ПРОГРАММНЫЙ КОМПЛЕКС ЗАЩИТЫ ОТ УТЕЧЕК ДАННЫХ С

BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 1
ПРОГРАММНЫЙ
КОМПЛЕКС ЗАЩИТЫ
ОТ УТЕЧЕК ДАННЫХ
С КОРПОРАТИВНЫХ
КОМПЬЮТЕРОВ
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 2
DeviceLock®
О компании Смарт Лайн Инк
Основанная в 1996 году российская компания Смарт Лайн Инк (SmartLine Inc) является
международным лидером разработки программных средств контроля доступа к пери
ферийным устройствам и защиты от утечек данных с корпоративных компьютеров.
Наши продукты помогают службам информационной безопасности организаций и систем
ным интеграторам создавать эффективные DLPрешения для платформы Microsoft Win
dows. Программный комплекс DeviceLock® разработки Смарт Лайн Инк применяется для за
щиты данных как в информационных системах масштаба предприятия, так и на отдельных
рабочих станциях.
Штабквартира и основной офис разработки программных продуктов Смарт Лайн Инк нахо
дятся в Москве, а заграничные офисы продаж и технической поддержки — в США, Великоб
ритании, Германии и Италии.
Смарт Лайн Инк — не только признанный технологический лидер в области контроля досту
па пользователей компьютеров к периферийным и мобильным устройствам, но и первый
отечественный производитель полноценных DLPсистем, продукты которого пользуются по
пулярностью на международном рынке.
О высоком качестве и надежности наших продуктов свидетельствует масштаб клиент
ской базы компании — ее программный комплекс DeviceLock защищает более 4 миллио
нов компьютеров, установленных по всему миру в информационных системах 60 тысяч ор
ганизаций кредитнофинансового, энергетического, оборонного и государственного секто
ров, а также телекоммуникаций, здравоохранения и образования и других.
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 3
Зачем нужны DLP*средства
защиты от утечек данных?
Ценные корпоративные данные, кото
рые ваша организация пытается защи
тить с помощью межсетевых экранов
и паролей, буквально утекают сквозь
пальцы инсайдеров. Это происходит
как случайно, так и в результате
умышленных действий неправомер
ного копирования информации с ра
бочих компьютеров на флешнакопи
тели, MP3плееры, смартфоны, кар
манные и планшетные компьютеры,
CD/DVD/BDдиски и другие носители
данных. Кроме того, данные могут
бесконтрольно передаваться инсай
дерами через электронную почту,
службы мгновенного обмена сообще
ниями, вебформы, форумы и соци
альные сети. Беспроводные интер
фейсы WiFi, Bluetooth и Infrared наравне с каналами локальной син
хронизации данных с мобильными
устройствами открывают дополни
тельные пути для утечек информации
с пользовательских компьютеров ор
ганизации. Помимо инсайдерских уг
роз другой опасный сценарий утечек
реализуется при заражении компью
теров вредоносными программами,
которые могут записывать вводимый
с клавиатуры текст или отдельные ви
ды хранимых в оперативной памяти
компьютера данных и впоследствии
передавать их в Интернет по протоко
лам электронной почты или файлово
го обмена. В то время, как ни одна из
этих уязвимостей не устраняется ни
традиционными механизмами сете
вой безопасности, ни встроенными
средствами контроля ОС Windows,
программный комплекс DeviceLock®
Endpoint DLP Suite эффективно пре
дотвращает утечки данных с корпора
тивных компьютеров, используя пол
ный набор механизмов контекстного
контроля операций с данными а также
технологии их контентной фильтра
ции. Поддержка виртуальных и тер
минальных сред в DeviceLock® Endpo
int DLP Suite существенно расширяет
возможности служб информационной
безопасности в решении задачи пре
дотвращения утечек данных при ис
пользовании различных решений
виртуализации рабочих сред, создан
ных как в форме локальных виртуаль
ных машин, так и терминальных сес
сий рабочих столов или опубликован
ных приложений на гипервизорах.
3
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 4
DeviceLock®
Контекстный контроль
и контентная фильтрация
Наиболее эффективный подход к за
щите от утечек информации с компью
теров начинается с использования,
прежде всего, механизмов контекс
тного контроля запрета или разреше
ния передачи данных для конкретных
пользователей в зависимости от фор
матов данных, типов интерфейсов и
устройств, сетевых протоколов, нап
равления передачи, дня недели и вре
мени суток и т.д.
Однако, во многих случаях требуется
более глубокий уровень контроля например, проверка содержимого пе
редаваемых данных на наличие пер
сональной или конфиденциальной
информации в условиях, когда порты
вводавывода не должны блокиро
ваться, чтобы не нарушать производс
твенные процессы, но отдельные
пользователи входят в "группу риска",
поскольку подозреваются в причас
тности к нарушениям корпоративной
политики информационной безопас
ности. В подобных ситуациях допол
нительно к контекстному контролю не
обходимо применение технологий
контентного анализа и фильтрации,
позволяющих выявить и предотвра
тить передачу неавторизованных дан
ных, не препятствуя при этом инфор
мационному обмену в рамках служеб
ных обязанностей сотрудников.
4
Программный комплекс DeviceLock
Endpoint DLP Suite использует как
контекстные, так и основанные на
анализе контента методы контроля
данных, обеспечивая надежную за
щиту от утечек информации с поль
зовательских компьютеров и серве
ров корпоративных ИС при мини
мальных затратах на приобретение и
обслуживание комплекса. Контекс
тные механизмы DeviceLock реализу
ют гранулированный контроль дос
тупа пользователей к широкому
спектру периферийных устройств и
каналов вводавывода, включая се
тевые коммуникации. Дальнейшее
повышение уровня защиты достига
ется за счет применения методов
контентного анализа и фильтрации
данных, что позволяет предотвра
тить их несанкционированное копи
рование на внешние накопители и
PlugandPlay устройства, а также пе
редачу по сетевым протоколам за
пределы корпоративной сети.
Наряду с методами активного контро
ля эффективность применения Device
Lock обеспечивается за счет детально
го протоколирования действий поль
зователей и административного пер
сонала, а также селективного теневого
копирования передаваемых данных
для их последующего анализа, в том
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
числе с использованием методов пол
нотекстового поиска.
Для администраторов информаци
онной безопасности DeviceLock
предлагает наиболее рациональный
и удобный подход к управлению
DLPсистемой с использованием
объектов групповых политик домена
Microsoft Active Directory и интегри
рованной в редактор групповых по
литик (GPO Editor) консоли Device
Lock. При этом политики DeviceLock
автоматически распространяются
средствами директории как интег
ральная часть ее групповых политик
на все компьютеры домена, а также
виртуальные Windowsсреды. Такое
13:51
Page 5
решение фпозволяфет службе ин
формационной безопасности цен
трализованно и оперативно управ
лять DLPполитиками в масштабах
всей организации, а их исполнение
распределенными агентами Device
Lock обеспечивает точное соответс
твие между бизнесфункциями
пользователей и их правами на пе
редачу и хранение информации на
рабочих компьютерах. Не менее
важно, что агенты DeviceLock не ока
зывают скольлибо заметного влия
ния на их производительность, ра
ботают в самозащищенном режиме
и остаются полностью прозрачными
для пользователей, не нарушающих
дисциплину работы с данными.
DeviceLock
ContentLock
NetworkLock
Базисный функциональный компонент комплекса DeviceLock позволяет контролировать доступ
пользователей к различным интерфейсам (портам) компьютера и его периферийным устройствам
в зависимости от их типа, класса, модели и уникального идентификатора, дня недели и времени
суток, форматов файлов, а также типов операций с данными, включая чтение, запись, форматиро
вание носителей. Компонент NetworkLock расширяет функции контекстного контроля на сетевые
коммуникации пользователей, а компонент ContentLock обеспечивает контентный анализ и филь
трацию данных в каналах передачи, контролируемых DeviceLock и NetworkLock.
5
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 6
DeviceLock®
Модульная структура
и лицензирование
Комплекс DeviceLock Endpoint DLP Sui
te состоит из взаимодополняющих
функциональных модулей Device
Lock, NetworkLock, ContentLock и Devi
ceLock Search Server, лицензируемых в
любых комбинациях на основе базис
ного модуля DeviceLock.
Базисный компонент DeviceLock под
держивает полный набор механиз
мов контекстного контроля доступа
пользователей, а также обеспечивает
событийное протоколирование и те
невое копирование данных для всех
локальных каналов вводавывода на
защищаемых компьютерах, включая
периферийные устройства и интер
фейсы, системный буфер обмена,
локально подсоединенные смартфо
ны и КПК, канал печати документов
на локальные и сетевые принтеры, а
также перенаправленные в терми
нальные и виртуальные среды уст
ройства, буфер обмена и принтеры.
Кроме того, компонент DeviceLock
служит в качестве инфраструктурной
платформы для других компонентов
комплекса и реализует все функции
его централизованного управления и
администрирования.
Опциональный компонент Networ
kLock™ обеспечивает контекстный
контроль каналов сетевых коммуни
6
каций компьютеров, включая рас
познавание сетевых протоколов не
зависимо от используемых портов,
детектирование коммуникационных
приложений и их селективную бло
кировку, реконструкцию сообщений
и сессий с восстановлением файлов,
данных и параметров, а также собы
тийное протоколирование и теневое
копирование передаваемых данных.
Опциональный компонент Conten
tLock™ реализует механизмы мони
торинга и контентной фильтрации
файлов, копируемых на съемные
носители и иные PlugnPlay уст
ройства, а также объектов данных,
перехваченных NetworkLock при их
передаче по сетевым каналам связи
включая содержимое электронной
почты, мгновенных сообщений,
webформ, публикаций социальных
сетей, файловых обменов и т.д.
Опциональный компонент Device
Lock Search Server (DLSS) обеспечи
вает полнотекстовый поиск по цен
трализованным базам данных тене
вого копирования и событийного
протоколирования DeviceLock. Ис
пользование DLSS позволяет значи
тельно снизить трудозатратность и
повысить эффективность процессов
аудита и расследования инцидентов
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
информационной безопасности,
связанных с утечками информации,
их криминалистического анализа и
сбора доказательной базы.
Компоненты комплекса DeviceLock
Endpoint DLP Suite лицензируются по
функциональномодульному принци
пу. Лицензионная политика предус
матривает как приобретение лицензий
на комплекс в целом, так и выбороч
ное лицензирование по отдельным
модулям. Базисный модуль контроля
DeviceLock обязателен для любой инс
талляции комплекса и может исполь
13:51
Page 7
зоваться независимо. Опционально
лицензируемые компоненты Conten
tLock, NetworkLock и DLSS могут при
обретаться дополнительно к Device
Lock и независимо друг от друга, что
обеспечивает пользователям поэтап
ное и экономное расширение функци
онала их DLPрешений в соответствии
с ростом потребностей. Поскольку
инсталляционный пакет DeviceLock
включает все компоненты комплекса,
активация опциональных лицензий не
требует переустановки какихлибо его
частей, равно как и дополнительной
установки компонентов.
Полная интеграция консоли управления политиками и агентами DeviceLock Group Policy Manager в
средства управления платформы Active Directory, а также Microsoft Group Policy Management Console
обеспечивает высокую масштабируемость DLPрешений на базе DeviceLock Endpoint DLP Suite.
7
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 8
DeviceLock®
Характеристики
и преимущества DeviceLock
Централизованное управление с
интеграцией в групповые политики
Active Directory. Полная интеграция
централизованного управления Devi
ceLock в групповые политики Windows
позволяет автоматически устанавли
вать DeviceLock на новые компьютеры,
подключаемые к корпоративной сети,
а также оперативно управлять поли
тиками контроля доступа, контентной
фильтрации, аудита и теневого копи
рования агентов DeviceLock на защи
щаемых компьютерах и в виртуальных
средах. Наиболее популярная среди
пользователей консоль управления
DeviceLock Group Policy Manager пред
ставляет собой оснастку для Microsoft
Management Console (MMC), встраи
ваемую в стандартную оснастку Group
Policy, которая входит в состав Win
dows 2000 и более поздних операци
онных систем. Благодаря привычному
и интуитивно понятному для сетевых
администраторов интерфейсу управ
ление DeviceLock является простым и
не требует написания дополнительных
скриптов, изменения схемы домена
или ADMшаблонов. Для организа
ций, не использующих Active Directory,
в комплексе DeviceLock предусмотрена
дополнительная консоль с MMCпо
добным графическим интерфейсом DeviceLock Enterprise Manager, которая
позволяет централизованно управлять
8
агентами DeviceLock на любых ком
пьютерах, выбирая их напрямую из
служб каталогов LDAP (таких как No
vell eDirectory, Open LDAP и т.п.). Аген
ты могут быть установлены на удален
ные компьютеры с уже заданными по
литиками безопасности и конфигура
ционными настройками путем развер
тывания специально созданного уста
новочного пакета Microsoft Installer
(MSI). Такой MSIпакет создается ад
министратором при помощи консоли
управления DeviceLock. XMLшаблоны
DLPполитик могут создаваться, экс
портироваться и использоваться во
всех консолях управления DeviceLock.
Поддержка RSoP. Стандартная оснас
тка Resultant Set of Policy (RSoP) позво
ляет администраторам DeviceLock
просматривать исполняемые агентами
DLPполитики а также проверять кон
систентность их набора, подготавли
ваемого для доставки на агенты Devi
ceLock.
Белые списки. Для каждого пользо
вателя или группы можно задать свой
"белый" список устройств, доступ к ко
торым будет всегда разрешен. Уст
ройства можно идентифицировать по
модели и по уникальному серийному
номеру. Поддерживается временный
доступ к устройствам при отсутствии
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
сетевого подключения к агенту. Адми
нистратор сообщает пользователю
специальный короткий буквенноциф
ровой код (например, по телефону),
который временно разблокирует дос
туп только к требуемому устройству.
Кроме того, DeviceLock позволяет
идентифицировать определенный
CD/DVD/BDдиск на основе записан
ных на него данных и разрешить его
использование, даже если сам привод
заблокирован. Модуль NetworkLock
поддерживает политики, основанные
на принципе "белого" списка, который
дополнительно может детализиро
ваться по IPадресам, их диапазонам и
маскам подсетей, а также по сетевым
портам и их диапазонам.
Контроль сетевых коммуникаций.
Использующий методы глубокого па
кетного анализа модуль NetworkLock
обеспечивает детектирование и селек
тивную блокировку сетевых протоко
лов и коммуникационных приложений
13:51
Page 9
независимо от используемых ими
портов, реконструкцию сессий и сооб
щений с восстановлением передавае
мых файлов и иных данных для их
оперативного анализа, теневое копи
рование, а также событийное протоко
лирование действий пользователей.
NetworkLock позволяет контролиро
вать коммуникации пользователей че
рез популярные сетевые приложения,
включая передачу почтовых сообще
ний по открытым и SSLзащищенным
SMTPсессиям и протоколу MAPI (с
раздельным контролем сообщений и
вложений), webдоступ и другие
HTTP/HTTPSприложения, webпочту,
мессенджеры, социальные сети, пере
дачу файлов в облачные сетевые хра
нилища и по протоколам SMB,
FTP/FTPSSL, a также Telnetсессии.
Контроль по типу файлов. DeviceLock
позволяет контролировать доступ
пользователей к операциям с файлами
в зависимости от их типов (форматов).
С помощью NetworkLock организации могут гибко контролировать и аудировать доступ
пользователей их корпоративных ИС к популярным сетевым приложениям, включая webдоступ в
Интернет, SMTP и webпочту, социальные сети, блоги, службы мгновенных сообщений
(мессенджеры), передачу файлов, telnetсессии и т.д.
9
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 10
DeviceLock®
Основанный на сигнатурной обработке
бинарного содержимого файлов метод
детектирования позволяет безошибоч
но идентифицировать более 4000
файловых форматов и нечувствителен
к фальсификации их расширений.
Контроль по типу файлов осуществля
ется дополнительно к правам пользо
вателей, заданным на уровне типа уст
ройства или сетевого протокола.
Контентная фильтрация. Технологии
парсинга и контентного анализа, реа
лизованные в модуле ContentLock,
позволяют выделять и фильтровать
текстовое содержимое более чем 80
файловых форматов и иных типов
данных, копируемых на съемные но
сители, а также передаваемых по сете
вым каналам связи, контролируемым
модулем NetworkLock, включая сооб
щения электронной почты, мгновен
ные сообщения, вебформы, обмены
социальных сетей и т.д. ContentLock
обеспечивает фильтрацию потоков
данных, основываясь на созданных
администратором шаблонах регуляр
ных выражений (RegExp) с различны
ми численными и логическими усло
виями соответствия шаблона критери
ям и ключевым словам. При создании
правил фильтрации шаблоны можно
объединять в сколь угодно сложные
комбинации с использованием логи
ческих функций "И" и "ИЛИ", таким об
разом задавая комплексные образцы
для поиска и фильтрации контента.
Набор более чем 50 параметров, ис
пользуемых для задания шаблонов,
включает идентификаторы пользова
телей и их групп, идентификаторы
компьютеров и типы их интерфейсов,
устройства, типы каналов и направле
ние передачи данных, диапазоны дат
и времени и многие другие. В продукт
встроены наборы готовых шаблонов
для наиболее распространенных ви
дов защищаемой информации, вклю
чая номера кредитных карт, банков
ских счетов, водительских удостовере
ний, идентификаторы социального
страхования, телефонные номера, ад
реса и т.д. Помимо этого в качестве
параметров правил фильтрации мож
но использовать встроенные отрасле
вые терминологические словари, а
также словари, которые пользователи
могут создавать самостоятельно с уче
том специфики их организации.
Задание DLPполитик с применением методов контентной фильтрации для устройств (верхнее
окно) и сетевaых протоколов (нижнее окно). Использование словарей ключевых слов и шаблонов
упрощает конфигурирование сложных DLPполитик.
10
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
Контроль буфера обмена. Device
Lock позволяет превентивно предот
вращать потенциальные утечки дан
ных еще до того, как они передаются с
компьютеров когда пользователи на
меренно или случайно копируют дан
ные между различными приложения
ми и документами через встроенный в
ОС Windows буфер обмена. Политики
контроля DeviceLock могут быть нас
троены для выборочной блокировки и
аудита операций передачи данных че
рез системный буфер между различ
ными приложениями (например, из
Microsoft Word в Excel или в OpenOffi
ce). Контекстный контроль доступа
пользователей к операциям буфера
обмена обеспечивается на уровне
13:51
Page 11
объектов и типов данных включая
файлы, текстовые данные, графичес
кие изображения, аудиофрагменты
(например, записи, сделанные Win
dows Sound Recorder). Кроме того, De
viceLock поддерживает селективное
блокирование "снимков экрана", вы
полняемых как стандартной функцией
Windows PrintScreen, так и аналогич
ными функциями различных приложе
ний. Функция контроля буфера обме
на играет значительную роль в защите
терминальных и виртуальных сред в
стратегии BYOD. Блокирование сним
ков экрана, контроль передачи объек
тов и данных из терминальной среды
в память личного устройства пользо
вателя, настраиваемое для выбранных
С помощью ММСоснастки DeviceLock Group Policy Manager администраторы DeviceLock могут
централизованно управлять политиками защиты от утечек данных через все типы потенциально
опасных каналов коммуникаций, интерфейсов и устройств на компьютерах в масштабе всего леса
доменов Active Directory организации.
11
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 12
DeviceLock®
пользователей и групп, предотвраща
ет использование одного из класси
ческих методов утечки данных в тер
минальных и виртуальных средах.
Контроль синхронизации с мобиль*
ными устройствами. Уникальная па
тентованная технология собственной
разработки позволяет DeviceLock опе
ративно контролировать процесс об
мена данными между компьютером и
мобильными устройствами iPhone,
iPod touch, iPad и на платформах Win
dows Mobile и Palm, локально подклю
ченными по интерфейсам USB, COM,
IrDA, Bluetooth и WiFi. DeviceLock пе
рехватывает, анализирует и фильтрует
синхронизируемые данные с точнос
тью до их типа, включая файлы, поч
товые сообщения, контакты, заметки,
эккаунты и т.д., дополнительно обес
печивая событийное протоколирова
ние операций обмена а также теневое
копирование данных согласно центра
лизованно задаваемым политикам.
Контроль локальной синхронизации
обеспечивает значительное повыше
ние уровня защиты от утечек данных с
корпоративных компьютеров в пов
седневных ситуациях, когда сотрудни
ки подключают к ним свои личные
смартфоны или КПК и по халатности,
изза ошибок или намеренно копиру
ют на них служебную и деловую ин
формацию.
Контроль печати документов. Ис
пользуя технологию перехвата опера
ций системного спулера печати, Devi
ceLock обеспечивает организациям
возможность централизованно кон
тролировать доступ сотрудников с их
рабочих компьютеров к любым типам
12
принтеров, включая сетевые, подклю
ченные локально, а также виртуаль
ные принтеры печати в файл. В случае
подключения принтеров к USB порту
доступ к ним может контролироваться
с точностью вплоть до модели а также
уникального идентификатора отдель
ного принтера. DeviceLock протоколи
рует связанные с процессами печати
события и автоматически передает их
в центральную базу данных, где они
сохраняются для целей аудита. Прави
ла протоколирования задаются с тем
же уровнем гранулированности, что и
политика доступа к принтерам. Столь
же гибко конфигурируется политика
теневого копирования посланных на
печать документов, копии которых
сохраняются и передаются в централь
ную базу данных сервера DeviceLock
Enterprise Server для их анализа.
Интеграция с внешними средства*
ми шифрования. DeviceLock позволя
ет задавать специальные политики
доступа к съемным дискам, зашифро
ванным при помощи внешних прог
раммных средств шифрования. Ис
пользуя такие политики, можно, нап
ример, разрешить запись только за
шифрованных данных на съемные уст
ройства и запретить запись незашиф
рованных данных.
Политики автономного и оператив*
ного режима. Для более гибкой за
щиты компьютера от утечек данных
агенты DeviceLock могут применять
разные политики в зависимости от то
го, подключен ли компьютер к корпо
ративной сети или работает автоном
но. В оперативном режиме компьютер
работает, если он либо подключен к
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
сети, либо с него доступен контроллер
домена или DeviceLock Enterprise Ser
ver. В противном случае компьютер
работает автономно. Детектирование
режима работы и переключение меж
ду заданными для них политиками De
viceLock осуществляется агентом авто
матически. Применение различных
политик может быть использовано для
реализации различных сценариев
противодействия угрозам утечки в
разных режимах доступности корпо
ративных данных например, для
запрета использования адаптеров Wi
Fi, когда компьютер подключен к
офисной сети компании, и снятия это
го ограничения, когда командирован
ный сотрудник включает компьютер в
гостинице.
Тревожные оповещения. DeviceLock
обеспечивает тревожные оповещения
администратора в реальном режиме
времени (алертинг). Оповещения мо
гут отправляться в почтовых сообще
ниях по протоколам SMTP и/или
SNMP. Предусмотрено два типа опове
щений: административные (измене
ние настроек сервиса, остановка аген
та DeviceLock, изменения в списке ад
министраторов DeviceLock Administra
tors, неуспешные попытки пользовате
ля внести изменения в политики и т.п.)
13:51
Page 13
и специфичные для устройств и прото
колов. Настройка тревожных опове
щений осуществляется администрато
ром аналогично настройке правил ау
дита, при этом не заменяет аудит.
Обнаружение и блокирование ап*
паратных кейлоггеров. DeviceLock
обнаруживает USBкейлоггеры и бло
кирует подсоединенные к ним клавиа
туры. Кроме того, добавляя к вводи
мым с клавиатуры данным "цифровой
белый шум", DeviceLock делает беспо
лезным использование PS/2 кейлогге
ров, поскольку выделение подлинных
"клавиатурных" сигналов из записан
ного в память кейлоггера "шума" прак
тически невозможно.
Защита от локального администра*
тора. Функция DeviceLock Administra
tors обеспечивает защиту от удаления
агента DeviceLock, изменения конфи
гурации или нарушения его работос
пособности со стороны пользователей
даже в тех случаях, когда они имеют
полные административные привиле
гии на локальных компьютерах. При
активированной функции DeviceLock
Administrators никто, кроме авторизо
ванных администраторов DeviceLock,
не может подключиться к агенту, оста
новить или удалить его.
13
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 14
DeviceLock®
Режим наблюдения
Внедрение решений на базе продуктов DeviceLock часто начинается с ре
жима наблюдения, когда права пользователей по передаче и хранению
данных никак не ограничиваются, однако, служба информационной бе
зопасности организации использует установленные на рабочих компью
терах агенты DeviceLock для всеобъемлющего протоколирования, сбора
и анализа информации о характере поведения и уровне соответствия
пользователей требованиям административно установленной политики
безопасности корпоративных данных. Результаты наблюдения использу
ются при создании профилей потоков данных для различных категорий
работников и на их основе разработки базовых ограничительных
DLPполитик, которые активируются на этапе полнофункционального
внедрения DeviceLock. Кроме того, нередко уже на этапе наблюдения
DeviceLock позволяет выявить и устранить серьезные нарушения или
преступную деятельность со стороны инсайдеров.
Протоколирование и поддержка
централизованного аудита. Device
Lock позволяет протоколировать все
действия пользователей с устройства
ми и файлами (копирование, чтение,
удаление и т.п.), а также изменения в
настройках агента Devicelock, время
его старта и остановки. DeviceLock ис
пользует стандартную подсистему со
бытийного протоколирования Win
dows, а также автоматически собирает
данные аудита с удаленных компьюте
ров в локальной сети и хранит их в
центральной базе данных SQL сервера
DeviceLock Enterprise Server (DLES).
Доступ к базе данных DLES имеют
только авторизованные администра
торы DeviceLock, что обеспечивает ее
защиту от удаления и искажения со
14
стороны пользователей, даже если
они обладают локальными админис
тративными правами. Для равномер
ного распределения нагрузки в ло
кальной сети можно установить нес
колько экземпляров DLES, которые, в
свою очередь, используют любое ко
личество SQLсерверов для хранения
данных.
Теневое копирование. Функция те
невого копирования DeviceLock позво
ляет сохранять точную копию данных,
копируемых пользователями на внеш
ние устройства, печатаемых на ло
кальные и сетевые принтеры, переда
ваемых по сети, а также через после
довательные или параллельные пор
ты. Теневые копии файлов и данных,
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
включая файлы, извлеченные из ISO
образов CD/DVD/BD дисков, сохраня
ются в SQLбазе данных сервера DLES.
Характеристики событийного протоко
лирования и теневого копирования в
DeviceLock гибко настраиваются для
эффективного использования сетевых
ресурсов и ресурсов БД SQLсервера с
помощью таких механизмов, как пото
ковое сжатие данных аудита и тенево
го копирования, контроль пропускной
способности сети, автоматический вы
бор оптимального сервера DLES и ло
кальной квоты кэша данных аудита и
теневого копирования. Реализованная
в ContentLock технология контентной
фильтрации данных теневого копиро
вания позволяет сохранять в цен
тральной базе копии только тех доку
ментов и объектов, которые значимы
для задач аудита информационной
безопасности, расследований нештат
ных ситуаций и криминалистического
анализа. В результате на порядки сни
жаются требования к емкости храни
лищ теневых копий и пропускной спо
собности каналов связи при их пере
даче в центральную базу DLES. Кон
тентный анализ данных теневого копи
рования поддержан для всех основ
ных каналов передачи данных, вклю
чая съемные носители и plugnplay
устройства памяти, сетевые коммуни
кации, синхронизацию данных с ло
кально подключенными смартфонами,
а также канал печати документов.
Централизованный мониторинг. С
помощью DeviceLock Enterprise Server
(DLES) администраторы DeviceLock
могут оперативно контролировать те
кущее состояние агентов на удаленных
компьютерах посредством их перио
13:51
Page 15
дического опроса и сохранения в жур
нале мониторинга информации о те
кущем состоянии, версии и настрой
ках агентов. Кроме того, для указан
ных администратором компьютеров
DLES может сравнивать текущие DLP
политики агентов с эталонными поли
тиками, регистрировать информацию
о выявленных отклонениях в журнал
мониторинга, а также автоматически
заменять текущие политики на эталон
ные.
Отчеты. DeviceLock поддерживает
формирование графические отчетов
на основе данных журналов аудита и
теневого копирования, хранимых на
сервере DeviceLock Enterprise Server.
Отчеты могут автоматически отсылать
ся на заданный адрес электронной
почты. Кроме того, DeviceLock позво
ляет формировать отчеты по установ
ленным настройкам, применяемым на
агентах DeviceLock, а также по Plugn
Play устройствам (USB, FireWire и PCM
CIA), которые используются на защи
щаемых DeviceLock компьютерах.
Сервер полнотекстового поиска.
Опционально лицензируемый компо
нент DeviceLock Search Server (DLSS)
позволяет осуществлять полнотексто
вый поиск по содержимому файлов
теневого копирования и журналам ау
дита, хранящимся в центральной базе
данных сервера DeviceLock Enterprise
Server. Использование DLSS значитель
но снижает трудоемкость и повышает
эффективность процессов аудита и
расследования инцидентов информа
ционной безопасности, включая зада
чи криминалистического анализа и
сбора доказательной базы. К основ
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 16
DeviceLock®
ным характеристикам DLSS относятся
поддержка более 80 наиболее рас
пространенных форматов, морфоло
гический поиск и фильтрация "стоп
слов" в текстах на семи языках, вклю
чая русский, комбинирование слов и
фраз и использование регулярных вы
ражений в строке поиска, поддержка
шаблонов и специальных символов,
поиск по полям документов и числен
ным диапазонам, сортировка пред
ставления результатов поиска по реле
вантности, весовым коэффициентам
терминов и полей документов. Кроме
того, DLSS поддерживает создание ин
дексов по содержимому полей собы
тийных записей DeviceLock, что позво
ляет эффективно дополнять поиск по
документам в теневой базе напри
мер, поисковые запросы могут уточ
няться значениями таких параметров
16
логзаписей, как имена пользовате
лей, идентификаторы компьютеров,
диапазон дат событий, типы опера
ций, размеры и имена файлов, иден
тификаторы периферийных устройств
и т.д. Поддержка в DLSS индексирова
ния и полнотекстного поиска по тек
стовому содержимому заданий печати
в форматах PCL и PostScript позволила
полностью автоматизировать анализ
текстовых данных в теневых копиях
PCL и PostScript документов и сокра
тить его время до диапазона секунд
вне зависимости от размера базы по
иска. Особенно важное для россий
ских организаций преимущество тек
стового парсинга PostScript докумен
тов в DLSS состоит в корректном рас
познавании образов кириллических
знаков, что делает индексацию и по
иск уникально точными.
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 17
Реализованные проекты
DeviceLock защищает
персональные данные пациентов
в Донецкой области
Внедрение DeviceLock было осущест
влено в рамках проекта обеспечения
автоматизированными рабочими мес
тами 72 центров первичной медико
санитарной помощи Донецкой области
и создания условий для электронного
учета пациентов и защиты их персо
нальных данных.
Проект был реализован в рамках вы
полнения Национального плана дейс
твий на 2012 год по внедрению Прог
раммы экономических реформ на
20102014 гг. «Богатое общество, кон
курентоспособная экономика, эффек
тивное государство», утвержденного
Указом Президента Украины от 12
марта 20112 г. №187.
Для создания электронного реестра па
циентов в Донецкой области, компани
ей АМИ было поставлено около 2 тысяч
автоматизированных рабочих мест
(АРМ) врача/регистратора. Для кон
троля и предотвращения различных уг
роз информационной безопасности на
каждом ПК установлено специализиро
ванное ПО DeviceLock 7, гарантирую
щее высокий уровень предотвращения
утечек, краж и непреднамеренных по
терь информации, в том числе персо
нальных данных пациентов.
Главное управление здравоохранения Донецкой
облгорадминистрации Сфера деятельности:
Здравоохранение
Основные задачи:
Создание условий для электронного учета пациентов и
защиты их персональных данных
Производитель:
DeviceLock
Используемые продукты и решения:
DeviceLock 7
17
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 18
DeviceLock®
DeviceLock решает задачу контроля доступа
к конфиденциальным данным «Пивденкомбанка»
ПАО «Коммерческий Банк» Пивден
комбанк» внедрил решение DeviceLock
для контроля доступа пользователей к
важной корпоративной информации и
предотвращения ее утечки.
Внедрение DeviceLock стало одним из
этапов модернизации ИТ инфраструк
туры банка. Учитывая не малое число
сотрудников, количество которых
только в Киеве составляет около 800
человек, риск утечки данных являлся
довольно высоким. Внедрение Device
Lock дало службе ИТ безопасности
инструмент централизованного кон
троля доступа пользователей к уст
ройствам считывания информации и
позволило более тщательно следить
за их действиями внутри сети.
«Внедрение подобных решений всегда
приводит к корректировкам условий
использования и управления информа
ционными ресурсами, – сказал Владис
лав Орловский, Ведущий инженер по
программному обеспечению департа
мента ИТ. – Но данные действия необ
ходимы, если компания желает уберечь
важную и нужную информацию от утеч
ки и нежелательного распространения».
При выборе продукта, который решил
бы возложенные на него задачи, во вни
мание, в первую очередь, бралась его
гибкость, позиции на рынке и цена. Devi
ceLock, в этом аспекте, оказался привле
кательнее по нескольким причинам, во
первых, на этапе тестирования пользова
телям всегда доступна его полнофункци
ональная тестовая версия, вовторых, в
сети достаточно информации об успеш
ных проектах внедрения DeviceLock, что
вызывает доверие, втретьих, оператив
ная реакция технической поддержки.
ПАО «Коммерческий Банк» Пивденкомбанк»
Финансовые услуги
Основные задачи:
Централизованный контроль доступа пользователей к
устройствам считывания информации
Производитель:
DeviceLock
Используемые продукты и решения:
DeviceLock
«ПІВДЕНКОМБАНК» – универсальное коммерческое учреждение, более 20 лет
стабильно работающее на финансовом рынке Украины. Согласно градации НБУ Банк
входит в III группу банков по величине активов. На 1 марта 2012 года размер чистых
активов ПАО «КБ «ПІВДЕНКОМБАНК» составил 4 млрд 215 млн грн.
«ПІВДЕНКОМБАНК» входит в Группу «МЕТАЛ ЮНИОН». Филиальная сеть
финансовокредитного учреждения насчитывает 35 региональных подразделений.
18
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 19
АБ «Укргазбанк» внедрил DLP от DeviceLock
Входящий в ТОП 20 крупнейших бан
ков Украины, АБ «Укргазбанк» внедрил
DeviceLock DLP Suite для защиты персо
нальных данных клиентов и корпора
тивной информации от утечки.
Растущие требования банковской ин
дустрии к информационной безопас
ности, а также широкое использова
ние сотрудниками съемных носителей
информации, стали основными при
чинами, которые побудили руководс
тво «Укргазбанка» принять решение о
внедрении средства защиты данных от
утечки DeviceLock DLP Suite.
«Имея не маленький штат сотрудни
ков, порядка 4500 и ведя деятель
ность на высоко конкурентном рынке
банковских услуг, вопрос защиты кон
фиденциальных данных клиентов и
интеллектуальной собственности явля
ется приоритетным. Поэтому внедре
ние DLP решения для нас, как компа
нии дорожащей своей репутацией, яв
ляется не правилом хорошего тона или
данью тенденциям, а залогом предос
тавления клиентам качественных ус
луг», – заметил Сергей Недзельский,
начальник управления информацион
ной безопасности АБ «Укргазбанка».
С целью максимально обезопасить се
бя от возможной утечки данных по
всем возможным каналам передачи
данных, банком было принято реше
ние внедрить полный набор компо
нентов DeviceLock DLP Suite. Таким об
разом, отдел ИБ может контролиро
вать передаваемые сотрудниками
данные через интернет, включая сооб
щения IM, вебпочты и социальных
сетей, а также отправленные на съем
ные носители и печать.
АБ «Укргазбанк»
Финансовые услуги
Основные задачи:
Контроль передаваемых сотрудниками данных через
Интернет, централизованный контроль съемных
носителей и вывода информации на печать
Производитель:
DeviceLock
Используемые продукты и решения:
DeviceLock DLP Suite
Сегодня АБ «Укргазбанк» – одна из самых надежных и динамичных финансовых
структур Украины, которая успешно функционирует на рынке банковских услуг. Вхо
дит в 20 крупнейших банков Украины. Полноправный член MasterCard (2000), VISA
(2002) и UkrCard (2002). Credit Rating: Национальный долгосрочный рейтинг «uaBBB»,
Прогноз – Стабильный; рейтинг надежности банковских депозитов на уровне "4".
19
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 20
DeviceLock®
Компания TNT Express Ukraine выбрала DeviceLock для
предотвращения утечки конфиденциальных данных
С целью контроля доступа к конфиден
циальным данным компании и предот
вращения их утечки, TNT Express Ukrai
ne внедрила программный продукт
DeviceLock.
По словам начальника ИТотдела TNT
Express Ukraine, Игоря Толмачева, необ
ходимость в программном продукте
DeviceLock, возникла в связи с работой
компании на высоко конкурентном
рынке, где утечка конфиденциальных
данных может нанести огромный ущерб
компании. «Значительной частью бре
шей в информационной безопасности
компании являлись, как не странно, не
атаки хакеров и вредоносное ПО, а
действия инсайдеров. Перед нами стала
задача, взять под контроль оборот ин
формации внутри компании», – про
комментировал Игорь Толмачев.
При выборе продукта для решения дан
ной задачи в инфраструктуре из 350 ра
бочих станций и более 40 серверов и
маршрутизаторов, руководство остано
вилось на продукте DeviceLock, выделив
его среди конкурентных решений за
простоту и эффективность. Внедрение
DeviceLock обеспечило ИТотдел пол
ным контролем над тем, какие устройс
тва подключаются к рабочим станциям,
как они используются и какая информа
ция на них записывается. Отдельно бы
ла отмечена возможность теневого ко
пирования переносимых на внешние
носители данных, что дало администра
тору полное представление о том, с ка
кими документами выполнялись те или
иные операции. Также, достаточно
простым был процесс установки и внед
рения продукта, чему поспособствовала
профессиональная техническая помощь
компании SPro, Ltd – сертифицирован
ного дилера DeviceLock в Украине.
Компания «Эльдорадо»
Экспресс0доставка корпоративных грузов
и корреспонденции
Основные задачи:
Контроль доступа к конфиденциальным данным
компании и предотвращение их утечки
Производитель:
DeviceLock
Используемые продукты и решения:
DeviceLock
TNT Express – лидер в сфере экспрессдоставки корпоративных грузов и корреспон
денции. Украинское представительство компании насчитывает более 700 сотрудни
ков в 20ти региональных офисах. TNT Express Ukraine обслуживает более 140 горо
дов и выполняет порядка 10 000 операций в неделю.
20
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 21
Группа компаний «НИКО» внедрила DeviceLock
для защиты от утечки информации
C целью обезопасить себя от возмож
ных утечек конфиденциальной инфор
мации Группа компаний «НИКО» внед
рила программный продукт DeviceLock
– решение для контроля доступа сот
рудников к периферийным устройс
твам и портам вводавывода.
Комментируя необходимость исполь
зования подобного рода продукта,
Андрей Демченко, начальник отдела
информационных технологий в Груп
пе компаний «НИКО», отметил: «Ин
формационная безопасность стала
одним из приоритетов в работе на
шей организации. Мы уже вышли на
тот уровень, когда возможная утечка
конфиденциальных данных может
нанести колоссальный финансовый
ущерб. С началом использования
программного продукта DeviceLock,
мы сделали невозможным несанкци
онированное копирование информа
ции на сменные носители (флешна
копители, диски, мобильные устройс
тва), печать на принтеры и, как
следствие, закрыли большинство пу
тей утечки информации».
При выборе продукта для решения
данной задачи специалисты Группы
компаний «НИКО» рассматривали
программы от различных производи
телей. Причиной выбора в пользу De
viceLock стала его отличная функцио
нальность, репутация лидера рынка и
приемлемая цена. Кроме того, при
тестировании решения был отмечен
достаточно легкий процесс установки
и первичной настройки продукта, а
также профессионально оказанная по
мощь технических специалистов ком
пании SPro, Ltd. – сертифицированно
го дилера DeviceLock в Украине.
Компания «Эльдорадо»
Автомобильный рынок
Основные задачи:
Защита от утечки конфиденциальной информации
Производитель:
DeviceLock
Используемые продукты и решения:
DeviceLock
Группа компаний «НИКО», согласно результатов рейтинга «Гвардия корпораций» в
2008 г., вошла в число 50 самых дорогих компаний Украины и является одним из лиде
ров отечественного автомобильного рынка. Размер ИТ инфраструктуры группы состав
ляет около 800 компьютеров и серверов под управлением Microsoft Active Directory.
21
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 22
DeviceLock®
Техническая спецификация
Лицензируемые модули
DeviceLock (базисный)
ContentLock
NetworkLock
DeviceLock Search Server
Контролируемые порты
USB, FireWire, инфракрасный, последо
вательный и параллельный
Контролируемые типы устройств
Floppyприводы, приводы CD
ROM/DVD/BD, любые съемные носители
данных (флэш, карты памяти и др.),
жесткие диски, ленточные накопители,
адаптеры WiFi и Bluetooth, устройства
Apple iPhone/iPod touch/iPad, BlackBerry,
Windows Mobile и Palm, принтеры
(локальные, сетевые и виртуальные),
модемы, цифровые камеры, сканнеры,
устройства класса Terminal Service Devices
Контролируемые сетевые
коммуникации
Почтовые протоколы и webсервисы
(включая мобильные версии): MAPI
(Microsoft Exchange), SMTP/SMTP over
SSL, Gmail, Yahoo!Mail, Hotmail
(Outlook.com), Mail.Ru, AOL Mail,
Yandex.Mail, WEB.DE, GMX.de
Социальные сети (включая мобильные
версии): Facebook (+API), Twitter,
Google+, LinkedIn, Tumblr, MySpace,
Vkontakte (+API), XING.com, LiveJournal,
MeinVZ.de, StudiVZ.de, SchuelerVZ.net,
Disqus, LiveInternet.ru, Odnoklassniki.ru
Сетевые сервисы файлового обмена и
синхронизации: Google Drive, Dropbox,
SkyDrive, RapidShare, Amazon S3, Yandex
Disk, iFolder.ru (Rusfolder.com), Narod.ru
22
Службы мгновенных сообщений: Skype,
ICQ/AOL, MSN Messenger, Jabber, IRC,
Yahoo! Messenger, Mail.Ru Агент
Сетевые протоколы: HTTP/HTTPSSL,
FTP/FTPSSL, Telnet
Прочее: внутрисетевые файловые ресур
сы (SMB)
Контроль буфера обмена
Контроль операций обмена данными
между приложениями
Раздельный контроль типов данных:
файлы, текстовые данные, графические
данные, аудио данные, данные неиден
тифицированного типа
Контроль снимков экрана (для приложе
ний и PrintScreen)
Контролируемые типы данных
Более 4000 типов файлов
Объекты протоколов синхронизации с
мобильными устройствами: Microsoft
ActiveSync, Palm HotSync, iTunes
Контроль текста в графических изобра
жениях (встроенных в документы
Microsoft Office и Adobe PDF или отдель
ных графических файлах)
Каналы контентной фильтрации
Съемные носители данных и PlugnPlay
устройства памяти
Сетевые коммуникации
Канал печати
Технологии контентной фильтрации
Поиск по ключевым словам с применением
морфологического анализа (для английско
го, французкого, итальянского, немецкого,
испанского/каталанского, русского, порту
гальского и польского языков) по целым
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
словам или частичному совпадению, под
держка транслитерации для русского языка
Поиск по шаблонам на базе регулярных
выражений с числовыми и булевыми по
рогами срабатывания
Поиск по встроенным комплексным шаб
лонам регулярных выражений (номера
кредитных карт, адреса, паспортные дан
ные и т.д.)
Встроенные отраслевые терминологичес
кие словари
Поиск по расширенным свойствам доку
ментов и файлов (имя, размер, наличие
парольной защиты, дата и время изме
нения, титул, тема, метки и категории
документа, комментарии и авторы, нали
чие отпечатка Oracle IRM и др.)
Распознаваемые контентным анализом
форматы файлов
Более 80 форматов файлов, включая Mic
rosoft Office, Adobe PDF, OpenOffice, Lotus
123, WordPerfect, WordStar, Quattro Pro,
архивы и репозитории электронной почты,
CSV, DBF, XML, Unicode, GZIP, RAR, ZIP, др.
Контентная фильтрация
при теневом копировании
Все форматы файлов контентной филь
трации
Каналы: съемные носители данных и Plug
nPlay устройства памяти, сетевые комму
никации, локальная синхронизация с мо
бильными устройствами, операции буфе
ра обмена, канал печати документов
Полнотекстовый поиск
Все форматы файлов контентной филь
трации
Задания на печать в форматах PCL, Post
script и др.
Индексирование и поиск: комбинация
слов, фраз, регулярных выражений, спе
циальных символов, численных диапазо
нов, полей документов, записей журна
лов аудита
Морфологический поиск и фильтрация
"стопслов" для языков: русский, англий
13:51
Page 23
ский, французский, немецкий, итальян
ский, японский, испанский
Сортировка результатов поиска: комби
нация слов и фраз по логике "И", реле
вантность, весовые коэффициенты тер
минов и полей документов
Контроль виртуальных
и терминальных сред
Контролируются устройства хранения
данных, сетевые ресурсы, USBустройс
тва, принтеры, буфер обмена данными,
последовательные порты, перенаправ
ленные в терминальную сессию по про
токолам RDP, ICA, PCoIP, HTML5/Web
Sockets, равно как и сетевые коммуни
кации виртуальных рабочих столов и
клиентов терминальных сессий. Обеспе
чивает DLPзащиту для виртуальных
сред, ограничивая доступ к корпоратив
ным приложениям и данным в страте
гии BYOD
Поддерживаемые среды: MS RemoteFX,
Citrix XenApp, XenDesktop, XenServer,
VMware View, Windows Virtual PC и
Oracle VM VirtualBox
Интеграция с криптографическими
продуктами
Windows 7 BitLocker To Go, PGP Whole Disk
Encryption, TrueCrypt, SecurStar DriveCrypt,
SafeDisk (Инфотекс), Lexar Media SAFE
S1100 и S3000, Sophos SafeGuard Easy
Требования к программно*
аппаратным платформам
Агент: Windows NT 4.0/2000/XP/Vista/7
или Server 2003/2008 (32bit/64bit ver
sions); CPU Pentium 4, 64MB RAM, HDD
100MB
Консоли управления DeviceLock: Win
dows 2000/XP/Vista/7 или Server
2003/2008 (32bit/64bit); CPU Pentium
4, 2GB RAM, HDD 600GB
Сервер: Windows Server 2003 R2; 2xCPU
Intel Xeon QuadCore 2.33GHz, RAM 8GB,
HDD 800GB; MSEE/MSDE или MS SQL
Server
23
BCT_DL_A5_4_4_24p_2013.qxd
02.04.2013
13:51
Page 24
DeviceLock®
[www.devicelock.com/ru]
Официальный дистрибьютор DeviceLock в Украине
тел./факс: +380 (44) 2733333
+380 (44) 2733333
Email:
devicelock@bakotech.com
www.bakotech.ua