.
logo

IT-COMPUTER

Главная страница → Безопасность → защита конфиденциальной информации

Защита конфиденциальной информации

В современных условиях предотвратить утечки различной конфиденциальной информации, включая персональные данные, задача, актуальная как никогда. Поэтому сегодня мы подробно рассмотрим, как можно организовать комплексную Защиту конфиденциальной информации от этого вида угроз средствами Zecurion DLP.

Введение

Все каналы утечки конфиденциальной информации можно разделить на две большие группы. К первой относятся устройства, которые подключаются к рабочим станциям сотрудников или серверам непосредственно или через локальную сеть.

В основном это всевозможные накопители, мобильные телефоны и смартфоны, принтеры и прочее. Каналы утечки, относящиеся ко второй группе, обычно называют сетевыми. Хотя правильнее было бы называть их интернет - каналами. Ведь сюда входят электронная почта, IM - клиенты, Skype, всевозможные веб - сервисы, FTP - серверы, в общем все, что позволяет отправить информацию через интернет. А вот, к примеру, сетевые принтеры, работающие в пределах информационной системы компании, считаются локальным каналом утечки.

Каналы из разных групп принципиально отличаются друг от друга. А потому для предотвращения утечек по ним используются абсолютно разные подходы. Для локальных устройств необходима специальная программа - агент. Она должна быть запущена непосредственно на рабочей станции или сервере и иметь достаточные привилегии, чтобы управлять доступом пользователей к устройствам. В зависимости от загруженных в нее политик программа - агент может блокировать работу тех или иных накопителей, предотвращать печать конфиденциальной информации и прочее. Контроль каналов утечки из сетевой группы требует иного подхода. Для его организации необходимо шлюзовое решение, которое способно пропускать через себя весь внешний трафик [как входящий, так и исходящий). Этот трафик разбивается по протоколам и анализируется. В результате система проверяет проходящую через нее информацию на соответствие заданным политикам.

В Zecurion DLP [www.zecurion.ru) проблема разных подходов реализована путем создания двух продуктов: Zlock и Zgate. Каждый из них работает независимо от другого, однако оба они управляются с одной консоли управления, обладают схожими интерфейсами, инструментами анализа и принципами настройки. Это позволяет создать единое рабочее место администратора безопасности, с которого он может управлять всей системой защиты от утечек конфиденциальной информации.

   Такой подход удобен тем, что не обязывает компанию приобретать полную систему защиты, если она ей не нужна. Например, для сетей, не подключенных к интернету, в шлюзовой части решения нет никакого смысла. Ну или же компании могут внедрять систему защиты поэтапно, сначала организовав контроль локальных устройств, а потом добавив к нему мониторинг интернет - сервисов.

Теперь можно переходить к практике. Из-за значительных различий в принципах функционирования Zlock и Zgate развертывание и настройку каждого из них мы будем рассматривать отдельно.

РАЗВЕРТЫВАНИЕ ZECURION ZLOCK

Процедура развертывания Zlock начинается с инсталляции серверных компонентов. Они необходимы для обеспечения централизованного управления системой защиты, хранения теневых копий и информации о зарегистрированных агентами событиях. Сам процесс установки ничем не отличается от традиционного. Единственное, на что нужно обратить пристальное внимание, выбор компонентов. Основные из них «Сервер конфигураций» и «Сервер журналов». Первый необходим для централизованного управления конфигурациями агентов, а второй для создания общего хранилища теневых копий и информации о событиях. Они должны быть установлены непосредственно на сервере. В крупных сетях также имеет смысл инсталлировать компонент «Оснастка настройки Zlock для групповых политик».

   Компонент «Консоль управления» нужно установить на рабочей станции администратора. Ну или на нескольких компьютерах, если ответственных за безопасность айтишников несколько. В небольших компаниях консоль управления может также использоваться непосредственно на сервере. Последний входящий в состав дистрибутива компонент «Клиентский модуль». Именно он и является программой - агентом для рабочих станций.

После установки серверных компонентов необходимо развернуть агенты на все нуждающиеся в контроле рабочие станции и серверы корпоративной сети. Сделать это можно двумя способами. Первый из них ручная установка из дистрибутива. Второй использование групповых политик домена Windows. Преимущества и недостатки каждого из них настолько очевидны, что говорить о них мы не будем.

После инсталляции всех компонентов Zlock можно переходить к первичной настройке системы защиты с помощью консоли управления (через нее ведутся и все остальные операции управления). При ее первом запуске пользователю автоматически предлагается создать цифровой сертификат, содержащий закрытый и публичный ключи. Он необходим для обеспечения защиты информации, которой обмениваются сервер и агенты в рамках работы с запросами пользователей на подключение устройств. При необходимости в будущем этот сертификат можно изменить.

Панель управления состоит из двух частей. В левой отображается список доступных компьютеров. Он может загружаться как из Active Directory, так и с помощью NetBIOS. По умолчанию все компьютеры сгруппированы по установленным на них приложениям (серверы в одной группе, машины с установленными приложениями в другой, компьютеры без продуктов Zecurion в третьей и так далее!. Также есть возможность просмотра в другом режиме. В этом случае все компьютеры выводятся единым списком [возможно с делением на группы, если такое предусмотрено в домене компании], а в каждом из них отображаются установленные приложения. Администратор безопасности может подключиться к любому компьютеру, если на нем установлен хотя бы какой-то модуль Zecurion. При этом в правой части появляется возможность работы с этим модулем.

После первого запуска консоли управления в первую очередь необходимо установить права доступа к Zlock. По умолчанию система настроена так, что локальный администратор имеет полные возможности по управлению защитой. Однако это будет необходимо исправить, если в компании функции системного администратора и администратора безопасности разделены. Выдавать доступ можно как на основе групп и имен пользователей Windows, так и вводя собственные аккаунты для продуктов Zecurion. Права можно настроить весьма гибко, указав разрешенные операции: изменение политик доступа, просмотр журналов и прочее.

Рейтинг
(3 голоса)
Дата публикации:  04 марта 2013, 14:44   Просмотров:  (5100)

Комментарии пользователей

Добавить комментарий

Написать комментарий

 

Количество оставшихся символов -

Для чего нужна автозагрузка
Вечный накопитель
Новый ESET NOD32 Smart Security – мощный антивирус
Облачное хранилище данных
IPv6
Как поменять процессор
Система оповещений Twitter Alerts

Анонсированы два смартфона Samsung

Крупнейший в мире производитель мобильных устройств – компания Samsung представила пользователям два новых аппарата. Они получили название Galax...

» читать полностью

D-Link DWL-2600AP - унифицированная беспроводная точка доступа

Компания D-Link представила новую унифицированную беспроводную точку доступа с поддержкой PoE – DWL-2600AP. Новая точка доступа предназначена дл...

» читать полностью

Стоимость смартфона Xperia ZL в Европе будет составлять 600 евро.

На страницах нашего сайта мы часто хвалили новый флагман Sony, смартфон Xperia Z, который был представлен в начале прошлого месяца в рамках междунаро...

» читать полностью

Украину объявили «пиратом №1» в мире

Международный Альянс Интеллектуальной Собственности отмечает чрезвычайно высокий уровень цифрового и физического пиратства в Украине.
Об этом г...

» читать полностью