Если быть достаточно последовательным в определениях, то можно сказать, что информационная безопасность началась именно с появления DLP-систем. До этого все продукты, которые занимались "информационной безопасностью", на самом деле защищали не информацию, а инфраструктуру - места хранения, передачи и обработки данных. Компьютер, приложение или канал, в которых находится, обрабатывается или передается конфиденциальная информация, защищаются этими продуктами точно так же, как и инфраструктура, в которой обращается совершенно безобидная информация. То есть именно с появлением DLP-продуктов информационные системы научились наконец-то отличать конфиденциальную информацию от неконфиденциальной. Возможно, с встраиванием DLP-технологий в информационную инфраструктуру компании смогут сильно сэкономить на защите информации - например, использовать шифрование только в тех случаях, когда хранится или передается конфиденциальная информация, и не шифровать информацию в других случаях.

Однако это дело будущего, а в настоящем данные технологии используются в основном для защиты информации от утечек. Технологии категоризации информации составляют ядро DLP-систем. Каждый производитель считает свои методы детектирования конфиденциальной информации уникальными, защищает их патентами и придумывает для них специальные торговые марки. Ведь остальные, отличные от этих технологий, элементы архитектуры (перехватчики протоколов, парсеры форматов, управление инцидентами и хранилища данных) у большинства производителей идентичны, а у крупных компаний даже интегрированы с другими продуктами безопасности информационной инфраструктуры. В основном для категоризации данных в продуктах по защите корпоративной информации от утечек используются две основных группы технологий - лингвистический (морфологический, семантический) анализ и статистические методы (Digital Fingerprints, Document DNA, антиплагиат). Каждая технология имеет свои сильные и слабые стороны, которые определяют область их применения.

Лингвистический анализ

Использование стоп-слов ("секретно", "конфиденциально" и тому подобных) для блокировки исходящих электронных сообщений в почтовых серверах можно считать прародителем современных DLPсистем. Конечно, от злоумышленников это не защищает - удалить стоп-слово, чаще всего вынесенное в отдельный гриф документа, не составляет труда, при этом смысл текста нисколько не изменится.

Толчок в разработке лингвистических технологий был сделан в начале этого века создателями email-фильтров. Прежде всего, для защиты электронной почты от спама. Это сейчас в антиспамовских технологиях преобладают репутационные методы, а в начале века шла настоящая лингвистическая война между снарядом и броней - спамерами и антиспамерами. Помните простейшие методы для обмана фильтров, базирующихся на стоп-словах? Замена букв на похожие буквы из других кодировок или цифры, транслит, случайным образом расставленные пробелы, подчеркивания или переходы строк в тексте. Антиспамеры довольно быстро научились бороться с такими хитростями, но тогда появился графический спам и прочие хитрые разновидности нежелательной корреспонденции.

Однако использовать антиспамерские технологии в DLP-продуктах без серьезной доработки невозможно. Ведь для борьбы со спамом достаточно делить информационный поток на две категории: спам и не спам. Метод Байеса, который используется при детектировании спама, дает только бинарный результат: "да" или "нет". Для защиты корпоративных данных от утечек этого недостаточно - нельзя просто делить информацию на конфиденциальную и неконфиденциальную. Нужно уметь классифицировать информацию по функциональной принадлежности (финансовая, производственная, технологическая, коммерческая, маркетинговая), а внутри классов - категоризировать ее по уровню доступа (для свободного распространения, для ограниченного доступа, для служебного использования, секретная, совершенно секретная и так далее).

Большинство современных систем лингвистического анализа используют не только контекстный анализ (то есть в каком контексте, в сочетании с какими другими словами используется конкретный термин), но и семантический анализ текста. Эти технологии работают тем эффективнее, чем больше анализируемый фрагмент. На большом фрагменте текста точнее проводится анализ, с большей вероятностью определяется категория и класс документа. При анализе же коротких сообщений (SMS, интернет-пейджеры) ничего лучшего, чем стоп-слова, до сих пор не придумано. Автор столкнулся с такой задачей осенью 2008 года, когда с рабочих мест многих банков через мессенджеры пошли в Сеть тысячи сообщений типа "нас сокращают", "отберут лицензию", "отток вкладчиков", которые нужно было немедленно заблокировать у своих клиентов.

Достоинства технологии

Достоинства лингвистических технологий в том, что они работают напрямую с содержанием документов, то есть им не важно, где и как был создан документ, какой на нем гриф и как называется файл - документы защищаются немедленно. Это важно, например, при обработке черновиков конфиденциальных документов или для защиты входящей документации. Если документы, созданные и использующиеся внутри компании, еще как-то можно специфическим образом именовать, грифовать или метить, то входящие документы могут иметь не принятые в организации грифы и метки. Черновики (если они, конечно, не создаются в системе защищенного документооборота) тоже могут уже содержать конфиденциальную информацию, но еще не содержать необходимых грифов и меток.

Еще одно достоинство лингвистических технологий - их обучаемость. Если ты хоть раз в жизни нажимал в почтовом клиенте кнопку "Не спам", то уже представляешь клиентскую часть системы обучения лингвистического движка. Замечу, что тебе совершенно не нужно быть дипломированным лингвистом и знать, что именно изменится в базе категорий - достаточно указать системе ложное срабатывание, все остальное она сделает сама.

Третьим достоинством лингвистических технологий является их масштабируемость. Скорость обработки информации пропорциональна ее количеству и абсолютно не зависит от количества категорий. До недавнего времени построение иерархической базы категорий (исторически ее называют БКФ - база контентной фильтрации, но это название уже не отражает настоящего смысла) выглядело неким шаманством профессиональных лингвистов, поэтому настройку БКФ можно было смело отнести к недостаткам. Но с выходом в 2010 сразу нескольких продуктов-"автолингвистов" построение первичной базы категорий стало предельно простым - системе указываются места, где хранятся документы определенной категории, и она сама определяет лингвистические признаки этой категории, а при ложных срабатываниях - самостоятельно обучается. Так что теперь к достоинствам лингвистических технологий добавилась простота настройки.

И еще одно достоинство лингвистических технологий, которое хочется отметить в статье - возможность детектировать в информационных потоках категории, не связанные с документами, находящимися внутри компании. Инструмент для контроля содержимого информационных потоков может определять такие категории, как противоправная деятельность (пиратство, распространение запрещенных товаров), использование инфраструктуры компании в собственных целях, нанесение вреда имиджу компании (например, распространение порочащих слухов) и так далее.

Недостатки технологий

Основным недостатком лингвистических технологий является их зависимость от языка. Невозможно использовать лингвистический движок, разработанный для одного языка, в целях анализа другого. Это было особенно заметно при выходе на российский рынок американских производителей - они были не готовы столкнуться с российским словообразованием и наличием шести кодировок. Недостаточно было перевести на русский язык категории и ключевые слова - в английском языке словообразование довольно простое, а падежи выносятся в предлоги, то есть при изменении падежа меняется предлог, а не само слово. Большинство существительных в английском языке становятся глаголами без изменений слова. И так далее. В русском все не так - один корень может породить десятки слов в разных частях речи.

В Германии американских производителей лингвистических технологий встретила другая проблема - так называемые "компаунды", составные слова. В немецком языке принято присоединять определения к главному слову, в результате чего получаются слова, иногда состоящие из десятка корней. В английском языке такого нет, там слово - последовательность букв между двумя пробелами, соответственно английский лингвистический движок оказался неспособен обработать незнакомые длинные слова.

Справедливости ради следует сказать, что сейчас эти проблемы во многом американскими производителями решены. Пришлось довольно сильно переделать (а иногда и писать заново) языковой движок, но большие рынки России и Германии наверняка того стоят. Также сложно обрабатывать лингвистическими технологиями мультиязычные тексты. Однако с двумя языками большинство движков все-таки справляются, обычно это национальный язык + английский - для большинства бизнес-задач этого вполне достаточно. Хотя автору встречались конфиденциальные тексты, содержащие, например, одновременно казахский, русский и английский, но это скорее исключение, чем правило.

Еще одним недостатком лингвистических технологий для контроля всего спектра корпоративной конфиденциальной информации является то, что не вся конфиденциальная информация находится в виде связных текстов. Хотя в базах данных информация и хранится в текстовом виде, и нет никаких проблем извлечь текст из СУБД, полученная информация чаще всего содержит имена собственные - ФИО, адреса, названия компаний, а также цифровую информацию - номера счетов, кредитных карт, их баланс и прочее. Обработка подобных данных с помощью лингвистики много пользы не принесет. То же самое можно сказать о форматах CAD/CAM, то есть чертежах, в которых зачастую содержится интеллектуальная собственность, программных кодах и медийных (видео/аудио) форматах - какие-то тексты из них можно извлечь, но их обработка также неэффективна. Еще года три назад это касалось и отсканированных текстов, но лидирующие производители DLP-систем оперативно добавили оптическое распознавание и справились с этой проблемой.

Но самым большим и наиболее часто критикуемым недостатком лингвистических технологий является все-таки вероятностный подход к категоризации. Если ты когда-нибудь читал письмо с категорией "Probably SPAM", то поймешь, о чем я. Если такое творится со спамом, где всего две категории (спам/не спам), можно себе представить, что будет, когда в систему загрузят несколько десятков категорий и классов конфиденциальности. Хотя обучением системы можно достигнуть 92-95% точности, для большинства пользователей это означает, что каждое десятое или двадцатое перемещение информации будет ошибочно причислено не к тому классу со всеми вытекающими для бизнеса последствиями (утечка или прерывание легитимного процесса).

Обычно не принято относить к недостаткам сложность разработки технологии, но не упомянуть о ней нельзя. Разработка серьезного лингвистического движка с категоризацией текстов более чем по двум категориям - наукоемкий и довольно сложный технологически процесс. Прикладная лингвистика - быстро развивающаяся наука, получившая сильный толчок в развитии с распространением интернет-поиска, но сегодня на рынке присутствуют единицы работоспособных движков категоризации: для русского языка их всего два, а для некоторых языков их просто еще не разработали. Поэтому на DLP-рынке существует лишь пара компаний, которые способны в полной мере категоризировать информацию "на лету". Можно предположить, что когда рынок DLP увеличится до многомиллиардных размеров, на него с легкостью выйдет Google. С собственным лингвистическим движком, оттестированным на триллионах поисковых запросов по тысячам категорий, ему не составит труда сразу отхватить серьезный кусок этого рынка.

Статистические методы

Задача компьютерного поиска значимых цитат (почему именно "значимых" - немного позже) заинтересовала лингвистов еще в 70-х годах прошлого века, если не раньше. Текст разбивался на куски определенного размера, с каждого из которых снимался хеш. Если некоторая последовательность хешей встречалась в двух текстах одновременно, то с большой вероятностью тексты в этих областях совпадали.

Побочным продуктом исследований в этой области является, например, "альтернативная хронология" Анатолия Фоменко, уважаемого ученого, который занимался "корреляциями текстов" и однажды сравнил русские летописи разных исторических периодов. Удивившись, насколько совпадают летописи разных веков (более чем на 60%), в конце 70-х он выдвинул теорию, что наша хронология на несколько веков короче. Поэтому, когда какая-то выходящая на рынок DLP-компания предлагает "революционную технологию поиска цитат", можно с большой вероятностью утверждать, что ничего, кроме новой торговой марки, компания не создала.

Статистические технологии относятся к текстам не как к связной последовательности слов, а как к произвольной последовательности символов, поэтому одинаково хорошо работают с текстами на любых языках. Поскольку любой цифровой объект - хоть картинка, хоть программа - тоже последовательность символов, то те же методы могут применяться для анализа не только текстовой информации, но и любых цифровых объектов. И если совпадают хеши в двух аудиофайлах - наверняка в одном из них содержится цитата из другого, поэтому статистические методы являются эффективными средствами защиты от утечки аудио и видео, активно применяющиеся в музыкальных студиях и кинокомпаниях.

Самое время вернуться к понятию "значимая цитата". Ключевой характеристикой сложного хеша, снимаемого с защищаемого объекта (который в разных продуктах называется то Digital Fingerprint, то Document DNA), является шаг, с которым снимается хеш. Как можно понять из описания, такой "отпечаток" является уникальной характеристикой объекта и при этом имеет свой размер. Это важно, поскольку если снять отпечатки с миллионов документов (а это объем хранилища среднего банка), то для хранения всех отпечатков понадобится достаточное количество дискового пространства. От шага хеша зависит размер такого отпечатка - чем меньше шаг, тем больше отпечаток. Если снимать хеш с шагом в один символ, то размер отпечатка превысит размер самого образца. Если для уменьшения "веса" отпечатка увеличить шаг (например, 10 000 символов), то вместе с этим увеличивается вероятность того, что документ, содержащий цитату из образца длиной в 9 900 символов, будет конфиденциальным, но при этом проскочит незаметно.

С другой стороны, если для увеличения точности детекта брать очень мелкий шаг, несколько символов, то можно увеличить количество ложных срабатываний до неприемлемой величины. В терминах текста это означает, что не стоит снимать хеш с каждой буквы - все слова состоят из букв, и система будет принимать наличие букв в тексте за содержание цитаты из текста-образца. Обычно производители сами рекомендуют некоторый оптимальный шаг снятия хешей, чтобы размер цитаты был достаточный и при этом вес самого отпечатка был небольшой - от 3% (текст) до 15% (сжатое видео). В некоторых продуктах производители позволяют менять размер значимости цитаты, то есть увеличивать или уменьшать шаг хеша.

Достоинства технологии

Как можно понять из описания, для детектирования цитаты нужен объект-образец. И статистические методы могут с хорошей точностью (до 100%) сказать, есть в проверяемом файле значимая цитата из образца или нет. То есть система не берет на себя ответственность за категоризацию документов - такая работа полностью лежит на совести того, кто категоризировал файлы перед снятием отпечатков. Это сильно облегчает защиту информации в случае, если на предприятии в некотором месте (местах) хранятся нечасто изменяющиеся и уже категоризированные файлы. Тогда достаточно с каждого из этих файлов снять отпечаток, и система будет, в соответствии с настройками, блокировать пересылку или копирование файлов, содержащих значимые цитаты из образцов.

Независимость статистических методов от языка текста и нетекстовой информации - тоже неоспоримое преимущество. Они хороши при защите статических цифровых объектов любого типа - картинок, аудио/видео, баз данных. Про защиту динамических объектов я расскажу в разделе "недостатки".

Недостатки технологии

Как и в случае с лингвистикой, недостатки технологии - обратная сторона достоинств. Простота обучения системы (указал системе файл, и он уже защищен) перекладывает на пользователя ответственность за обучение системы. Если вдруг конфиденциальный файл оказался не в том месте либо не был проиндексирован по халатности или злому умыслу, то система его защищать не будет. Соответственно, компании, заботящиеся о защите конфиденциальной информации от утечки, должны предусмотреть процедуру контроля того, как индексируются DLP-системой конфиденциальные файлы.

Еще один недостаток - физический размер отпечатка. Автор неоднократно видел впечатляющие пилотные проекты на отпечатках, когда DLP-система со 100% вероятностью блокирует пересылку документов, содержащих значимые цитаты из трехсот документов-образцов. Однако через год эксплуатации системы в боевом режиме отпечаток каждого исходящего письма сравнивается уже не с тремя сотнями, а с миллионами отпечатков-образцов, что существенно замедляет работу почтовой системы, вызывая задержки в десятки минут.

Как я и обещал выше, опишу свой опыт по защите динамических объектов с помощью статистических методов. Время снятия отпечатка напрямую зависит от размера файла и его формата. Для текстового документа типа этой статьи это занимает доли секунды, для полуторачасового MP4-фильма - десятки секунд. Для редкоизменяемых файлов это не критично, но если объект меняется каждую минуту или даже секунду, то возникает проблема: после каждого изменения объекта с него нужно снять новый отпечаток... Код, над которым работает программист, еще не самая большая сложность, гораздо хуже с базами данных, используемыми в биллинге, АБС или call-центрах. Если время снятия отпечатка больше, чем время неизменности объекта, то задача решения не имеет. Это не такой уж и экзотический случай - например, отпечаток базы данных, хранящей номера телефонов клиентов федерального сотового оператора, снимается несколько дней, а меняется ежесекундно. Поэтому, когда DLP-вендор утверждает, что его продукт может защитить вашу базу данных, мысленно добавляйте слово "квазистатическую".

Единство и борьба противоположностей

Как видно из предыдущего раздела статьи, сила одной технологии проявляется там, где слаба другая. Лингвистике не нужны образцы, она категоризирует данные на лету и может защищать информацию, с которой случайно или умышленно не был снят отпечаток. Отпечаток дает лучшую точность и поэтому предпочтительнее для использования в автоматическом режиме. Лингвистика отлично работает с текстами, отпечатки - с другими форматами хранения информации.

Поэтому большинство компаний-лидеров используют в своих разработках обе технологии, при этом одна из них является основной, а другая - дополнительной. Это связано с тем, что изначально продукты компании использовали только одну технологию, в которой компания продвинулась дальше, а затем, по требованию рынка, была подключена вторая. Так, например, ранее InfoWatch использовал только лицензированную лингвистическую технологию Morph-OLogic, а Websense - технологию PreciseID, относящуюся к категории Digital Fingerprint, но сейчас компании используют оба метода. В идеале использовать две эти технологии нужно не параллельно, а последовательно. Например, отпечатки лучше справятся с определением типа документа - договор это или балансовая ведомость, например. Затем можно подключать уже лингвистическую базу, созданную специально для этой категории. Это сильно экономит вычислительные ресурсы.

За пределами статьи остались еще несколько типов технологий, используемых в DLP-продуктах. К таким относятся, например, анализатор структур, позволяющий находить в объектах формальные структуры (номера кредитных карт, паспортов, ИНН и так далее), которые невозможно детектировать ни с помощью лингвистики, ни с помощью отпечатков. Также не раскрыта тема разного типа меток - от записей в атрибутных полях файла или просто специального наименования файлов до специальных криптоконтейнеров. Последняя технология отживает свое, поскольку большинство производителей предпочитает не изобретать велосипед самостоятельно, а интегрироваться с производителями DRM-систем, такими как Oracle IRM или Microsoft RMS.

DLP-продукты - быстроразвивающаяся отрасль информационной безопасности, у некоторых производителей новые версии выходят очень часто, более одного раза в год. С нетерпением ждем появления новых технологий анализа корпоративного информационного поля для увеличения эффективности защиты конфиденциальной информации.

Предлагаем ряд маркеров, которые помогут выжать максимум из любой системы DLP.

DLP -системы: что это такое

Напомним, что DLP-системы (Data Loss/Leak Prevention) позволяют контролировать все каналы сетевой коммуникации компании (почта, интернет, системы мгновенных сообщений, флешки, принтеры и т д.). Защита от утечки информации достигается за счет того, что на все компьютеры сотрудников ставятся агенты, которые собирают информацию и передают ее на сервер. Порой информация собирается через шлюз, с использованием SPAN-технологий. Информация анализируется, после чего системой или офицером безопасности принимаются решения по инциденту.

Итак, в вашей компании прошло внедрение DLP-системы. Какие шаги необходимо предпринять, чтобы система заработала эффективно?

1. Корректно настроить правила безопасности

Представим, что в системе, обслуживающей 100 компьютеров, создано правило «Фиксировать все переписки со словом «договор"». Такое правило спровоцирует огромное число инцидентов, в котором может затеряться настоящая утечка.

Кроме того, не каждая компания может позволить себе содержать целый штат сотрудников, отслеживающих инциденты.

Повысить коэффициент полезности правил поможет инструментарий по созданию эффективных правил и отслеживанию результатов их работы. В каждой DLP-системе есть функционал, который позволяет это сделать.

В целом методология предполагает анализ накопленной базы инцидентов и создание различных комбинаций правил, которые в идеале приводят к появлению 5-6 действительно неотложных инцидентов в день.

2. Актуализировать правила безопасности с определенной периодичностью

Резкое снижение или увеличение числа инцидентов — показатель того, что требуется корректировка правил. Причины могут быть в том, что правило потеряло актуальность (пользователи перестали обращаться к определенным файлам) либо сотрудники усвоили правило и больше не совершают действий, запрещенных системой (DLP — обучающая система). Однако практика показывает, что если одно правило усвоено, то в соседнем месте потенциальные риски утечки возросли.

Также следует обращать внимание на сезонность в работе предприятия. В течение года ключевые параметры, связанные со спецификой работы компании, могут меняться. Например, для оптового поставщика малой техники весной будут актуальны велосипеды, а осенью — снегокаты.

3. Продумать алгоритм реагирования на инциденты

Есть несколько подходов к реагированию на инциденты. При тестировании и обкатке DLP-систем чаще всего людей не оповещают об изменениях. За участниками инцидентов лишь наблюдают. При накоплении критической массы с ними общается представитель отдела безопасности или отдела кадров. В дальнейшем часто работу с пользователями отдают на откуп представителям отдела безопасности. Возникают мини-конфликты, в коллективе накапливается негатив. Он может выплеснуться в намеренном вредительстве сотрудников по отношению к компании. Важно соблюдать баланс между требованием дисциплины и поддержанием здоровой атмосферы в коллективе.

4. Проверить работу режима блокировки

Существует два режима реагирования на инцидент в системе — фиксация и блокировка. Если каждый факт пересылки письма или прикрепления вложенного файла на флэшку блокируется, это создает проблемы для пользователя. Часто сотрудники атакуют системного администратора просьбами разблокировать часть функций, руководство также может быть недовольно такими настройками. В итоге система DLP и компания получают негатив, система дискредитируется и демаскируется.

5. Проверить, введен ли режим коммерческой тайны

Дает возможность сделать определенную информацию конфиденциальной, а также обязует любое лицо, знающее об этом, нести полную юридическую ответственность за ее разглашение. В случае серьезной утечки информации при действующем на предприятии режиме коммерческой тайны с нарушителя можно взыскать сумму фактического и морального ущерба через суд в соответствии с 98-ФЗ «О коммерческой тайне».

Надеемся, что данные советы помогут снизить число непреднамеренных утечек в компаниях, ведь именно с ними призваны успешно бороться системы DLP. Однако не стоит забывать о комплексной системе информационной безопасности и о том, что намеренные утечки информации требуют отдельного пристального внимания. Существуют современные решения, которые позволяют дополнить функционал систем DLP и значительно снизить риск намеренных утечек. Например, один из разработчиков предлагает интересную технологию — при подозрительно частом обращении к конфиденциальным файлам автоматически включается веб-камера и начинает вести запись. Именно эта система позволила зафиксировать, как незадачливый похититель активно делал снимки экрана с помощью мобильной фотокамеры.

Олег Нечеухин , эксперт по защите информационных систем, «Контур.Безопасность»

Даже самые модные ИТ-термины надо употреблять к месту и максимально корректно. Хотя бы для того, чтобы не вводить в заблуждение потребителей. Относить себя к производителям DLP-решений определенно вошло в моду. К примеру, на недавней выставке CeBIT-2008 надпись “DLP solution” нередко можно было лицезреть на стендах производителей не только малоизвестных в мире антивирусов и прокси-серверов, но даже брандмауэров. Иногда возникало ощущение, что за следующим углом можно будет увидеть какой-нибудь CD ejector (программа, управляющая открыванием привода CD) с гордым лозунгом корпоративного DLP-решения. И, как это ни странно, каждый из таких производителей, как правило, имел более или менее логичное объяснение такому позиционированию своего продукта (естественно, помимо желания получить “гешефт” от модного термина).

Прежде чем рассматривать рынок производителей DLP-систем и его основных игроков, следует определиться с тем, что же мы будем подразумевать под DLP-системой. Попыток дать определение этому классу информационных систем было много: ILD&P — Information Leakage Detection & Prevention (“выявление и предотвращение утечек информации”, термин был предложен IDC в 2007 г.), ILP - Information Leakage Protection (“защита от утечек информации”, Forrester, 2006 г.), ALS - Anti-Leakage Software (“антиутечное ПО”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (по аналогии с Intrusion-prevention system).

Но в качестве общеупотребительного термина всё же утвердилось название DLP - Data Loss Prevention (или Data Leak Prevention, защита от утечек данных), предложенная в 2005 г. В качестве русского (скорее не перевода, а аналогичного термина) было принято словосочетание “системы защиты конфиденциальных данных от внутренних угроз”. При этом под внутренними угрозами понимаются злоупотребления (намеренные или случайные) со стороны сотрудников организации, имеющих легальные права доступа к соответствующим данным, своими полномочиями.

Наиболее стройные и непротиворечивые критерии принадлежности к DLP-системам были выдвинуты исследовательским агентством Forrester Research в ходе их ежегодного исследования данного рынка. Они предложили четыре критерия, в соответствии с которыми систему можно отнести к классу DLP. 1.

Многоканальность. Система должна быть способна осуществлять мониторинг нескольких возможных каналов утечки данных. В сетевом окружении это как минимум e-mail, Web и IM (instant messengers), а не только сканирование почтового трафика или активности базы данных. На рабочей станции - мониторинг файловых операций, работы с буфером обмена данными, а также контроль e-mail, Web и IM. 2.

Унифицированный менеджмент. Система должна обладать унифицированными средствами управления политикой информационной безопасности, анализом и отчетами о событиях по всем каналам мониторинга. 3.

Активная защита. Система должна не только обнаруживать факты нарушения политики безопасности, но и при необходимости принуждать к ее соблюдению. К примеру, блокировать подозрительные сообщения. 4.

Исходя из этих критериев, в 2008 г. для обзора и оценки агентство Forrester отобрало список из 12 производителей программного обеспечения (ниже они перечислены в алфавитном порядке, при этом в скобках указано название компании, поглощенной данным вендором в целях выхода на рынок DLP-cистем):

1. Code Green;
2. InfoWatch;
3. McAfee (Onigma);
4. Orchestria;
5. Reconnex;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense (PortAuthority);
12. Workshare.

На сегодняшний день из вышеупомянутых 12 вендоров на российском рынке в той или иной степени представлены только InfoWatch и Websense. Остальные либо вообще не работают в России, либо только анонсировали свои намерения о начале продаж DLP-решений (Trend Micro).

Рассматривая функциональность DLP-систем, аналитики (Forrester, Gartner, IDC) вводят категоризацию объектов защиты - типов информационных объектов подлежащих мониторингу. Подобная категоризация позволяет в первом приближении оценить область применения той или иной системы. Выделяют три категории объектов мониторинга.

1. Data-in-motion (данные в движении) - сообщения электронной почты, интернет-пейджеров, сетей peer-to-peer, передача файлов, Web-трафик, а также другие типы сообщений, которые можно передавать по каналам связи. 2. Data-at-rest (хранящиеся данные) - информация на рабочих станциях, лаптопах, файловых серверах, в специализированных хранилищах, USB-устройствах и других типах устройств хранения данных.

3. Data-in-use (данные в использовании) - информация, обрабатываемая в данный момент.

В настоящий момент на нашем рынке представлено около двух десятков отечественных и зарубежных продуктов, обладающих некоторыми свойствами DLP-cистем. Краткие сведения о них в духе приведенной выше классификации, перечислены в табл. 1 и 2. Также в табл. 1 внесен такой параметр, как “централизованное хранилище данных и аудит”, подразумевающий возможность системы сохранять данные в едином депозитарии (для всех каналов мониторинга) для их дальнейшего анализа и аудита. Этот функционал приобретает в последнее время особенную значимость не только в силу требований различных законодательных актов, но и в силу популярности у заказчиков (по опыту реализованных проектов). Все сведения, содержащиеся в этих таблицах, взяты из открытых источников и маркетинговых материалов соответствующих компаний.

Исходя из приведенных в таблицах 1 и 2 данных можно сделать вывод, что на сегодня в России представлены только три DLP-системы (от компаний InfoWatch, Perimetrix и WebSence). К ним также можно отнести недавно анонсированный интегрированный продукт от “Инфосистемы Джет” (СКВТ+СМАП), так как он будет покрывать несколько каналов и иметь унифицированный менеджмент политик безопасности.

Говорить о долях рынка этих продуктов в России довольно сложно, поскольку большинство упомянутых производителей не раскрывают объемов продаж, количество клиентов и защищенных рабочих станций, ограничиваясь только маркетинговой информацией. Точно можно сказать лишь о том, что основными поставщиками на данный момент являются:

• системы “Дозор”, присутствующие на рынке с 2001 г.;
• продукты InfoWatch, продающиеся с 2004 г.;
• WebSense CPS (начал продаваться в России и во всем мире в 2007 г.);
• Perimetrix (молодая компания, первая версия продуктов которой анонсирована на ее сайте на конец 2008 г.).

В заключение хотелось бы добавить, что принадлежность или нет к классу DLP-систем, не делает продукты хуже или лучше - это просто вопрос классификации и ничего более.

Таблица 1. Продукты, представленные на российском рынке и обладающие определенными свойствами DLP-cистем

Компания	Продукт	Возможности продукта
		Защита “данных в движении” (data-in-motion)	Защита “данных в использовании” (data-in-use)	Защита “данных в хранении” (data-at-rest)	Централизованное хранилище и аудит
InfoWatch	IW Traffic Monitor	Да	Да	Нет	Да
	IW CryptoStorage	Нет	Нет	Да	Нет
Perimetrix	SafeSpace	Да	Да	Да	Да
Инфосистемы Джет	Дозор Джет (СКВТ)	Да	Нет	Нет	Да
	Дозор Джет (СМАП)	Да	Нет	Нет	Да
Смарт Лайн Инк	DeviceLock	Нет	Да	Нет	Да
SecurIT	Zlock	Нет	Да	Нет	Нет
	SecrecyKeeper	Нет	Да	Нет	Нет
SpectorSoft	Spector 360	Да	Нет	Нет	Нет
Lumension Security	Sanctuary Device Control	Нет	Да	Нет	Нет
WebSense	Websense Content Protection	Да	Да	Да	Нет
Информзащита	Security Studio	Нет	Да	Да	Нет
Праймтек	Insider	Нет	Да	Нет	Нет
АтомПарк Софтваре	StaffCop	Нет	Да	Нет	Нет
СофтИнформ	SearchInform Server	Да	Да	Нет	Нет

Таблица 2. Соответствие продуктов, представленных на российском рынке, критериям принадлежности к классу DLP-систем

Компания	Продукт	Критерий принадлежности к DLP системам
		Многоканальность	Унифицированный менеджмент	Активная защита	Учет как содержания, так и контекста
InfoWatch	IW Traffic Monitor	Да	Да	Да	Да
Perimetrix	SafeSpace	Да	Да	Да	Да
“Инфосистемы Джет”	“Дозор Джет” (СКВТ)	Нет	Нет	Да	Да
	“Дозор Джет” (СМАП)	Нет	Нет	Да	Да
“Смарт Лайн Инк”	DeviceLock	Нет	Нет	Нет	Нет
SecurIT	Zlock	Нет	Нет	Нет	Нет
Smart Protection Labs Software	SecrecyKeeper	Да	Да	Да	Нет
SpectorSoft	Spector 360	Да	Да	Да	Нет
Lumension Security	Sanctuary Device Control	Нет	Нет	Нет	Нет
WebSense	Websense Content Protection	Да	Да	Да	Да
“Информзащита”	Security Studio	Да	Да	Да	Нет
“Праймтек”	Insider	Да	Да	Да	Нет
“АтомПарк Софтваре”	StaffCop	Да	Да	Да	Нет
“СофтИнформ”	SearchInform Server	Да	Да	Нет	Нет
“Инфооборона”	“Инфопериметр”	Да	Да	Нет	Нет

С егодня рынок DLP-систем является одним из самых быстрорастущих среди всех средств обеспечения информационной безопасности. Впрочем, отечественная ИБ-сфера пока не совсем успевает за мировыми тенденциями, в связи с чем у рынка DLP-систем в нашей стране есть свои особенности.

Что такое DLP и как они работают?

Прежде чем говорить о рынке DLP-систем, необходимо определиться с тем, что, собственно говоря, подразумевается, когда речь идёт о подобных решениях. Под DLP-системами принято понимать программные продукты, защищающие организации от утечек конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention, то есть, предотвращение утечек данных.

Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.

Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

«Побочные» задачи DLP

Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала.

Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:

• контроль использования рабочего времени и рабочих ресурсов сотрудниками;
• мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
• контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
• выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

За счет того, что многие организации полагают ряд этих задач (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты организации от утечек. От полноценных DLP-систем такие программы отличает отсутствие развитых средств анализа перехваченных данных, который должен производиться специалистом по информационной безопасности вручную, что удобно только для совсем небольших организаций (до десяти контролируемых сотрудников).

Технология DLP

Digital Light Processing (DLP) — передовая технология, изобретенная компанией Texas Instruments . Благодаря ей оказалось возможным создавать очень небольшие, очень легкие (3 кг — разве это вес?) и, тем не менее, достаточно мощные (более 1000 ANSI Lm) мультимедиапроекторы.

Краткая история создания

Давным-давно, в далекой галактике…

В 1987 году Dr. Larry J. Hornbeck изобрел цифровое мультизеркальное устройство (Digital Micromirror Device или DMD). Это изобретение завершило десятилетние исследования Texas Instruments в области микромеханических деформируемых зеркальных устройств (Deformable Mirror Devices или снова DMD). Суть открытия состояла в отказе от гибких зеркал в пользу матрицы жестких зеркал, имеющих всего два устойчивых положения.

В 1989 году Texas Instruments становится одной из четырех компаний, избранных для реализации «проекторной» части программы U.S. High-Definition Display, финансируемой управлением перспективного планирования научно-исследовательских работ (ARPA).

В мае 1992 года TI демонстрирует первую основанную на DMD систему, поддерживающую современный стандарт разрешения для ARPA.

High-Definition TV (HDTV) версия DMD на основе трех DMD высокого разрешения была показана в феврале 1994 года.

Массовые продажи DMD-чипов началиcь в 1995 году.

Технология DLP

Ключевым элементом мультимедиапроекторов, созданных по технологии DLP, является матрица микроскопических зеркал (DMD-элементов) из алюминиевого сплава, обладающего очень высоким коэффициентом отражения. Каждое зеркало крепится к жесткой подложке, которая через подвижные пластины соединяется с основанием матрицы. Под противоположными углами зеркал размещены электроды, соединенные с ячейками памяти CMOS SRAM. Под действием электрического поля подложка с зеркалом принимает одно из двух положений, отличающихся точно на 20° благодаря ограничителям, расположенным на основании матрицы.

Два этих положения соответствуют отражению поступающего светового потока соответственно в объектив и эффективный светопоглотитель, обеспечивающий надежный отвод тепла и минимальное отражение света.

Шина данных и сама матрица сконструированы так, чтобы обеспечивать до 60 и более кадров изображения в секунду с разрешением 16 миллионов цветов.

Матрица зеркал вместе с CMOS SRAM и составляют DMD-кристалл — основу технологии DLP.

Впечатляют небольшие размеры кристалла. Площадь каждого зеркала матрицы составляет 16 микрон и менее, а расстояние между зеркалами около 1 микрона. Кристалл, да и не один, легко помещается на ладони.

Всего, если Texas Instruments нас не обманывает, выпускаются три вида кристаллов (или чипов) c различными разрешениями. Это:

• SVGA: 848×600; 508,800 зеркал
• XGA: 1024×768 с черной апертурой (межщелевым пространством); 786,432 зеркал
• SXGA: 1280×1024; 1,310,720 зеркал

Итак, у нас есть матрица, что мы можем с ней сделать? Ну конечно, осветить ее световым потоком помощнее и поместить на пути одного из направлений отражений зеркал оптическую систему, фокусирующую изображение на экран. На пути другого направления разумным будет поместить светопоглотитель, чтобы ненужный свет не причинял неудобств. Вот мы уже и можем проецировать одноцветные картинки. Но где же цвет? Где яркость?

А вот в этом, похоже, и заключалось изобретение товарища Larry, речь о котором шла в первом абзаце раздела истории создания DLP. Если вы так и не поняли, в чем дело, — приготовьтесь, ибо сейчас с вами может случиться шок:), т. к. это само собой напрашивающееся элегантное и вполне очевидное решение является на сегодня самым передовым и технологичным в области проецирования изображения.

Вспомните детский фокус с вращающимся фонариком, свет от которого в некоторый момент сливается и превращается в светящийся круг. Эта шутка нашего зрения и позволяет окончательно отказаться от аналоговых систем построения изображения в пользу полностью цифровых. Ведь даже цифровые мониторы на последнем этапе имеют аналоговую природу.

Но что произойдет, если мы заставим зеркало с большой частотой переключаться из одного положения в другое? Если пренебречь временем переключения зеркала (а благодаря его микроскопическим размерам этим временем вполне можно пренебречь), то видимая яркость упадет не иначе как в два раза. Изменяя отношение времени, в течение которого зеркало находится в одном и другом положении, мы легко можем изменять и видимую яркость изображения. А так как частота циклов очень и очень большая, никакого видимого мерцания не будет и в помине. Эврика. Хотя ничего особенного, это всё давно известно:)

Ну, а теперь последний штрих. Если скорость переключения достаточно высока, то на пути светового потока мы можем последовательно помещать светофильтры и тем самым создавать цветное изображение.

Вот, собственно, и вся технология. Дальнейшее ее эволюционное развитие мы проследим на примере устройства мультимедиапроекторов.

Устройство DLP-проекторов

Texas Instruments не занимается производством DLP-проекторов, этим занимается множество других компаний, таких, как 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG и др. Большинство выпускаемых проекторов относятся к портативным, обладающим массой от 1,3 до 8 кг и мощностью до 2000 ANSI lumens. Проекторы делятся на три типа.

Одноматричный проектор

Самый простой тип, который мы уже описали, это — одноматричный проектор , где между источником света и матрицей помещается вращающийся диск с цветными светофильтрами — синим, зеленым и красным. Частота вращения диска определяет привычную нам частоту кадров.

Изображение формируется поочередно каждым из основных цветов, в результате получается обычное полноцветное изображение.

Все, или почти все портативные проекторы построены по одноматричному типу.

Дальнейшим развитием этого типа проекторов стало введение четвертого, прозрачного светофильтра, позволяющего ощутимо увеличить яркость изображения.

Трехматричный проектор

Самым сложным типом проекторов является трехматричный проектор , где свет расщепляется на три цветовых потока и отражается сразу от трех матриц. Такой проектор имеет самый чистый цвет и частоту кадров, не ограниченную скоростью вращения диска, как у одноматричных проекторов.

Точное соответствие отраженного потока от каждой матрицы (сведение) обеспечивается с помощью призмы, как вы можете видеть на рисунке.

Двухматричный проектор

Промежуточным типом проекторов является двухматричный проектор . В данном случае свет расщепляется на два потока: красный отражается от одной DMD-матрицы, а синий и зеленый — от другой. Светофильтр, соответственно, удаляет из спектра синюю либо зеленую составляющие поочередно.

Двухматричный проектор обеспечивает промежуточное качество изображения по сравнению с одноматричным и трехматричным типом.

Сравнение LCD и DLP-проекторов

По сравнению с LCD-проекторами DLP-проекторы обладают рядом важных преимуществ:

Есть ли недостатки у технологии DLP?

Но теория теорией, а на практике еще есть над чем поработать. Основной недостаток заключается в несовершенстве технологии и как следствие — проблеме залипания зеркал.

Дело в том, что при таких микроскопических размерах мелкие детали норовят «слипнуться», и зеркало с основанием тому не исключение.

Несмотря на приложенные компанией Texas Instruments усилия по изобретению новых материалов, уменьшающих прилипание микрозеркал, такая проблема существует, как мы увидели при тестировании мультимедиапроектора Infocus LP340 . Но, должен заметить, жить она особо не мешает.

Другая проблема не так очевидна и заключается в оптимальном подборе режимов переключения зеркал. У каждой компании, производящей DLP-проекторы, на этот счет свое мнение.

Ну и последнее. Несмотря на минимальное время переключения зеркал из одного положения в другое, едва заметный шлейф на экране этот процесс оставляет. Эдакий бесплатный antialiasing.

Развитие технологии

• Помимо введения прозрачного светофильтра постоянно ведутся работы по уменьшению межзеркального пространства и площади столбика, крепящего зеркало к подложке (черная точка посередине элемента изображения).
• Путем разбиения матрицы на отдельные блоки и расширения шины данных увеличивается частота переключения зеркал.
• Ведутся работы по увеличению количества зеркал и уменьшению размера матрицы.
• Постоянно повышается мощность и контрастность светового потока. В настоящее время уже существуют трехматричные проекторы мощностью свыше 10000 ANSI Lm и контрастностью более 1000:1, нашедшие свое применение в ультрасовременных кинотеатрах, использующих цифровые носители.
• Технология DLP полностью готова заменить CRT-технологию показа изображения в домашних кинотеатрах.

Заключение

Это далеко не все, что можно было бы рассказать о технологии DLP, например, мы не затронули тему использования DMD-матриц в печати. Но мы подождем, пока компания Texas Instruments не подтвердит информацию, доступную из других источников, дабы не подсунуть вам «липу». Надеюсь, этого небольшого рассказа вполне достаточно, чтобы получить пусть не самое полное, но достаточное представление о технологии и не мучать продавцов расспросами о преимуществе DLP-проекторов над другими.

Спасибо Алексею Слепынину за помощь в оформлении материала