На главную

Библиотека Интернет Индустрии I2R.ru

Rambler's Top100

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...
Забобрить эту страницу! Забобрить! Блог Библиотека Сайтостроительства на toodoo
  Поиск:   
Рассылки для занятых...»
I2R » Хакеры и безопасность » Защита данных
Разделы в "Защита данных":
Криптография

Интернет-дисциплинарий, или средства контроля содержимого

Вы используете электронную почту в своей корпоративной сети или обращаетесь к внешним интернет-ресурсам? Если да, то эта статья для вас. Уверены ли вы в защищенности своего подключения к интернету? Даже когда на границе вашей сети установлены межсетевые экраны, системы обнаружения атак или средства построения VPN, я бы не спешил с утвердительным ответом на этот вопрос.

Но прежде чем я объясню почему, хотелось бы обратить ваше внимание на список наиболее вероятных угроз (по данным опроса, проведенного компанией Baltimore Technologies), от которых не застрахована ни одна компания, имеющая выход в интернет (указана доля компаний, которые посчитали данную угрозу существенной):

  • вирусы и подозрительный или враждебный код (Java, ActiveX и т. д.) - 98%;
  • доступ к "неуместным" материалам (анекдотам, on-line-играм и т. п.) - 93%;
  • утечка конфиденциальной информации - 91%;
  • загрузка неавторизованного или запрещенного программного обеспечения - 91%;
  • непродуктивный Web-серфинг - 89%;
  • загрузка порнографии - 86%.

    • Все перечисленное может привести к плачевным для любой компании последствиям, начиная от потери репутации и утечки конфиденциальной информации и заканчивая снижением прибылей компании и привлечением к уголовной или административной ответственности. На первый взгляд, названные последствия имеют большое значение только для западных компаний. Однако это не так. Потеря репутации возможна вследствие, например, получения вашими партнерами или клиентами обманных или клеветнических сообщений по электронной почте, а также вирусов и "троянских коней". Привлечь к ответственности могут в результате нарушения соглашения о конфиденциальности (31% компаний приходилось сталкиваться с утечкой конфиденциальной информации); получения клеветнических сообщений и сообщений, нарушающих авторские права; получения вирусов; распространения нелицензионного ПО и т. д.

    Со снижением производительности еще проще. On-line-игры, чтение анекдотов и спама (31% всех сообщений электронной почты, получаемых из интернета, составляет спам), просмотр порнографии (70% всего порнотрафика передается в рабочее время - с 9 утра до 5 вечера), покупки в интернет-магазинах, рассылка резюме (до 80% сотрудников практически любой компании используют корпоративную электронную почту для рассылки личных писем), хождение по Web-серверам (32,6% всех корпоративных пользователей не имеют четких целей при посещении Web-серверов), ненужным для выполнения служебных обязанностей, а также последствия вирусных инфекций и результаты воздействия интернет-червей Nimda, Red Code, Blue Code и т. д., - все это приводит к потере времени, простоям сети и другим негативным последствиям, которые имеют и свое финансовое воплощение. Например, могу привести простейшую формулу расчета годового ущерба от непродуктивного использования интернета всего 1 час в день:

    Ущерб = (зарплата одного сотрудника / 24 рабочих дня в месяц / 8 часов в день) * 264 рабочих дня в год

    При средней зарплате в $600 мы получаем цифру в $825. Именно столько теряет ежегодно каждая компания в расчете на одного сотрудника. На первый взгляд, это небольшая цифра, не стоящая пристального внимания. Но попробуйте умножить ее на число сотрудников, имеющих выход в интернет, и вы ужаснетесь. Для 50 таких сотрудников ежегодная сумма потерь составит $41 250, а для 200 - $165 000.

    Средства контроля содержимого

    Для защиты от описанных выше напастей недостаточно обычных антивирусных систем (несмотря на заявления некоторых отечественных разработчиков, которые пытаются расширить свой рынок за счет привлечения заказчиков, интересующихся новыми веяниями), средств обнаружения атак или межсетевых экранов. Нужны другие средства, к которым можно отнести системы контроля содержимого (content filtering). Как говорится в отчете консалтинговой компании IDC, посвященном этим средствам: "Это больше, чем антивирус. Это больше, чем блокировка URL". Эти технологии в той или иной мере используются во многих средствах сетевой безопасности. В частности, в системе обнаружения атак RealSecure интернет-компании Security Systems или в межсетевом экране Check Point Next Generation компании Check Point Software. Но реализованные в этих средствах механизмы отрывочны и не охватывают всего спектра возможных угроз. И это понятно. Они не предназначены для решения этой задачи, и контроль содержимого для них - дополнительный механизм, расширяющий область их применения (табл. 1). Нужны специальные средства, ориентированные на решение только этой задачи, что позволяет полностью сконцентрироваться на ней.

    Возможности

    Системы контроля содержимого могут быть разделены на две основные категории: системы, просматривающие сообщения электронной почты, и системы, анализирующие Web-трафик.


    При этом спектр возможностей обеих категорий, который существенно меняется от производителя к производителю, достаточно широк:

  • Анализ ключевых слов и фраз в сообщениях электронной почты, Web-трафике и запрашиваемых HTML-страницах. Данная возможность позволяет обнаружить и своевременно предотвратить утечку конфиденциальной информации, посылку сотрудниками резюме и спама, а также передачу других материалов, запрещенных политикой безопасности. Очень интересной является возможность анализа запрашиваемых HTML-страниц, реализованная в системе WEBsweeper. С ее помощью можно отказаться от механизма блокировки URL, используемого многими межсетевыми экранами и другими системами контроля содержимого, и независимо от адреса запрашиваемой страницы (в том числе и динамически создаваемой) анализировать ее содержание.
  • Контроль отправителей и получателей сообщений e-mail, а также адресов, к которым (и от которых) идет обращение к Web-серверам и иным ресурсам интернета. С его помощью можно выполнять фильтрацию почтового или Web-трафика, реализуя тем самым некоторые функции межсетевого экрана.
  • Обнаружение подмены адресов сообщений электронной почты, которое очень часто используется спамерами и другими нарушителями.
  • Антивирусная проверка содержимого электронной почты и Web-трафика, которая позволяет обнаружить, вылечить или удалить вирусы, "троянских коней" и интернет-червей.
  • Контроль размера сообщений, не позволяющий передавать слишком длинные сообщения или требующий временно отложить их передачу до того момента, когда канал доступа в интернет будет менее всего нагружен (например, в нерабочее время).
  • Контроль числа и типа вложений в сообщения электронной почты, а также контроль файлов, передаваемых в рамках Web-трафика. Это одна из самых интересных возможностей, которая позволяет анализировать не просто текст сообщения, но и текст, содержащийся в том или ином файле, например в документе Word или архиве ZIP. Помимо указанных форматов некоторые системы могут также распознавать и анализировать видео- и аудиофайлы, графические изображения, PDF-файлы, исполняемые файлы и даже зашифрованные сообщения. Очень интересная возможность реализована в системе PORNsweeper компании Baltimore Technologies. Эта система позволяет распознавать в большом числе графических форматов порнографические картинки. Вывод о присутствии порнографии в файле делается на основании сложных математических вычислений и запатентованных алгоритмов.
  • Контроль и блокирование cookies, а также мобильного кода Java, ActiveX, JavaScript, VBScript и т. д.
  • Категорирование интернет-ресурсов ("для взрослых", "развлечения", "финансы" и т. д.) и разграничение доступа сотрудников компании к различным категориям (в том числе и в зависимости от времени суток).
  • Реализации различных вариантов реагирования, начиная от удаления или временного блокирования сообщения и вырезания запрещенного вложения и лечения зараженного файла и заканчивая копированием сообщения администратору безопасности или начальнику нарушителя и уведомлением как администратора безопасности, так и отправителя и получателя сообщения, нарушающего политику безопасности.

    • Недостатки

    Разумеется, говоря о возможностях систем контроля содержания, нельзя не упомянуть и их недостатки. И хотя данная статья не предназначена для описания всех проблем, хотелось бы назвать два самых типичных недостатка, присущих системам контроля почтового и Web-трафика. В первую очередь это невозможность контроля сообщений, зашифрованных пользователями. Поэтому во многих компаниях запрещается неконтролируемая передача таких сообщений или применяется централизованное средство шифрования почтового трафика. Одна из таких систем - SECRETNsweeper, которая является расширением уже названной системы контроля содержания MAILsweeper for SMTP и предназначена для шифрования всех проходящих через нее сообщений.

    Второй распространенный недостаток систем контроля содержания - трудности с заданием адресов запрещенных страниц. Во-первых, необходимо держать такой список в актуальном состоянии, чтобы своевременно обнаруживать обращения к постоянно появляющимся запретным ресурсам, а во-вторых, существует способ нестандартного задания адресов, который зачастую позволяет обойти защитный механизм системы контроля содержания. Допустим, вы хотите ограничить доступ к сайту www.playboy.com, что и указываете в настройках системы контроля содержания. Однако пользователь может применить не доменное имя, что делается в абсолютном большинстве случаев, а IP-адрес (209.247.228.201) этого сервера. В случае отсутствия межсетевого экрана блокировать такой доступ будет сложно. Но и на этом проблемы не заканчиваются. Пользователь может также использовать десятичное значение этого адреса - 3522684105, что также позволит без ограничений обращаться к интересующим его страницам с помощью браузера.

    Российский рынок

    Отечественный потребитель совсем недавно обратил внимание на эту привлекательную для него технологию, и сейчас на российском рынке предлагаются продукты практически всех мировых лидеров, начиная от решений компаний Baltimore Technologies и SurfControl и заканчивая системами компаний Symantec и TrendMicro (табл. 2). Некоторые российские разработчики тоже не обошли вниманием технологию контроля содержимого и разработали свои средства. Правда, пока они уступают западным аналогам. В частности, компания "Инфосистемы Джет" реализовала только функцию контроля почтового SMTP-трафика, оставив в стороне такой немаловажный аспект, как контроль Web-трафика. И это при том, что до 31% всех почтовых ящиков пользователей построено на базе Web-технологии, с использованием бесплатных серверов www.mail.ru, www.hotmail.com, mail.yahoo.com и т. д.


    Во всем остальном отечественный рынок мало чем отличается от западного. Пожалуй, за исключением российского менталитета, затрудняющего приобретение средств перлюстрации трафика. Несмотря на приведенные выше расчеты экономической целесообразности приобретения средств контроля содержимого, руководство компаний очень неохотно тратит деньги на выполнение задач, которые могут быть возложены на одного из сотрудников отдела автоматизации, чтобы он вручную анализировал сообщения электронной почты.

    Советы покупателю

    Достаточно трудно давать советы по выбору столь разносторонних продуктов. Все зависит от целей, стоящих перед ними в каждом конкретном случае.

  • Если вам необходимо контролировать утечку конфиденциальной информации, то в первую очередь приобретаемая вами система контроля содержания должна поддерживать русскоязычные кодировки, чтобы составлять запросы на поиск соответствующих ключевых слов.
  • Когда вам нужна система контроля Web-трафика, то желательно, чтобы содержащийся в ней категорированный список ресурсов постоянно актуализировался. Иначе может получиться так, что пользователь обратится к запрещенной странице, адрес которой не попал в базу данных системы контроля содержимого.
  • Обязательной является функция антивирусной проверки всего проходящего трафика. Причем желательно, чтобы эта функция реализовывалась не встроенными возможностями, как, например, в семействе InterScan и ScanMail компании TrendMicro, а с помощью продуктов третьих фирм (так сделано в семействе MIMEsweeper компании Baltimore).
  • Обязательна также возможность контроля содержимого файлов, передаваемых в рамках сообщений электронной почты или Web-трафика. Иначе система сможет эффективно контролировать открытый текст почтовых сообщений, но будет беспомощна перед файлами, вложенными в них. Но и тут есть некоторые подводные камни. Не забывайте, что файлы могут находиться не просто в сообщении e-mail, а в архиве и даже в нескольких подряд вложенных архивах.
  • Еще один механизм, на который стоит обратить внимание, - временное блокирование сообщения, передача которого противоречит политике безопасности. Например, пользователь в разгар рабочего дня передает за пределы корпоративной сети файл размером в несколько десятков мегабайт, что приводит к затору в точке выхода в интернет. Второй пример: пользователь передает файл нераспознанного формата. В обоих случаях необходим "разбор полетов", на что понадобится время. Но в первом случае он может быть проделан автоматически - файл будет передан после окончания рабочего дня, когда трафик будет не столь интенсивным и передача файлов большого объема уже не повлияет на функционирование других приложений и задач. Во втором случае администратор должен вручную проанализировать передаваемый файл и принять решение о разрешении или запрете его прохождения. В обоих случаях необходимо наличие механизма помещения сообщения во временное хранилище (карантин).
  • Еще одна интересная возможность, которую предлагают многие системы контроля содержания, - вставка в сообщения специальных уведомлений, которые оповещают пользователя (отправителя или получателя) о нарушениях политики безопасности. Например, в случае передачи зараженного вирусом файла из исходного сообщения может быть удален вирус, а в текст письма помещено сообщение: "Файл, полученный от Васи Пупкина, был заражен. Лечение прошло успешно". Можно привести и другой пример. Сотрудник, пославший конкурентам текст конфиденциального договора, получает уведомление следующего содержания: "Ваши действия, нарушившие политику безопасности компании, подпадают под действие статьи 139 Гражданского Кодекса РФ, а также статьи 183 Уголовного Кодекса РФ".

    • Средства контроля содержимого являются очень интересной, перспективной и, самое главное, экономически эффективной составляющей комплексной системы защиты информации в любой организации, имеющей выход в интернет. Эти средства дополняют уже известные технологии, реализованные в межсетевых экранах, системах обнаружения атак и антивирусных системах, и существенно облегчают жизнь администраторов безопасности, получающих в свои руки надежный инструмент контроля информации, передаваемой во внешний мир, а также получаемой из него.

    Правовые вопросы

    Немаловажным вопросом является правомерность применения средств контроля содержимого, так как существует очень интересная 138-я статья Уголовного Кодекса, в которой говорится, что "нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан" карается: штрафом от 50 до 100 минимальных размеров оплаты труда, или обязательными работами осужденного на срок от 120 до 180 часов, или исправительными работами на срок до 1 года.

    В случае использования своего служебного положения наказание усиливается: штраф от 100 до 300 минимальных размеров оплаты труда, или лишение права занимать определенную должность на срок от 2 до 5 лет, или арест на срок от 2 до 4 месяцев.

    Однако есть способы устранить опасность, грозящую руководителю или администратору, использующему систему контроля содержимого. Один из них указан в комментарии к УК, где говорится, что "нарушение тайны переписки... заключается в ознакомлении с ее содержанием БЕЗ СОГЛАСИЯ лица, которому эта информация ПРИНАДЛЕЖИТ". Из чего следует вывод, что для обхода столь нерадостной статьи необходимо:

  • разработать и, что самое важное, утвердить список сведений, составляющих конфиденциальную информацию;
  • разработать инструкции для сотрудников с запрещением хранить и обрабатывать личную информацию на предоставленной им оргтехнике;
  • обязать каждого сотрудника подписать документ, подтверждающий его согласие на то, чтобы руководство или уполномоченное им лицо имело право на ознакомление с данными, обрабатываемыми или хранимыми на компьютере сотрудника.
    •

    Алексей Лукацкий - заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита"
    Сетевой
    Рассылки Subscribe.Ru
    Все о защите данных на Идваре
    Другие разделы
    Криптография
    Прочие опасности
    Вирусы
    Хакеры
    Киберпреступность
    Уязвимость ПО
    Новое в разделе
    Защита данных
    I2R-Журналы
    I2R Business
    I2R Web Creation
    I2R Computer
    рассылки библиотеки +
    И2Р Программы
    Всё о Windows
    Программирование
    Софт
    Мир Linux
    Галерея Попова
    Каталог I2R
    Партнеры
    Amicus Studio
    NunDesign
    Горящие путевки, идеи путешествийMegaTIS.Ru

    2000-2008 г.   
    Все авторские права соблюдены.    		 Rambler's Top100