Устройства под замком

Автор: Марат Давлетханов
Опубликовано: 29.03.2011
Источник: SoftKey.info

Сегодня, когда компании научились более-менее успешно бороться со всевозможными внешними угрозами, пришла пора заняться внутренними. Речь идет, конечно же, о случайных или намеренных утечках конфиденциальной информации или персональных данных, хранящихся в информационной системе предприятия. Практика показывает, что эти угрозы могут нанести компаниям огромные убытки. Причем не только денежные, но и имиджевые, что особенно актуально для организаций, работающих в финансовой сфере. Основным способом воровства информации на сегодняшний день являются всевозможные устройства: флеш-накопители, карманные компьютеры и смартфоны, CD- и DVD-диски и многое-многое другое. Даже самый обычный принтер может стать каналом утечки конфиденциальных данных: злоумышленнику достаточно распечатать их и спокойно вынести бумажные листы из офиса. Единственным эффективным способом борьбы с описанными угрозами являются программы, позволяющие контролировать использование сотрудниками все потенциально опасное аппаратное обеспечение. Недаром в последнее время на рынке начало появляться относительно большое количество таких продуктов. Однако, откровенно говоря, большинство из них весьма ограничено по своим возможностям. В отличие от лидеров, которые присутствуют на рынке уже давно и являются полноценными системами защиты. Одним из таких продуктов и является программа DeviceLock.

Основные возможности DeviceLock

Вообще, DeviceLock - одна из первых программ для контроля съемных накопителей и других устройств, которые могут использоваться для воровства конфиденциальной информации, появившаяся на российском рынке. Она развивается очень давно, и за это время она "обросла" огромным количеством функций и возможностей, которые позволяют организовать весьма и весьма эффективную защиту от внутренних угроз. Начать нужно с того, что DeviceLock может осуществлять мониторинг всех потенциально опасных устройств: USB-портов, различных дисководов, CD- и DVD-приводов, портов FireWire, IrDA, LPT и COM, адаптеров Wi-Fi и Bluetooth и пр. Контроль осуществляется на двух уровнях - на уровне интерфейса и на уровне типа. Это позволяет создавать очень гибкие политики, учитывающие конкретные условия каждого предприятия. Например, можно осуществлять контроль всех устройств, подключаемых к USB-портам рабочих станций, за исключением мышек, клавиатур, сканеров и другой подобной аппаратуры.

Отдельно стоит сказать о возможности создания белого списка USB-устройств. С его помощью можно указывать то аппаратное обеспечение, которое будет доступно пользователям вне зависимости от остальных настроек безопасности. В него можно заносить как модели (при этом будут доступны все устройства указанной модели), так и конкретные экземпляры. Для удобства управления в DeviceLock реализована база данных USB-устройств, которая может заполняться как вручную, так и автоматически путем определения всего подключенного к ПК (в том числе и к удаленному ПК) оборудования. Подобная система реализована и для CD- и DVD-дисков. Их авторизация осуществляется по записанным на них данным.

Еще одной интересной особенностью DeviceLock является функция определения зашифрованных накопителей с возможностью применения к ним специальных политик. Это позволяет, в частности, разрешить запись информации только на защищенные "флешки" и другие устройства. Данная функция действительно очень важна. Дело в том, что одним из достаточно распространенных каналов утечки конфиденциальных данных являются утерянные или украденные съемные накопители. Для предотвращения таких случаев компании стараются обязать сотрудников записывать данные только на зашифрованные устройства. К сожалению, одних только организационных мер чаще всего оказывается недостаточно. Несмотря на все инструкции и распоряжения, сотрудники все равно сохраняют информацию в обычном виде. DeviceLock поможет решить эту проблему.

Настройка политики доступа

Права доступа настраиваются не по компьютерам, а по отдельным пользователям и целым их группам. Для этого используется интеграция с Active Directory. Такой подход обеспечивает системе защиты необходимую гибкость. Отдельно стоит отметить возможность указания прав доступа пользователей в зависимости от времени и дня недели. Кроме того, DeviceLock позволяет задавать сразу две политики: одна действует, если компьютер подключен к корпоративной сети, а вторая, если он работает автономно. Эта функция особенно актуальна для компаний, в которых в качестве рабочих станций используются ноутбуки.

Есть в рассматриваемой программе и теневое копирование. Это тоже очень важная функция, которая в некоторых случаях может оказаться весьма полезной. Суть ее заключается в незаметном для пользователей копировании в базу данных всех файлов, которые он записывает на контролируемые носители или печатает на разрешенных принтерах. Данная возможность позволяет существенно упростить расследование инцидентов, связанных с утечкой конфиденциальной информации, в тех случаях, когда полностью запретить использование съемных накопителей и печатающих устройств не представляется возможным.

Одной из ключевых возможностей DeviceLock является наличие конентно-зависимых правил. Они придают политикам рассматриваемой системы защиты очень высокую гибкость. Суть конентно-зависимых правил заключается в предоставлении выборочного доступа к файлам определенного типа вне зависимости от действующих настроек безопасности. Простейший пример - запрет любых действий с "флешками", кроме чтения документов в форматах DOC и XLS. Возможно использование данных правил и для записи. С их помощью можно разрешить сохранение на съемный накопитель любых данных, кроме текстовых документов и архивов. Стоит отметить, что тип объектов определяется не по расширению, а на основе сигнатурного анализа их содержимого. Всего в программе реализована поддержка 34 контентных групп: архивов, мультимедиа, баз данных, изображений и пр.

Еще одной функцией DeviceLock является так называемый временный белый список. С его помощью можно организовать временный доступ пользователей к определенным устройствам. Данный список позволяет придать системе защиты необходимую для бизнеса гибкость (к примеру, сотруднику компании, которому запрещена работа с "флешками", потребовалось срочно загрузить принесенные в электронном виде документы). В рассматриваемой программе она реализована в виде обмена кодами. При необходимости доступа к устройству сотрудник запускает специальную утилиту, которая генерирует буквенно-цифровой код. Эту строку он любым возможным способом передает администратору. Последний с помощью другой утилиты генерирует разблокирующий код и отправляет его пользователю. Сотрудник вводит его и получает доступ к нужному устройству на указанное администратором время.

Расписание работы пользователей с устройствами

Естественно, есть в DeviceLock и мощная система сбора статистики и генерации отчетов. Для этого используется специальная база данных, в которую собирается и в которой хранится вся информация о событиях, происходящих на рабочих станциях сотрудников. Администратор может просматривать ее вручную. Однако гораздо удобнее использовать отчеты. Система может генерировать разные их типы, представляя информацию в наглядном виде. Отчеты могут создаваться в форматах HTML, PDF и RTF. Отдельно стоит отметить высокую их гибкость. Отчеты можно генерировать по выбранным компьютерам или пользователям, типам устройств и пр.

Администрирование и безопасность

В DeviceLock реализовано сразу же несколько способов развертывания системы защиты и управления ею в будущем. Самый простой из них - ручной. Он предполагает, что администратор сам обходит все компьютеры сети, устанавливает на них агенты и настраивает их. Понятно, что такой вариант приемлем только в том случае, если в корпоративной ИС работают всего лишь несколько рабочих станций. Если же их число исчисляется десятками или тем более сотнями, возникает потребность в автоматических инструментах.

И они в рассматриваемой программе есть. Первая из них - DeviceLock Management Console, которая является оснасткой для Microsoft Management Console. С ее помощью можно выполнять любые действия, связанные с развертыванием и настройкой системы защиты: устанавливать программы-агенты на рабочие станции, задавать политики доступа и теневого копирования, осуществлять общее администрирование.

Вторым инструментом, который является даже более мощным, чем первый, являются интеграция с Active Directory и поддержка групповых политик. Это идеальный вариант для развертывания и настройки DeviceLock в крупных корпоративных сетях. С помощью групповых политик можно устанавливать программы-агенты на рабочих станциях, полностью контролировать и конфигурировать их работу. При этом администраторы используют дополнительную оснастку DeviceLock Group Policy Manager, которая интегрируется в редактор групповых политик Windows.

Еще одной возможностью развертывания и управления системой защиты является DeviceLock Enterprise Manager. В отличие от уже рассмотренных нами инструментов это отдельная программа, обладающая собственным графическим интерфейсом. Она является оптимальным вариантом управления в тех сетях, где отсутствует Active Directory. При этом в DeviceLock Enterprise Manager реализована поддержка LDAP. Это обеспечивает ее удобное использование в различных сетях. Данная программа обладает всеми возможностями для администрирования системы защиты. С ее помощью можно устанавливать агенты на рабочие станции, распространять политики безопасности и пр.

Просмотр лога

Немало внимания разработчики DeviceLock уделили системе внутренней безопасности. Начать нужно с того, что подключаться к агентам, изменять их параметры, политики доступа, а также выгружать их из памяти могут только авторизованные администраторы. Перечень соответствующих учетных записей задается при настройке политик доступа. Таким образом, пользователи, имеющие статус локального администратора, но не указанные в перечне авторизованных, не могут что-то изменить в работе системы защиты или отключить ее.

Второй важный элемент внутренней безопасности - система цифровой подписи. При установке администратор генерирует сертификат. Секретный ключ он должен сохранить на своем компьютере или на съемном накопителе. Открытый ключ инсталлируется на все рабочие станции, на которых работает DeviceLock. Для чего нужна эта система? Во-первых, цифровой подписью подписываются XML-файлы, содержащие политики доступа (в некоторых случаях они используются для распространения политик). Это гарантирует невозможность подмены настроек. Во-вторых, цифровая подпись используется в системе временного доступа. Открытый и закрытый ключи применяются при генерации кода устройства и кода подтверждения.

Подводим итоги

Как мы видим, DeviceLock - очень мощная система безопасности, которую с одинаковой легкостью можно использовать как в малых, так и в очень крупных корпоративных сетях. Большое количество различных инструментов делают управление защитой простым для любого квалифицированного администратора, а инструменты внутренней безопасности предотвращают несанкционированное отключение программ-агентов или изменение политик доступа. Ну и, конечно же, DeviceLock позволяет контролировать все каналы утечки информации, связанные устройствами, которые могут применяться для переноса данных. При этом администратор может задать очень гибкие политики доступа, учитывающие все потребности бизнеса.