiri jendela utama. Anda perlu menemukan di antara mereka dan membuka pohon "Komputer dan Aplikasi", dan kemudian membuka cabang "Tidak Ada Aplikasi". Ini akan memberikan daftar lengkap komputer yang termasuk dalam jaringan lokal yang tidak menginstal sistem Zlock.

Untuk memulai prosedur instalasi bagian klien, administrator harus memilih komputer atau komputer tujuan (termasuk seluruh domain) dan mengklik tombol "Instal atau perbarui Zlock ..." yang terletak di bilah alat. Di jendela yang terbuka, Anda harus menentukan folder dengan paket distribusi program (opsi terbaik adalah folder jaringan yang dapat diakses oleh semua pengguna), dan juga memilih opsi instalasi. Ada tiga di antaranya: dengan reboot komputer secara manual atau paksa, serta tanpa reboot. Perlu dicatat bahwa opsi terakhir yang paling nyaman tidak dapat digunakan untuk memperbarui bagian klien yang diinstal sebelumnya. Kesimpulannya, tetap hanya memilih PC tempat instalasi akan dilakukan (mungkin Anda tidak ingin menginstal Zlock di semua komputer di jaringan), dan juga menentukan pengguna dengan hak administrator lokal. Selain itu, program, jika tidak memiliki otoritas, dapat meminta input data dari pengguna lain.

Pilihan lain untuk menerapkan sistem perlindungan pada workstation perusahaan adalah dengan menggunakan kebijakan grup. Untuk melakukan ini, Zlock hadir dengan paket instalasi khusus. Prosedur instalasi itu sendiri sudah tidak asing lagi bagi hampir semua administrator sistem. Pertama-tama, Anda perlu membuat folder jaringan, salin file Zlock30 ke dalamnya. msi dan Zlockmsi. ini dan membuatnya dapat diakses oleh semua pengguna domain. Jika Anda sudah memiliki file konfigurasi, maka Anda dapat meletakkannya di direktori yang sama. Dalam hal ini, itu akan diterapkan secara otomatis ke semua modul klien yang diinstal. Jika tidak ada file seperti itu, sistem akan menerapkan kebijakan default, yang perlu dikonfigurasi di masa mendatang.

Setelah itu, di properti domain perusahaan (diakses melalui konsol Active Directory), Anda harus membuka tab "Kebijakan Grup" dan membuat kebijakan baru. Di jendela kebijakan ini, Anda perlu memperluas pohon "Konfigurasi Komputer", pilih item "Instal Perangkat Lunak" dan buat paket baru, di properti yang Anda tentukan jalur jaringan ke file Zlock30. msi. Akibatnya, instalasi sistem Zlock dilakukan menggunakan alat OS standar.

Mengonfigurasi Kebijakan Akses

Mungkin operasi terpenting dalam proses penerapan sistem keamanan Zlock adalah menyiapkan kebijakan akses. Mereka menentukan kemampuan semua pengguna untuk bekerja dengan perangkat tertentu. Setiap kebijakan memiliki tiga bagian. Yang pertama adalah daftar perangkat atau grupnya, yang masing-masing memiliki hak akses untuk pengguna yang berbeda. Bagian kedua dari kebijakan ini adalah pengaturan untuk menyalin file bayangan yang disalin ke berbagai drive. Nah, bagian ketiga menentukan pengaturan untuk menyalin dokumen bayangan yang dicetak pada printer. Selain itu, setiap polis memiliki sejumlah properti tambahan, yang akan kita bahas di bawah ini.

Prinsip pengoperasian kebijakan tersebut adalah sebagai berikut. Setiap workstation memiliki satu atau lebih kebijakan yang ditetapkan oleh administrator. Setelah terjadinya peristiwa apa pun yang dikendalikan oleh sistem perlindungan (menghubungkan perangkat, mencoba menyalin file ke drive yang dapat dilepas, mencetak dokumen, dll.), modul klien memeriksa kepatuhannya terhadap semua kebijakan secara bergantian (urutan adalah ditetapkan oleh sistem prioritas) dan menerapkan yang pertama yang cocok. Artinya, Zlock tidak memiliki sistem pengecualian yang biasa. Jika Anda, misalnya, perlu memblokir semua flash drive USB kecuali satu flash drive tertentu, Anda perlu menggunakan dua kebijakan. Yang pertama dengan prioritas rendah menonaktifkan penggunaan drive yang dapat dilepas. Dan yang kedua, dengan yang lebih tinggi, memungkinkan penggunaan instance tertentu. Selain yang dibuat oleh administrator, ada juga kebijakan default. Ini mendefinisikan hak akses ke perangkat yang tidak dijelaskan dalam kebijakan lain.

Nah, sekarang mari kita lihat prosedur pembuatan kebijakan. Untuk meluncurkannya, Anda harus memilih workstation yang diinginkan di pohon konsol manajemen dan membuat koneksi ke sana. Setelah itu, pilih item "Tambah" di menu "Kebijakan". Jendela yang dihasilkan terdiri dari lima tab. Yang pertama disebut "Akses". Ini menentukan nama kebijakan yang dibuat, prioritasnya, dan hak akses ke perangkat. Empat opsi tersedia di sini: akses penuh untuk semua pengguna, akses hanya baca untuk semua pengguna, tolak akses ke perangkat untuk semua pengguna, dan hak akses perangkat individual untuk pengguna dan grup. Tujuan dari tiga yang pertama jelas dari nama mereka. Tetapi opsi terakhir perlu diperhatikan secara terpisah. Dengan itu, Anda dapat mengatur hak yang berbeda untuk pengguna individu, yang sangat nyaman, karena seringkali karyawan yang berbeda dapat bekerja di komputer yang sama. Untuk memasukkan hak akses, klik tombol "Edit" dan tambahkan akun yang diperlukan (komputer atau domain lokal) di jendela yang terbuka, tentukan izin untuk masing-masing akun tersebut.

Setelah memasukkan pengaturan dasar, Anda harus menentukan daftar perangkat dan grup yang akan dicakup oleh kebijakan. Untuk melakukan ini, gunakan tab "Perangkat". Ada empat cara untuk memasukkan equipment ke dalam Zlock.

· Perangkat tipikal. Opsi ini melibatkan pemilihan semua perangkat dari jenis tertentu, misalnya, semua drive yang dapat dilepas, drive CD / DVD, hard drive, dll.

· Perangkat USB dengan karakteristik tertentu. Memungkinkan Anda menentukan perangkat USB menurut jenis, pabrikan, nama produk, nomor seri perangkat, dan lainnya.

· Printer. Digunakan untuk memasukkan printer lokal atau jaringan tertentu.

Dengan menggunakan metode ini, Anda dapat membuat daftar perangkat yang sangat tepat dan fleksibel. Patut dicatat bahwa Anda tidak hanya dapat memilih peralatan yang terhubung ke PC saat ini, tetapi juga peralatan yang pernah digunakan di dalamnya (sangat penting untuk drive yang dapat dilepas). Selain itu, administrator dapat membuat apa yang disebut katalog perangkat. Ini adalah file yang mencantumkan semua perangkat yang terhubung ke komputer di jaringan perusahaan. Itu dapat dibuat secara manual dan otomatis dengan memindai semua stasiun kerja.

Pada prinsipnya, setelah itu kami sudah memiliki kebijakan yang berfungsi penuh. Namun, Zlock menyediakan sejumlah pengaturan tambahan yang memperluas fungsionalitas sistem perlindungan. Jadi, misalnya, jika kebijakan dibuat yang seharusnya tidak berlaku sepanjang waktu, maka perlu untuk mengatur jadwal operasinya. Ini dilakukan pada tab dengan nama yang sama. Di atasnya Anda dapat menentukan interval selama kebijakan tersebut berlaku. Administrator dapat memasukkan durasi kebijakan, waktu, hari dalam seminggu atau hari dalam sebulan yang akan aktif.

Jika komputer yang kebijakannya sedang dibuat dapat memutuskan sambungan dari jaringan perusahaan dan/atau menyambungkannya melalui Internet, maka Anda dapat menentukan pengaturan khusus untuknya. Untuk melakukan ini, buka tab "Aturan Aplikasi". Ini mencantumkan tiga poin kemungkinan status PC relatif terhadap domain perusahaan: domain tersedia secara lokal, domain tersedia melalui VPN, domain tidak tersedia. Untuk menonaktifkan tindakan kebijakan untuk salah satu dari mereka, cukup nonaktifkan kotak centang yang sesuai. Misalnya, jika Anda ingin membuat tidak mungkin untuk mencetak sesuatu dari komputer yang terputus dari jaringan perusahaan, cukup dengan membuat kebijakan yang melarang penggunaan printer dan mengaktifkan "Domain tidak tersedia" dan "Domain dapat diakses melalui VPN" item dalam aturan aplikasi.

Setelah membuat satu atau beberapa kebijakan di salah satu komputer, Anda dapat dengan cepat mendistribusikannya ke PC lain. Untuk melakukan ini, Anda perlu membuat koneksi dengan semua stasiun yang diperlukan di konsol manajemen dan memilih item "Sebarkan konfigurasi" di menu "Layanan". Di jendela yang terbuka, centang kotak untuk kebijakan dan komputer yang diperlukan, aktifkan kotak centang "Propagasi kebijakan latar belakang", dan pilih tindakan yang harus dilakukan aplikasi saat mendeteksi kebijakan dengan nama yang cocok (tanyakan apakah akan menimpa atau tidak menimpa) . Setelah itu, klik tombol "OK" dan tunggu prosesnya selesai.

Kebijakan apa pun dapat diubah di masa mendatang. Untuk melakukan ini, cukup sambungkan ke komputer tempat ia awalnya dibuat, temukan di "pohon" dan klik dua kali dengan mouse. Ini akan membuka jendela yang sudah familiar dari prosedur untuk membuat kebijakan, di mana Anda dapat mengubah parameter tertentu. Harap dicatat bahwa jika kebijakan yang Anda edit pernah didistribusikan ke komputer lain, maka sebelum mengubahnya, Anda harus terlebih dahulu membuat koneksi dengan semua PC tersebut. Dalam hal ini, saat menyimpan perubahan, program Zlock sendiri akan menawarkan untuk menyinkronkan kebijakan lama dengan yang baru. Kebijakan dihapus dengan cara yang sama.

Menyiapkan pencatatan dan penyalinan bayangan

Zlock memiliki sistem logging. Berkat itu, administrator atau orang lain yang bertanggung jawab atas keamanan informasi dapat melihat dan menganalisis semua peristiwa yang dipantau. Untuk mengaktifkannya, pilih item "Pengaturan" di menu "Alat" dan buka tab "Penjurnalan" di jendela yang terbuka. Ini mencantumkan semua kemungkinan peristiwa (menolak penulisan ke perangkat, mengubah akses jaringan, mengubah konfigurasi, menerapkan kebijakan akses, dll.), serta statusnya dalam hal pencatatan.

Untuk mengaktifkan pencatatan untuk satu atau beberapa peristiwa, klik tanda plus dan pilih opsi pencatatan: menulis ke file (Log Peristiwa sistem atau file arbitrer dalam format TXT atau XML), ke database di server SQL atau server log , mengirim surat melalui email.

Setelah itu, di jendela yang terbuka, Anda perlu mengonfigurasi parameter log (mereka bergantung pada opsi yang dipilih: nama file, parameter akses basis data, dll.), tandai peristiwa yang diperlukan dan klik tombol "OK".

Logging operasi file dikonfigurasi secara terpisah. Mereka berarti tindakan seperti membuat, memodifikasi dan mengedit file, membuat dan menghapus direktori, dll. Jelas bahwa log tersebut masuk akal hanya saat menggunakan drive yang dapat dilepas. Oleh karena itu, jenis logging ini terkait dengan kebijakan akses. Untuk mengonfigurasinya, pilih "Operasi File" dari menu "Alat" di konsol manajemen. Di jendela yang terbuka, pertama-tama, Anda harus memilih kebijakan yang akan dilakukan logging. Masuk akal untuk memilih yang mengontrol penggunaan drive yang dapat dilepas: perangkat USB, drive CD / DVD, dll. Setelah itu, Anda harus memasukkan tindakan yang akan dilakukan sistem ketika operasi file terdeteksi. Untuk menambahkan masing-masing, Anda perlu mengklik "plus" dan memilih opsi yang diinginkan. Tiga tindakan terkait dengan pencatatan - menulis informasi acara ke file, ke database, atau mengirim pesan email. Opsi terakhir adalah menjalankan program atau skrip yang ditentukan.

Selanjutnya, Anda dapat melanjutkan ke pengaturan penyalinan bayangan. Ini adalah fungsi yang sangat penting dari sistem Zlock, yang tidak boleh diabaikan. Ini menyediakan duplikasi file yang disalin atau dicetak ke penyimpanan khusus, tidak terlihat oleh pengguna. Penyalinan bayangan diperlukan ketika karyawan perlu menggunakan printer atau drive yang dapat dilepas untuk melakukan tugas profesional mereka. Dalam kasus seperti itu, hampir tidak mungkin untuk mencegah kebocoran informasi dengan cara teknis. Tetapi penyalinan bayangan akan memungkinkan Anda untuk meresponsnya dengan cepat dan menghentikan insiden di masa mendatang.

Untuk mengatur parameter penyalinan bayangan, pilih item dengan nama yang sama di menu "Alat". Pertama-tama, Anda dapat mengatur penyimpanan lokal. Untuk melakukan ini, Anda perlu menentukan folder tempat file akan disimpan, masukkan jumlah yang tersedia (dalam megabita atau persentase ruang kosong pada hard disk), dan juga pilih tindakan jika terjadi overflow (timpa file dalam penyimpanan , melarang atau mengizinkan penyalinan dan pencetakan).

Jika perlu, Anda dapat mengonfigurasi penyalinan bayangan ke penyimpanan jaringan. Untuk melakukan ini, buka tab "Salin ke server" dan aktifkan kotak centang "Kirim informasi tentang penyalinan bayangan dan file ke server". Jika transfer harus dilakukan segera, maka Anda harus memilih opsi "Transfer file sesegera mungkin". Pilihan lain juga dimungkinkan - sistem akan menyalin file pada frekuensi tertentu. Setelah itu, Anda perlu memilih folder jaringan tempat file akan ditulis. Perhatikan bahwa masuk akal untuk memilih direktori yang hanya dapat diakses oleh administrator. Jika tidak, karyawan akan dapat memasukkannya dan menghapus atau setidaknya melihat file yang disimpan. Saat memilih folder seperti itu, Anda harus memasukkan nama pengguna dan kata sandi pengguna yang memiliki wewenang untuk menulis informasi ke dalamnya.

Nah, di akhir pengaturan, tetap pergi ke tab "Kebijakan" dan tentukan kebijakan di mana penyalinan bayangan akan berfungsi.

Sistem Izin Sementara

Pada prinsipnya, kami, para pembaca yang budiman, telah menganalisis proses implementasi Zlock. Setelah selesai, sistem perlindungan orang dalam akan bekerja, membantu perusahaan menghindari kebocoran informasi komersial dan pribadi. Namun, Zlock memiliki fitur lain yang sangat menarik yang membuat hidup lebih mudah bagi administrator. Kita berbicara tentang sistem untuk mengeluarkan izin sementara untuk penggunaan perangkat tertentu.

Mengapa Anda ingin fokus pada momen khusus ini? Semuanya sangat sederhana. Praktek menunjukkan bahwa cukup sering situasi muncul ketika salah satu karyawan perlu menggunakan perangkat yang biasanya dilarang untuk mereka. Selain itu, kebutuhan seperti itu mungkin muncul secara mendesak. Akibatnya terjadi kepanikan, segera dicari administrator, yang harus mengubah kebijakan akses dan, yang terpenting, jangan lupa untuk mengembalikannya nanti. Tentu saja, ini sangat tidak nyaman. Jauh lebih baik menggunakan sistem izin sementara.

Untuk menggunakannya, Anda harus membuat sertifikat administrator terlebih dahulu. Untuk melakukan ini, di menu "Alat", pilih item "Sertifikat ...", dan di jendela yang terbuka, klik tombol "Ubah sertifikat". Setelah itu, di wizard, pilih tombol radio "Buat sertifikat baru" dan masukkan namanya. Kemudian tetap terhubung ke komputer jarak jauh, pilih item "Pengaturan" di menu "Alat", buka tab "Umum" di jendela yang terbuka dan klik tombol "Instal".

Di Zlock, izin sementara dapat digunakan dengan dua cara - melalui email dan telepon. Dalam kasus pertama, permintaan dibuat sebagai berikut. Pengguna harus mengklik kanan ikon Zlock di baki sistem dan memilih "Buat Kueri" dari menu tarik-turun. Di jendela yang terbuka, ia perlu memilih perangkat yang diinginkan dan hak akses (akses baca-saja atau penuh), masukkan alamat administrator dan, jika perlu, komentar singkat. Dalam hal ini, surat dengan file permintaan yang dilampirkan akan dibuat di klien email yang diinstal di sistem secara default. Setelah menerimanya, administrator harus mengklik dua kali dengan mouse. Ini akan membuka jendela dengan informasi tentang permintaan. Jika administrator setuju untuk memprosesnya, maka dia perlu mengklik tombol "Next". Ini akan membuka jendela untuk membuat kebijakan baru, di mana perangkat yang diperlukan telah dimasukkan. Administrator hanya perlu mengatur jadwal untuk kebijakan ini. Itu bisa permanen atau satu kali. Dalam kasus kedua, kebijakan hanya akan berlaku hingga pengguna mengakhiri sesi Windows atau hingga perangkat dihapus (tergantung pada pilihan administrator). Kebijakan ini dapat dikirim ke komputer karyawan dengan cara biasa, atau melalui file khusus melalui email (akan dilindungi dengan sertifikat administrator). Setelah menerimanya, pengguna hanya perlu menjalankannya, setelah itu ia akan memiliki akses ke perangkat yang diinginkan.

Sistem izin telepon bekerja dengan cara yang sama. Pertama, pengguna harus membuat permintaan. Prosedur ini hampir identik dengan yang kita bahas di atas. Hanya pada tahap terakhir, bukan email yang terbentuk, melainkan kode khusus yang terdiri dari lima blok angka dan huruf. Karyawan harus memanggil administrator dan mendiktekan set karakter ini kepadanya. Administrator harus memasukkan kode ini di jendela khusus (disebut menggunakan item "Permintaan proses" dari menu "Kebijakan"). Ini akan menampilkan informasi rinci tentang permintaan. Selanjutnya, administrator dapat membuat kebijakan dengan cara yang sudah kita kenal. Satu-satunya perbedaan adalah bahwa pada tahap terakhir sistem akan menghasilkan kode lain. Administratornya harus mendikte seorang karyawan yang, dengan memasukkannya ke dalam bidang khusus, dapat mengaktifkan akses ke perangkat.

Menyimpulkan

Jadi, seperti yang bisa kita lihat, prosedur pengoperasian sistem perlindungan orang dalam pada prinsipnya tidak rumit. Untuk melakukannya, Anda tidak perlu memiliki keahlian khusus. Setiap administrator sistem dengan pengetahuan dasar tentang teknologi jaringan dapat mengatasinya. Namun, perlu dicatat bahwa efektivitas perlindungan sepenuhnya tergantung pada seberapa kompeten dan sepenuhnya kebijakan akses dibuat. Pada saat inilah perlu didekati dengan sangat serius dan karyawan yang bertanggung jawab harus melakukan pekerjaan ini.

Zlock: Kontrol akses ke perangkat USB

Menguji Zlock

Keuntungan utama yang diharapkan dari sistem, bersama dengan karakteristik fungsional utama, adalah kemudahan implementasi dan intuisi langkah-langkah untuk menyiapkan dan mengonfigurasinya.

Gambar 1. Kebijakan akses default

Setelah itu, Anda perlu memikirkan kebijakan akses untuk layanan Zlock itu sendiri, yang juga akan didistribusikan selama instalasi ke situs klien. Edit kebijakan akses untuk pengaturan bagian klien aplikasi, mengizinkan atau melarang pengguna melihat ikon dan menerima peringatan tentang mengubah kebijakan akses. Di satu sisi, peringatan ini nyaman, karena dengan mengirimkan permintaan akses ke administrator, pengguna akan diberi tahu jika kebijakan yang diubah diterapkan ke workstation-nya. Di sisi lain, administrator sistem sering memilih untuk tidak memberikan konfirmasi visual yang tidak perlu tentang layanan perlindungan yang berjalan di workstation kepada pengguna.

Kemudian kebijakan yang dibuat (dalam hal ini, tetap lokal ke workstation konsol untuk saat ini) disimpan sebagai file bernama default. zcfg ke folder distribusi klien.

Semua. Ini melengkapi persiapan global sistem untuk instalasi massal. Produk mengesankan dengan kemudahan membuat kebijakan yang terkait dengan penggunaan prinsip standar menciptakan hak pengguna seperti ACL.

Untuk menginstal di semua komputer, pesan pop-up dikirim ke pengguna dengan permintaan untuk mengaktifkan semua workstation jaringan yang ada di sekitar, tetapi saat ini tidak digunakan. Setelah memilih semua workstation jaringan dari daftar komputer untuk dihubungkan (atau lebih tepatnya, memilih semua dan kemudian mengecualikan server), saya meluncurkan proses koneksi untuk instalasi lebih lanjut dari bagian klien. Koneksi ke komputer sebanyak itu (150), tentu saja memakan waktu yang relatif lama, karena dilakukan secara berurutan, dan jika komputer dimatikan, maka koneksi akan habis. Namun, prosedur hanya harus dilakukan selama instalasi awal, kebijakan lebih lanjut akan dikontrol berdasarkan kebutuhan pribadi pengguna. Ketika mencoba untuk "sekaligus" menginstal bagian klien di semua 150 komputer di jaringan lokal, saya mengalami masalah kecil di beberapa stasiun kerja, tetapi sistem diinstal secara otomatis di sebagian besar komputer. Hanya ada satu masalah dalam penginstalan - ketidakcocokan Zlock dengan versi lama dari driver perlindungan CD StarForce. Untuk interaksi yang benar, Anda perlu memperbarui driver StarForce dengan mengunduhnya dari situs web produsen. Ini juga dilakukan dari jarak jauh menggunakan layanan instalasi jarak jauh. Penjelasan alasan ketidakcocokan ini, menurut saya, memiliki hak untuk hidup - lagipula, Zlock berinteraksi dengan subsistem I / O pada tingkat yang lebih rendah daripada fungsi aplikasi OS - seperti halnya perlindungan salinan CD.

Setelah memilih stasiun kerja, Anda akan diminta untuk menentukan dari mana Anda ingin menjalankan distribusi penginstal. Fungsi inilah yang memungkinkan untuk menginstal program lain dengan cara ini tanpa meninggalkan tempat kerja. Berhati-hatilah saat memilih opsi penginstalan - "Dengan reboot" atau "Restart diperlukan". Jika Anda memilih "Dengan reboot" - setelah penginstalan selesai, stasiun kerja klien akan reboot secara otomatis tanpa meminta konfirmasi pengguna.

Ini menyelesaikan instalasi awal, dan setelah reboot, klien Zlock akan mulai menjalankan kebijakan keamanan yang ditentukan. Pada saat yang sama, ikon layanan Zlock muncul di baki, memberi pengguna kemampuan untuk membuat permintaan akses, serta mengedit kebijakan sendiri, jika, tentu saja, ini diizinkan oleh kebijakan default yang kami buat.

Berkomitmen untuk menyelesaikan privasi...

Setelah itu, sebenarnya, penyempurnaan sistem Zlock dimulai. Jika di perusahaan Anda karyawan sering perlu menyimpan sesuatu di media yang dapat dipindahkan, dan Anda ingin menjaga kebijakan keamanan pada tingkat yang paling ketat, maka koordinasikan jadwal kerja Anda sehingga Anda dapat berada di tempat kerja sesering mungkin dalam seminggu setelah instalasi. Untuk menjaga keketatan maksimum dari kebijakan akses, disarankan untuk membuat aturan untuk perangkat yang dapat dilepas tertentu, karena Zlock memungkinkan Anda untuk memberikan akses ke perangkat bahkan berdasarkan karakteristik lengkapnya, seperti merek, model, nomor seri, dll. Situasinya lebih rumit di perusahaan TI, karena karyawan terus-menerus harus menulis segala macam informasi ke cakram CD / DVD-R / RW. Dalam hal ini, kami dapat merekomendasikan penggunaan workstation khusus dengan drive perekaman, di mana kebijakan keamanan sistem akan membuat aturan yang tidak akan mengizinkan akses ke jaringan dari komputer ini. Namun, seluk-beluk seperti itu berada di luar cakupan artikel Zlock.

Bagaimana cara kerjanya dalam praktik?

Sekarang mari kita lihat bagaimana semuanya terlihat dalam aksi. Saya mengingatkan Anda bahwa kebijakan akses yang saya buat memungkinkan pengguna untuk membaca dari semua perangkat yang dapat dilepas dan melarang menulis kepada mereka. Seorang karyawan departemen layanan datang ke kantor untuk mengirimkan laporan dan membakar tugas ke disk. Ketika perangkat yang dapat dilepas terhubung, sistem membatasi akses dan mengeluarkan peringatan yang sesuai (lihat Gambar 2).

Gambar 2. Peringatan pembatasan akses

Karyawan tersebut membaca informasi yang dibawa darinya, setelah itu dia gagal mencoba menuliskan tugas yang diterima dari manajer. Jika perlu untuk mendapatkan akses, dia menghubungi administrator melalui telepon atau membuat permintaan otomatis menggunakan Applet Baki Zlock yang menunjukkan perangkat yang ingin dia akses, memberi nama akunnya dan memotivasi kebutuhan untuk akses tersebut.

Administrator, setelah menerima permintaan seperti itu, membuat keputusan untuk memberikan/tidak memberikan akses tersebut dan, jika keputusannya positif, mengubah kebijakan untuk workstation yang diberikan. Pada saat yang sama, permintaan yang dibuat berisi semua informasi tentang perangkat, termasuk pabrikan, model, nomor seri, dll., dan sistem Zlock memungkinkan Anda membuat kebijakan apa pun berdasarkan data ini. Jadi, kami mendapatkan kesempatan untuk memberikan akses tulis ke pengguna tertentu pada perangkat yang ditentukan, jika perlu, mencatat semua operasi file (lihat Gambar 3).

Gambar 3. Membuat kebijakan berdasarkan permintaan pengguna

Dengan demikian, proses pembuatan kebijakan permisif tambahan disederhanakan hingga batas bagi administrator dan bermuara pada prinsip Periksa&Klik, yang tidak diragukan lagi menyenangkan.

Masalah

Tidak dapat membuka port firewall untuk administrasi jarak jauh Zlock?

Untuk administrasi jarak jauh Zlock di firewall, cukup membuka satu port. Secara default, ini adalah port 1246, tetapi dapat diubah jika nomor ini tidak sesuai dengan alasan apa pun. Omong-omong, ini membedakan produk kami dari beberapa analog yang menggunakan layanan Remote Procedure Calls (RPC) untuk administrasi, yang secara default memerlukan pembukaan banyak port dan cukup rentan terhadap serangan eksternal. Seperti yang Anda ketahui, sebagian besar virus modern menggunakan kerentanan RPC untuk menyusup ke komputer dan mendapatkan hak administratif di dalamnya.

2) Masalah

Kami memiliki situasi berikut. Dua karyawan bekerja pada komputer yang sama di departemen yang sama. Setiap orang memiliki flashdisk. Tugasnya adalah membuat flash drive karyawan pertama dapat dibaca, tetapi flash drive karyawan kedua tidak. Masalah utama adalah flash drive ini memiliki nomor yang sama (VID_058F&PID_6387), flash drive Transcend 256Mb dan 1Gb. Tolong beritahu saya bagaimana untuk melanjutkan dalam situasi ini? Terima kasih banyak.

Nomor yang Anda bicarakan adalah ID Produk dan ID Vendor. Untuk membatasi akses ke perangkat dengan ID produk dan pabrikan yang sama, Anda harus menentukan nomor serinya dalam kebijakan Zlock. Perlu dicatat bahwa tidak semua produsen drive USB menetapkan nomor seri unik untuk produk mereka, biasanya produsen tanpa nama berdosa karena kurangnya nomor seri.

II. Ikhtisar SecurITZgate

Dalam ulasan ini, kami memulai cerita mendetail tentang SecurIT Zgate, solusi perusahaan yang dirancang untuk menganalisis lalu lintas Internet di tingkat gateway untuk mendeteksi dan memblokir upaya membocorkan data rahasia atau tindakan tidak sah karyawan lainnya.

pengantar

Menurut konsep perlindungan komprehensif terhadap ancaman internal yang dipromosikan oleh SecurIT, produk gateway Zgate SecurIT merupakan bagian penting dari sistem IPC. Konsep IPC mencakup DLP (Pencegahan Kehilangan Data) dan solusi perlindungan data di penyimpanan. Untuk pertama kalinya, kombinasi teknologi yang tampaknya berbeda diusulkan oleh analis IDC Brian Burk dalam laporan Survei Perlindungan dan Kontrol Informasi: Pencegahan Kehilangan Data dan Tren Enkripsi.

Dalam sistem IPC, daftar saluran standar untuk sistem DLP dikendalikan: e-mail, sumber daya Web (Web mail, jejaring sosial, blog), ICQ, perangkat USB, dan printer. Di IPC, enkripsi data ditambahkan ke kemampuan ini di server, pita magnetik, dan di titik akhir jaringan - di PC, laptop, dan drive seluler. Selain daftar saluran terkontrol dan media terenkripsi, IPC berbeda secara signifikan dalam rangkaian metode untuk mendeteksi data rahasia.

Dengan demikian, sistem SecurIT Zgate, yang memungkinkan Anda untuk mencegah kebocoran informasi rahasia melalui saluran jaringan, merupakan bagian penting, jika bukan kunci, dari satu sistem IPC. SecurIT Zgate menganalisis semua data yang dikirimkan oleh karyawan di luar jaringan informasi organisasi. SecurIT Zgate menggunakan teknologi deteksi otomatis modern yang secara akurat menentukan tingkat kerahasiaan informasi yang dikirimkan, dengan mempertimbangkan fitur bisnis dan persyaratan berbagai standar industri.

1. Persyaratan sistem

Persyaratan sistem minimum untuk solusi SecurIT Zgate ditunjukkan pada tabel di bawah ini.

2. Fitur utama SecurIT Zgate:

Memfilter lalu lintas masuk, keluar, dan internal.

Analisis konten pesan dan file yang dikirimkan menggunakan kombinasi metode kategorisasi otomatis.

Kompatibilitas dengan sistem email (MTA) apa pun yang berjalan pada protokol SMTP: Microsoft Exchange Server, IBM Lotus Domino, Kerio MailServer, Communigate Pro, Sendmail, Postfix, dll.

Bekerja dalam mode pemantauan pasif dengan salinan data yang dikirimkan atau dalam mode aktif memblokir insiden secara real time.

Kebijakan fleksibel untuk memeriksa, memblokir, dan mengarsipkan data dengan kemampuan untuk mengonfigurasi hingga 30 pengaturan.

Terapkan kebijakan berdasarkan waktu transmisi, arah lalu lintas, dan lokasi pengguna.

Alat yang mudah digunakan untuk mengelola kamus yang menjelaskan berbagai kategori dokumen.

Kemampuan untuk secara manual memindai pesan dan file yang mencurigakan.

Modifikasi pesan dan kemampuan untuk memberi tahu pengguna tentang hasil pemfilteran.

Integrasi dengan aplikasi pihak ketiga untuk pemrosesan tambahan oleh sistem antivirus dan anti-spam.

Kemampuan untuk memelihara arsip lengkap dari data yang ditransfer, termasuk file lampiran, di Microsoft SQL Server atau Oracle Database.

Arsitektur scalable dan modular untuk memenuhi persyaratan kinerja yang paling menuntut.

Instalasi dan manajemen melalui satu konsol untuk semua produk SECURIT.

Peluang luas untuk memisahkan peran administrator.

Dukungan untuk mengimpor informasi statistik ke berbagai perancang laporan, seperti Crystal Reports atau FastReport.

3. Menginstal SecurIT Zgate

Penting! Jika Anda berencana untuk menggunakan alat pemrosesan email SecurIT Zgate di dalam Microsoft Exchange 2007/2010, bagian server SecurIT Zgate harus diinstal di komputer yang sama tempat Microsoft Exchange diinstal.

SecurIT Zgate menggunakan InstallShield standar untuk instalasi. Perlu dicatat bahwa seluruh instalasi sederhana dan tidak menimbulkan kesulitan.

Gambar 1: Memulai instalasi SecurIT Zgate

Perhatikan pada Gambar 2, server log tidak diinstal secara default. Itu dapat digunakan ke komputer lain. Log peristiwa dapat disimpan dalam file XML, menggunakan server log terpisah, atau menggunakan database (MSSQL Server atau Oracle Database).

Gambar 2: Memilih modul untuk menginstal SecurIT Zgate

Bekerja dengan SecurIT Zgate dilakukan melalui konsol manajemen. Untuk berkomunikasi dengan server SecurIT Zgate, konsol manajemen menggunakan protokol TCP/IP dan port 1246. Jangan lupa untuk membuka port ini di firewall. Anda dapat mengubah port ini nanti jika perlu.

Jika Anda ingin menggunakan SecurIT Zgate dalam mode sniffer, maka Anda perlu menginstal driver WinPcap di komputer dengan server SecurIT Zgate yang sudah diinstal. Driver WinPcap dibundel dengan distribusi SecurIT Zgate.

Konsol manajemen dapat diinstal di komputer yang sama tempat SecurIT Zgate telah diinstal, atau di komputer terpisah.

Jadi, mari kita mulai dengan Zgate SecurIT.

4. Memulai dan pengaturan awal SecurIT Zgate

Gambar 3: Tampilan umum dari konsol manajemen SecurIT Zgate

Untuk memulai, Anda perlu membuat koneksi dengan komputer tempat bagian server dari sistem berada. Daftar komputer terletak di sisi kiri konsol manajemen di elemen pohon "Tanpa aplikasi". Dalam contoh kami, kami menginstal server SecurIT Zgate di komputer VM-2003TEST, yang akan kami pilih.

Setelah kami memilih komputer yang kami butuhkan, dan koneksi dengannya berhasil, komputer dipindahkan dari bagian "Tanpa aplikasi" ke node aplikasi yang diinstal di dalamnya (dalam kasus kami, ini adalah SecurIT Zgate) dan daftar pengaturan dan fitur seperti pohon terbuka ( gambar 4).

Gambar 4: Sambungan ke komputer berhasil - fitur baru tersedia

Perlu dicatat bahwa daftar komputer dalam domain ditentukan baik melalui NetBIOS atau dimuat dari Active Directory. Jika Anda memiliki banyak komputer di jaringan, Anda dapat menggunakan opsi pencarian.

Jika komputer tidak ada dalam daftar "Tidak Ada Aplikasi", koneksi dapat dibuat secara manual. Untuk melakukan ini, buka menu "Koneksi" di konsol manajemen dan pilih item "Buat koneksi". Di jendela yang terbuka, masukkan nama komputer, alamat IP, port (1246 secara default) dan informasi pengguna (Gambar 5). Secara default, hak akses untuk mengkonfigurasi SecurIT Zgate dikonfigurasi sedemikian rupa sehingga pengguna yang tergabung dalam grup administrator lokal memiliki akses penuh ke semua fungsi sistem.

Gambar 5: Membuat koneksi secara manual

Jadi, mari kita lihat pengaturan server SecurIT Zgate satu per satu.

Umum. Bagian ini (Gambar 6) menentukan pengaturan server surat internal, port server surat internal, mode operasi server, direktori untuk penyimpanan sementara pesan yang diproses, dan menentukan ukuran maksimum direktori ini.

Gambar 6: Pengaturan Server Umum untuk Server Email di SecurIT Zgate

Seperti yang dapat Anda lihat dari gambar, mode operasi "Pemfilteran email di dalam Microsoft Exchange 2007/2010" dan "Pencatatan email di dalam Microsoft Exchange 2007/2010" tidak tersedia karena saat ini kami belum menginstal dan mengonfigurasi Microsoft Exchange. Mode pencerminan (analisis salinan lalu lintas yang ditransmisikan) tersedia karena driver WinPcap diinstal.

Pencerminan pesan yang dikirim menggunakan lalu lintas SMTP terenkripsi (dibuat menggunakan protokol TLS dengan perintah STARTTTLS) dan menggunakan ekstensi XEXCH50 dari protokol Exchange ESMTP tidak didukung.

Penerimaan. Di bagian ini, Anda mengonfigurasi penerimaan email agar berfungsi dalam berbagai mode operasi server (Gambar 7).

Gambar 7: Mengonfigurasi Penerimaan Email agar Bekerja dalam Mode Proksi (Penjurnalan)

Saat mengonfigurasi pemfilteran atau masuk dalam mode proxy, antarmuka jaringan dan nomor port (default 25) diatur untuk menerima email dari luar sistem SecurIT Zgate; antarmuka jaringan dan nomor port yang digunakan untuk menerima email dari server email internal; direktori untuk pesan masuk dan ukuran maksimumnya. Direktori kotak masuk menyimpan pesan yang diterima oleh SecurIT Zgate sebelum diproses atau diteruskan.

Di tab yang sama, perlindungan terhadap serangan Denial of Service dikonfigurasi. Seperti yang Anda lihat dari Gambar 7, perlindungan terhadap serangan dalam layanan terdiri dari sejumlah kondisi, jika tidak terpenuhi, pesan tidak diterima. Kondisi ini dapat diaktifkan atau dinonaktifkan tergantung pada kebutuhan atau ketidakgunaan pemeriksaan tertentu.

Jika server SecurIT Zgate bekerja dalam mode analisis lalu lintas cermin (diaktifkan pada tab pengaturan Umum), lalu tab Penerimaan memiliki bentuk sebagai berikut (Gambar 8).

Gambar 8: Mengonfigurasi penerimaan email dalam mode analisis lalu lintas cermin

Pengaturan untuk mode operasi ini menentukan antarmuka jaringan tempat lalu lintas cermin diterima, alamat IP server surat cermin, port yang digunakan server cermin untuk menerima dan mengirim surat, serta direktori untuk menyimpan pesan masuk dan ukurannya.

Penting! Agar SecurIT Zgate berfungsi dalam mode pencerminan, sakelar jaringan yang menghubungkan komputer dengan SecurIT Zgate harus mendukung fungsi pencerminan. Port Mirroring memungkinkan lalu lintas disalin ke port kontrol sehingga dapat dianalisis tanpa mengganggu aliran.

Namun, keberadaan sakelar dengan kemampuan Port Mirroring tidak diperlukan jika SecurIT Zgate diinstal pada server proxy organisasi atau jika SecurIT Zgate diinstal pada komputer dari mana lalu lintas sedang dipantau.

Saat dipilih di tab Umum mode operasi server Pemfilteran email di dalam Microsoft Exchange 2007/2010 atau Penjurnalan email di dalam Microsoft Exchange 2007/2010, tab Penerimaan dan Siaran diganti tab Microsoft Exchange.

Di tab Microsoft Exchange katalog pesan masuk dan keluar dan volume maksimumnya dikonfigurasi (katalog dirancang untuk mengatur antrian pesan yang dikirim untuk diproses atau ke server email penerima). Juga pada tab ini, Anda dapat memilih opsi "Kontrol surat internal". Dalam mode ini, pesan internal antara klien dari server email yang dikontrol juga akan dipindai. Fitur ini sangat penting, karena memungkinkan untuk mengontrol korespondensi internal karyawan.

Bagian bawah tab menampilkan informasi tentang kesalahan atau peringatan.

Siaran. Pengaturan transfer email tidak bergantung pada mode operasi server dan sama untuk memfilter dan masuk dalam mode proxy dan untuk mirroring (Gambar 9).

Gambar 9: Pengaturan Transfer Surat di SecurIT Zgate

Parameter berikut dikonfigurasi di sini: jumlah maksimum koneksi keluar simultan; skema upaya koneksi; daftar domain email yang dilayani oleh server email internal; server pengiriman, tempat email yang dikirim ke luar ditransmisikan (jika server pengiriman tidak ditentukan dan domain penerima bukan internal, maka SecurIT Zgate sendiri yang mengirimkan email, menghubungkan langsung ke server email penerima); host cerdas tempat email diteruskan untuk penerima dari domain yang diterima, tetapi tidak dalam daftar lisensi; direktori untuk pesan keluar dan ukuran maksimumnya. Selain itu, email diteruskan ke host pintar yang tidak dapat ditentukan oleh SecurIT Zgate melalui DNS, atau server email melaporkan bahwa penerima tidak ada.

Skema koneksi dengan server email penerima terdiri dari seri. Rangkaian ini terdiri dari sejumlah upaya untuk terhubung ke server penerima pesan dan interval dalam beberapa menit antara upaya. Jika tidak mungkin untuk membuat koneksi sesuai dengan skema, maka pesan dihapus dan pesan yang sesuai ditampilkan di log. Dalam hal ini, pesan kesalahan dikirim ke pengirim.

Tab Web Zgate dirancang untuk mencegah kebocoran informasi melalui Internet, seperti ketika karyawan dengan sengaja atau tidak sengaja mengirim data sensitif melalui email web mereka, memposting di forum atau blog, atau mengirim melalui ICQ.

Pengoperasian Zgate Web disediakan oleh pencerminan port pada sakelar atau intersepsi lalu lintas jaringan di komputer tempat SecurIT Zgate diinstal. Untuk menggunakan Zgate Web, komputer tempat server SecurIT Zgate diinstal harus menginstal driver WinPcap.

Dalam versi saat ini, Zgate Web memotong lalu lintas yang ditransmisikan menggunakan protokol dan sumber daya berikut:

protokol pesan instan AOL ICQ;

Protokol Transfer File FTP;

Protokol transfer data HTTP;

layanan surat: Mail.ru, Yandex.ru, Pochta.ru, Rambler.ru, Hotmail.com, Google.com, Yahoo.com;

Layanan pesan SMS/MMS: Megafon, Beeline, MTS, TELE2, SKYLINK, Web sms;

forum diimplementasikan berdasarkan perangkat lunak PhpBb, IpBoard, Vbulletin.

Seperti yang Anda lihat, kemampuan kontrol lalu lintas sangat mengesankan.

Untuk setiap pesan, modul intersepsi Zgate Web menghasilkan surat yang berisi informasi tentang pesan dan serangkaian parameter tambahan yang terkait dengan layanan yang digunakan. Surat ini ditempatkan di pesan masuk dan diproses oleh sistem SecurIT Zgate dengan cara yang sama seperti surat biasa yang diterima melalui protokol SMTP.

Pengaturan Zgate Web ditunjukkan pada Gambar 10.

Gambar 10: Pengaturan Web Zgate

Pada tab ini, Anda dapat mengaktifkan atau menonaktifkan Zgate Web, serta menentukan antarmuka jaringan dari mana lalu lintas disalin, melihat dan mengedit daftar rentang alamat untuk paket yang dianalisis (dimungkinkan untuk menambahkan rentang Anda sendiri), pilih direktori untuk menyimpan file sementara dan ukurannya, serta memilih modul analisis yang diperlukan untuk bekerja.

Untuk menambahkan rentang alamat Anda untuk paket yang dianalisis, Anda perlu mengklik tombol "+", yang terletak di sebelah kanan daftar paket yang dianalisis, jendela seperti itu akan terbuka (Gambar 11).

Gambar 11: Menambahkan rentang alamat untuk paket yang diurai ke SecurIT Zgate

Setelah menentukan alamat dan port yang kita butuhkan, serta memilih tindakan (menganalisis atau mengecualikan dari analisis), tekan tombol OK. Rentang baru siap digunakan.

Arsip. Arsip dirancang untuk penyimpanan terpusat salinan surat, melihat dan meneruskannya. Selain itu, pesan yang dikarantina disimpan dalam arsip. Arsip dalam bentuk database dapat diatur menggunakan Oracle atau Microsoft SQL Server (Gambar 12). Beberapa pengaturan yang terkait dengan pengaturan arsip terletak di tab Lanjutan (item Pengaturan di menu Alat).

Gambar 12: Memilih database dan mengatur parameter arsip di SecurIT Zgate

Untuk menggunakan arsip, kita perlu menginstal dan mengkonfigurasi MSSQL Express atau Oracle (ditentukan dalam persyaratan sistem minimum).

Setelah kami menentukan pengaturan yang diperlukan dan pengguna untuk mengakses database, kami dapat menguji koneksi ke database itu sendiri. Tombol "Periksa koneksi" dimaksudkan untuk ini (Gambar 13). Anda juga dapat menentukan kemungkinan kompresi data. Pilih "rata-rata emas" antara kecepatan kerja dan jumlah data.

Gambar 13: Semuanya siap untuk bekerja dengan database - koneksi dibuat

Lisensi. Tujuan tab sudah jelas dari namanya sendiri. Ini menampilkan jumlah alamat email berlisensi, masa berlaku lisensi, daftar modul SecurIT Zgate berlisensi - Kontrol Email (Zgate Mail) dan Kontrol Lalu Lintas Web (Zgate Web). Modul berlisensi ditandai dengan centang hijau (Gambar 14).

Gambar 14: Melihat dan mengelola lisensi di SecurIT Zgate

Statistik. Dengan tab ini juga, semuanya menjadi jelas. Ini menampilkan statistik server SecurIT Zgate (Gambar 15).

Gambar 15: Statistik server SecurIT Zgate

Selain itu. Tab ini menampilkan pengaturan sistem tambahan (Gambar 16). Penjelasan rinci dari masing-masing opsi dapat ditemukan di dokumentasi produk.

Gambar 16: Pengaturan lanjutan SecurIT Zgate

Mengakses. Sistem SecurIT Zgate menyediakan kemampuan untuk membedakan hak akses untuk mengelola dan bekerja dengan arsip pesan antara beberapa pengguna. Pada tab ini, akses ke sistem dikonfigurasi (Gambar 17).

Gambar 17: Mengelola akses ke sistem SecurIT Zgate

Seperti yang telah kami katakan, secara default, hak akses untuk mengkonfigurasi SecurIT Zgate dikonfigurasi sedemikian rupa sehingga pengguna yang tergabung dalam grup administrator lokal memiliki akses penuh ke semua fungsi.

Untuk menambahkan pengguna atau grup pengguna ke daftar akses, klik tombol "+" dan pilih akun atau grup yang diperlukan. Kemudian, di bagian bawah jendela, tentukan hak yang ingin Anda tetapkan ke akun yang ditentukan. Ikon "V" berarti pengguna berhak atas operasi ini, "X" berarti pengguna tidak dapat mengakses fungsi ini. Hak-hak pengguna dan grup tempat dia berada diringkas serupa dengan sistem kontrol akses yang diterima di Windows.

Sebagai contoh, kami memilih pengguna Tamu dan memberinya hak untuk melihat parameter dan statistik (Gambar 18).

Gambar 18: Memilih pengguna dan menetapkan hak yang sesuai untuknya

Jurnal. Sistem SecurIT Zgate memungkinkan Anda untuk menerapkan pemrosesan tambahan dari operasi yang dilakukan olehnya melalui mekanisme pemrosesan peristiwa. Salah satu opsi untuk pemrosesan tersebut adalah mencatat operasi SecurIT Zgate ke log sistem Windows, ke file, atau ke Microsoft SQL Server.

Secara default, event logging dinonaktifkan (Gambar 19). Anda dapat secara mandiri mengaktifkan pencatatan peristiwa dan memilih bagaimana pencatatan peristiwa akan dilakukan.

Gambar 19: Daftar acara yang akan dipantau di SecurIT Zgate

Mengaktifkan logging untuk acara apa pun sangat sederhana. Untuk melakukan ini, pilih acara yang kami butuhkan dan klik tombol "+" di sebelah kanan daftar acara, lalu pilih opsi pencatatan yang diinginkan. Mari kita ambil opsi "logging" sebagai contoh (Gambar 20).

Gambar 20: Mengonfigurasi opsi pencatatan peristiwa ke file atau log sistem

Dapat dilihat bahwa dalam kasus ini, Anda dapat memilih opsi masuk ke log sistem, dan Anda dapat memilih komputer mana pun di jaringan lokal untuk menyimpan log ini, atau Anda dapat memilih opsi masuk ke file. Selain itu, tiga opsi tersedia untuk format file: teks ANSI, teks Unicode dan XML. Perbedaan antara menulis log dalam format XML, berbeda dengan menulis ke file teks, adalah bahwa file log dalam format XML dapat dianalisis melalui sistem SecurIT Zgate. Untuk file teks, kemungkinan ini dikecualikan.

Anda juga dapat memilih lokasi file log dan hak pengguna atas nama siapa pencatatan akan dilakukan.

Gambar 21: Memilih event untuk login di SecurIT Zgate

Setelah memilih acara yang diperlukan, tinggal mengklik tombol "Selesai". Hasilnya ditunjukkan pada Gambar 22. Ikon yang sesuai muncul di sebelah peristiwa yang dicatat yang menunjukkan parameter logging dan lokasi di mana log akan ditulis.

Gambar 22: Anda dapat melihat tiga peristiwa yang dicatat ke file XML

Anda juga dapat masuk ke server log dan Microsoft SQL Server. Masuk ke server SQL, merekam informasi tentang suatu peristiwa dilakukan oleh modul pemrosesan dalam database yang diatur melalui Microsoft SQL Server.

Saat memilih masuk ke Microsoft SQL Server, Anda harus memilih server itu sendiri dengan MSSQL, menentukan parameter pengguna dan memeriksa koneksi ke database. Jika semuanya sudah benar, maka saat memeriksa koneksi, Anda akan diminta untuk membuat database baru, namanya ditentukan oleh sistem SecurIT Zgate (Gambar 23).

Gambar 23: Memilih server database dan menentukan parameter untuk menghubungkannya

Gambar 24: Mengonfirmasi pembuatan struktur database internal untuk menyimpan log

Gambar 25: Menentukan peristiwa yang akan dicatat

Gambar 26: Kami melihat peristiwa yang akan dicatat ke server SQL yang ditentukan

Skrip. Jenis lain dari pemrosesan operasi tambahan yang dilakukan oleh SecurIT Zgate dapat berupa eksekusi skrip (skrip) dan peluncuran file yang dapat dieksekusi.

Saat peristiwa yang dipilih diaktifkan, aplikasi yang ditentukan akan diluncurkan atau skrip yang ditentukan akan dieksekusi. Daftar acara mirip dengan daftar acara untuk logging.

Opsi ini dapat digunakan, misalnya, untuk mengirim SMS tentang suatu peristiwa atau memblokir stasiun kerja sampai petugas keamanan datang.

Gambar 27: Memilih yang dapat dieksekusi

Di jendela yang sama, Anda dapat menentukan jalur ke file skrip, tentukan pengguna atas nama siapa file atau skrip akan dieksekusi. Harap dicatat bahwa secara default, aplikasi diluncurkan di bawah akun SISTEM.

Gambar 28: Daftar event yang akan memicu aplikasi

Ini mengakhiri tahap konfigurasi awal sistem SecurIT dan melanjutkan ke konfigurasi subsistem penyaringan.

Menyiapkan analisis dan pemfilteran konten

Sekarang mari kita lihat opsi untuk menyiapkan sistem analisis konten.

kamus. Kamus di Zgate dipahami sebagai kelompok kata yang disatukan menurut beberapa atribut (kategori). Sebagai aturan, kehadiran dalam huruf kata-kata dari kamus tertentu dengan tingkat probabilitas tinggi memungkinkan kita untuk menghubungkan surat itu dengan kategori yang dicirikan oleh kamus ini. Kamus dalam sistem Zgate digunakan untuk memfilter dalam metode "Analisis kamus" dan "Pemrosesan Bayesian".

Gambar 29: Jendela manajemen kamus di SecurIT Zgate

Karena SecurIT Zgate menggunakan kamus yang sama, baik saat menganalisis pesan email maupun saat memprosesnya menggunakan metode Bayesian, saat membuat kamus, dua parameter selalu ditetapkan ke sebuah kata: bobot dalam kategori dan bobot dalam anti-kategori. Secara default, kedua parameter diatur ke 50.

Untuk menambahkan kamus, Anda perlu menekan tombol "+" di jendela manajemen kamus, dan untuk menambahkan kata ke kamus, Anda perlu memilih kamus yang diperlukan dan tekan tombol "pensil" (Gambar 30, 31) .

Gambar 30: Menambahkan kamus ke SecurIT Zgate

Gambar 31: Menambahkan kata ke kamus di SecurIT Zgate

Saat memasukkan kata, Anda dapat menggunakan karakter khusus:

sejumlah huruf atau angka apa pun;

Setiap satu karakter (huruf atau angka);

^ - satu karakter pemisah (spasi, tab, umpan baris);

Satu karakter pemisah atau tanda baca;

# - satu karakter-digit;

@ - satu karakter-huruf.

Karakter yang valid untuk kamus adalah karakter (,),<, >, (, ), - , _, karakter khusus dan karakter khusus sebagai karakter sederhana (karakter khusus apa pun dapat dibuat menjadi karakter biasa dengan menambahkan garis miring terbalik). Misalnya, test* berarti kamus berisi kata test*. Dan tes* berarti kamus berisi semua kata yang dimulai dengan tes - tes, tes, tes, dll.

Selain membuat dan mengisi kamus secara manual, Anda dapat membuat kamus dengan mengimpor kata dari file yang telah disiapkan sebelumnya, dan ada juga kemungkinan membuat kamus secara otomatis.

Saat mengimpor kata dari file, setiap kata yang diimpor akan diberi bobot dalam kategori default dan anti-kategori. Karakter yang salah untuk kamus diganti secara default dengan pemisah (spasi) selama impor.

Pembuatan kamus otomatis dari file dimungkinkan menggunakan file teks yang disiapkan secara khusus dengan kumpulan kata yang sesuai, serta dokumen nyata yang termasuk atau tidak termasuk dalam satu kategori atau lainnya.

Selain metode analisis linguistik, Anda dapat menggunakan metode "sidik jari digital", populer untuk kelas produk ini - ini adalah metode untuk mencari salinan dokumen terkontrol atau bagian dokumen dalam pesan email. Dalam hal ini, teks yang diinginkan dapat dimodifikasi atau hanya sebagian saja yang dapat hadir dalam surat tersebut.

Metode pencetakan terdiri dari fakta bahwa semua dokumen rahasia diberikan "sidik jari digital" mereka. Cetakan yang diterima disimpan dalam database yang diperbarui (dalam mode otomatis) dan diisi ulang. Jika perlu untuk memeriksa dokumen apa pun, "sidik jari digital" dihitung untuk itu, kemudian sidik jari serupa dicari di antara sidik jari dokumen rahasia yang disimpan dalam database. Jika sidik jari dari file yang dipindai mirip dengan sidik jari yang disimpan dalam database, maka peringatan (pemberitahuan) yang sesuai akan dikeluarkan.

Untuk mulai bekerja dengan basis data sidik jari, Anda harus membuka menu "Alat" dan menjalankan perintah "Jejak Kaki".

Gambar 32: Mengelola database sidik jari di SecurIT Zgate

Untuk menambahkan kategori dokumen baru untuk sidik jari, Anda harus mengklik

tombol "+". Untuk mengedit, tekan tombol "pensil" dan tombol "X" untuk menghapus kategori.

Gambar 33: Membuat Kategori Dokumen di SecurIT Zgate

Juga, saat membuat kategori, waktu untuk memperbarui basis data sidik jari ditentukan, parameter pengguna atas nama siapa file akan diakses diatur, dan file ditambahkan yang berisi kata-kata yang umum digunakan yang dikecualikan dari pemindaian.

Anda dapat menggunakan format file berikut untuk membuat sidik jari: . txt. dokter. dok. xl. xlsx,. hal. pptx,. pdf,.html,. rtf. odt. peluang. odp. dbf. wps. xml* (format .xml diuraikan sebagai dokumen teks biasa).

Kategori yang dibuat dapat menjalani pemeriksaan uji. Verifikasi file tes menggunakan metode sidik jari dirancang untuk menentukan kebenaran pengaturan sidik jari digital dan kebenaran deskripsi kategori. Selama pemeriksaan, ditentukan apakah jejak digital dari file (dokumen) yang diperiksa mirip dengan jejak digital dokumen yang disimpan dalam database yang dibuat sebelumnya dari kategori tertentu. Pencarian dokumen serupa dilakukan dengan mempertimbangkan fakta bahwa beberapa atau semua karakter Rusia dalam dokumen yang diperiksa dapat diganti dengan karakter bahasa Inggris yang serupa dalam ejaan, dan sebaliknya.

Untuk memeriksa, Anda harus mengklik tombol "Periksa" di bagian bawah jendela manajemen basis data sidik jari dan pilih file yang akan diperiksa, yang menunjukkan persentase kemungkinan kesamaan.

Sistem kategorisasi canggih semacam itu memungkinkan Anda membuat kategori terpisah untuk konten pesan yang berbeda. Pada gilirannya, ini memungkinkan untuk mengkategorikan pemberitahuan insiden dengan benar di log dan memungkinkan petugas keamanan untuk menetapkan prioritas dan merespons peristiwa dengan cepat.

Gambar 35: Mengatur parameter pemeriksaan lalu lintas di SecurIT Zgate

Gambar 36: Periksa hasil

Perlindungan dari orang dalam menggunakan kombinasi Zgate dan Zlock

Saat ini, ada dua saluran utama untuk membocorkan informasi rahasia: perangkat yang terhubung ke komputer (semua jenis drive yang dapat dilepas, termasuk flash drive, drive CD / DVD, dll., printer) dan Internet (email, ICQ, jejaring sosial , dll.). ?d.). Dan oleh karena itu, ketika sebuah perusahaan "matang" untuk memperkenalkan sistem perlindungan terhadap mereka, disarankan untuk mendekati solusi ini secara komprehensif. Masalahnya adalah bahwa pendekatan yang berbeda digunakan untuk tumpang tindih saluran yang berbeda. Dalam satu kasus, cara perlindungan yang paling efektif adalah mengontrol penggunaan drive yang dapat dilepas, dan yang kedua, berbagai opsi untuk pemfilteran konten, yang memungkinkan Anda memblokir transfer data rahasia ke jaringan eksternal. Jadi perusahaan harus menggunakan dua produk untuk melindungi dari orang dalam, yang bersama-sama membentuk sistem keamanan yang komprehensif. Secara alami, lebih baik menggunakan alat dari satu pengembang. Dalam hal ini, proses pelaksanaan, administrasi, dan pelatihan karyawan difasilitasi. Contohnya adalah produk SecurIT: Zlock dan Zgate.

Zlock: perlindungan kebocoran melalui drive yang dapat dilepas

Program Zlock telah ada di pasaran sejak lama. Dan kami telah menjelaskan fitur utamanya. Pada prinsipnya, tidak ada gunanya mengulang. Namun, sejak publikasi artikel tersebut, dua versi baru Zlock telah dirilis, yang memiliki sejumlah fitur penting. Layak untuk membicarakannya, meskipun sangat singkat.

Pertama-tama, perlu dicatat kemungkinan menetapkan beberapa kebijakan ke komputer, yang diterapkan secara independen tergantung pada apakah komputer terhubung ke jaringan perusahaan secara langsung, melalui VPN, atau bekerja offline. Ini memungkinkan, khususnya, untuk secara otomatis memblokir port USB dan drive CD / DVD ketika PC terputus dari jaringan lokal. Secara umum, fitur ini meningkatkan keamanan informasi yang disimpan di laptop, yang dapat dibawa karyawan ke luar kantor untuk bepergian atau bekerja di rumah.

Fitur baru kedua adalah memberi karyawan perusahaan akses sementara ke perangkat yang terkunci atau bahkan sekelompok perangkat melalui telepon. Prinsip operasinya adalah pertukaran kode rahasia yang dihasilkan oleh program antara pengguna dan karyawan yang bertanggung jawab atas keamanan informasi. Patut dicatat bahwa izin penggunaan dapat dikeluarkan tidak hanya permanen, tetapi juga sementara (untuk waktu tertentu atau hingga akhir sesi). Alat ini dapat dianggap sebagai bantuan dalam sistem keamanan, tetapi memungkinkan Anda untuk meningkatkan daya tanggap departemen TI terhadap permintaan bisnis.

Inovasi penting berikutnya dalam versi baru Zlock adalah kontrol atas penggunaan printer. Setelah mengaturnya, sistem proteksi akan mencatat semua permintaan pengguna ke perangkat pencetakan dalam log khusus. Tapi itu tidak semua. Zlock memiliki salinan bayangan dari semua dokumen yang dicetak. Mereka ditulis dalam format PDF dan merupakan salinan lengkap dari halaman yang dicetak, terlepas dari file mana yang dikirim ke printer. Ini mencegah kebocoran informasi rahasia pada lembaran kertas ketika orang dalam mencetak data untuk membawanya keluar dari kantor. Juga dalam sistem perlindungan muncul penyalinan bayangan informasi yang direkam pada CD / DVD-disk.

Sebuah inovasi penting adalah munculnya komponen server Zlock Enterprise Management Server. Ini menyediakan penyimpanan terpusat dan distribusi kebijakan keamanan dan pengaturan program lainnya dan sangat memudahkan administrasi Zlock dalam sistem informasi yang besar dan terdistribusi. Juga tidak mungkin untuk tidak menyebutkan munculnya sistem otentikasinya sendiri, yang, jika perlu, memungkinkan Anda untuk menolak menggunakan domain dan pengguna Windows lokal.

Selain itu, versi terbaru Zlock memiliki beberapa fungsi yang tidak terlalu mencolok, tetapi juga cukup penting: kontrol integritas modul klien dengan kemampuan untuk memblokir login pengguna ketika intrusi terdeteksi, opsi lanjutan untuk menerapkan sistem keamanan, dukungan untuk Oracle DBMS, dll.?

Zgate: Perlindungan Kebocoran Internet

Jadi Zgate. Seperti yang telah kami katakan, produk ini adalah sistem untuk melindungi dari kebocoran informasi rahasia melalui Internet. Secara struktural Zgate terdiri dari tiga bagian. Komponen utama adalah komponen server, yang melakukan semua operasi pemrosesan data. Itu dapat diinstal baik di komputer terpisah dan pada node yang sudah beroperasi di sistem informasi perusahaan - gateway Internet, pengontrol domain, gateway email, dll. Modul ini, pada gilirannya, terdiri dari tiga komponen: untuk mengontrol lalu lintas SMTP, mengontrol email internal server Microsoft Exchange 2007/2010, dan Zgate Web (bertanggung jawab untuk mengontrol lalu lintas HTTP, FTP, dan IM).

Bagian kedua dari sistem proteksi adalah server logging. Ini digunakan untuk mengumpulkan informasi tentang peristiwa dari satu atau lebih server Zgate, memproses dan menyimpannya. Modul ini sangat berguna dalam sistem perusahaan besar dan terdistribusi secara geografis, karena menyediakan akses terpusat ke semua data. Bagian ketiga adalah konsol manajemen. Ini menggunakan konsol standar untuk produk SecurIT, dan karena itu kami tidak akan membahasnya secara detail. Kami hanya mencatat bahwa dengan bantuan modul ini, Anda dapat mengelola sistem tidak hanya secara lokal, tetapi juga dari jarak jauh.

Konsol Manajemen

Sistem Zgate dapat beroperasi dalam beberapa mode. Selain itu, ketersediaannya tergantung pada cara produk diimplementasikan. Dua mode pertama melibatkan bekerja sebagai server proxy surat. Untuk menerapkannya, sistem dipasang antara server surat perusahaan dan "dunia luar" (atau antara server surat dan server pengirim, jika dipisahkan). Dalam hal ini, Zgate dapat memfilter lalu lintas (menahan pesan yang melanggar dan meragukan), dan hanya mencatatnya (melewati semua pesan, tetapi menyimpannya di arsip).

Metode implementasi kedua melibatkan penggunaan sistem perlindungan bersama dengan Microsoft Exchange 2007 atau 2010. Untuk melakukan ini, Anda perlu menginstal Zgate langsung di server surat perusahaan. Dalam hal ini, dua mode juga tersedia: pemfilteran dan pencatatan. Selain itu, ada opsi implementasi lain. Kita berbicara tentang mencatat pesan dalam mode lalu lintas yang dicerminkan. Secara alami, untuk menggunakannya, perlu untuk memastikan bahwa komputer tempat Zgate diinstal menerima lalu lintas yang sangat dicerminkan ini (biasanya ini dilakukan menggunakan peralatan jaringan).

Pemilihan mode operasi Zgate

Komponen Web Zgate layak mendapat cerita terpisah. Itu diinstal langsung di gateway Internet perusahaan. Pada saat yang sama, subsistem ini mendapatkan kemampuan untuk mengontrol lalu lintas HTTP, FTP, dan IM, yaitu memprosesnya untuk mendeteksi upaya untuk mengirim informasi rahasia melalui antarmuka email web dan ICQ, mempublikasikannya di forum, server FTP, dan jejaring sosial dll. Omong-omong, tentang "ICQ". Fungsi memblokir IM-messenger ada di banyak produk serupa. Namun, justru "ICQ" yang tidak ada di dalamnya. Hanya karena di negara-negara berbahasa Rusia itulah yang paling tersebar luas.

Prinsip pengoperasian komponen Web Zgate cukup sederhana. Setiap kali informasi dikirim ke salah satu layanan terkontrol, sistem akan menghasilkan pesan khusus. Ini berisi informasi itu sendiri dan beberapa data layanan. Itu dikirim ke server Zgate utama dan diproses sesuai dengan aturan yang diberikan. Secara alami, pengiriman informasi dalam layanan itu sendiri tidak diblokir. Artinya, Zgate Web hanya berfungsi dalam mode logging. Dengan bantuannya, tidak mungkin untuk mencegah kebocoran data tunggal, tetapi di sisi lain, Anda dapat dengan cepat mendeteksinya dan menghentikan aktivitas penyerang bebas atau tanpa disadari.

Penelitian terbaru di bidang keamanan informasi, seperti Survei Kejahatan dan Keamanan Komputer CSI / FBI tahunan, telah menunjukkan bahwa kerugian finansial perusahaan dari sebagian besar ancaman menurun dari tahun ke tahun. Namun, ada beberapa risiko, kerugian yang semakin meningkat. Salah satunya adalah pencurian informasi rahasia yang disengaja atau pelanggaran aturan penanganannya oleh karyawan yang aksesnya ke data komersial diperlukan untuk pelaksanaan tugas resmi. Mereka disebut orang dalam.

Dalam sebagian besar kasus, pencurian informasi rahasia dilakukan menggunakan media seluler: CD dan DVD, perangkat ZIP, dan yang terpenting, semua jenis drive USB. Distribusi massal merekalah yang menyebabkan berkembangnya orang dalam di seluruh dunia. Para pemimpin sebagian besar bank sangat menyadari apa yang mengancam, misalnya, jika database dengan data pribadi klien mereka atau, terlebih lagi, transaksi di akun mereka, jatuh ke tangan struktur kriminal. Dan mereka mencoba melawan kemungkinan pencurian informasi dengan metode organisasi yang tersedia bagi mereka.

Namun, metode organisasi dalam hal ini tidak efektif. Hari ini dimungkinkan untuk mengatur transfer informasi antar komputer menggunakan flash drive mini, ponsel, trz-plssra, kamera digital ... Tentu saja, Anda dapat mencoba untuk melarang semua perangkat ini dibawa ke kantor, tetapi ini , pertama, akan berdampak negatif terhadap hubungan dengan karyawan , dan kedua, masih sangat sulit untuk membangun kontrol yang benar-benar efektif atas orang - bank bukanlah "kotak surat". Dan bahkan menonaktifkan semua perangkat di komputer yang dapat digunakan untuk menulis informasi ke media eksternal (drive FDD dan ZIP, drive CD dan DVD, dll.) dan port USB tidak akan membantu. Bagaimanapun, yang pertama diperlukan untuk bekerja, dan berbagai periferal terhubung ke yang terakhir: printer, pemindai, dll. Dan tidak ada yang bisa mencegah seseorang mematikan printer selama satu menit, memasukkan flash drive ke port yang kosong dan menyalin informasi penting ke dalamnya. Anda tentu saja dapat menemukan cara perlindungan yang orisinal. Misalnya, di satu bank mereka mencoba metode pemecahan masalah ini: mereka mengisi persimpangan port USB dan kabel dengan resin epoksi, dengan erat "mengikat" yang terakhir ke komputer. Tapi, untungnya, saat ini ada metode kontrol yang lebih modern, andal, dan fleksibel.

Cara paling efektif untuk meminimalkan risiko yang terkait dengan orang dalam adalah perangkat lunak khusus yang secara dinamis mengelola semua perangkat dan port komputer yang dapat digunakan untuk menyalin informasi. Prinsip kerja mereka adalah sebagai berikut. Izin untuk menggunakan port dan perangkat yang berbeda ditetapkan untuk setiap grup pengguna atau untuk setiap pengguna satu per satu. Keuntungan terbesar dari perangkat lunak tersebut adalah fleksibilitas. Anda dapat memasukkan batasan untuk jenis perangkat tertentu, modelnya, dan instance individualnya. Ini memungkinkan Anda untuk menerapkan kebijakan yang sangat kompleks untuk distribusi hak akses.

Misalnya, beberapa karyawan dapat diizinkan menggunakan printer dan pemindai apa pun yang terhubung ke port USB. Semua perangkat lain yang dimasukkan ke port ini akan tetap tidak dapat diakses. Jika bank menggunakan sistem otentikasi pengguna berdasarkan token, maka dalam pengaturan Anda dapat menentukan model kunci yang digunakan. Kemudian pengguna akan diizinkan untuk menggunakan hanya perangkat yang dibeli oleh perusahaan, dan yang lainnya tidak akan berguna.

Berdasarkan prinsip pengoperasian sistem perlindungan yang dijelaskan di atas, orang dapat memahami poin apa yang penting ketika memilih program yang menerapkan pemblokiran dinamis perangkat perekam dan port komputer. Pertama, itu fleksibilitas. Sistem proteksi harus mencakup seluruh rentang kemungkinan port dan perangkat input-output informasi. Jika tidak, risiko pencurian informasi komersial tetap tinggi. Kedua, perangkat lunak yang dimaksud harus fleksibel dan memungkinkan Anda membuat aturan menggunakan sejumlah besar berbagai informasi tentang perangkat: jenisnya, produsen model, nomor unik yang dimiliki setiap instance, dll. Dan ketiga, sistem insider protection harus dapat terintegrasi dengan sistem informasi bank, khususnya dengan Active Directory. Jika tidak, administrator atau petugas keamanan harus memelihara dua basis data pengguna dan komputer, yang tidak hanya merepotkan, tetapi juga meningkatkan risiko kesalahan.

Untuk melindungi secara efektif dari orang dalam, pertama-tama, perlu untuk memastikan kontrol atas semua saluran komunikasi - dari printer kantor biasa hingga flash drive biasa dan kamera ponsel.

Metode Perlindungan Orang Dalam:

• * otentikasi perangkat keras karyawan (misalnya, menggunakan kunci USB atau kartu pintar);
• * audit semua tindakan semua pengguna (termasuk administrator) di jaringan;
• * penggunaan perangkat lunak dan perangkat keras yang kuat untuk melindungi informasi rahasia dari orang dalam;
• * pelatihan karyawan yang bertanggung jawab atas keamanan informasi;
• * meningkatkan tanggung jawab pribadi karyawan;
• * pekerjaan konstan dengan personel yang memiliki akses ke informasi rahasia (instruksi, pelatihan, memeriksa pengetahuan tentang aturan dan kewajiban untuk mematuhi keamanan informasi, dll.);
• * Kepatuhan tingkat gaji dengan tingkat kerahasiaan informasi (dalam batas wajar!);
• * Enkripsi data rahasia;
• * Tetapi yang paling penting, tentu saja, adalah faktor manusia: meskipun seseorang adalah mata rantai terlemah dalam sistem keamanan, itu juga yang paling penting! Pertarungan melawan orang dalam seharusnya tidak berubah menjadi pengawasan total semua orang terhadap semua orang. Perusahaan harus memiliki iklim moral yang sehat, kondusif untuk kepatuhan terhadap kode kehormatan perusahaan!

Dalam survei tahunan oleh Computer Security Institute (CSI), pada tahun 2007, para profesional keamanan mengidentifikasi tiga masalah utama yang harus mereka tangani sepanjang tahun: 59% orang dalam yang diakui sebagai ancaman No. 1, 52% - virus, dan 50% - hilangnya media seluler (laptop, flash drive). Jadi, masalah orang dalam di Amerika untuk pertama kalinya mulai mengatasi masalah virus. Sayangnya, kami tidak memiliki informasi seperti itu tentang Rusia, tetapi ada alasan untuk percaya bahwa situasi di negara kami setidaknya serupa. Jadi, selama meja bundar tentang masalah kebocoran informasi karena tindakan orang dalam, yang diadakan pada bulan Oktober di konferensi tahunan Aladdin, hasil survei terhadap administrator sistem lembaga publik, yang dikenal memiliki tingkat pendapatan rendah, terdengar. Ketika ditanya berapa banyak mereka bisa mendapatkan data rahasia, hanya 10% responden menjawab bahwa mereka tidak akan pernah melakukan penyimpangan seperti itu, sekitar setengah dari responden siap mengambil risiko untuk uang besar, dan sekitar 40% siap melakukannya. untuk imbalan apa pun. Seperti yang mereka katakan, komentar berlebihan. Kesulitan utama dalam mengatur perlindungan terhadap orang dalam adalah bahwa dia adalah pengguna sah dari sistem dan, yang bertugas, memiliki akses ke informasi rahasia. Sangat sulit untuk melacak bagaimana seorang karyawan mengelola akses ini dalam kerangka otoritas resmi atau di luarnya. Pertimbangkan tugas utama memerangi orang dalam (lihat tabel).

Studi terbaru di bidang keamanan informasi, seperti CSI / FBI ComputerCrimeAndSecuritySurvey tahunan, telah menunjukkan bahwa kerugian finansial perusahaan dari sebagian besar ancaman menurun dari tahun ke tahun. Namun, ada beberapa risiko, kerugian yang semakin meningkat. Salah satunya adalah pencurian informasi rahasia yang disengaja atau pelanggaran aturan penanganannya oleh karyawan yang aksesnya ke data komersial diperlukan untuk pelaksanaan tugas resmi. Mereka disebut orang dalam.

Dalam sebagian besar kasus, pencurian informasi rahasia dilakukan menggunakan media seluler: CD dan DVD, perangkat ZIP, dan yang terpenting, semua jenis drive USB. Distribusi massal merekalah yang menyebabkan berkembangnya perdagangan orang dalam di seluruh dunia. Para pemimpin sebagian besar bank sangat menyadari apa yang mengancam, misalnya, jika database dengan data pribadi klien mereka atau, terlebih lagi, transaksi di akun mereka, jatuh ke tangan struktur kriminal. Dan mereka mencoba melawan kemungkinan pencurian informasi dengan metode organisasi yang tersedia bagi mereka.

Namun, metode organisasi dalam hal ini tidak efektif. Saat ini dimungkinkan untuk mengatur transfer informasi antar komputer menggunakan flash drive mini, ponsel, pemutar mp3, kamera digital... Tentu saja, Anda dapat mencoba melarang semua perangkat ini dibawa ke kantor, tapi ini, pertama, akan berdampak negatif pada hubungan dengan karyawan , dan kedua, masih sangat sulit untuk membangun kontrol yang benar-benar efektif atas orang - bank bukanlah "kotak surat". Dan bahkan menonaktifkan semua perangkat di komputer yang dapat digunakan untuk menulis informasi ke media eksternal (drive FDD dan ZIP, drive CD dan DVD, dll.) dan port USB tidak akan membantu. Bagaimanapun, yang pertama diperlukan untuk bekerja, dan berbagai periferal terhubung ke yang terakhir: printer, pemindai, dll. Dan tidak ada yang bisa mencegah seseorang mematikan printer selama satu menit, memasukkan flash drive ke port yang kosong dan menyalin informasi penting ke dalamnya. Anda tentu saja dapat menemukan cara perlindungan yang orisinal. Misalnya, di satu bank mereka mencoba metode pemecahan masalah ini: mereka mengisi persimpangan port USB dan kabel dengan resin epoksi, dengan erat "mengikat" yang terakhir ke komputer. Tapi, untungnya, saat ini ada metode kontrol yang lebih modern, andal, dan fleksibel.

Cara paling efektif untuk meminimalkan risiko yang terkait dengan orang dalam adalah perangkat lunak khusus yang secara dinamis mengelola semua perangkat dan port komputer yang dapat digunakan untuk menyalin informasi. Prinsip kerja mereka adalah sebagai berikut. Izin untuk menggunakan port dan perangkat yang berbeda ditetapkan untuk setiap grup pengguna atau untuk setiap pengguna satu per satu. Keuntungan terbesar dari perangkat lunak tersebut adalah fleksibilitas. Anda dapat memasukkan batasan untuk jenis perangkat tertentu, modelnya, dan instance individualnya. Ini memungkinkan Anda untuk menerapkan kebijakan yang sangat kompleks untuk distribusi hak akses.

Misalnya, beberapa karyawan dapat diizinkan menggunakan printer dan pemindai apa pun yang terhubung ke port USB. Semua perangkat lain yang dimasukkan ke port ini akan tetap tidak dapat diakses. Jika bank menggunakan sistem otentikasi pengguna berdasarkan token, maka dalam pengaturan Anda dapat menentukan model kunci yang digunakan. Kemudian pengguna akan diizinkan untuk menggunakan hanya perangkat yang dibeli oleh perusahaan, dan yang lainnya tidak akan berguna.

Berdasarkan prinsip pengoperasian sistem perlindungan yang dijelaskan di atas, orang dapat memahami poin apa yang penting ketika memilih program yang menerapkan pemblokiran dinamis perangkat perekam dan port komputer. Pertama, itu fleksibilitas. Sistem proteksi harus mencakup seluruh rentang kemungkinan port dan perangkat input-output informasi. Jika tidak, risiko pencurian informasi komersial tetap tinggi. Kedua, perangkat lunak yang dimaksud harus fleksibel dan memungkinkan Anda membuat aturan menggunakan sejumlah besar berbagai informasi tentang perangkat: jenisnya, produsen model, nomor unik yang dimiliki setiap instance, dll. Dan ketiga, sistem insider protection harus dapat terintegrasi dengan sistem informasi bank, khususnya ActiveDirectory. Jika tidak, administrator atau petugas keamanan harus memelihara dua basis data pengguna dan komputer, yang tidak hanya merepotkan, tetapi juga meningkatkan risiko kesalahan.