Ak budeme v našich definíciách celkom konzistentní, môžeme povedať, že informačná bezpečnosť začala práve s príchodom systémov DLP. Predtým všetky produkty, ktoré sa zaoberali „bezpečnosťou informácií“, v skutočnosti chránili nie informácie, ale infraštruktúru – miesta, kde sa údaje ukladajú, prenášajú a spracúvajú. Počítač, aplikácia alebo kanál, ktorý hostí, spracováva alebo prenáša citlivé informácie, sú týmito produktmi chránené rovnakým spôsobom ako infraštruktúra, ktorá spracováva inak neškodné informácie. To znamená, že až s príchodom produktov DLP sa informačné systémy konečne naučili rozlišovať dôverné informácie od nedôverných informácií. Snáď vďaka integrácii DLP technológií do informačnej infraštruktúry budú môcť firmy výrazne ušetriť na ochrane informácií – napríklad používať šifrovanie len v prípadoch, keď sa uchovávajú alebo prenášajú dôverné informácie, a v iných prípadoch informácie nešifrovať.

To je však záležitosť budúcnosti a v súčasnosti sa tieto technológie využívajú najmä na ochranu informácií pred únikom. Technológie kategorizácie informácií tvoria jadro systémov DLP. Každý výrobca považuje svoje metódy zisťovania dôverných informácií za jedinečné, chráni ich patentmi a prichádza pre ne so špeciálnymi ochrannými známkami. Koniec koncov, zvyšné prvky architektúry, ktoré sa líšia od týchto technológií (protokolové zachytávače, analyzátory formátov, správa incidentov a ukladanie dát) sú pre väčšinu výrobcov identické a pre veľké spoločnosti sú dokonca integrované s inými produktmi bezpečnosti informačnej infraštruktúry. Hlavne na kategorizáciu údajov v bezpečnostných produktoch firemné informácie proti únikom sa používajú dve hlavné skupiny technológií - lingvistická (morfologická, sémantická) analýza a štatistické metódy (Digitálne odtlačky prstov, Dokument DNA, antiplagiátorstvo). Každá technológia má svoje silné a slabé stránky, ktoré určujú rozsah jej aplikácie.

Lingvistická analýza

Použitie zastavovacích slov ("tajné", "dôverné" a podobne) na zablokovanie odchádzajúceho hovoru e-maily V poštové servery možno považovať za predchodcu moderných systémov DLP. To samozrejme nechráni pred útočníkmi – odstránenie zastavovacieho slova, ktoré je najčastejšie umiestnené v samostatnej časti dokumentu, nie je zložité a význam textu sa tým vôbec nezmení.

Impulz k rozvoju lingvistických technológií dali začiatkom tohto storočia tvorcovia emailových filtrov. V prvom rade na ochranu Email zo spamu. V antispamových technológiách teraz prevládajú reputačné metódy, no na začiatku storočia došlo k skutočnej jazykovej vojne medzi projektilom a pancierom – spamermi a antispamermi. Pamätáte si na najjednoduchšie spôsoby oklamania filtrov založených na stop slovách? Nahradenie písmen podobnými písmenami z iných kódovaní alebo čísel, prepis, náhodné medzery, podčiarknutie alebo zalomenie riadkov v texte. Anti-spameri sa rýchlo naučili takéto triky riešiť, ale potom sa objavil grafický spam a iné prefíkané typy nežiaducej korešpondencie.

Využitie antispamových technológií v produktoch DLP je však nemožné bez serióznych úprav. Koniec koncov, na boj proti spamu stačí rozdeliť tok informácií do dvoch kategórií: spam a nespam. Bayesova metóda, ktorá sa používa na detekciu spamu, poskytuje iba binárny výsledok: „áno“ alebo „nie“. Na ochranu firemných údajov pred únikmi to nestačí – nemôžete jednoducho rozdeliť informácie na dôverné a nedôverné. Musíte byť schopní klasifikovať informácie podľa funkčnej príslušnosti (finančná, výrobná, technologická, obchodná, marketingová) a v rámci tried - kategorizovať ich podľa úrovne prístupu (pre voľnú distribúciu, pre obmedzený prístup, pre úradné použitie, tajné, prísne tajné , a tak ďalej).

Väčšina moderné systémy Lingvistická analýza využíva nielen kontextovú analýzu (teda v akom kontexte, v kombinácii s akými inými slovami sa konkrétny výraz používa), ale aj sémantickú analýzu textu. Tieto technológie fungujú tým efektívnejšie, čím väčší je analyzovaný fragment. Analýza sa vykonáva presnejšie na veľkom fragmente textu s skôr je určená kategória a trieda dokumentu. Pri analýze krátkych správ (SMS, internetoví poslovia) ešte nebolo vynájdené nič lepšie ako zastavovacie slová. Autor čelil takémuto problému na jeseň 2008, keď tisíce správ ako „sme prepúšťaní“, „vezmú nám licenciu“, „odliv vkladateľov“, ktoré museli byť okamžite zablokované. klientov, boli odosielané na internet z pracovísk mnohých bánk prostredníctvom instant messengerov.

Výhody technológie

Výhody lingvistických technológií spočívajú v tom, že pracujú priamo s obsahom dokumentov, to znamená, že im nezáleží na tom, kde a ako dokument vznikol, na akom type pečiatky je, alebo ako sa volá spis - dokumenty sú okamžite chránené. Je to dôležité napríklad pri spracovaní návrhov dôverných dokumentov alebo pri ochrane prichádzajúcej dokumentácie. Ak dokumenty vytvorené a používané v rámci spoločnosti môžu byť nejakým spôsobom pomenované, opečiatkované alebo označené špecifickým spôsobom, potom prichádzajúce dokumenty môžu mať pečiatky a štítky, ktoré organizácia neakceptuje. Koncepty (samozrejme, pokiaľ nie sú vytvorené v zabezpečenom systéme správy dokumentov) už môžu obsahovať dôverné informácie, ale ešte neobsahujú potrebné pečiatky a štítky.

Ďalšou výhodou lingvistických technológií je ich schopnosť učiť sa. Ak ste niekedy stlačili poštového klienta tlačidlo „Nie je spam“, potom si už predstavujete klientsku časť školiaceho systému lingvistického motora. Dovoľte mi poznamenať, že absolútne nemusíte byť certifikovaným lingvistom a vedieť, čo sa presne zmení v databáze kategórií - stačí systému uviesť falošne pozitívny výsledok a o zvyšok sa postará sám.

Treťou výhodou lingvistických technológií je ich škálovateľnosť. Rýchlosť spracovania informácií je úmerná ich množstvu a je absolútne nezávislá od počtu kategórií. Zostrojenie hierarchickej databázy kategórií (historicky sa tomu hovorilo BKF – content filtering database, no tento názov už neodráža skutočný význam) vyzeralo donedávna ako istý druh šamanizmu profesionálnych lingvistov, takže zriadenie BKF by mohlo ľahko považovať za nedostatok. S vydaním niekoľkých „autolingvistických“ produktov v roku 2010 sa však vytvorenie primárnej databázy kategórií stalo mimoriadne jednoduchým - systém zobrazuje miesta, kde sú uložené dokumenty určitej kategórie, a sám určuje jazykové vlastnosti tejto kategórie a v prípade falošných poplachov sa učí samostatne. K výhodám lingvistických technológií sa teda teraz pridalo aj ľahké nastavenie.

A ešte jedna výhoda lingvistických technológií, ktorú by som chcel v článku poznamenať, je schopnosť odhaliť kategórie v informačných tokoch, ktoré nesúvisia s dokumentmi umiestnenými v rámci spoločnosti. Nástroj na sledovanie obsahu informačných tokov dokáže identifikovať kategórie ako nelegálne aktivity (pirátstvo, distribúcia zakázaného tovaru), využívanie infraštruktúry spoločnosti na vlastné účely, poškodzovanie imidžu spoločnosti (napríklad šírenie hanlivých fám) a iné. tak ďalej.

Nevýhody technológie

Hlavnou nevýhodou lingvistických technológií je ich závislosť od jazyka. Na analýzu iného jazyka nie je možné použiť lingvistický nástroj navrhnutý pre jeden jazyk. To bolo obzvlášť viditeľné, keď americkí výrobcovia vstúpili na ruský trh - neboli pripravení čeliť ruskej tvorbe slov a prítomnosti šiestich kódovaní. Nestačilo preložiť kategórie a Kľúčové slová- V anglický jazyk tvorenie slov je celkom jednoduché a pády sa dávajú do predložiek, to znamená, že keď sa mení pád, mení sa predložka a nie slovo samotné. Väčšina podstatných mien v angličtine sa stáva slovesami bez zmeny slova. A tak ďalej. V ruštine nie je všetko tak - jeden koreň môže viesť k desiatkam slov rôzne časti reč.

V Nemecku čelili americkí výrobcovia lingvistických technológií ďalšiemu problému - takzvaným „zložkám“, zloženým slovám. V nemčine je zvykom pripájať definície k hlavnému slovu, výsledkom čoho sú slová, ktoré niekedy pozostávajú z tucta koreňov. Nič také neexistuje v anglickom jazyku, kde slovo je sekvencia písmen medzi dvoma medzerami, takže anglický lingvistický stroj nebol schopný spracovať neznáme dlhé slová.

Aby sme boli féroví, treba povedať, že tieto problémy teraz z veľkej časti vyriešili americkí výrobcovia. Jazykový engine musel byť dosť prerobený (a niekedy aj prepísaný), ale veľké trhy v Rusku a Nemecku určite stoja za to. Náročné je aj spracovanie viacjazyčných textov pomocou lingvistických technológií. Väčšina motorov si však stále poradí s dvoma jazykmi, zvyčajne národným jazykom + angličtinou - pre väčšinu obchodných úloh to stačí. Hoci sa autorka stretla s dôvernými textami obsahujúcimi napríklad kazaštinu, ruštinu a angličtinu súčasne, je to skôr výnimka ako pravidlo.

Ďalšou nevýhodou lingvistických technológií na kontrolu celej škály firemných dôverných informácií je, že nie všetky dôverné informácie sú vo forme súvislých textov. Aj keď sú v databázach informácie uložené v textovej forme a nie sú problémy s extrahovaním textu z DBMS, prijaté informácie najčastejšie obsahujú vlastné mená - celé mená, adresy, názvy spoločností, ako aj digitálne informácie - čísla účtov, kreditné karty, ich bilancia a pod. Spracovanie takýchto údajov pomocou lingvistiky neprinesie veľa výhod. To isté možno povedať o CAD/CAM formátoch, teda kresbách, ktoré často obsahujú duševné vlastníctvo, programové kódy a mediálne (video/audio) formáty – niektoré texty sa z nich dajú vytiahnuť, no ich spracovanie je tiež neefektívne. Ešte pred tromi rokmi to platilo aj pre skenované texty, no poprední výrobcovia DLP systémov rýchlo pridali optické rozpoznávanie a s týmto problémom si poradili.

No najväčším a najčastejšie kritizovaným nedostatkom lingvistických technológií je stále pravdepodobnostný prístup ku kategorizácii. Ak ste niekedy čítali e-mail s kategóriou „Pravdepodobne SPAM“, budete vedieť, čo tým myslím. Ak sa to stane so spamom, kde sú len dve kategórie (spam/nie je spam), viete si predstaviť, čo sa stane, keď sa do systému načíta niekoľko desiatok kategórií a tried ochrany súkromia. Hoci trénovaním systému možno dosiahnuť presnosť 92 – 95 %, pre väčšinu používateľov to znamená, že každý desiaty alebo dvadsiaty pohyb informácií bude omylom zaradený do nesprávnej triedy so všetkými z toho vyplývajúcimi obchodnými dôsledkami (únik alebo prerušenie legitímneho procesu).

Väčšinou nebýva zvykom považovať náročnosť vývoja technológií za nevýhodu, no nemožno to ignorovať. Vývoj seriózneho lingvistického motora s kategorizáciou textov do viac ako dvoch kategórií je vedomostne náročný a technologicky pomerne zložitý proces. Aplikovaná lingvistika - rýchlo rozvoj vedy, ktorý dostal silný impulz vo vývoji s rozšírením internetového vyhľadávania, ale dnes je na trhu len niekoľko funkčných kategorizačných nástrojov: pre ruský jazyk sú len dva a pre niektoré jazyky jednoducho nie ešte vyvinuté. Preto je na trhu DLP len niekoľko spoločností, ktoré sú schopné úplne kategorizovať informácie za chodu. Dá sa predpokladať, že keď DLP trh narastie do multimiliardových veľkostí, Google doň bez problémov vstúpi. S vlastným lingvistickým motorom, testovaným na biliónoch vyhľadávacie dopyty naprieč tisíckami kategórií mu nebude ťažké okamžite uchmatnúť vážny kúsok tohto trhu.

Štatistické metódy

Úloha počítačového vyhľadávania významných citátov (prečo práve „významných“ - o niečo neskôr) zaujímala lingvistov už v 70. rokoch minulého storočia, ak nie skôr. Text bol rozdelený na kúsky určitej veľkosti a z každého z nich bol odobratý hash. Ak sa určitá sekvencia hashov vyskytla v dvoch textoch súčasne, potom sa s vysokou pravdepodobnosťou texty v týchto oblastiach zhodovali.

Vedľajším produktom výskumu v tejto oblasti je napríklad „alternatívna chronológia“ Anatolija Fomenka, uznávaného učenca, ktorý pracoval na „textových koreláciách“ a kedysi porovnával ruské kroniky z rôznych historických období. Prekvapený tým, ako veľmi sa kroniky rôznych storočí zhodujú (viac ako 60 %), koncom 70. rokov predložil teóriu, že naša chronológia je o niekoľko storočí kratšia. Preto, keď nejaká DLP spoločnosť vstupujúca na trh ponúka „revolučnú technológiu na vyhľadávanie cenových ponúk“, možno s vysokou pravdepodobnosťou povedať, že spoločnosť nevytvorila nič iné ako novú značku.

Štatistické technológie zaobchádzajú s textami nie ako s koherentným sledom slov, ale s ľubovoľným sledom znakov, a preto fungujú rovnako dobre s textami v akomkoľvek jazyku. Keďže každý digitálny objekt – či už je to obrázok alebo program – je tiež sekvenciou symbolov, rovnaké metódy možno použiť na analýzu nielen textové informácie, ale aj akékoľvek digitálne predmety. A ak sa hash v dvoch zvukových súboroch zhoduje, jeden z nich pravdepodobne obsahuje citát z druhého, takže štatistické metódy sú účinným prostriedkom ochrany pred únikom zvuku a videa, aktívne využívaným v hudobných štúdiách a filmových spoločnostiach.

Je čas vrátiť sa ku konceptu „zmysluplného citátu“. Kľúčovou charakteristikou komplexného hashu prevzatého z chráneného objektu (ktorý sa v rôznych produktoch nazýva buď digitálny odtlačok prsta alebo DNA dokumentu) je krok, v ktorom sa vykoná hash. Ako je zrejmé z popisu, takáto „tlač“ je jedinečnou charakteristikou objektu a zároveň má svoju vlastnú veľkosť. Je to dôležité, pretože ak odoberáte výtlačky z miliónov dokumentov (čo je úložná kapacita priemernej banky), budete potrebovať dostatočné množstvo miesta na disku na uloženie všetkých výtlačkov. Veľkosť takéhoto odtlačku závisí od kroku hash – čím menší krok, tým väčší odtlačok prsta. Ak použijete hash v prírastkoch jedného znaku, veľkosť odtlačku presiahne veľkosť samotnej vzorky. Ak zväčšíte veľkosť kroku (napríklad 10 000 znakov), aby ste znížili „hmotnosť“ odtlačku prsta, potom sa zároveň zvýši pravdepodobnosť, že dokument obsahujúci citát zo vzorky s dĺžkou 9 900 znakov bude dôverný, ale skĺzne cez nepozorovane.

Na druhej strane, ak urobíte veľmi malý krok, niekoľko symbolov, na zvýšenie presnosti detekcie, potom môžete zvýšiť počet falošných poplachov na neprijateľnú hodnotu. Z hľadiska textu to znamená, že z každého písmena by ste nemali odstraňovať hash – všetky slová pozostávajú z písmen a systém bude brať prítomnosť písmen v texte ako obsah citátu z ukážkového textu. Typicky samotní výrobcovia odporúčajú nejaký optimálny krok na odstránenie hashov, aby veľkosť citátu bola dostatočná a zároveň váha samotnej tlače bola malá – od 3 % (text) do 15 % (komprimované video). V niektorých produktoch vám výrobcovia umožňujú zmeniť veľkosť významnosti ponuky, to znamená zvýšiť alebo znížiť hashovací krok.

Výhody technológie

Ako môžete pochopiť z popisu, na zistenie cenovej ponuky potrebujete vzorový objekt. A štatistické metódy dokážu s dobrou presnosťou (až 100 %) povedať, či kontrolovaný súbor obsahuje významnú citáciu vzorky alebo nie. To znamená, že systém nepreberá zodpovednosť za kategorizáciu dokumentov – takáto práca leží výlučne na svedomí osoby, ktorá kategorizovala súbory pred odobratím odtlačkov prstov. To výrazne uľahčuje ochranu informácií, ak podnik ukladá zriedkavo zmenené a už kategorizované súbory na nejaké miesto (miesta). Potom stačí z každého z týchto súborov odobrať odtlačok prsta a systém v súlade s nastaveniami zablokuje prenos alebo kopírovanie súborov obsahujúcich výrazné citácie zo vzoriek.

Nespornou výhodou je aj nezávislosť štatistických metód od jazyka textu a netextových informácií. Sú dobré v ochrane statických digitálnych objektov akéhokoľvek typu - obrázky, audio/video, databázy. O ochrane dynamických objektov budem hovoriť v časti „nevýhody“.

Nevýhody technológie

Ako to už v lingvistike býva, nevýhody technológie sú odvrátenou stranou výhod. Jednoduchosť školenia systému (označte súbor systému a ten je už chránený) presúva zodpovednosť za školenie systému na používateľa. Ak sa dôverný súbor náhle ocitne na nesprávnom mieste alebo nebol indexovaný z nedbalosti alebo so zlým úmyslom, systém ho nebude chrániť. Preto spoločnosti, ktoré sa starajú o ochranu dôverných informácií pred únikom, musia poskytnúť postup na kontrolu toho, ako sú dôverné súbory indexované systémom DLP.

Ďalšou nevýhodou je fyzická veľkosť tlače. Autor opakovane videl pôsobivé pilotné projekty na tlačovinách, keď systém DLP so 100% pravdepodobnosťou blokuje prenos dokumentov obsahujúcich významné citácie z tristo vzorových dokumentov. Po roku prevádzky systému v bojovom režime sa však odtlačok každého odchádzajúceho listu porovnáva nie s troma stovkami, ale s miliónmi vzorových odtlačkov prstov, čo výrazne spomaľuje chod poštového systému a spôsobuje oneskorenia v desiatkach minút. .

Ako som sľúbil vyššie, popíšem svoje skúsenosti s ochranou dynamických objektov pomocou štatistických metód. Čas potrebný na zosnímanie odtlačku priamo závisí od veľkosti a formátu súboru. Pre textový dokument ako tento clanok to trva zlomky sekundy, pri hodine a pol MP4 filmu to trva desiatky sekund. Pre súbory, ktoré sa menia len zriedka, to nie je kritické, ale ak sa objekt mení každú minútu alebo dokonca sekundu, vzniká problém: po každej zmene je potrebné objekt z neho odstrániť. nový odtlačok... Kód, na ktorom programátor pracuje, nie je najväčšia zložitosť, oveľa horšie je to s databázami používanými vo fakturácii, základných bankových systémoch alebo call centrách. Ak je čas na odtlačok prsta dlhší ako čas, počas ktorého objekt zostane nezmenený, problém nemá riešenie. Nejde o až taký exotický prípad – napríklad odtlačok prsta databázy uchovávajúcej telefónne čísla klientov federálnej mobilného operátora, natáčanie trvá niekoľko dní a mení sa každú sekundu. Takže keď predajca DLP tvrdí, že jeho produkt môže chrániť vašu databázu, v duchu pridajte slovo „kvázistatický“.

Jednota a boj protikladov

Ako je zrejmé z predchádzajúcej časti článku, sila jednej technológie sa prejavuje tam, kde je iná slabá. Lingvistika nepotrebuje vzorky, kategorizuje údaje za chodu a môže chrániť informácie, ktoré neboli odobraté náhodne alebo úmyselne. Odtlačok prsta poskytuje lepšiu presnosť, a preto je vhodnejší na použitie v automatický režim. Lingvistika funguje skvele s textami, odtlačky prstov fungujú dobre s inými formátmi ukladania informácií.

Preto väčšina popredných spoločností používa pri svojom vývoji obe technológie, pričom jedna z nich je hlavná a druhá doplnková. Je to spôsobené tým, že produkty firmy spočiatku využívali len jednu technológiu, v ktorej firma napredovala ďalej a následne podľa dopytu trhu pribudla druhá. Napríklad InfoWatch predtým používal iba licencovanú lingvistickú technológiu Morph-OLogic a Websense využíval technológiu PreciseID, ktorá patrí do kategórie Digital Fingerprint, no teraz spoločnosti používajú obe metódy. V ideálnom prípade by sa tieto dve technológie nemali používať paralelne, ale postupne. Odtlačky prstov napríklad lepšie zvládnu určenie typu dokumentu – či je to napríklad zmluva alebo súvaha. Potom môžete pripojiť lingvistickú databázu vytvorenú špeciálne pre túto kategóriu. To výrazne šetrí výpočtové zdroje.

Niekoľko ďalších typov technológií používaných v produktoch DLP je nad rámec tohto článku. Patrí medzi ne napríklad analyzátor štruktúry, ktorý vám umožňuje nájsť formálne štruktúry v objektoch (čísla kreditných kariet, pasy, daňové identifikačné čísla atď.), ktoré nie je možné odhaliť ani pomocou lingvistiky, ani pomocou odtlačkov prstov. Téma tiež nie je zverejnená odlišné typyštítky - od záznamov v poliach atribútov súboru alebo jednoducho špeciálneho názvu súboru až po špeciálne kryptokontajnery. Posledná uvedená technológia sa stáva zastaranou, pretože väčšina výrobcov radšej nevynájde koleso sama, ale integruje sa s výrobcami systémov DRM, ako sú Oracle IRM alebo Microsoft RMS.

Produkty DLP sú rýchlo rastúcim odvetvím informačná bezpečnosť, niektorí výrobcovia vydávajú nové verzie veľmi často, viac ako raz za rok. Tešíme sa na objavenie sa nových technológií na analýzu podnikov informačné pole zvýšiť efektívnosť ochrany dôverných informácií.

Ponúkame celý rad markerov, ktoré vám pomôžu vyťažiť maximum z akéhokoľvek systému DLP.

DLP-systémy: čo to je?

Pripomeňme, že systémy DLP (Data Loss/Leak Prevention) umožňujú ovládať všetky kanály sieťová komunikácia spoločnosti (pošta, internet, systémy okamžitých správ, flash disky, tlačiarne atď.). Ochrana pred únikom informácií je dosiahnutá inštaláciou agentov na všetky počítače zamestnancov, ktorí zhromažďujú informácie a prenášajú ich na server. Niekedy sa informácie zhromažďujú cez bránu pomocou technológií SPAN. Informácie sa analyzujú a potom systémový alebo bezpečnostný pracovník rozhodne o incidente.

Vaša spoločnosť teda zaviedla systém DLP. Aké kroky je potrebné urobiť, aby systém fungoval efektívne?

1. Správne nakonfigurujte bezpečnostné pravidlá

Predstavme si, že v systéme obsluhujúcom 100 počítačov bolo vytvorené pravidlo „Opravte všetku korešpondenciu so slovom „dohoda.“ Takéto pravidlo vyvolá veľké množstvo incidentov, pri ktorých sa môže stratiť skutočný únik.

Navyše, nie každá spoločnosť si môže dovoliť mať celý tím zamestnancov monitorujúcich incidenty.

Nástroje na vytváranie efektívnych pravidiel a sledovanie výsledkov ich práce pomôžu zvýšiť užitočnosť pravidiel. Každý systém DLP má funkcie, ktoré vám to umožňujú.

Vo všeobecnosti metodika zahŕňa analýzu nahromadenej databázy incidentov a vytváranie rôznych kombinácií pravidiel, ktoré v ideálnom prípade vedú k výskytu 5-6 skutočne naliehavých incidentov denne.

2. V pravidelných intervaloch aktualizujte bezpečnostné pravidlá

Prudký pokles alebo nárast počtu incidentov je indikátorom, že sú potrebné úpravy pravidiel. Dôvodom môže byť, že pravidlo stratilo svoju relevantnosť (používatelia prestali pristupovať určité súbory) alebo sa zamestnanci pravidlo naučili a už nevykonávajú úkony zakázané systémom (DLP - školiaci systém). Prax však ukazuje, že ak sa naučíte jedno pravidlo, na susednom mieste sa potenciálne riziká úniku zvýšili.

Pri prevádzke podniku by ste mali venovať pozornosť aj sezónnosti. Počas roka kľúčové parametre, súvisiace so špecifikami práce spoločnosti, sa môžu meniť. Napríklad pre veľkoobchodného dodávateľa drobného vybavenia budú bicykle relevantné na jar a snežné skútre na jeseň.

3. Zvážte algoritmus reakcie na incidenty

Existuje niekoľko prístupov k reakcii na incidenty. Pri testovaní a prevádzke DLP systémov ľudia väčšinou nie sú upozornení na zmeny. Účastníci incidentov sú len pozorovaní. Keď sa nahromadí kritické množstvo, komunikuje s nimi zástupca bezpečnostného oddelenia alebo oddelenia ľudských zdrojov. Práca s používateľmi je v budúcnosti často prenechaná zástupcom bezpečnostného oddelenia. Vznikajú minikonflikty a v tíme sa hromadí negativita. Môže prerásť do zámernej sabotáže zamestnancov voči firme. Dôležité je udržiavať rovnováhu medzi požiadavkou disciplíny a udržiavaním zdravej atmosféry v tíme.

4. Skontrolujte fungovanie režimu blokovania

V systéme existujú dva režimy reakcie na incident – ​​fixácia a blokovanie. Ak je zablokovaná každá skutočnosť o odoslaní listu alebo pripojení pripojeného súboru na flash disk, spôsobí to používateľovi problémy. Zamestnanci často útočia systémový administrátoržiadosti o odblokovanie niektorých funkcií, môže byť s takýmito nastaveniami nespokojný aj manažment. Výsledkom je, že systém DLP a spoločnosť dostávajú negatívnu spätnú väzbu, systém je zdiskreditovaný a demaskovaný.

5. Skontrolujte, či bol zavedený režim obchodného tajomstva

Poskytuje možnosť utajiť určité informácie a tiež zaväzuje každú osobu, ktorá o nich vie, niesť plnú právnu zodpovednosť za ich zverejnenie. V prípade závažného úniku informácií za súčasného režimu obchodného tajomstva v podniku môže byť porušovateľovi vymáhaná výška skutočnej a morálnej ujmy súdnou cestou v súlade s 98-FZ „O obchodnom tajomstve“.

Dúfame, že tieto tipy pomôžu znížiť počet neúmyselných únikov vo firmách, pretože práve s nimi sú systémy DLP navrhnuté tak, aby úspešne bojovali. Netreba však zabúdať ani na komplexný systém informačnej bezpečnosti a na to, že úmyselné úniky informácií si vyžadujú osobitnú, zvýšenú pozornosť. Existovať moderné riešenia, ktoré umožňujú doplniť funkcionalitu Systémy DLP a výrazne znížiť riziko úmyselných únikov. Jeden z vývojárov ponúka napríklad zaujímavú technológiu – keď sa podozrivo často pristupuje k dôverným súborom, webová kamera sa automaticky zapne a začne nahrávať. Práve tento systém umožnil zaznamenať, ako nešťastný zlodej aktívne robil screenshoty pomocou mobilnej kamery.

Oleg Necheukhin, odborník na obranu informačné systémy, "Contour.Safety"

Aj tie najmódnejšie IT výrazy sa musia používať primerane a čo najsprávnejšie. Aspoň preto, aby nedošlo k zavádzaniu spotrebiteľov. Určite sa stalo módou považovať sa za výrobcu DLP riešení. Napríklad na nedávnej výstave CeBIT-2008 bolo na stánkoch výrobcov nielen vo svete málo známych antivírusov a proxy serverov, ale dokonca aj firewallov, často vidieť nápis „DLP solution“. Občas bol pocit, že za najbližším rohom vidno akýsi CD ejector (program ovládajúci otváranie CD mechaniky) s hrdým sloganom podnikového DLP riešenia. A napodiv, každý z týchto výrobcov mal spravidla viac-menej logické vysvetlenie pre takéto umiestnenie svojho produktu (samozrejme, okrem túžby získať „úžitok“ z módneho pojmu).

Predtým, ako zvážime trh výrobcov DLP systémov a jeho hlavných hráčov, mali by sme sa rozhodnúť, čo rozumieme pod pojmom DLP systém. Uskutočnilo sa mnoho pokusov definovať túto triedu informačných systémov: ILD&P - Information Leakage Detection & Prevention („identifikácia a prevencia úniku informácií“, termín bol navrhnutý IDC v roku 2007), ILP – Information Leakage Protection („ochrana pred informáciami“ úniky“, Forrester , 2006), ALS - Anti-Leakage Software (“anti-leakage software”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (podobne ako Intrusion-prevention system).

Ale názov DLP - Data Loss Prevention (alebo Data Leak Prevention, ochrana pred únikom dát), navrhnutý v roku 2005, sa napriek tomu ustálil ako bežne používaný výraz V ruštine (skôr ako preklad, ale podobný výraz) je výraz „. systémy ochrany dôverných informácií“ boli prijaté údaje z vnútorných hrozieb. Zároveň pod vnútorné hrozby sa týka zneužitia (úmyselného alebo náhodného) ich právomocí zamestnancami organizácie, ktorí majú zákonné práva na prístup k príslušným údajom.

Najharmonickejšie a najkonzistentnejšie kritériá pre príslušnosť k systémom DLP predložila výskumná agentúra Forrester Research počas svojej výročnej štúdie o tomto trhu. Navrhli štyri kritériá, podľa ktorých možno systém klasifikovať ako DLP. 1.

Viackanálový. Systém musí byť schopný monitorovať niekoľko možných kanálov úniku dát. V sieťovom prostredí ide prinajmenšom o e-mail, web a okamžité správy (instant messenger) a nielen o skenovanie poštovej prevádzky alebo aktivity databázy. Zapnuté pracovná stanica- sledovanie operácií so súbormi, práca so schránkou, ako aj kontrola e-mailu, webu a IM. 2.

Jednotné riadenie. Systém musí mať jednotné nástroje na správu politiky informačnej bezpečnosti, analýzy a reportovanie udalostí naprieč všetkými monitorovacími kanálmi. 3.

Aktívna ochrana. Systém by mal nielen odhaliť porušenie bezpečnostnej politiky, ale v prípade potreby aj vynútiť jej dodržiavanie. Napríklad blokovať podozrivé správy. 4.

Na základe týchto kritérií spoločnosť Forrester v roku 2008 vybrala zoznam 12 výrobcov na preskúmanie a hodnotenie softvér(sú uvedené nižšie v abecednom poradí, pričom v zátvorkách je uvedený názov spoločnosti, ktorú tento predajca získal za účelom vstupu na trh systémov DLP):

1. Zelený kód;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. Reconnex;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. Podiel práce.

Dnes sú z vyššie uvedených 12 predajcov na ruskom trhu zastúpené v tej či onej miere iba InfoWatch a Websense. Zvyšok buď v Rusku nepracuje vôbec, alebo len oznámil svoj zámer začať predávať DLP riešenia (Trend Micro).

Vzhľadom na funkčnosť systémov DLP analytici (Forrester, Gartner, IDC) zavádzajú kategorizáciu objektov ochrany - typy informačných objektov, ktoré sa majú monitorovať. Takáto kategorizácia umožňuje na prvý pohľad posúdiť rozsah aplikácie konkrétneho systému. Existujú tri kategórie monitorovacích objektov.

1. Data-in-motion (data v pohybe) - emailové správy, internetové pagery, peer-to-peer siete, prenosy súborov, webový prenos a iné typy správ, ktoré možno prenášať cez komunikačné kanály. 2. Data v pokoji (uložené dáta) - informácie o pracovných staniciach, notebookoch, súborových serveroch, špecializovaných úložiskách, USB zariadeniach a iných typoch zariadení na ukladanie dát.

3. Data-in-use (data in use) - informácie spracované v tento moment.

V súčasnosti sú na našom trhu asi dve desiatky domácich a zahraničných produktov, ktoré majú niektoré z vlastností DLP systémov. Stručná informácia o nich v duchu vyššie uvedenej klasifikácie sú uvedené v tabuľke. 1 a 2. Tiež v tabuľke. 1 zaviedol parameter ako „centralizované ukladanie a audit údajov“, čo znamená schopnosť systému ukladať údaje do jedného úložiska (pre všetky monitorovacie kanály) na ďalšiu analýzu a audit. Táto funkcionalita nadobudla v poslednom čase mimoriadny význam nielen kvôli požiadavkám rôznych legislatívnych aktov, ale aj vďaka svojej obľúbenosti u zákazníkov (na základe skúseností z realizovaných projektov). Všetky informácie uvedené v týchto tabuľkách sú prevzaté z verejných zdrojov a marketingových materiálov príslušných spoločností.

Na základe údajov uvedených v tabuľkách 1 a 2 môžeme konštatovať, že dnes sú v Rusku prezentované iba tri systémy DLP (od spoločností InfoWatch, Perimetrix a WebSence). Medzi ne patrí aj nedávno ohlásený integrovaný produkt od Jet Infosystem (SKVT+SMAP), keďže bude pokrývať viacero kanálov a bude mať jednotnú správu bezpečnostných politík.

Je dosť ťažké hovoriť o trhových podieloch týchto produktov v Rusku, pretože väčšina spomenutých výrobcov nezverejňuje objemy predaja, počet klientov a chránených pracovných staníc a obmedzuje sa iba na marketingové informácie. Môžeme len s istotou povedať, že hlavnými dodávateľmi sú v súčasnosti:

• Dozor systémy, prítomné na trhu od roku 2001;
• produkty InfoWatch predávané od roku 2004;
• WebSense CPS (začal sa predávať v Rusku a po celom svete v roku 2007);
• Perimetrix (mladá spoločnosť, ktorej prvá verzia produktov bola oznámená na jej webovej stránke koncom roka 2008).

Na záver by som chcel dodať, že to, či niektorý patrí alebo nepatrí do triedy DLP systémov, nerobí produkty horšími alebo lepšími – ide len o klasifikáciu a nič viac.

Dnes je trh so systémami DLP jedným z najrýchlejšie rastúcich spomedzi všetkých nástrojov informačnej bezpečnosti. Domáci sektor informačnej bezpečnosti však ešte celkom nedrží krok so svetovými trendmi, a preto má trh so systémami DLP u nás svoje špecifiká.

Čo sú to DLP a ako fungujú?

Predtým, ako hovoríme o trhu so systémami DLP, je potrebné určiť, čo presne znamená, keď sa hovorí o takýchto riešeniach. Systémy DLP sa zvyčajne chápu ako softvérové ​​produkty chráni organizácie pred únikom dôverných informácií. Samotná skratka DLP znamená Data Leak Prevention, teda predchádzanie úniku dát.

Systémy tohto druhu vytvárajú bezpečný digitálny „obvod“ okolo organizácie a analyzujú všetky odchádzajúce a v niektorých prípadoch aj prichádzajúce informácie. Kontrolovanými informáciami by nemal byť len internetový prenos, ale aj množstvo ďalších informačných tokov: dokumenty, ktoré sa dostanú mimo chránenú bezpečnostnú slučku, aby externé médiá, vytlačené na tlačiarni, odoslané na mobilné médiá cez Bluetooth atď.

Keďže systém DLP musí zabrániť úniku dôverných informácií, musí mať zabudované mechanizmy na určenie stupňa dôvernosti dokumentu zisteného v odpočúvanej prevádzke. Spravidla sú najbežnejšie dve metódy: analýzou špeciálnych značiek dokumentov a analýzou obsahu dokumentu. Druhá možnosť je teraz bežnejšia, pretože je odolná voči úpravám vykonaným v dokumente pred jeho odoslaním a tiež umožňuje jednoducho rozšíriť počet dôverných dokumentov, s ktorými môže systém pracovať.

"Vedľajšie" úlohy DLP

Systémy DLP sa okrem svojej hlavnej úlohy súvisiacej s predchádzaním úniku informácií výborne hodia aj na riešenie množstva ďalších úloh súvisiacich s monitorovaním personálnych akcií.

Systémy DLP sa najčastejšie používajú na riešenie nasledujúcich vedľajších úloh:

• sledovanie využívania pracovného času a pracovných zdrojov zamestnancami;
• monitorovanie komunikácie zamestnancov s cieľom identifikovať „tajné“ boje, ktoré by mohli poškodiť organizáciu;
• kontrola zákonnosti konania zamestnancov (prevencia tlače falošných dokumentov atď.);
• identifikácia zamestnancov rozosielajúcich životopisy na rýchle vyhľadávanie špecialistov na voľné pozície.

Vzhľadom na to, že mnohé organizácie považujú množstvo týchto úloh (najmä kontrolu využívania pracovného času) za prioritnejšie ako ochranu pred únikom informácií, vzniklo množstvo programov, ktoré sú na to určené, ale môžu v niektoré prípady fungujú aj ako prostriedok na ochranu organizácie pred únikmi. To, čo odlišuje takéto programy od plnohodnotných systémov DLP, je nedostatok vyvinutých nástrojov na analýzu zachytených údajov, ktoré musí vykonávať manuálne špecialista na informačnú bezpečnosť, čo je vhodné len pre veľmi malé organizácie (do desiatich zamestnancov pod dohľadom).

Technológia DLP

Digital Light Processing (DLP) je pokročilá technológia vynájdená spoločnosťou Texas Instruments. Vďaka nej bolo možné vytvárať veľmi malé, veľmi ľahké (3 kg - je to naozaj hmotnosť?) a napriek tomu pomerne výkonné (viac ako 1000 ANSI Lm) multimediálne projektory.

Stručná história stvorenia

Kedysi dávno, vo vzdialenej galaxii...

V roku 1987 Dr. Larry J. Hornbeck vynašiel digitálne multizrkadlové zariadenie(Digital Micromirror Device alebo DMD). Tento vynález zavŕšil desať rokov výskumu mikromechanických zariadení Texas Instruments deformovateľné zrkadlové zariadenia(Deformable Mirror Devices alebo opäť DMD). Podstatou objavu bolo upustenie od flexibilných zrkadiel v prospech matice tuhých zrkadiel len s dvoma stabilnými polohami.

V roku 1989 sa Texas Instruments stala jednou zo štyroch spoločností vybraných na implementáciu „projektorovej“ časti amerického programu. Displej s vysokým rozlíšením, financovaný Administráciou projektov pokročilého výskumu (ARPA).

V máji 1992 TI demonštruje prvý systém založený na DMD, ktorý podporuje moderný štandard rozlíšenia ARPA.

Verzia DMD s vysokým rozlíšením TV (HDTV) založená na troch DMD s vysokým rozlíšením bol predstavený vo februári 1994.

Masový predaj DMD čipov sa začal v roku 1995.

Technológia DLP

Kľúčovým prvkom multimediálnych projektorov vytvorených technológiou DLP je matrica mikroskopických zrkadiel (DMD prvkov) vyrobená z hliníkovej zliatiny, ktorá má veľmi vysokú odrazivosť. Každé zrkadlo je pripevnené k pevnému substrátu, ktorý je spojený s matricou pomocou pohyblivých dosiek. Elektródy pripojené k pamäťovým bunkám CMOS SRAM sú umiestnené v opačných uhloch zrkadiel. Pod vplyvom elektrické pole substrát so zrkadlom zaujíma jednu z dvoch polôh, ktoré sa líšia presne o 20° vďaka dorazom umiestneným na základni matrice.

Tieto dve polohy zodpovedajú odrazu prichádzajúceho svetelného toku do šošovky a účinného absorbéra svetla, ktorý poskytuje spoľahlivý odvod tepla a minimálny odraz svetla.

Dátová zbernica a samotná matica sú navrhnuté tak, aby poskytovali až 60 alebo viac snímok za sekundu s rozlíšením 16 miliónov farieb.

Zrkadlová matrica spolu s CMOS SRAM tvorí kryštál DMD - základ technológie DLP.

Malá veľkosť kryštálu je pôsobivá. Plocha každého matricového zrkadla je 16 mikrónov alebo menej a vzdialenosť medzi zrkadlami je približne 1 mikrón. Kryštál a viac ako jeden sa ľahko zmestí do dlane.

Celkovo, ak nás Texas Instruments neklame, sa vyrábajú tri typy kryštálov (alebo čipov) s rôznym rozlíšením. toto:

• SVGA: 848 x 600; 508 800 zrkadiel
• XGA: 1024×768 s čiernou clonou; 786 432 zrkadiel
• SXGA: 1280 x 1024; 1 310 720 zrkadiel

Takže máme matricu, čo s ňou môžeme robiť? No, samozrejme, osvetlite ho výkonnejším svetelným tokom a umiestnite ho do dráhy jedného zo smerov zrkadlových odrazov optický systém, zaostrenie obrazu na obrazovku. V dráhe druhého smeru je rozumné umiestniť pohlcovač svetla, aby zbytočné svetlo nespôsobovalo nepríjemnosti. Teraz môžeme premietať jednofarebné obrázky. Ale kde je farba? Kde je jas?

Zdá sa však, že toto bol vynález súdruha Larryho, o ktorom sa hovorilo v prvom odseku časti o histórii vytvorenia DLP. Ak stále nechápete, o čo ide, pripravte sa, pretože teraz sa vám môže stať šok :), pretože toto samozrejmé elegantné a celkom samozrejmé riešenie je dnes najpokročilejšie a technologicky najpokročilejšie v oblasti premietania obrazu.

Spomeňte si na detský trik s otočnou baterkou, z ktorej sa svetlo v určitom bode spája a mení sa na svetelný kruh. Tento vtip našej vízie nám umožňuje konečne opustiť analógové zobrazovacie systémy v prospech úplne digitálnych. Koniec koncov, dokonca aj digitálne monitory v poslednej fáze sú analógového charakteru.

Čo sa však stane, ak prinútime zrkadlo prepínať z jednej polohy do druhej pri vysokej frekvencii? Ak zanedbáme čas spínania zrkadla (a vzhľadom na jeho mikroskopické rozmery možno tento čas úplne zanedbať), potom viditeľný jas klesne nie menej ako o polovicu. Zmenou pomeru času, počas ktorého je zrkadlo v jednej a druhej polohe, môžeme ľahko zmeniť zdanlivý jas obrazu. A keďže frekvencia cyklu je veľmi, veľmi vysoká, nebude tam žiadna stopa po akomkoľvek viditeľnom blikaní. Eureka. Aj keď to nie je nič zvláštne, toto všetko je známe už dávno :)

No a teraz posledný dotyk. Ak je rýchlosť prepínania dostatočne vysoká, môžeme postupne umiestňovať svetelné filtre pozdĺž dráhy svetelného toku a tým vytvárať farebný obraz.

To je v skutočnosti celá technológia. Jeho ďalší evolučný vývoj budeme sledovať na príklade multimediálnych projektorov.

Dizajn DLP projektora

Texas Instruments nevyrába DLP projektory, vyrába ich mnoho iných spoločností, ako napríklad 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, atď. Väčšina vyrobených projektorov je prenosná, s hmotnosťou od 1,3 do 8 kg a výkonom až 2000 ANSI lúmenov. Projektory sú rozdelené do troch typov.

Jednomaticový projektor

Najjednoduchší typ, ktorý sme už opísali, je - jednomaticový projektor, kde je medzi svetelný zdroj a matricu umiestnený rotačný disk s farebnými filtrami – modrým, zeleným a červeným. Rýchlosť otáčania disku určuje snímkovú frekvenciu, na ktorú sme zvyknutí.

Obraz je tvorený striedavo každou zo základných farieb, výsledkom čoho je pravidelný plnofarebný obraz.

Všetky alebo takmer všetky prenosné projektory sú vyrobené pomocou typu s jednou maticou.

Ďalším vývojom tohto typu projektora bolo zavedenie štvrtého, transparentného svetelného filtra, ktorý umožňuje výrazne zvýšiť jas obrazu.

Trojmaticový projektor

Najkomplexnejší typ projektora je trojmaticový projektor, kde je svetlo rozdelené do troch farebných prúdov a odrazené od troch matríc naraz. Tento projektor má najčistejšie farby a snímkovú frekvenciu, ktorá nie je obmedzená rýchlosťou otáčania disku, ako napríklad projektory s jednou maticou.

Presné prispôsobenie odrazeného toku z každej matice (konvergencia) je zabezpečené pomocou hranola, ako môžete vidieť na obrázku.

Dvojmaticový projektor

Stredný typ projektora je duálny maticový projektor. V tomto prípade je svetlo rozdelené do dvoch prúdov: červená sa odráža od jednej matice DMD a modrá a zelená sa odráža od druhej. Svetelný filter teda zo spektra striedavo odstraňuje modré alebo zelené zložky.

Projektor s dvoma maticami poskytuje strednú kvalitu obrazu v porovnaní s typmi s jednou maticou a tromi maticami.

Porovnanie LCD a DLP projektorov

V porovnaní s LCD projektormi majú DLP projektory niekoľko dôležitých výhod:

Má technológia DLP nejaké nevýhody?

Ale teória je teória, ale v praxi je stále na čom pracovať. Hlavnou nevýhodou je nedokonalosť techniky a v dôsledku toho problém s lepením zrkadiel.

Faktom je, že pri takýchto mikroskopických veľkostiach majú malé časti tendenciu „zlepovať sa“ a zrkadlo so základňou nie je výnimkou.

Napriek úsiliu Texas Instruments vynájsť nové materiály, ktoré znižujú lepenie mikrozrkadiel, takýto problém existuje, ako sme videli pri testovaní multimediálneho projektora. Infocus LP340. Ale musím poznamenať, že to skutočne nezasahuje do života.

Ďalší problém už nie je taký zjavný a spočíva v optimálnom výbere režimov prepínania zrkadiel. Každá spoločnosť vyrábajúca DLP projektory má na túto vec svoj názor.

No a posledná vec. Napriek minimálnemu času na prepnutie zrkadiel z jednej polohy do druhej zanecháva tento proces na obrazovke sotva znateľné stopy. Akýsi bezplatný antialiasing.

Vývoj technológií

• Okrem zavedenia priehľadného svetelného filtra sa neustále pracuje na zmenšení medzizrkadlového priestoru a plochy stĺpika, ktorý pripevňuje zrkadlo k substrátu (čierna bodka v strede obrazového prvku).
• Rozdelením matice na samostatné bloky a rozšírením dátovej zbernice sa frekvencia prepínania zrkadiel zvyšuje.
• Pracuje sa na zvýšení počtu zrkadiel a zmenšení veľkosti matrice.
• Sila a kontrast svetelného toku sa neustále zvyšuje. V súčasnosti už existujú trojmaticové projektory s výkonom nad 10 000 ANSI Lm a kontrastným pomerom nad 1000:1, ktoré našli svoje uplatnenie v ultramoderných kinách využívajúcich digitálne médiá.
• Technológia DLP je úplne pripravená nahradiť technológiu CRT pre zobrazovanie obrazu v domácich kinách.

Záver

To nie je všetko, čo by sa dalo povedať o technológii DLP, napríklad sme sa nedotkli témy použitia matíc DMD v tlači. Počkáme si však, kým Texas Instruments potvrdí dostupné informácie z iných zdrojov, aby sme vám neklamali. Dúfam, že toto krátky príbeh Stačí, ak nie úplne, ale dostatočne pochopíte technológiu a nebudete mučiť predajcov otázkami o výhodách DLP projektorov oproti ostatným.

Ďakujem Alexejovi Slepyninovi za pomoc pri príprave materiálu