Dacă suntem destul de consecvenți în definițiile noastre, putem spune că securitatea informațiilor a început tocmai odată cu apariția sistemelor DLP. Înainte de aceasta, toate produsele care s-au ocupat de „securitatea informațiilor” protejau de fapt nu informațiile, ci infrastructura - locuri în care datele sunt stocate, transmise și procesate. Computerul, aplicația sau canalul care găzduiește, procesează sau transmite informații sensibile este protejat de aceste produse în același mod ca infrastructura care gestionează informații altfel inofensive. Adică, odată cu apariția produselor DLP, sistemele informaționale au învățat în sfârșit să distingă informațiile confidențiale de informațiile neconfidențiale. Poate că, odată cu integrarea tehnologiilor DLP în infrastructura informațională, companiile vor putea economisi mult pe protecția informațiilor - de exemplu, să folosească criptarea numai în cazurile în care informațiile confidențiale sunt stocate sau transmise, și nu criptează informațiile în alte cazuri.

Cu toate acestea, aceasta este o chestiune de viitor, iar în prezent aceste tehnologii sunt folosite în principal pentru a proteja informațiile de scurgeri. Tehnologiile de clasificare a informațiilor formează nucleul sistemelor DLP. Fiecare producător consideră că metodele sale de detectare a informațiilor confidențiale sunt unice, le protejează cu brevete și vine cu mărci comerciale speciale pentru ele. La urma urmei, elementele rămase ale arhitecturii care sunt diferite de aceste tehnologii (interceptoare de protocol, parsere de format, management al incidentelor și stocare a datelor) sunt identice pentru majoritatea producătorilor, iar pentru companiile mari sunt chiar integrate cu alte produse de securitate a infrastructurii informaționale. În principal pentru clasificarea datelor în produse de securitate informatii corporativeîmpotriva scurgerilor se folosesc două grupe principale de tehnologii - analiza lingvistică (morfologică, semantică) și metode statistice (Amprente digitale, ADN document, antiplagiat). Fiecare tehnologie are propriile sale puncte forte și puncte slabe, care determină domeniul de aplicare a acesteia.

Analiza lingvistică

Folosind cuvinte stop ("secret", "confidenţial" şi altele asemenea) pentru a bloca ieşirile e-mailuri V servere de mail poate fi considerat precursorul sistemelor moderne DLP. Desigur, acest lucru nu protejează împotriva atacatorilor - eliminarea unui cuvânt stop, care este cel mai adesea plasat într-o secțiune separată a documentului, nu este dificilă, iar sensul textului nu se va schimba deloc.

Impulsul dezvoltării tehnologiilor lingvistice a fost dat la începutul acestui secol de către creatorii filtrelor de e-mail. În primul rând, pentru protecție e-mail din spam. Acum, metodele reputaționale predomină în tehnologiile anti-spam, dar la începutul secolului a existat un adevărat război lingvistic între proiectil și armură - spammeri și anti-spammeri. Îți amintești cele mai simple metode de a păcăli filtrele bazate pe cuvinte oprite? Înlocuirea literelor cu litere similare din alte codificări sau numere, transliterare, spații aleatorii, subliniere sau întreruperi de rând în text. Anti-spammerii au învățat rapid să se ocupe de astfel de trucuri, dar apoi au apărut spam-ul grafic și alte tipuri viclene de corespondență nedorită.

Cu toate acestea, este imposibil să utilizați tehnologii anti-spam în produsele DLP fără modificări serioase. La urma urmei, pentru a combate spam-ul, este suficient să împărțiți fluxul de informații în două categorii: spam și non-spam. Metoda Bayes, care este folosită pentru a detecta spam-ul, dă doar un rezultat binar: „da” sau „nu”. Pentru a proteja datele corporative de scurgeri, acest lucru nu este suficient - nu puteți pur și simplu împărți informațiile în confidențiale și neconfidențiale. Trebuie să puteți clasifica informațiile după afiliere funcțională (financiară, de producție, tehnologică, comercială, marketing) și în cadrul claselor - să le clasificați după nivelul de acces (pentru distribuție gratuită, pentru acces limitat, pentru uz oficial, secret, secret) , și așa mai departe).

Majoritate sisteme moderne Analiza lingvistică folosește nu numai analiza contextuală (adică în ce context, în combinație cu ce alte cuvinte este folosit un anumit termen), ci și analiza semantică a textului. Aceste tehnologii funcționează mai eficient cu cât fragmentul analizat este mai mare. Analiza se realizează mai precis pe un fragment mare de text, cu mai probabil se determină categoria şi clasa documentului. Când se analizează mesajele scurte (SMS, mesagerie pe Internet), nu a fost încă inventat nimic mai bun decât cuvintele scurte. Autorul s-a confruntat cu o astfel de problemă în toamna anului 2008, când mii de mesaje precum „sem fi concediați”, „ne vor lua licența”, „ieșirea deponenților”, care trebuiau blocate imediat de la ei. clienți, au fost trimise pe internet de la locurile de muncă ale multor bănci prin mesagerie instant.

Avantajele tehnologiei

Avantajele tehnologiilor lingvistice sunt că lucrează direct cu conținutul documentelor, adică nu contează pentru ei unde și cum a fost creat documentul, pe ce tip de ștampilă se află sau cum se numește fișierul - documentele sunt protejate imediat. Acest lucru este important, de exemplu, atunci când procesăm proiecte de documente confidențiale sau pentru a proteja documentația primită. Dacă documentele create și utilizate în cadrul companiei pot fi cumva denumite, ștampilate sau marcate într-un mod specific, atunci documentele primite pot avea ștampile și etichete care nu sunt acceptate de organizație. Ciornele (cu excepția cazului în care, desigur, sunt create într-un sistem securizat de gestionare a documentelor) pot conține deja informații confidențiale, dar să nu conțină încă ștampilele și etichetele necesare.

Un alt avantaj al tehnologiilor lingvistice este capacitatea lor de învățare. Dacă ai apăsat vreodată client de mail butonul „Nu este spam”, atunci vă imaginați deja partea client a sistemului de instruire a motorului lingvistic. Permiteți-mi să notez că nu trebuie să fiți un lingvist certificat și să știți exact ce se va schimba în baza de date de categorii - doar indicați sistemului un fals pozitiv și va face restul singur.

Al treilea avantaj al tehnologiilor lingvistice este scalabilitatea lor. Viteza de prelucrare a informațiilor este proporțională cu cantitatea acesteia și este absolut independentă de numărul de categorii. Până de curând, construirea unei baze de date ierarhice de categorii (în mod istoric se numea BKF - baza de date de filtrare a conținutului, dar această denumire nu mai reflectă semnificația reală) arăta ca un fel de șamanism al lingviștilor profesioniști, așa că înființarea BKF-ului putea să fie ușor. fi considerat un neajuns. Dar odată cu lansarea mai multor produse „autolingvistice” în 2010, construirea unei baze de date primare de categorii a devenit extrem de simplă - sistemului i se arată locurile în care sunt stocate documentele unei anumite categorii și el însuși determină caracteristicile lingvistice ale acestei categorii și în caz de fals pozitive, învață independent. Așa că acum ușurința de configurare a fost adăugată avantajelor tehnologiilor lingvistice.

Și încă un avantaj al tehnologiilor lingvistice pe care aș dori să-l remarc în articol este capacitatea de a detecta categorii în fluxurile de informații care nu au legătură cu documentele aflate în cadrul companiei. Un instrument de monitorizare a conținutului fluxurilor de informații poate identifica categorii precum activități ilegale (piraterie, distribuție de bunuri interzise), utilizarea infrastructurii companiei în scopuri proprii, prejudicierea imaginii companiei (de exemplu, răspândirea de zvonuri defăimătoare) și asa mai departe.

Dezavantajele tehnologiei

Principalul dezavantaj al tehnologiilor lingvistice este dependența lor de limbaj. Nu este posibil să utilizați un motor lingvistic conceput pentru o limbă pentru a analiza alta. Acest lucru a fost vizibil mai ales atunci când producătorii americani au intrat pe piața rusă - nu erau pregătiți să se confrunte cu formarea de cuvinte rusești și prezența a șase codificări. Nu a fost suficient să traducem categoriile și cuvinte cheie- V engleză formarea cuvintelor este destul de simplă, iar cazurile sunt puse în prepoziții, adică atunci când cazul se schimbă, prepoziția se schimbă și nu cuvântul în sine. Majoritatea substantivelor din engleză devin verbe fără a schimba cuvântul. Și așa mai departe. În rusă, totul nu este așa - o rădăcină poate da naștere la zeci de cuvinte diferite părți vorbire.

În Germania, producătorii americani de tehnologii lingvistice s-au confruntat cu o altă problemă - așa-numitele „compuși”, cuvinte compuse. În germană, se obișnuiește să se atașeze definiții cuvântului principal, rezultând cuvinte care uneori constau dintr-o duzină de rădăcini. Nu există așa ceva în limba engleză, unde un cuvânt este o succesiune de litere între două spații, așa că motorul lingvistic englez s-a dovedit a fi incapabil să proceseze cuvinte lungi necunoscute.

Pentru a fi corect, trebuie spus că aceste probleme au fost acum rezolvate în mare măsură de producătorii americani. Motorul lingvistic a trebuit reproiectat (și uneori rescris) destul de mult, dar piețele mari din Rusia și Germania merită cu siguranță. De asemenea, este dificil să procesezi texte multilingve folosind tehnologii lingvistice. Cu toate acestea, majoritatea motoarelor încă fac față cu două limbi, de obicei limba națională + engleza - pentru majoritatea sarcinilor de afaceri acest lucru este destul de suficient. Deși autorul a întâlnit texte confidențiale care conțin, de exemplu, kazahă, rusă și engleză în același timp, aceasta este mai degrabă excepția decât regula.

Un alt dezavantaj al tehnologiilor lingvistice pentru controlul întregii game de informații confidențiale corporative este că nu toate informațiile confidențiale sunt sub formă de texte coerente. Deși în bazele de date informațiile sunt stocate sub formă de text și nu există probleme la extragerea textului din SGBD, informațiile primite conțin cel mai adesea nume proprii - nume complete, adrese, nume de companii, precum și informații digitale - numere de cont, carduri de credit, echilibrul lor și așa mai departe. Prelucrarea unor astfel de date folosind lingvistică nu va aduce prea multe beneficii. Același lucru se poate spune despre formatele CAD/CAM, adică desenele care conțin adesea proprietate intelectuală, coduri de program și formate media (video/audio) - unele texte pot fi extrase din acestea, dar procesarea lor este și ineficientă. Cu doar trei ani în urmă, acest lucru se aplica și pentru textele scanate, dar producătorii de top de sisteme DLP au adăugat rapid recunoașterea optică și au rezolvat această problemă.

Dar cel mai mare și cel mai des criticat neajuns al tehnologiilor lingvistice este încă abordarea probabilistică a categorizării. Dacă ați citit vreodată un e-mail cu categoria „Probabil SPAM”, veți ști la ce mă refer. Dacă acest lucru se întâmplă cu spam-ul, unde există doar două categorii (spam/nu spam), vă puteți imagina ce se va întâmpla când câteva zeci de categorii și clase de confidențialitate vor fi încărcate în sistem. Deși antrenarea sistemului poate atinge o acuratețe de 92-95%, pentru majoritatea utilizatorilor aceasta înseamnă că fiecare a zecea sau a douăzecea mișcare de informații va fi atribuită în mod greșit unei clase greșite, cu toate consecințele de afaceri care decurg din acestea (scurgerea sau întreruperea unui proces legitim).

De obicei, nu este obișnuit să se considere complexitatea dezvoltării tehnologiei ca un dezavantaj, dar nu poate fi ignorată. Dezvoltarea unui motor lingvistic serios cu clasificarea textelor în mai mult de două categorii este un proces intensiv în cunoștințe și destul de complex din punct de vedere tehnologic. Lingvistică aplicată - rapidă dezvoltarea științei, care a primit un impuls puternic în dezvoltare odată cu răspândirea căutării pe Internet, dar astăzi există doar câteva motoare de clasificare funcționale pe piață: pentru limba rusă există doar două, iar pentru unele limbi pur și simplu nu au încă dezvoltat. Prin urmare, există doar câteva companii pe piața DLP care sunt capabile să clasifice complet informațiile din mers. Se poate presupune că atunci când piața DLP crește la dimensiuni de mai multe miliarde de dolari, Google va intra cu ușurință în ea. Cu propriul motor lingvistic, testat pe trilioane interogări de căutareîn mii de categorii, nu îi va fi greu să apuce imediat o parte serioasă din această piață.

Metode statistice

Sarcina de a căuta pe computer citate semnificative (de ce exact „semnificative” - puțin mai târziu) i-a interesat pe lingviști încă din anii 70 ai secolului trecut, dacă nu mai devreme. Textul a fost rupt în bucăți de o anumită dimensiune și din fiecare dintre ele a fost luat un haș. Dacă o anumită secvență de hashuri a apărut în două texte în același timp, atunci cu o mare probabilitate textele din aceste zone au coincis.

Un produs secundar al cercetării în acest domeniu este, de exemplu, „cronologia alternativă” a lui Anatoly Fomenko, un savant respectat care a lucrat la „corelații textuale” și a comparat odată cronicile rusești din diferite perioade istorice. Surprins de cât de mult coincid cronicile diferitelor secole (mai mult de 60%), la sfârșitul anilor 70 a prezentat teoria că cronologia noastră este cu câteva secole mai scurtă. Prin urmare, atunci când o companie DLP care intră pe piață oferă „tehnologie revoluționară pentru căutarea cotațiilor”, se poate spune cu mare probabilitate că compania nu a creat altceva decât un nou brand.

Tehnologiile statistice tratează textele nu ca pe o secvență coerentă de cuvinte, ci ca pe o secvență arbitrară de caractere și, prin urmare, funcționează la fel de bine cu textele în orice limbă. Deoarece orice obiect digital - fie că este o imagine sau un program - este și o secvență de simboluri, aceleași metode pot fi folosite pentru a analiza nu numai informații text, dar și orice obiect digital. Și dacă hashurile din două fișiere audio se potrivesc, unul dintre ele conține probabil un citat din celălalt, așa că metodele statistice sunt mijloace eficiente de protecție împotriva scurgerilor audio și video, utilizate activ în studiourile de muzică și companiile de film.

Este timpul să revenim la conceptul de „citat semnificativ”. Caracteristica cheie a unui hash complex luat dintr-un obiect protejat (care în diferite produse se numește fie Amprentă digitală, fie ADN document) este pasul în care este luat hash-ul. După cum se poate înțelege din descriere, o astfel de „imprimare” este o caracteristică unică a obiectului și, în același timp, are propria dimensiune. Acest lucru este important deoarece, dacă luați printuri de pe milioane de documente (care este capacitatea de stocare a băncii medii), veți avea nevoie de o cantitate suficientă de spațiu pe disc pentru a stoca toate imprimările. Mărimea unei astfel de amprente depinde de pasul hash - cu cât este mai mic pasul, cu atât amprenta este mai mare. Dacă luați un hash în trepte de un caracter, dimensiunea amprentei va depăși dimensiunea eșantionului în sine. Dacă măriți dimensiunea pasului (de exemplu, 10.000 de caractere) pentru a reduce „greutatea” amprentei, atunci în același timp crește probabilitatea ca un document care conține un citat dintr-un eșantion de 9.900 de caractere să fie confidențial, dar să alunece prin neobservat.

Pe de altă parte, dacă faceți un pas foarte mic, câteva simboluri, pentru a crește acuratețea detectării, atunci puteți crește numărul de fals pozitive la o valoare inacceptabilă. În ceea ce privește textul, aceasta înseamnă că nu ar trebui să eliminați hash-ul din fiecare literă - toate cuvintele constau din litere, iar sistemul va lua prezența literelor în text ca conținut al citatului din textul eșantion. De obicei, producătorii înșiși recomandă un pas optim pentru eliminarea hashurilor, astfel încât dimensiunea citatului să fie suficientă și, în același timp, greutatea imprimării în sine să fie mică - de la 3% (text) la 15% (video comprimat). În unele produse, producătorii vă permit să schimbați dimensiunea semnificației cotației, adică să creșteți sau să micșorați pasul hash.

Avantajele tehnologiei

După cum puteți înțelege din descriere, pentru a detecta o cotație aveți nevoie de un obiect eșantion. Iar metodele statistice pot spune cu o bună acuratețe (până la 100%) dacă fișierul verificat conține sau nu un citat semnificativ din eșantion. Adică, sistemul nu își asumă responsabilitatea pentru clasificarea documentelor - o astfel de muncă ține în întregime de conștiința celui care a clasificat fișierele înainte de a lua amprentele digitale. Acest lucru facilitează foarte mult protecția informațiilor dacă întreprinderea stochează fișiere modificate rar și deja clasificate în anumite locuri. Apoi este suficient să luați o amprentă din fiecare dintre aceste fișiere, iar sistemul va bloca, în conformitate cu setările, transferul sau copierea fișierelor care conțin citate semnificative din mostre.

Independența metodelor statistice față de limbajul textului și a informațiilor non-textuale este, de asemenea, un avantaj incontestabil. Sunt buni la protejarea obiectelor digitale statice de orice tip - imagini, audio/video, baze de date. Voi vorbi despre protejarea obiectelor dinamice în secțiunea „dezavantaje”.

Dezavantajele tehnologiei

Ca și în cazul lingvisticii, dezavantajele tehnologiei sunt reversul avantajelor. Ușurința antrenării sistemului (indicați fișierul sistemului și este deja protejat) transferă responsabilitatea antrenării sistemului asupra utilizatorului. Dacă dintr-o dată un fișier confidențial ajunge în locul greșit sau nu a fost indexat din cauza neglijenței sau a intenției rău intenționate, atunci sistemul nu îl va proteja. În consecință, companiile cărora le pasă să protejeze informațiile confidențiale împotriva scurgerilor trebuie să ofere o procedură pentru controlul modului în care fișierele confidențiale sunt indexate de sistemul DLP.

Un alt dezavantaj este dimensiunea fizică a imprimării. Autorul a văzut în repetate rânduri proiecte pilot impresionante pe tipărituri, când sistemul DLP cu 100% probabilitate blochează transferul documentelor care conțin citate semnificative din trei sute de documente eșantion. Cu toate acestea, după un an de funcționare a sistemului în modul de luptă, amprenta fiecărei scrisori trimise este comparată nu cu trei sute, ci cu milioane de mostre de amprente, ceea ce încetinește semnificativ funcționarea sistemului de corespondență, provocând întârzieri de zeci de minute. .

După cum am promis mai sus, voi descrie experiența mea în protejarea obiectelor dinamice folosind metode statistice. Timpul necesar pentru a lua o amprentă depinde direct de dimensiunea și formatul fișierului. Pentru document text ca și acest articol, durează fracțiuni de secundă, pentru o oră și jumătate de film MP4 durează zeci de secunde. Pentru fișierele care se schimbă rar, acest lucru nu este critic, dar dacă obiectul se schimbă în fiecare minut sau chiar în secundă, atunci apare o problemă: după fiecare modificare, obiectul trebuie îndepărtat din el. amprentă nouă... Codul la care lucrează programatorul nu este de cea mai mare complexitate, este mult mai rău cu bazele de date folosite în sisteme de facturare, core banking sau call center; Dacă timpul pentru luarea amprentei este mai mare decât timpul pentru ca obiectul să rămână neschimbat, atunci problema nu are soluție. Acesta nu este un caz atât de exotic - de exemplu, o amprentă a unei baze de date care stochează numerele de telefon ale clienților unui stat federal. operator de telefonie mobilă, durează câteva zile pentru a filma și se schimbă în fiecare secundă. Deci, atunci când un furnizor de DLP susține că produsul său vă poate proteja baza de date, adăugați mental cuvântul „cvasi-static”.

Unitatea și lupta contrariilor

După cum se poate observa din secțiunea anterioară a articolului, puterea unei tehnologii se manifestă acolo unde alta este slabă. Lingvistica nu are nevoie de mostre, ea categorizează datele din mers și poate proteja informațiile care nu au fost imprimate, fie accidental, fie intenționat. Amprenta oferă o precizie mai bună și, prin urmare, este de preferat pentru utilizare în modul automat. Lingvistica funcționează excelent cu textele, amprentele funcționează bine cu alte formate de stocare a informațiilor.

Prin urmare, majoritatea companiilor lider folosesc ambele tehnologii în dezvoltarea lor, una dintre ele fiind cea principală, iar cealaltă fiind suplimentară. Acest lucru se datorează faptului că inițial produsele companiei foloseau o singură tehnologie, în care compania a avansat mai departe, iar apoi, conform cererii pieței, a fost conectată o a doua. De exemplu, anterior InfoWatch folosea doar tehnologia lingvistică licențiată Morph-OLogic, iar Websense folosea tehnologia PreciseID, care aparține categoriei Digital Fingerprint, dar acum companiile folosesc ambele metode. În mod ideal, aceste două tehnologii ar trebui utilizate nu în paralel, ci secvenţial. De exemplu, amprentele vor face o treabă mai bună de a determina tipul de document - este un contract sau un bilanţ, de exemplu. Apoi puteți conecta baza de date lingvistică creată special pentru această categorie. Acest lucru economisește foarte mult resursele de calcul.

Câteva alte tipuri de tehnologii utilizate în produsele DLP depășesc domeniul de aplicare al acestui articol. Acestea includ, de exemplu, un analizor de structură care vă permite să găsiți structuri formale în obiecte (numere de card de credit, pașapoarte, numere de identificare fiscală etc.) care nu pot fi detectate nici folosind lingvistică, nici prin amprentă. Nici subiectul nu este dezvăluit diferite tipuri etichete - de la intrări în câmpurile de atribute ale unui fișier sau pur și simplu un nume de fișier special până la criptocontainere speciale. Această din urmă tehnologie devine învechită, deoarece majoritatea producătorilor preferă să nu reinventeze singuri roata, ci să se integreze cu producătorii de sisteme DRM, precum Oracle IRM sau Microsoft RMS.

Produsele DLP sunt o industrie în creștere rapidă securitatea informatiei, unii producători lansează foarte des versiuni noi, mai mult de o dată pe an. Așteptăm cu nerăbdare apariția noilor tehnologii de analiză corporativă câmp de informații pentru a crește eficiența protecției informațiilor confidențiale.

Oferim o serie de markeri pentru a vă ajuta să profitați la maximum de orice sistem DLP.

DLP-sisteme: ce este?

Să vă reamintim că sistemele DLP (Data Loss/Leak Prevention) vă permit să controlați toate canalele comunicare în rețea companii (poștă, internet, sisteme de mesagerie instantanee, unități flash, imprimante etc.). Protecția împotriva scurgerilor de informații se realizează prin instalarea de agenți pe toate computerele angajaților, care colectează informații și le transmit către server. Uneori, informațiile sunt colectate printr-un gateway folosind tehnologiile SPAN. Informațiile sunt analizate, după care responsabilul de sistem sau de securitate ia decizii cu privire la incident.

Deci, compania dumneavoastră a implementat un sistem DLP. Ce măsuri trebuie luate pentru ca sistemul să funcționeze eficient?

1. Configurați corect regulile de securitate

Să ne imaginăm că într-un sistem care deservește 100 de computere, a fost creată o regulă „Remediați toată corespondența cu cuvântul „acord”.” O astfel de regulă va provoca un număr mare de incidente, în care o scurgere reală se poate pierde.

În plus, nu orice companie își poate permite să aibă un personal complet de angajați care monitorizează incidentele.

Instrumentele pentru crearea unor reguli eficiente și urmărirea rezultatelor muncii lor vor contribui la creșterea utilității regulilor. Fiecare sistem DLP are o funcționalitate care vă permite să faceți acest lucru.

În general, metodologia presupune analizarea bazei de date acumulate de incidente și crearea diferitelor combinații de reguli care în mod ideal conduc la apariția a 5-6 incidente cu adevărat urgente pe zi.

2. Actualizați regulile de siguranță la intervale regulate

O scădere sau o creștere bruscă a numărului de incidente este un indicator că sunt necesare ajustări ale regulilor. Motivele pot fi că regula și-a pierdut relevanța (utilizatorii au încetat să mai acceseze anumite fișiere) sau angajații au învățat regula și nu mai efectuează acțiuni interzise de sistem (DLP - sistem de instruire). Cu toate acestea, practica arată că, dacă se învață o regulă, atunci într-un loc învecinat riscurile potențiale de scurgere au crescut.

De asemenea, ar trebui să acordați atenție sezonalității în funcționarea întreprinderii. Pe parcursul anului parametri cheie, legat de specificul activității companiei, se poate modifica. De exemplu, pentru un furnizor angro de echipamente mici, bicicletele vor fi relevante în primăvară, iar scuterele de zăpadă în toamnă.

3. Luați în considerare un algoritm de răspuns la incidente

Există mai multe abordări ale răspunsului la incident. Când testează și rulează sisteme DLP, oamenii de cele mai multe ori nu sunt notificați cu privire la modificări. Participanții la incidente sunt doar observați. Când s-a acumulat o masă critică, un reprezentant al departamentului de securitate sau al departamentului de resurse umane comunică cu aceștia. În viitor, lucrul cu utilizatorii este adesea lăsat în seama reprezentanților departamentului de securitate. Apar mini-conflicte și negativitatea se acumulează în echipă. Se poate revărsa în sabotaj deliberat al angajaților față de companie. Este important să se mențină un echilibru între cerința de disciplină și menținerea unei atmosfere sănătoase în echipă.

4. Verificați funcționarea modului de blocare

Există două moduri de răspuns la un incident în sistem - repararea și blocarea. Dacă fiecare fapt de trimitere a unei scrisori sau atașarea unui fișier atașat la o unitate flash este blocat, acest lucru creează probleme utilizatorului. Angajații atacă adesea administrator de sistem solicită deblocarea unor funcții, managementul poate fi, de asemenea, nemulțumit de astfel de setări. Drept urmare, sistemul DLP și compania primesc feedback negativ, sistemul este discreditat și demascat.

5. Verificați dacă a fost introdus regimul secretului comercial

Oferă capacitatea de a face anumite informații confidențiale și, de asemenea, obligă orice persoană care știe despre acestea să-și asume întreaga responsabilitate legală pentru dezvăluirea lor. În cazul unei scurgeri grave de informații în cadrul regimului actual de secret comercial la întreprindere, contravenientului i se poate recupera suma prejudiciului real și moral prin instanță în conformitate cu 98-FZ „Cu privire la secretele comerciale”.

Sperăm că aceste sfaturi vor ajuta la reducerea numărului de scurgeri neintenționate în companii, pentru că tocmai acestea sistemele DLP sunt concepute pentru a le combate cu succes. Cu toate acestea, nu ar trebui să uităm de sistemul cuprinzător de securitate a informațiilor și de faptul că scurgerile de informații intenționate necesită o atenție deosebită, deosebită. Sunt solutii moderne, care vă permit să completați funcționalitatea sisteme DLPși reduce semnificativ riscul de scurgeri intenționate. De exemplu, unul dintre dezvoltatori oferă o tehnologie interesantă - atunci când fișierele confidențiale sunt accesate în mod suspect de frecvent, camera web se pornește automat și începe înregistrarea. Acest sistem a făcut posibilă înregistrarea modului în care hoțul ghinionist făcea în mod activ capturi de ecran folosind o cameră mobilă.

Oleg Neceukhin, expert în apărare sisteme informatice, „Contour.Safety”

Chiar și cei mai la modă termeni IT trebuie folosiți corespunzător și cât mai corect posibil. Cel puțin pentru a nu induce în eroare consumatorii. Cu siguranță a devenit la modă să te consideri un producător de soluții DLP. De exemplu, la recenta expoziție CeBIT-2008, inscripția „Soluție DLP” a putut fi văzută adesea pe standurile producătorilor nu doar de antivirusuri și servere proxy puțin cunoscute din lume, ci chiar și de firewall-uri. Uneori, exista sentimentul că după colțul următor puteai vedea un fel de ejector de CD (un program care controlează deschiderea unității CD) cu sloganul mândru al unei soluții DLP de întreprindere. Și, în mod ciudat, fiecare dintre acești producători, de regulă, a avut o explicație mai mult sau mai puțin logică pentru o astfel de poziționare a produsului lor (în mod firesc, pe lângă dorința de a obține „beneficii” de la un termen la modă).

Înainte de a lua în considerare piața producătorilor de sisteme DLP și principalii săi jucători, ar trebui să decidem ce înțelegem prin un sistem DLP. Au existat numeroase încercări de a defini această clasă de sisteme informatice: ILD&P - Information Leakage Detection & Prevention („identificarea și prevenirea scurgerilor de informații”, termenul a fost propus de IDC în 2007), ILP - Information Leakage Protection („protecția împotriva informațiilor”. leaks”, Forrester , 2006), ALS - Anti-Leakage Software („anti-leakage software”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (similar cu sistemul Intrusion-prevention).

Dar numele DLP - Data Loss Prevention (sau Data Leak Prevention, protecție împotriva scurgerilor de date), propus în 2005, a devenit totuși un termen folosit în mod obișnuit Ca rusă (mai degrabă decât o traducere, dar un termen similar) sintagma „. sisteme de protecție confidențială” au fost adoptate date de la amenințările interne.” În același timp, sub amenințări interne se referă la abuzul (intenționat sau accidental) al puterilor lor de către angajații organizației care au drepturi legale de acces la datele relevante.

Cele mai armonioase și consistente criterii de apartenență la sistemele DLP au fost propuse de agenția de cercetare Forrester Research în cadrul studiului anual al acestei piețe. Ei au propus patru criterii după care un sistem poate fi clasificat ca DLP. 1.

Multicanal. Sistemul trebuie să fie capabil să monitorizeze mai multe canale posibile de scurgere de date. Într-un mediu de rețea, acesta este cel puțin e-mail, Web și IM (mesageri instantanee), și nu doar scanarea traficului de e-mail sau a activității bazei de date. Pe statie de lucru- monitorizarea operațiunilor cu fișierele, lucrul cu clipboard-ul, precum și controlul e-mailului, Web și IM. 2.

Management unificat. Sistemul trebuie să aibă instrumente unificate de management al politicii de securitate a informațiilor, analiză și raportare a evenimentelor pe toate canalele de monitorizare. 3.

Protecție activă. Sistemul nu trebuie doar să detecteze încălcările politicii de securitate, ci și, dacă este necesar, să forțeze respectarea acesteia. De exemplu, blocați mesajele suspecte. 4.

Pe baza acestor criterii, în 2008 Forrester a selectat o listă de 12 producători pentru revizuire și evaluare software(sunt enumerate mai jos în ordine alfabetică, cu numele companiei achiziționate de acest furnizor pentru a intra pe piața sistemelor DLP indicat între paranteze):

1. Cod verde;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. Reconexiunea;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense(PortAuthority);
12. Partajare de lucru.

Astăzi, dintre cei 12 furnizori menționați mai sus, doar InfoWatch și Websense sunt reprezentați pe piața rusă într-o măsură sau alta. Restul fie nu funcționează deloc în Rusia, fie și-au anunțat doar intențiile de a începe să vândă soluții DLP (Trend Micro).

Având în vedere funcționalitatea sistemelor DLP, analiștii (Forrester, Gartner, IDC) introduc o clasificare a obiectelor de protecție - tipuri de obiecte informaționale care trebuie monitorizate. O astfel de clasificare face posibilă evaluarea, într-o primă aproximare, a domeniului de aplicare a unui anumit sistem. Există trei categorii de obiecte de monitorizare.

1. Date în mișcare (date în mișcare) - mesaje de e-mail, pagini de internet, rețele peer-to-peer, transferuri de fișiere, trafic Web și alte tipuri de mesaje care pot fi transmise prin canale de comunicare. 2. Data-at-rest (date stocate) - informații despre stații de lucru, laptopuri, servere de fișiere, stocare specializată, dispozitive USB și alte tipuri de dispozitive de stocare a datelor.

3. Date-in-use (date în uz) - informații prelucrate în în acest moment.

În prezent, pe piața noastră există aproximativ două duzini de produse interne și străine care au unele dintre proprietățile sistemelor DLP. Informații scurte despre ele în spiritul clasificării de mai sus sunt enumerate în tabel. 1 și 2. Tot în tabel. 1 a introdus un astfel de parametru precum „stocarea și auditarea centralizată a datelor”, ceea ce implică capacitatea sistemului de a salva datele într-un singur depozit (pentru toate canalele de monitorizare) pentru analize și audit ulterioare. Această funcționalitate a căpătat recent o importanță deosebită nu numai datorită cerințelor diferitelor acte legislative, ci și datorită popularității sale în rândul clienților (pe baza experienței proiectelor implementate). Toate informațiile conținute în aceste tabele sunt preluate din surse publice și materiale de marketing ale companiilor respective.

Pe baza datelor prezentate în tabelele 1 și 2, putem concluziona că astăzi doar trei sisteme DLP sunt prezentate în Rusia (de la companiile InfoWatch, Perimetrix și WebSence). Acestea includ și produsul integrat recent anunțat de la Jet Infosystem (SKVT+SMAP), deoarece va acoperi mai multe canale și va avea un management unificat al politicilor de securitate.

Este destul de dificil să vorbim despre cotele de piață ale acestor produse în Rusia, deoarece majoritatea producătorilor menționați nu dezvăluie volumele de vânzări, numărul de clienți și stațiile de lucru protejate, limitându-se doar la informații de marketing. Putem spune cu siguranță doar că principalii furnizori în acest moment sunt:

• Sisteme „Dozor”, prezente pe piață din 2001;
• Produsele InfoWatch vândute din 2004;
• WebSense CPS (a început să se vândă în Rusia și în întreaga lume în 2007);
• Perimetrix (o companie tânără, prima versiune a cărei produse a fost anunțată pe site-ul său la sfârșitul anului 2008).

În concluzie, aș dori să adaug că dacă unul aparține sau nu clasei de sisteme DLP nu face produsele mai rele sau mai bune - este pur și simplu o chestiune de clasificare și nimic mai mult.

Astăzi, piața sistemelor DLP este una dintre cele cu cea mai rapidă creștere dintre toate instrumentele de securitate a informațiilor. Cu toate acestea, sectorul intern de securitate a informațiilor nu ține încă pasul cu tendințele globale și, prin urmare, piața sistemelor DLP din țara noastră are propriile caracteristici.

Ce sunt DLP-urile și cum funcționează?

Înainte de a vorbi despre piața sistemelor DLP, este necesar să se stabilească la ce se înțelege, strict vorbind, atunci când vorbim despre astfel de soluții. Sistemele DLP sunt de obicei înțelese ca produse software, protejând organizațiile de scurgeri de informații confidențiale. Abrevierea DLP în sine înseamnă Data Leak Prevention, adică prevenirea scurgerilor de date.

Sistemele de acest fel creează un „perimetru” digital securizat în jurul organizației, analizând toate informațiile de ieșire și, în unele cazuri, de intrare. Informațiile controlate ar trebui să includă nu numai traficul de internet, ci și o serie de alte fluxuri de informații: documente care sunt preluate în afara buclei de securitate protejate către medii externe, tipărit pe o imprimantă, trimis către medii mobile prin Bluetooth etc.

Întrucât sistemul DLP trebuie să prevină scurgerile de informații confidențiale, trebuie să aibă încorporate mecanisme de determinare a gradului de confidențialitate al unui document detectat în traficul interceptat. De regulă, cele mai frecvente două metode sunt: ​​prin analiza unor marcatori speciali pentru documente și prin analizarea conținutului documentului. A doua opțiune este acum mai comună, deoarece este rezistentă la modificările aduse documentului înainte de a fi trimis și, de asemenea, vă permite să extindeți cu ușurință numărul de documente confidențiale cu care sistemul poate lucra.

Sarcini DLP „laterale”.

Pe lângă sarcina sa principală legată de prevenirea scurgerilor de informații, sistemele DLP sunt, de asemenea, potrivite pentru rezolvarea unui număr de alte sarcini legate de monitorizarea acțiunilor personalului.

Cel mai adesea, sistemele DLP sunt folosite pentru a rezolva următoarele sarcini non-core:

• monitorizarea utilizării timpului de lucru și a resurselor de muncă de către angajați;
• monitorizarea comunicațiilor angajaților pentru a identifica luptele „sub acoperire” care ar putea dăuna organizației;
• controlul legalității acțiunilor angajaților (prevenirea tipăririi documentelor false etc.);
• identificarea angajaților care trimit CV-uri pentru a căuta rapid specialiști pentru posturile vacante.

Datorită faptului că multe organizații consideră o serie dintre aceste sarcini (în special controlul utilizării timpului de lucru) ca fiind de prioritate mai mare decât protecția împotriva scurgerilor de informații, au apărut o serie de programe care sunt concepute special pentru acest lucru, dar pot în unele cazuri funcționează și ca mijloc de protejare a organizației de scurgeri. Ceea ce deosebește astfel de programe de sistemele DLP cu drepturi depline este lipsa instrumentelor dezvoltate pentru analiza datelor interceptate, care trebuie făcută manual de un specialist în securitatea informațiilor, ceea ce este convenabil doar pentru organizațiile foarte mici (până la zece angajați supravegheați).

Tehnologia DLP

Digital Light Processing (DLP) este o tehnologie avansată inventată de Texas Instruments. Datorită acesteia, a devenit posibil să se creeze proiectoare multimedia foarte mici, foarte ușoare (3 kg - este chiar greutatea?) și, totuși, destul de puternice (mai mult de 1000 ANSI Lm).

Scurtă istorie a creației

Cu mult timp în urmă, într-o galaxie îndepărtată...

În 1987, Dr. Larry J. Hornbeck a inventat dispozitiv digital multioglindă(Dispozitiv cu oglindă digitală sau DMD). Această invenție a acoperit zece ani de cercetare Texas Instruments în domeniul micromecanic dispozitive oglinzi deformabile(Dispozitive cu oglindă deformabile sau DMD din nou). Esența descoperirii a fost abandonarea oglinzilor flexibile în favoarea unei matrice de oglinzi rigide cu doar două poziții stabile.

În 1989, Texas Instruments a devenit una dintre cele patru companii selectate pentru a implementa partea „proiector” a programului din SUA. Display de înaltă definiție, finanțat de Advanced Research Projects Administration (ARPA).

În mai 1992, TI demonstrează primul sistem bazat pe DMD care suportă standardul actual de rezoluție ARPA.

Versiunea DMD TV de înaltă definiție (HDTV) bazată pe trei DMD rezoluție înaltă a fost prezentat în februarie 1994.

Vânzările în masă de cipuri DMD au început în 1995.

Tehnologia DLP

Elementul cheie al proiectoarelor multimedia create folosind tehnologia DLP este o matrice de oglinzi microscopice (elementele DMD) din aliaj de aluminiu, care are o reflectivitate foarte mare. Fiecare oglindă este atașată la un substrat rigid, care este conectat la baza matricei prin plăci mobile. Electrozii conectați la celulele de memorie CMOS SRAM sunt plasați în unghiuri opuse ale oglinzilor. Sub influenta câmp electric substratul cu oglinda ia una din cele două poziții, diferând cu exact 20° datorită opritoarelor situate pe baza matricei.

Aceste două poziții corespund reflectării fluxului de lumină care intră în lentilă și, respectiv, un absorbant eficient de lumină, oferind o îndepărtare fiabilă a căldurii și o reflexie minimă a luminii.

Busul de date și matricea în sine sunt proiectate pentru a oferi până la 60 sau mai multe cadre de imagine pe secundă cu o rezoluție de 16 milioane de culori.

Matricea oglinzii, împreună cu CMOS SRAM, formează cristalul DMD - baza tehnologiei DLP.

Dimensiunea mică a cristalului este impresionantă. Zona fiecărei oglinzi matrice este de 16 microni sau mai puțin, iar distanța dintre oglinzi este de aproximativ 1 micron. Cristalul, și mai mult de unul, se potrivește cu ușurință în palma mâinii tale.

În total, dacă Texas Instruments nu ne înșală, sunt produse trei tipuri de cristale (sau cipuri) cu rezoluții diferite. Acest:

• SVGA: 848x600; 508.800 de oglinzi
• XGA: 1024×768 cu deschidere neagră; 786.432 oglinzi
• SXGA: 1280x1024; 1.310.720 oglinzi

Deci avem o matrice, ce putem face cu ea? Ei bine, desigur, iluminați-l cu un flux luminos mai puternic și plasați-l în calea uneia dintre direcțiile reflexiilor oglinzii sistem optic, concentrând imaginea pe ecran. În calea celeilalte direcții, este înțelept să plasați un absorbant de lumină, astfel încât lumina inutilă să nu cauzeze inconveniente. Acum putem proiecta imagini într-o singură culoare. Dar unde este culoarea? Unde este luminozitatea?

Dar aceasta, se pare, a fost invenția tovarășului Larry, despre care a fost discutată în primul paragraf al secțiunii despre istoria creării DLP. Dacă tot nu înțelegi ce se întâmplă, pregătește-te, pentru că acum ți se poate întâmpla un șoc :), pentru că această soluție elegantă și destul de evidentă este astăzi cea mai avansată și tehnologic mai avansată în domeniul proiecției imaginilor.

Amintiți-vă de trucul copiilor cu o lanternă rotativă, lumina din care la un moment dat se îmbină și se transformă într-un cerc luminos. Această glumă a viziunii noastre ne permite să abandonăm în sfârșit sistemele de imagistică analogică în favoarea celor complet digitale. La urma urmei, chiar și monitoarele digitale din ultima etapă sunt de natură analogică.

Dar ce se întâmplă dacă forțăm oglinda să treacă dintr-o poziție în alta la o frecvență înaltă? Dacă neglijăm timpul de comutare al oglinzii (și datorită dimensiunilor sale microscopice, acest timp poate fi complet neglijat), atunci luminozitatea vizibilă va scădea cu nu mai puțin de jumătate.

Schimbând raportul de timp în care oglinda se află într-o poziție și alta, putem schimba cu ușurință luminozitatea aparentă a imaginii.

Și, deoarece frecvența ciclului este foarte, foarte mare, nu va exista nicio urmă de pâlpâire vizibilă. Eureka. Deși nimic special, totul este cunoscut de mult timp :)

Ei bine, acum atingerea finală. Dacă viteza de comutare este suficient de mare, atunci putem plasa secvențial filtre de lumină de-a lungul traseului fluxului de lumină și, prin urmare, putem crea o imagine color.

Aceasta este, de fapt, întreaga tehnologie. Vom urmări evoluția sa ulterioară folosind exemplul proiectoarelor multimedia.

Design proiector DLP

Texas Instruments nu produce proiectoare DLP, multe alte companii fac, cum ar fi 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, etc. Majoritatea proiectoarelor produse sunt portabile, cântărind de la 1,3 la 8 kg și cu o putere de până la 2000 ANSI lumeni. Proiectoarele sunt împărțite în trei tipuri. Proiector cu o singură matrice Cel mai simplu tip pe care l-am descris deja este -

proiector cu o singură matrice

, unde un disc rotativ cu filtre de culoare - albastru, verde și roșu - este plasat între sursa de lumină și matrice. Viteza de rotație a discului determină rata de cadre cu care suntem obișnuiți.

Imaginea este formată alternativ de fiecare dintre culorile primare, rezultând o imagine obișnuită plină de culoare.

Toate, sau aproape toate, proiectoarele portabile sunt construite folosind un tip cu o singură matrice.

O dezvoltare ulterioară a acestui tip de proiector a fost introducerea unui al patrulea filtru transparent de lumină, care face posibilă creșterea semnificativă a luminozității imaginii. Proiector cu trei matrice, unde lumina este împărțită în trei fluxuri de culoare și reflectată din trei matrice simultan. Acest proiector are cea mai pură culoare și rata de cadre, nelimitată de viteza de rotație a discului, cum ar fi proiectoarele cu o singură matrice.

Potrivirea exactă a fluxului reflectat din fiecare matrice (convergență) este asigurată folosind o prismă, așa cum puteți vedea în figură.

Proiector dual matrix

Un tip intermediar de proiector este proiector dual matrix. În acest caz, lumina este împărțită în două fluxuri: roșul este reflectat de o matrice DMD, iar albastrul și verdele sunt reflectate de cealaltă. Filtrul de lumină, în consecință, elimină componentele albastre sau verzi din spectru alternativ.

Un proiector cu matrice dublă oferă o calitate intermediară a imaginii în comparație cu tipurile cu o singură matrice și cu trei matrice.

Comparație dintre proiectoarele LCD și DLP

În comparație cu proiectoarele LCD, proiectoarele DLP au o serie de avantaje importante:

Există dezavantaje ale tehnologiei DLP?

Dar teoria este teorie, dar în practică mai este de făcut. Principalul dezavantaj este imperfecțiunea tehnologiei și, ca urmare, problema lipirii oglinzilor.

Faptul este că, cu astfel de dimensiuni microscopice, piesele mici tind să se „lipească împreună”, iar o oglindă cu o bază nu face excepție.

În ciuda eforturilor depuse de Texas Instruments de a inventa noi materiale care să reducă lipirea microoglinzilor, o astfel de problemă există, așa cum am văzut când am testat un proiector multimedia. Infocus LP340. Dar, trebuie să remarc, nu interferează cu adevărat cu viața.

O altă problemă nu este atât de evidentă și constă în selecția optimă a modurilor de comutare a oglinzilor. Fiecare companie care produce proiectoare DLP are propria sa opinie în acest sens.

Ei bine, un ultim lucru. În ciuda timpului minim pentru comutarea oglinzilor dintr-o poziție în alta, acest proces lasă o urmă abia vizibilă pe ecran. Un fel de antialiasing gratuit.

Dezvoltarea tehnologiei

• Pe lângă introducerea unui filtru de lumină transparent, se lucrează în mod constant pentru a reduce spațiul interoglindă și zona coloanei care atașează oglinda de substrat (punctul negru din mijlocul elementului de imagine).
• Prin împărțirea matricei în blocuri separate și extinderea magistralei de date, frecvența de comutare în oglindă crește.
• Se lucrează pentru creșterea numărului de oglinzi și reducerea dimensiunii matricei.
• Puterea și contrastul fluxului luminos crește constant. În prezent, există deja proiectoare cu trei matrice cu o putere de peste 10.000 ANSI Lm și un raport de contrast de peste 1000:1, care și-au găsit aplicația în cinematografele ultramoderne care folosesc medii digitale.
• Tehnologia DLP este complet pregătită să înlocuiască tehnologia CRT pentru afișarea imaginilor în home theater.

Concluzie

Nu este tot ce se poate spune despre tehnologia DLP, de exemplu, nu am atins subiectul folosirii matricelor DMD în tipărire. Dar vom aștepta până când Texas Instruments va confirma informațiile disponibile din alte surse, pentru a nu vă scăpa o minciună. sper asta o nuvelă Este suficient să obțineți, dacă nu cea mai completă, dar suficientă înțelegere a tehnologiei și să nu chinuiți vânzătorii cu întrebări despre avantajele proiectoarelor DLP față de altele.

Mulțumesc lui Alexey Slepynin pentru ajutorul acordat în pregătirea materialului