28.01.2014 Sergej Korablev

Valet av en produkt på företagsnivå är inte en trivial uppgift för tekniska specialister och beslutsfattare. Att välja ett dataläckageskydd (DLP) är ännu svårare. Avsaknaden av ett enhetligt konceptuellt system, regelbundna oberoende jämförande studier och själva produkternas komplexitet tvingar konsumenterna att beställa pilotprojekt från tillverkare och självständigt genomföra ett flertal tester, bestämma omfattningen av deras egna behov och korrelera dem med kapaciteten hos systemen testat

Ett sådant tillvägagångssätt är verkligen korrekt. Ett balanserat, och i vissa fall till och med ett svårt beslut, förenklar ytterligare implementering och undviker besvikelse i driften av en viss produkt. Beslutsprocessen i detta fall kan dock försenas, om inte i flera år, så i många månader. Dessutom komplicerar den ständiga expansionen av marknaden, uppkomsten av nya lösningar och tillverkare uppgiften att inte bara välja en produkt för implementering, utan också skapa en preliminär kortlista med lämpliga DLP-system. Under sådana förhållanden är uppdaterade granskningar av DLP-system av otvivelaktigt praktiskt värde för tekniska specialister. Ska en viss lösning ingå i testlistan, eller skulle den vara för komplex att implementera i en liten organisation? Kan lösningen skalas till ett företag med 10 000 anställda? Kan ett DLP-system styra affärskritiska CAD-filer? En öppen jämförelse kommer inte att ersätta grundlig testning, men kommer att hjälpa till att besvara grundläggande frågor som uppstår i det inledande skedet av DLP-urvalsprocessen.

Medlemmar

De mest populära (enligt analyscentret Anti-Malware.ru från mitten av 2013) på den ryska marknaden valdes ut som deltagare informationssäkerhet DLP-system från InfoWatch, McAfee, Symantec, Websense, Zecurion och Jet Infosystems.

För analysen användes kommersiellt tillgängliga versioner av DLP-system vid tidpunkten för utarbetandet av granskningen, samt dokumentation och öppna recensioner av produkter.

Kriterier för att jämföra DLP-system valdes ut utifrån behoven hos företag av olika storlekar och branscher. DLP-systemens huvuduppgift är att förhindra läckage av konfidentiell information genom olika kanaler.

Exempel på produkter från dessa företag visas i figurerna 1-6.

Figur 3 Symantec-produkt

Bild 4. InfoWatch-produkt

Figur 5. Websense-produkt

Figur 6. McAfee-produkt

Driftlägen

Två huvudsakliga driftlägen för DLP-system är aktiva och passiva. Aktiv - vanligtvis det huvudsakliga driftsättet, som blockerar åtgärder som bryter mot säkerhetspolicyer, som att skicka konfidentiell information till en extern Brevlåda. Passivt läge används oftast vid systemkonfigurationsstadiet för att kontrollera och justera inställningar när andelen falska positiva är hög. I det här fallet registreras policyöverträdelser, men restriktioner för överföring av information införs inte (tabell 1).

I denna aspekt visade sig alla övervägda system vara likvärdiga. Var och en av DLP:erna kan arbeta både i aktivt och passivt läge, vilket ger kunden en viss frihet. Inte alla företag är redo att börja använda DLP omedelbart i blockeringsläge - detta är fyllt med störningar i affärsprocesser, missnöje från anställda på kontrollerade avdelningar och anspråk (inklusive motiverade sådana) från ledningen.

Teknologier

Detektionsteknologier gör det möjligt att klassificera information som överförs via elektroniska kanaler och identifiera konfidentiell information. Idag finns det flera grundläggande teknologier och deras varianter, liknande i huvudsak, men olika i implementering. Varje teknik har både fördelar och nackdelar. Förutom, olika typer teknologier är lämpliga för att analysera information av olika klasser. Därför försöker tillverkare av DLP-lösningar att integrera det maximala antalet teknologier i sina produkter (se tabell 2).

Generellt sett tillhandahåller produkterna ett stort antal tekniker som, om de är korrekt konfigurerade, ger en hög procentandel av igenkänning av konfidentiell information. DLP McAfee, Symantec och Websense är ganska dåligt anpassade för den ryska marknaden och kan inte erbjuda användarna stöd för "språk"-teknologier - morfologi, translitterationsanalys och maskerad text.

Kontrollerade kanaler

Varje dataöverföringskanal är en potentiell kanal för läckor. Även en öppen kanal kan förneka alla ansträngningar från informationssäkerhetstjänsten som kontrollerar informationsflöden. Därför är det så viktigt att blockera kanaler som inte används av anställda i arbetet, och kontrollera resten med hjälp av läckageförebyggande system.

Trots det faktum att de bästa moderna DLP-systemen kan övervaka ett stort antal nätverkskanaler (se tabell 3), är det tillrådligt att blockera onödiga kanaler. Till exempel, om en anställd arbetar på en dator endast med en intern databas, är det vettigt att inaktivera hans tillgång till Internet helt och hållet.

Liknande slutsatser gäller även för lokala läckagekanaler. Det är sant, i det här fallet kan det vara svårare att blockera enskilda kanaler, eftersom portar ofta används för att ansluta kringutrustning, I/O-enheter, etc.

Kryptering spelar en speciell roll för att förhindra läckor genom lokala portar, mobila enheter och enheter. Krypteringsverktyg är ganska lätta att använda, deras användning kan vara transparent för användaren. Men samtidigt låter kryptering dig utesluta en hel klass av läckor som är förknippade med obehörig åtkomst till information och förlust av mobila enheter.

Situationen med kontroll av lokala agenter är generellt sett värre än med nätverkskanaler (se tabell 4). Endast USB-enheter och lokala skrivare kontrolleras framgångsrikt av alla produkter. Även, trots vikten av kryptering som noterats ovan, finns en sådan möjlighet endast i vissa produkter, och den forcerade krypteringsfunktionen baserad på innehållsanalys finns endast i Zecurion DLP.

För att förhindra läckor är det viktigt att inte bara känna igen känslig data under överföring, utan också att begränsa spridningen av information i en företagsmiljö. För att göra detta inkluderar tillverkare verktyg i DLP-system som kan identifiera och klassificera information lagrad på servrar och arbetsstationer i nätverket (se tabell 5). Data som bryter mot informationssäkerhetspolicyer måste raderas eller flyttas till säker lagring.

För att upptäcka konfidentiell information på företagens nätverksnoder används samma teknik som för att kontrollera läckor genom elektroniska kanaler. Den största skillnaden är arkitektonisk. Om nätverkstrafik eller filoperationer analyseras för att förhindra läckage, undersöks lagrad information, innehållet på arbetsstationer och nätverksservrar för att upptäcka obehöriga kopior av konfidentiell data.

Av de övervägda DLP-systemen är det bara InfoWatch och Dozor-Jet som ignorerar användningen av metoder för att identifiera informationslagringsplatser. Detta är inte en kritisk funktion för förebyggande av elektroniska läckor, men det begränsar kraftigt DLP-systemens förmåga att proaktivt förhindra läckor. Till exempel, när ett konfidentiellt dokument finns inom ett företagsnätverk är detta inte en informationsläcka. Men om platsen för detta dokument inte är reglerat, om informationsägarna och säkerhetsansvariga inte känner till platsen för detta dokument, kan detta leda till en läcka. Obehörig tillgång till information är möjlig eller så kommer lämpliga säkerhetsregler inte att tillämpas på dokumentet.

Enkel hantering

Egenskaper som användarvänlighet och kontroll kan vara lika viktiga som lösningarnas tekniska kapacitet. När allt kommer omkring kommer en riktigt komplex produkt att vara svår att implementera, projektet kommer att ta mer tid, ansträngning och följaktligen ekonomi. Ett redan implementerat DLP-system kräver uppmärksamhet från tekniska specialister. Utan korrekt underhåll, regelbunden granskning och justering av inställningar kommer kvaliteten på igenkänningen av konfidentiell information att sjunka avsevärt över tiden.

Kontrollgränssnittet på säkerhetsansvariges modersmål är det första steget för att förenkla arbetet med DLP-systemet. Det kommer inte bara att göra det lättare att förstå vad den eller den inställningen är ansvarig för, utan kommer också att avsevärt påskynda konfigurationsprocessen. ett stort antal parametrar som måste konfigureras för att systemet ska fungera korrekt. engelska språket kan vara användbart även för rysktalande administratörer för en entydig tolkning av specifika tekniska begrepp (se tabell 6).

De flesta lösningar ger ganska bekväm hantering från en enda (för alla komponenter) konsol med ett webbgränssnitt (se tabell 7). Undantagen är den ryska InfoWatch (det finns ingen enskild konsol) och Zecurion (det finns inget webbgränssnitt). Samtidigt har båda tillverkarna redan meddelat utseendet på en webbkonsol i sina framtida produkter. Avsaknaden av en enda konsol i InfoWatch beror på produkternas olika tekniska grund. Utvecklingen av den egna byrålösningen avbröts under flera år, och nuvarande EndPoint Security är efterföljaren till en tredjepartsprodukt, EgoSecure (tidigare känd som cynapspro), som företaget förvärvade 2012.

En annan punkt som kan hänföras till nackdelarna med InfoWatch-lösningen är att för att konfigurera och hantera flaggskepps-DLP-produkten InfoWatch TrafficMonitor behöver du känna till ett speciellt skriptspråk LUA, vilket komplicerar driften av systemet. För de flesta tekniska specialister bör dock möjligheten att förbättra sin egen yrkesnivå och lära sig ett ytterligare, om än inte särskilt vanligt språk, uppfattas positivt.

Separationen av systemadministratörsroller är nödvändig för att minimera riskerna med att förhindra uppkomsten av en superanvändare med obegränsade rättigheter och andra insatser som använder DLP.

Loggning och rapportering

DLP-arkivet är en databas som ackumulerar och lagrar händelser och objekt (filer, brev, http-förfrågningar etc.) som registrerats av systemets sensorer under dess drift. Informationen som samlas in i databasen kan användas för olika ändamål, bland annat för att analysera användaråtgärder, för att spara kopior av kritiska dokument, som underlag för att utreda informationssäkerhetsincidenter. Dessutom är databasen med alla händelser extremt användbar vid implementeringen av ett DLP-system, eftersom det hjälper till att analysera beteendet hos DLP-systemkomponenterna (till exempel för att ta reda på varför vissa operationer blockeras) och för att justera säkerhetsinställningar (se tabell 8).

I det här fallet ser vi en grundläggande arkitektonisk skillnad mellan ryska och västerländska DLP:er. De senare arkiverar inte alls. I det här fallet blir DLP i sig lättare att underhålla (det finns inget behov av att underhålla, lagra, säkerhetskopiera och studera en enorm mängd data), men inte att använda. När allt kommer omkring hjälper händelsearkivet till att konfigurera systemet. Arkivet hjälper till att förstå varför överföringen av information blockerades, att kontrollera om regeln fungerade korrekt och att göra nödvändiga korrigeringar av systeminställningarna. Det bör också noteras att DLP-system inte bara behöver initial konfiguration under implementering, utan också regelbunden "justering" under drift. Ett system som inte underhålls ordentligt, inte tagits upp av tekniska specialister, kommer att förlora mycket i kvaliteten på informationsigenkänningen. Som ett resultat kommer både antalet incidenter och antalet falska positiva resultat att öka.

Rapportering är en viktig del av all verksamhet. Informationssäkerhet är inget undantag. Rapporter i DLP-system utför flera funktioner samtidigt. För det första tillåter kortfattade och begripliga rapporter chefer för informationssäkerhetstjänster att snabbt övervaka informationssäkerhetsläget utan att gå in på detaljer. För det andra hjälper detaljerade rapporter säkerhetstjänstemän att justera säkerhetspolicyer och systeminställningar. För det tredje kan visuella rapporter alltid visas för företagets högsta chefer för att visa resultaten av DLP-systemet och själva informationssäkerhetsspecialisterna (se tabell 9).

Nästan alla konkurrerande lösningar som diskuteras i recensionen erbjuder både grafiska, bekväma för toppchefer och chefer för informationssäkerhetstjänster, och tabellrapporter, mer lämpade för tekniska specialister. Grafiska rapporter saknas endast i DLP InfoWatch, för vilket de sänktes.

Certifiering

Frågan om behovet av certifiering för informationssäkerhetsverktyg och DLP i synnerhet är öppen, och experter argumenterar ofta om detta ämne inom professionella gemenskaper. För att sammanfatta parternas åsikter bör det erkännas att certifieringen i sig inte ger några allvarliga konkurrensfördelar. Samtidigt finns det ett antal kunder, främst statliga organisationer, för vilka närvaron av ett visst certifikat är obligatoriskt.

Dessutom korrelerar det befintliga certifieringsförfarandet inte bra med programvaruutvecklingscykeln. Som ett resultat ställs konsumenterna inför ett val: att köpa en redan föråldrad, men certifierad version av produkten eller en uppdaterad, men inte certifierad version. Standardvägen ut i denna situation är att köpa en certifierad produkt "på hyllan" och använda den nya produkten i en verklig miljö (se tabell 10).

Jämförelseresultat

Låt oss sammanfatta intrycken av de övervägda DLP-lösningarna. I allmänhet gjorde alla deltagare ett positivt intryck och kan användas för att förhindra informationsläckor. Skillnader i produkter låter dig specificera omfattningen av deras tillämpning.

InfoWatch DLP-systemet kan rekommenderas till organisationer för vilka det är fundamentalt viktigt att ha ett FSTEC-certifikat. Den senaste certifierade versionen av InfoWatch Traffic Monitor testades dock i slutet av 2010 och certifikatet upphör att gälla i slutet av 2013. Agentbaserade lösningar baserade på InfoWatch EndPoint Security (även känd som EgoSecure) är mer lämpade för småföretag och kan användas separat från Traffic Monitor. Den kombinerade användningen av Traffic Monitor och EndPoint Security kan orsaka skalningsproblem i stora företag.

Produkter från västerländska tillverkare (McAfee, Symantec, Websense), enligt oberoende analysbyråer, är mycket mindre populära än ryska. Orsaken är den låga lokaliseringsnivån. Och det är inte ens komplexiteten i gränssnittet eller bristen på dokumentation på ryska. Teknikernas egenskaper för att känna igen konfidentiell information, förkonfigurerade mallar och regler är "vässade" för användning av DLP i västerländska länder och syftar till att uppfylla västerländska regulatoriska krav. Som ett resultat visar sig kvaliteten på informationsigenkänningen i Ryssland vara märkbart sämre, och efterlevnaden av kraven i utländska standarder är ofta irrelevant. Samtidigt är produkterna i sig inte alls dåliga, men detaljerna i att använda DLP-system på den ryska marknaden kommer sannolikt inte att tillåta dem att bli mer populära än den inhemska utvecklingen inom överskådlig framtid.

Zecurion DLP är känd för god skalbarhet (det enda ryska DLP-systemet med bekräftad implementering för mer än 10 000 arbetsplatser) och hög teknisk mognad. Vad som dock är förvånande är avsaknaden av en webbkonsol som skulle hjälpa till att förenkla hanteringen av en företagslösning riktad mot olika marknadssegment. Bland styrkor Zecurion DLP- hög kvalitet igenkänning av konfidentiell information och ett komplett sortiment av läckageförebyggande produkter, inklusive skydd på gatewayen, arbetsstationer och servrar, identifiering av informationslagringsplatser och verktyg för datakryptering.

Dozor-Jet DLP-systemet, en av pionjärerna på den inhemska DLP-marknaden, är brett distribuerat bland ryska företag och fortsätter att växa sin kundbas på grund av omfattande anslutningar av Jet Infosystems systemintegratör, deltids- och DLP-utvecklare. Även om DLP tekniskt sett ligger något bakom sina mer kraftfulla motsvarigheter, kan dess användning motiveras i många företag. Dessutom, till skillnad från utländska lösningar, låter Dozor Jet dig arkivera alla händelser och filer.

Vi erbjuder en rad markörer som hjälper dig att få ut det mesta av alla DLP-system.

DLPsystem: vad är det

Kom ihåg att DLP-system (Data Loss / Leak Prevention) låter dig kontrollera alla kanaler för företagets nätverkskommunikation (e-post, Internet, snabbmeddelandesystem, flash-enheter, skrivare, etc.). Skydd mot informationsläckage uppnås på grund av att agenter är installerade på alla datorer hos anställda som samlar in information och överför den till servern. Ibland samlas information in via en gateway med SPAN-teknik. Informationen analyseras, varefter systemet eller säkerhetsansvarig fattar beslut om händelsen.

Så ditt företag har implementerat ett DLP-system. Vilka åtgärder behöver vidtas för att systemet ska fungera effektivt?

1. Konfigurera säkerhetsreglerna på rätt sätt

Låt oss föreställa oss att i ett system som betjänar 100 datorer skapas en regel "Fixa all korrespondens med ordet "kontrakt". En sådan regel kommer att provocera fram ett stort antal incidenter där den verkliga läckan kan gå förlorad.

Dessutom har inte alla företag råd att ha en hel stab av anställda som spårar incidenter.

För att öka reglernas användbarhet kan du använda verktyg för att skapa effektiva regler och spåra resultatet av deras arbete. Varje DLP-system har en funktion som låter dig göra detta.

Generellt sett går metodiken ut på att analysera den ackumulerade databasen av incidenter och skapa olika kombinationer av regler, vilket idealiskt leder till att det dyker upp 5-6 riktigt brådskande incidenter per dag.

2. Uppdatera säkerhetsreglerna med jämna mellanrum

En kraftig minskning eller ökning av antalet incidenter är en indikator på att reglerna behöver justeras. Orsaken kan vara att regeln har förlorat sin relevans (användare har slutat komma åt vissa filer) eller att anställda har lärt sig regeln och inte längre utför åtgärder som är förbjudna av systemet (DLP - utbildningssystem). Praxis visar dock att om en regel lärs in, så har de potentiella riskerna för läckage ökat på en angränsande plats.

Du bör också vara uppmärksam på säsongsvariationer i företagets arbete. Under året kan nyckelparametrar relaterade till detaljerna i företagets arbete ändras. Till exempel, för en grossistleverantör av liten utrustning, kommer cyklar att vara relevanta på våren och snöskotrar på hösten.

3. Överväg en incidentresponsalgoritm

Det finns flera sätt att hantera incidenter. När man testar och kör DLP-system blir folk oftast inte meddelade om ändringar. Deltagarna i incidenterna observeras endast. När en kritisk massa ackumuleras kommunicerar en representant från säkerhetsavdelningen eller personalavdelningen med dem. I framtiden överlåts ofta arbetet med användare på representanter för säkerhetsavdelningens nåd. Det finns minikonflikter, negativa ackumuleras i laget. Det kan spilla ut i medvetet sabotage av anställda i förhållande till företaget. Det är viktigt att hitta en balans mellan kravet på disciplin och att upprätthålla en hälsosam atmosfär i laget.

4. Kontrollera blockeringslägets funktion

Det finns två sätt att reagera på en incident i systemet - fixering och blockering. Om varje faktum att vidarebefordra ett brev eller bifoga en bifogad fil till en flashenhet blockeras skapar detta problem för användaren. Ofta attackerar anställda systemadministratören med förfrågningar om att låsa upp några av funktionerna, ledningen kan också vara missnöjd med sådana inställningar. Som ett resultat får DLP-systemet och företaget ett negativt, systemet misskrediteras och demaskeras.

5. Kontrollera om en ordning för affärshemligheter har införts

Tillåter dig att göra viss information konfidentiell och ålägger även alla personer som känner till den att bära det fulla juridiska ansvaret för att den avslöjas. I händelse av ett allvarligt läckage av information under affärshemlighetsregimen som verkar på företaget, kan överträdaren återvinna mängden faktisk och moralisk skada genom domstolen i enlighet med 98-FZ "Om affärshemligheter".

Vi hoppas att dessa tips kommer att bidra till att minska antalet oavsiktliga läckor i företag, eftersom DLP-system är designade för att framgångsrikt hantera dem. Man bör dock inte glömma det komplexa informationssäkerhetssystemet och det faktum att avsiktliga informationsläckor kräver särskild uppmärksamhet. Det finns moderna lösningar som gör att du kan komplettera DLP-systemens funktionalitet och avsevärt minska risken för avsiktliga läckor. Till exempel erbjuder en av utvecklarna en intressant teknik - när konfidentiella filer nås misstänkt ofta, slås webbkameran automatiskt på och börjar spela in. Det var detta system som gjorde det möjligt att spela in hur den olyckliga kidnapparen aktivt tog skärmdumpar med hjälp av en mobilkamera.

Oleg Necheukhin, säkerhetsexpert informationssystem, "Kontur. Säkerhet"

Termen DLP står ofta för Data Loss Prevention eller Data Leakage Prevention – förhindrar dataläckor. Följaktligen är DLP-system mjukvaru- och firmwareverktyg för att lösa problemet med att förhindra dataläckor.

Att motverka informationsläckor genom tekniska kanaler kan delas upp i två uppgifter: att bekämpa ett externt hot och att bekämpa en intern inkräktare.

Den värdefulla företagsdata som din organisation försöker skydda med brandväggar och lösenord glider bokstavligen mellan fingrarna på insiders. Detta händer både av misstag och som ett resultat av avsiktliga handlingar - illegal kopiering av information från arbetsdatorer till flash-enheter, smartphones, surfplattor och andra databärare. Dessutom kan data överföras utan kontroll av insiders via e-post, snabbmeddelandetjänster, webbformulär, forum och sociala media. Trådlösa gränssnitt – Wi-Fi och Bluetooth – tillsammans med lokala datasynkroniseringskanaler med mobila enheter öppnar upp ytterligare sätt för informationsläckor från organisationens användardatorer.

Förutom insiderhot implementeras ett annat farligt läckscenario när datorer är infekterade. skadlig programvara, som kan spela in text som skrivs in från tangentbordet eller vissa typer av text lagrad i random access minne datordata och sedan överföra dem till Internet.

Hur förhindrar ett DLP-system informationsläckor?

Även om ingen av de sårbarheter som beskrivs ovan elimineras av vare sig traditionella nätverkssäkerhetsmekanismer eller inbyggda OS-kontroller, förhindrar DeviceLock DLP effektivt informationsläckor från företagsdatorer med hjälp av en komplett uppsättning mekanismer för kontextuell kontroll av dataoperationer, såväl som teknologier som deras innehåll filtrering.

Stöd för virtuella och terminalmiljöer i DeviceLock DLP-systemet utökar avsevärt informationssäkerhetstjänsternas möjligheter för att lösa problemet med att förhindra informationsläckor vid användning olika lösningar virtualisering av arbetsmiljöer skapade både i form av lokala virtuella maskiner och terminalsessioner av stationära datorer eller publicerade applikationer på hypervisorer.

För att uppfylla definitionen av ett "fullständigt" (eller komplett) DLP-system måste följande grundläggande funktionella kriterier uppfyllas:

1. Närvaron av en funktion för selektiv blockering av lokala dataöverföringskanaler och nätverkskommunikationskanaler.
2. Ett utvecklat delsystem för att övervaka alla kanaler för informationsläckage i alla användarscenarier.
3. Realtidsinspektion av innehållet i data under överföring, med möjlighet att blockera ett sådant försök eller skicka en varning.
4. Detektering av dokument med kritiskt innehåll på olika datalagringsplatser.
5. Larmmeddelanden om viktiga händelser i realtid.
6. Implementering av de angivna policyerna på samma sätt både inom företagets omkrets (på kontoret) och utanför den.
7. Tillgång till analysverktyg för analys av förhindrade försök till olagliga handlingar och inträffade incidenter.
8. Skydd mot avsiktliga eller oavsiktliga användaråtgärder som syftar till att störa driften av DLP-systemet.

Kontextkontroll och innehållsfiltrering i ett DLP-system

En effektiv metod för att skydda mot informationsläckor från datorer börjar med användningen av kontextuella kontrollmekanismer - dataöverföringskontroll för specifika användare beroende på dataformat, typer av gränssnitt och enheter, nätverksprotokoll, överföringsriktning, tid på dagen, etc.

Men i många fall krävs en djupare kontrollnivå - till exempel att kontrollera innehållet i överförda data för förekomsten av konfidentiell information under förhållanden där dataöverföringskanaler inte bör blockeras för att inte störa produktionsprocesser, utan enskilda användare ingår i "riskgruppen" eftersom de misstänks vara inblandade i brott mot företagspolicy. I sådana situationer är det, förutom kontextuell kontroll, nödvändigt att använda tekniker för innehållsanalys som gör det möjligt att identifiera och förhindra överföring av obehörig data utan att störa informationsutbytet inom ramen för anställdas officiella uppgifter.

Programvarupaketet DeviceLock DLP använder både kontextuella och innehållsbaserade kontrollmetoder, vilket ger tillförlitligt skydd mot informationsläckor från användardatorer och företags IS-servrar. DeviceLock DLP kontextuella mekanismer implementerar granulär kontroll av användaråtkomst till ett brett utbud av kringutrustning och I/O-kanaler, inklusive nätverkskommunikation.

En ytterligare höjning av skyddsnivån uppnås genom användning av metoder för innehållsanalys och datafiltrering, vilket gör det möjligt att förhindra obehörig kopiering till externa enheter och Plug-and-Play-enheter, samt överföring över nätverksprotokoll utanför företagets nätverk.

Hur administrerar och hanterar man ett DLP-system?

Tillsammans med aktiva kontrollmetoder säkerställs effektiviteten hos DeviceLock DLP genom detaljerad loggning av användarnas och administrativa personalåtgärder, samt selektiv skuggkopiering av överförda data för deras efterföljande analys, inklusive användning av fulltextsökmetoder.

För informationssäkerhetsadministratörer erbjuder DeviceLock DLP det mest rationella och bekväma sättet att hantera ett DLP-system - med hjälp av grupppolicyobjekt från Microsoft Active Directory-domänen och integrerade i Windows Group Policy Editor. Samtidigt distribueras DeviceLock DLP-policyer automatiskt med hjälp av katalogen som en integrerad del av dess grupppolicyer till alla datorer i domänen, såväl som virtuella miljöer. Denna lösning gör det möjligt för informationssäkerhetstjänsten att centralt och snabbt hantera DLP-policyer över hela organisationen, och deras exekvering av distribuerade DeviceLock-agenter säkerställer en exakt överensstämmelse mellan användarnas affärsfunktioner och deras rättigheter att överföra och lagra information på fungerande datorer.

DLP-teknik

Digital Light Processing (DLP) är en avancerad teknik som uppfunnits av Texas Instruments. Tack vare det var det möjligt att skapa mycket små, mycket lätta (3 kg - väger det verkligen?) och ändå ganska kraftfulla (mer än 1000 ANSI Lm) multimediaprojektorer.

Kort skapelsehistoria

För länge sedan, i en galax långt borta...

1987 Dr. Larry J. Hornbeck uppfann digital multispegelenhet(Digital Micromirror Device eller DMD). Denna uppfinning fullbordade årtionden av Texas Instruments forskning inom mikromekanik deformerbara spegelanordningar(Deformerbara spegelenheter eller igen DMD). Kärnan i upptäckten var förkastandet av flexibla speglar till förmån för en matris av stela speglar med endast två stabila positioner.

1989 blir Texas Instruments ett av fyra företag som valts ut för att implementera "projektor"-delen av U.S.A. High-Definition Display finansierad av Advanced Research and Development Administration (ARPA).

I maj 1992 demonstrerade TI det första DMD-baserade systemet som stöder den moderna upplösningsstandarden för ARPA.

En High-Definition TV-version (HDTV) av DMD baserad på tre högupplösta DMD:er visades i februari 1994.

Massförsäljning av DMD-chips började 1995.

DLP-teknik

Ett nyckelelement i multimediaprojektorer skapade med DLP-teknik är en matris av mikroskopiska speglar (DMD-element) gjorda av en aluminiumlegering med mycket hög reflektivitet. Varje spegel är fäst vid ett styvt substrat, som är anslutet till basen av matrisen genom rörliga plattor. Elektroder anslutna till CMOS SRAM-minnesceller är placerade i motsatta vinklar av speglarna. Under inverkan av ett elektriskt fält antar substratet med en spegel en av två positioner som skiljer sig med exakt 20° på grund av begränsarna som finns på basen av matrisen.

Dessa två lägen motsvarar reflektionen av det inkommande ljusflödet in i linsen respektive en effektiv ljusabsorbent som ger pålitlig värmeavledning och minimal ljusreflektion.

Databussen och själva matrisen är designade för att ge upp till 60 eller fler bildrutor per sekund med en upplösning på 16 miljoner färger.

Spegelarrayen, tillsammans med CMOS SRAM, utgör DMD-chippet, grunden för DLP-tekniken.

Den lilla storleken på kristallen är imponerande. Arean för varje matrisspegel är 16 mikron eller mindre, och avståndet mellan speglarna är cirka 1 mikron. Kristall, och inte en, passar lätt i handflatan.

Totalt, om Texas Instruments inte lurar oss, produceras tre typer av kristaller (eller chips) med olika upplösningar. Detta:

• SVGA: 848×600; 508 800 speglar
• XGA: 1024×768 med svart bländare (mellanrum); 786 432 speglar
• SXGA: 1280×1024; 1 310 720 speglar

Så, vi har en matris, vad kan vi göra med den? Jo, naturligtvis, belys den med ett kraftfullare ljusflöde och placera ett optiskt system i vägen för en av speglarnas reflektionsriktningar, som fokuserar bilden på skärmen. På vägen mot den andra riktningen skulle det vara klokt att placera en ljusabsorbent så att onödigt ljus inte orsakar olägenheter. Här kan vi redan projicera monokroma bilder. Men var är färgen? Var är ljusstyrkan?

Men detta verkar vara kamrat Larrys uppfinning, som diskuterades i första stycket i avsnittet om historien om skapandet av DLP. Om du fortfarande inte förstår vad som är fallet, gör dig redo, för nu kan en chock hända dig :), eftersom denna eleganta och ganska uppenbara lösning är den överlägset mest avancerade och tekniskt avancerade inom bildprojektion.

Kom ihåg barnens trick med en roterande ficklampa, vars ljus vid någon tidpunkt smälter samman och förvandlas till en lysande cirkel. Detta skämt om vår vision tillåter oss att helt överge analoga bildsystem till förmån för helt digitala. När allt kommer omkring har även digitala monitorer i det sista skedet en analog karaktär.

Men vad händer om vi får spegeln att växla från en position till en annan med hög frekvens? Om vi ​​försummar växlingstiden för spegeln (och på grund av dess mikroskopiska dimensioner kan denna tid försummas helt), kommer den skenbara ljusstyrkan bara att falla med en faktor två. Genom att ändra förhållandet mellan tid under vilken spegeln är i en och en annan position kan vi enkelt ändra bildens skenbara ljusstyrka. Och eftersom cykelhastigheten är väldigt, väldigt hög kommer det inte att finnas något synligt flimmer alls. Eureka. Även om det inte är något speciellt, har allt varit känt sedan länge :)

Nåväl, nu till sista handen. Om växlingshastigheten är tillräckligt snabb kan vi placera filter i följd i ljusflödets väg och därigenom skapa en färgbild.

Här finns faktiskt hela tekniken. Vi kommer att följa dess vidare evolutionära utveckling på exemplet med multimediaprojektorer.

DLP-projektorenhet

Texas Instruments tillverkar inte DLP-projektorer, vilket många andra företag gör, såsom 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA , LIESEGANG, etc. De flesta av de producerade projektorerna är bärbara, med en massa på 1,3 till 8 kg och en effekt på upp till 2000 ANSI lumen. Projektorer är indelade i tre typer.

Enkelmatrisprojektor

Den enklaste typen vi redan har beskrivit är − enkelmatrisprojektor, där en roterande skiva med färgfilter - blått, grönt och rött - placeras mellan ljuskällan och matrisen. Diskrotationsfrekvensen bestämmer bildhastigheten vi är vana vid.

Bilden bildas i sin tur av var och en av primärfärgerna, vilket resulterar i en normal fullfärgsbild.

Alla, eller nästan alla, bärbara projektorer är byggda på en enkelmatristyp.

En vidareutveckling av denna typ av projektorer var introduktionen av ett fjärde, transparent ljusfilter, som gör det möjligt att avsevärt öka bildens ljusstyrka.

Tre matrisprojektor

Den mest komplexa typen av projektorer är tre matrisprojektor, där ljuset delas upp i tre färgströmmar och reflekteras från tre matriser samtidigt. En sådan projektor har den renaste färgen och bildhastigheten, inte begränsad av skivans hastighet, som i enkelmatrisprojektorer.

Den exakta matchningen av det reflekterade flödet från varje matris (konvergens) tillhandahålls av ett prisma, som du kan se i figuren.

Dubbelmatrisprojektor

En mellantyp av projektorer är projektor med dubbla matriser. I det här fallet delas ljuset i två strömmar: rött reflekteras från en DMD-matris och blått och grönt från den andra. Ljusfiltret tar i sin tur bort de blå respektive gröna komponenterna från spektrumet.

En dubbelmatrisprojektor ger mellanliggande bildkvalitet jämfört med enkelmatris- och trematristyper.

Jämförelse av LCD- och DLP-projektorer

Jämfört med LCD-projektorer har DLP-projektorer ett antal viktiga fördelar:

Finns det några nackdelar med DLP-teknik?

Men teori är teori, men i praktiken finns det fortfarande arbete att göra. Den största nackdelen är ofullkomligheten i tekniken och, som ett resultat, problemet med att fastna speglar.

Faktum är att med sådana mikroskopiska dimensioner strävar små delar efter att "hålla ihop", och en spegel med en bas är inget undantag.

Trots de ansträngningar som Texas Instruments gjort för att uppfinna nya material som minskar vidhäftningen av mikrospeglar, finns ett sådant problem, som vi såg när vi testade en multimediaprojektor. Infocus LP340. Men jag måste säga att hon inte riktigt stör livet.

Ett annat problem är inte så uppenbart och ligger i det optimala urvalet av spegelväxlingslägen. Varje DLP-projektorföretag har sin egen åsikt i denna fråga.

Tja, den sista. Trots den minimala tiden för att byta speglar från en position till en annan lämnar denna process ett knappt märkbart spår på skärmen. Ett slags gratis kantutjämning.

Teknologisk utveckling

• Förutom införandet av ett genomskinligt ljusfilter pågår ständigt arbete för att minska utrymmet mellan spegeln och den yta av kolonnen som fäster spegeln vid underlaget (svart prick i mitten av bildelementet).
• Genom att dela upp matrisen i separata block och utöka databussen ökas spegelomkopplingsfrekvensen.
• Arbete pågår för att utöka antalet speglar och minska storleken på matrisen.
• Ljusflödets kraft och kontrast ökar hela tiden. Trematrisprojektorer med en effekt på över 10 000 ANSI Lm och ett kontrastförhållande på över 1000:1 finns redan idag och har hittat sin väg in i toppmoderna biografer med digitala medier.
• DLP-tekniken är fullt redo att ersätta CRT-skärmteknik i hemmabiosystem.

Slutsats

Detta är inte allt som kunde sägas om DLP-teknik, till exempel berörde vi inte ämnet att använda DMD-matriser vid utskrift. Men vi kommer att vänta tills Texas Instruments bekräftar informationen som är tillgänglig från andra källor, för att inte ge dig en falsk. Jag hoppas att den här novellen är tillräckligt för att få, om inte den mest kompletta, men tillräcklig uppfattning om tekniken och att inte tortera säljare med frågor om fördelarna med DLP-projektorer framför andra.

Tack till Alexey Slepynin för hjälp med att förbereda materialet

Nuförtiden kan du ofta höra om teknik som DLP-system. Vad är det och var används det? Detta programvara, utformad för att förhindra dataförlust genom att upptäcka möjliga överträdelser när de skickas och filtreras. Dessutom övervakar, upptäcker och blockerar sådana tjänster när den används, när den rör sig (nätverkstrafik) och när den lagras.

Som regel uppstår läckage av konfidentiell data på grund av oerfarna användare som arbetar med utrustning eller är resultatet av skadliga handlingar. Sådan information i form av privat- eller företagsinformation, immateriella rättigheter (IP), finansiell eller medicinsk information, kreditkortsinformation och liknande behöver den ökade säkerhet som modern teknik kan erbjuda. informationsteknologi.

Termerna "dataförlust" och "dataläcka" är relaterade och används ofta omväxlande, även om de skiljer sig något. Fall av informationsförlust övergår i dess läckage när källan som innehåller konfidentiell information försvinner och därefter hamnar hos en obehörig part. Dataläckage är dock möjligt utan förlust.

Kategorier DLP

Teknologiska verktyg som används för att bekämpa dataläckage kan delas in i följande kategorier: standardsäkerhetsåtgärder, intelligenta (avancerade) åtgärder, åtkomstkontroll och kryptering, samt specialiserade DLP-system (som beskrivs i detalj nedan).

Standardmått

Standardsäkerhetsåtgärder som intrångsdetekteringssystem (IDS) och antivirusprogram är vanliga tillgängliga mekanismer som skyddar datorer från utomstående såväl som insiderattacker. Att ansluta till exempel en brandvägg hindrar obehöriga från att komma åt det interna nätverket och ett intrångsdetekteringssystem upptäcker intrångsförsök. Insiderattacker kan förhindras genom antivirussökningar som upptäcker installerade på datorn som skickar konfidentiell information, samt genom att använda tjänster som fungerar i en klient-server-arkitektur utan några personliga eller konfidentiella data lagrade på datorn.

Ytterligare säkerhetsåtgärder

Ytterligare säkerhetsåtgärder använder mycket specialiserade tjänster och tidsalgoritmer för att upptäcka onormal dataåtkomst (d.v.s. databaser eller system för informationshämtning) eller onormalt utbyte e-post. Dessutom upptäcker sådan modern informationsteknik program och förfrågningar som kommer med uppsåt, och utför djupa kontroller av datorsystem (till exempel igenkänning av tangenttryckningar eller högtalarljud). Vissa av dessa tjänster kan till och med övervaka användaraktivitet för att upptäcka ovanlig dataåtkomst.

Specialdesignade DLP-system - vad är det?

Designade för informationssäkerhet, DLP-lösningar används för att upptäcka och förhindra obehöriga försök att kopiera eller överföra känsliga data (avsiktligt eller oavsiktligt) utan tillstånd eller åtkomst, vanligtvis från användare som har rätt att få tillgång till konfidentiell data.

För att klassificera viss information och reglera tillgången till den använder dessa system mekanismer som exakt datamatchning, strukturerad fingeravtryck, acceptera regler och reguljära uttryck, publicering kodfraser, konceptuella definitioner och nyckelord. Typer och jämförelse av DLP-system kan representeras enligt följande.

Nätverks-DLP (även känd som data-in-motion eller DiM)

Som regel är det en hårdvarulösning eller mjukvara som installeras på nätverkspunkter som har sitt ursprung nära omkretsen. Den analyserar nätverkstrafik för att upptäcka känslig data som skickas i strid med

Endpoint DLP (data vid användning )

Sådana system fungerar på slutanvändararbetsstationer eller servrar i olika organisationer.

Som med andra nätverkssystem kan en slutpunkt adressera både intern och extern kommunikation och kan därför användas för att styra informationsflödet mellan typer eller grupper av användare (t.ex. "brandväggar"). De kan också övervaka e-post och snabbmeddelanden. Detta sker enligt följande - innan meddelandena laddas ner till enheten kontrolleras de av tjänsten, och om de innehåller en ogynnsam begäran blockeras de. Som ett resultat blir de osända och omfattas inte av reglerna för datalagring på enheten.

DLP-systemet (tekniken) har fördelen att det kan styra och hantera åtkomst till enheter av fysisk typ (t.ex. mobila enheter med lagringsmöjligheter) och ibland komma åt information innan den krypteras.

Vissa slutpunktsbaserade system kan också tillhandahålla applikationskontroll för att blockera försök att överföra känslig information, samt tillhandahålla omedelbar respons med användaren. De har dock nackdelen att de måste installeras på varje arbetsstation i nätverket och inte kan användas på Mobil enheter(till exempel på mobiltelefoner och PDA) eller där de praktiskt taget inte kan installeras (till exempel på en arbetsstation på ett internetcafé). Denna omständighet måste beaktas när du väljer ett DLP-system för alla ändamål.

Dataidentifiering

DLP-system inkluderar flera metoder som syftar till att identifiera hemlig eller konfidentiell information. Ibland förväxlas denna process med dekryptering. Dataidentifiering är dock den process genom vilken organisationer använder DLP-teknik för att avgöra vad de ska leta efter (i rörelse, i vila eller under användning).

Uppgifterna klassificeras som strukturerade eller ostrukturerade. Den första typen lagras i fasta fält i filen (t.ex. i form av kalkylblad), medan ostrukturerad avser text i fritt format (i formen textdokument eller PDF-filer).

Experter uppskattar att 80 % av all data är ostrukturerad. Följaktligen är 20 % strukturerade. baserad på innehållsanalys inriktad på strukturerad information och kontextuell analys. Det görs på den plats där applikationen eller systemet skapades från vilket uppgifterna härrörde. Således är svaret på frågan "DLP-system - vad är det?" kommer att fungera som definitionen av informationsanalysalgoritmen.

Använda metoder

Metoderna för att beskriva känsligt innehåll idag är många. De kan delas in i två kategorier: korrekta och felaktiga.

Exakta metoder är de som är relaterade till innehållsanalys och praktiskt taget omintetgör falska positiva svar på förfrågningar.

Alla andra är felaktiga och kan innehålla: ordböcker, nyckelord, reguljära uttryck, utökade reguljära uttryck, datametataggar, Bayesiansk analys, statistisk analys, etc.

Analysens effektivitet beror direkt på dess noggrannhet. Ett DLP-system med högt betyg får höga poäng på denna parameter. Noggrannheten i DLP-identifieringen är avgörande för att undvika falska positiva och negativa konsekvenser. Noggrannhet kan bero på många faktorer, av vilka några kan vara situationsbetingade eller tekniska. Noggrannhetstestning kan säkerställa tillförlitligheten hos DLP-systemet - nästan noll falska positiva.

Detektering och förebyggande av informationsläckor

Ibland gör källan för datadistribution konfidentiell information tillgänglig för tredje part. Efter en tid kommer en del av den med största sannolikhet att hittas på en otillåten plats (till exempel på Internet eller på en annan användares bärbara dator). DLP-system, vars pris tillhandahålls av utvecklare på begäran och kan variera från flera tiotal till flera tusen rubel, måste sedan undersöka hur data läckte - från en eller flera tredje parter, om det var oberoende av varandra, om läckan tillhandahölls av någon då på annat sätt osv.

Data i vila

"Data i vila" hänvisar till gammal arkiverad information lagrad på någon av de hårddiskar klientdator, fjärrkontroll fil server, på disk Även denna definition hänvisar till data lagrade i systemet Reserv exemplar(på flashenheter eller CD-skivor). Denna information är av stort intresse för företag och regeringar helt enkelt för att en stor mängd data lagras oanvänd i lagringsenheter och är mer sannolikt att nås av obehöriga personer utanför nätverket.