Меню
Главная
Случайная статья
Настройки
|
DeviceLock DLP — программный комплекс класса DLP, предназначенный для защиты от утечки информации.
Продукт выпускался под именем DeviceLock DLP до 2020 г., когда компания-разработчик была поглощена компанией Акронис.
Актуальное название продукта на российском рынке - Кибер Протего (активно развивается), на международном рынке - Acronis DeviceLock DLP (развитие фактически заморожено).
Реализует как контекстные методы защиты информации (контроль доступа к портам, интерфейсам, устройствам, сетевым протоколам и сервисам, журналирование доступа и событий передачи и сохранения данных), так и контентные методы фильтрации данных, с применением контентной фильтрации непосредственно на контролируемых рабочих станциях при попытках передачи или сохранения. Является полноценной DLP-системой российской разработки[1] сертифицированной ФСТЭК[2].
Осуществляет контроль и протоколирование (включая теневое копирование) доступа пользователей к периферийным устройствам[3], портам ввода-вывода и сетевым протоколам и веб-сервисам[4]. Агентский подход к реализации DLP-системы позволяет контролировать весь спектр потенциально опасных устройств и каналов сетевых коммуникаций непосредственно в точке возникновения угрозы утечки информации.
Контролируемые системой потенциальные каналы утечки данных: USB-порты, дисководов, CD- и DVD-приводов, сменных накопителей, смартфонов на базе iOS, Windows Mobile, Palm и Blackberry, любых внешних и внутренних накопителей и жёстких дисков, локальных и сетевых принтеров, а также портов FireWire, Wi-Fi, Bluetooth, COM, LPT, IrDA., буфер обмена Windows (Clipboard), простые и SSL-защищенные SMTP-сессии электронной почты, HTTP и HTTPS-сессии, MAPI и IMB/Lotus Notes, веб-почту (webmail) и социальные сети, службы мгновенных сообщений (Instant Messaging) и видеоконференций (Zoom), файловый обмен по протоколам FTP и FTP-SSL, общие сетевые ресурсы (SMB), файлообменные сервисы (такие, как DropBox, SkyDrive), Telnet-сессии, Torrent и Tor.
Весь процесс контроля как устройств и локальных портов, так и каналов сетевых коммуникаций, включая контентную фильтрацию (анализ содержимого с принятием решения о возможности передачи данных), осуществляется установленными на рабочих компьютерах пользователей исполнительными агентами.
Дополнительно к исполнительным агентам и его компонентам контроля устройств, сетевых протоколов и контентной фильтрации в комплексе представлены поисковый сервер (DeviceLock Search Server[5]) , сервер сканирования и обнаружения данных на рабочих станциях и сетевых хранилищах - DeviceLock Discovery[6] , а также серверный модуль DeviceLock EtherSensor, который позволяет протоколировать сетевые события и передаваемые по сети сообщения и файлы, не задействуя при этом агенты DeviceLock.
Ключевая функциональная особенность DeviceLock DLP — контентная фильтрация[7] в режиме реального времени ("в разрыв", т.е. возможность проверки содержимого данных (информации), передаваемых по сети, печатаемых на принтерах и сохраняемых на флеш-накопителях). Для анализа содержимого данных используются следующие методы: анализ по цифровым отпечаткам, анализ по ключевым словам (с поддержкой морфологии и транслитерации, с наличием большого количества интегрированных в продукт геоспецифических и отраслевых словарей, с возможностью их модернизировать или создавать собственные словари), анализ по шаблонам регулярных выражений (также с наличием большого количества интегрированных в продукт шаблонов и возможностью их модернизировать или создавать собственные), анализ по расширенным свойствам документов, встроенный модуль оптического распознавания символов в графике (OCR). Контентная фильтрация в DeviceLock DLP выполняется непосредственно на защищаемых компьютерах, не зависит от наличия подключения к сети и позволяет избирательно блокировать или разрешать передачу/печать/сохранение данных в зависимости от результата проверки содержимого правилами контентного анализа. Также реализовано избирательное теневое копирование на основании контентного анализа.
Важная архитектурная особенность DeviceLock DLP — возможность развёртывания и управления через групповые политики в домене Active Directory, благодаря чему продукт легко интегрируется в существующую инфраструктуру организаций любого масштаба, причём эта возможность не является единственным способом управления продуктом.
Продукт и документация опубликованы в открытом доступе на сайте разработчика, пробный период составляет 30 дней без ограничения функциональных возможностей.
Содержание
Архитектура. Управление
Архитектура
DeviceLock Service — агент DeviceLock, устанавливаемый на каждый защищаемый компьютер и работающий на уровне ядра Microsoft Windows. Запускается автоматически, невидим для локального пользователя. Включает в себя компоненты DeviceLock Base, NetworkLock и ContentLock, с опциональным лицензированием компонентов в зависимости от потребностей клиента.
DeviceLock Enterpise Server(DLES) — дополнительный компонент (необязательный), используется для централизованного сбора и хранения данных теневого копирования и аудита (использует в свою очередь MS SQL Server). Вторая функция DLES — развертывание агентов в сети, а также мониторинг текущего состояния агентов и применяемых политик. Не лицензируется, может быть использован в любом количестве для создания любой инфраструктуры сбора данных аудита.
DeviceLock Search Server (DLSS) — дополнительный компонент (необязательный), используется для индексирования и полнотекстового поиска по содержимому файлов теневого копирования и журналам, хранящимся в базе данных DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда необходим поиск по содержимому документов, хранимых в базе данных теневого копирования.
Вышеуказанные компоненты образуют в маркетинговом плане комплекс DeviceLock Endpoint DLP Suite. Модуль DeviceLock при этом является базовым и обязательным, модули ContentLock и NetworkLock лицензируются опционально. Установка всех модулей комплекса осуществляется единовременно (единый дистрибутив). Для включения функциональных возможностей модулей NetworkLock и ContentLock достаточно загрузить соответствующие лицензии и задать политики соответственно для контроля каналов сетевых коммуникаций и контентной фильтрации.
DeviceLock Discovery - самостоятельный продукт, позволяющий сканировать рабочие станции и сетевые хранилища в целях обнаружения данных заданного типа посредством контентного анализа, с выполнением заданных действий по устранению выявленных нарушений. Методы анализа содержимого хранимых данных идентичны представленным в компоненте ContentLock.
Комплекс DeviceLock DLP образуется совокупностью продуктов DeviceLock Endpoint DLP Suite и DeviceLock Discovery. Кроме того, в состав комплекса включен сервер мониторинга сетевого трафика DeviceLock EtherSensor.
Централизованное управление
DeviceLock имеет систему удаленного управления, позволяющую управлять всеми функциями продукта с рабочего места администратора системы.
Для управления системой в продукте есть четыре Консоли управления:
- DeviceLock Management Console — представляет собой оснастку (snap-in) для Microsoft Management Console), со стандартным интерфейсом, интуитивно понятным любому администратору Windows. Предназначена для подключения к отдельному компьютеру (агенту DeviceLock) или DeviceLock Enterprise Server'у.
- DeviceLock Group Policy Manager — оснастка, интегрируемая в редактор политик Windows и позволяющая управлять системой через групповые политики Windows в домене Active Directory.
- DeviceLock Enterprise Manager — дополнительная консоль с собственным интерфейсом для пакетного управления DeviceLock в сетях, где не используется Active Directory.
- DeviceLock WebConsole — дополнительная консоль, реализованная в виде web-интерфейса для любого браузера.
Полная интеграция DeviceLock в групповые политики Windows позволяет обеспечить первичное развертывание продукта в автоматическом режиме, автоматически устанавливать агентов на новые компьютеры, подключаемые к локальной сети, и осуществлять настройку агентов также в автоматическом режиме. Установка агентов возможна с предопределенными настройками (используются создаваемые администратором в консоли DeviceLock Management Console MSI-пакеты).
Для сетей, где нет домена Windows, предусмотрена поддержка служб каталогов LDAP, таких как Novell eDirectory, Open LDAP и др.
Защита информации
|
|