НАЗАД

Построение системы информационной безопасности

Данная статья (ряд статей) носит оценочный и демонстрационный характер.
В данной статье приведены решения, которые позволяют реализовать построение системы информационной безопасности.
В качестве примера используется модель банка, для которой создается система информационной безопасности.
Настоящая статья подготовлена на основании общедоступных маркетинговых и технических материалов, находящихся в открытом доступе.
Все рисунки и cтатьи могут распространяться свободно и безвозмездно.


Часть 7. Система контроля интернет трафика и защиты от утечек информации.

Продолжаем создавать систему информационной безопасности моделируемого банка.
Для реализации системы контроля интернет трафика и защиты от утечек информации предлагается использовать системы класса DLP (Data Loss Prevention).
На рисунке ниже представлена общая схема данной системы.
Каналы утечки информации с точки зрения предотвращения инсайдерского инцидента достаточно разнообразны: мобильные накопители, Интернет (веб-почта, форумы), средства мгновенного обмена сообщениями (ICQ, MSN и др.), электронная почта, печатающие устройства, фотопринадлежности и другие.
Разумеется, при выборе решения для защиты ИТ-инфраструктуры от внутренних угроз банка, прежде всего, обращено внимание на перечень перекрываемых каналов утечки. Именно поэтому, для обеспечения всесторонней защиты специалисты ИБ выбирают многоуровневый подход, основанный на комплексном использовании DLP-решений.


DLP системы должны соответствовать следующим критериям:

На рисунке ниже пунктирной линий со стрелками показаны каналы перехвата конфиденциальной информации, покидаемой периметр сети. DLP
Система DLP, используя определенный технологии (цифровые отпечатки, контентный анализ, шаблоны, псевдолингвистику) выявляет среди потока покидаемой периметр сети информации, информацию, покидание которой за периметр сети является нарушением политики безопасности. Здесь возможна работа системы DLP в двух режимах:


Назначение системы

Система предназначена для выявления и предотвращения утечки конфиденциальной информации (составляющей коммерческую тайну, или содержащей персональные данные) в текстовом формате через ресурсы корпоративной электронной почты, Интернет (в том числе web-почту, форумы), систему мгновенных сообщений (интернет - пейджеры), через периферийные устройства (например: flash, usb-hdd, т.д.) и печать (локальная, сетевая).
Система предназначена для обеспечения следующих функциональных возможностей:

Архитектура системы

Инфраструктура банка организована таким образом, что все пользователи банка в головном офисе и в филиалах выходят в сеть общего доступа «Интернет» и отправляют почту за пределы банка только из точек доступа в сеть общего доступа «Интернет», расположенных в головном офисе банка в г.Москва.
Для реализации защиты периметра сети от утечек, система реализовано на основе двух программно-аппаратных комплексов двух производителей:

На рисунке выше показана общая схема построения системы контроля интернет трафика и защиты от утечек информации.
Обе системы используются в режиме «Копия».
Система Websense обеспечивает перехват конфиденциальной информации по цифровым отпечаткам и «псевдолингвистике», передача которой за пределы периметра является нарушением политики ИБ. Обеспечивает хранение перехваченной информации и позволяет проводит ретроспективный анализ.
Компонент системы Websense Mobile обеспечивает контроль почтового трафика поступающего и отправляющегося с мобильных устройств пользователей.
Система Infowatch обеспечивает перехват конфиденциальной информации, передача которой за пределы периметра является нарушением политики ИБ, и всей информации покидаемой периметр сети по каналам утечки электронной почты и интернет (HTTP/HTTPS). Осуществляет хранение информации для обеспечения ретроспективного анализа (проведения расследования и сбора улик против инсайдера) по всей информации покинувшей по контролируемым каналам утечки информации.
Обе системы (Infowatch и Websense) имеют интеграцию с Active Directory.

Описание применения программно-аппаратного комплекса Инфовотч.

Программно-аппаратный комплекс Инфовотч применяется для перехвата всей поступающей за периметр информации по электронной почте (SMTP), интернет (HTTP/HTTPS), а также с Instant Messenger (ICQ) и Skype.
Перехват (HTTP/HTTPS) трафика и трафика Instant Messenger (ICQ) осуществляется с помощью интеграции с прокси серверами Bluecoat Proxy SG. В связи с тем, что существует два канала доступа в интернет, для филиалов банка в регионах и головного офиса, перехват осуществляется с двух кластеров прокси серверов Bluecoat Proxy SG. Для этого требуется использование двух серверов перехватчиков системы Инфовотч (далее – перехватчиков IWTM). Оба перехватчика, после обработки перехваченных сообщений отправляют перехваченные сообщения для хранения на сервер базы данных Инфовотч (далее – БД IWTM). Реализация перехвата трафика c прокси серверов Bluecoat Proxy SG по протоколу ICAP позволяет в дальнейшем настроить работу системы в режиме «Разрыв».
Перехват (SMTP) трафика осуществляется с использования съема копии трафика через SPAN порт и подачу перехваченного SMTP трафика через устройство концентрации SPAN трафика Gigamon (GigaVUE-2404) на сервер БД IWTM.
Консоль офицера безопасности подключается к серверу БД IWTM для работы с перехваченными сообщениями.
Консоль офицера безопасности позволяет разделить перехватываемую информацию на зоны, в соответствие с доменной структурой, с назначение прав просмотра зон соответствующим офицером безопасности. Всего определено 21 зона в соответствии с доменной архитектурой.
Описание потребности в оборудовании системы Infowatch:

Итого: 4 единицы серверного оборудования

Описание применения программно-аппаратного комплекса Websense.

Программно-аппаратный комплекс Websense обеспечивает:


Программно-аппаратный комплекс Websense работает в режиме «Копия» для всех каналов перехвата.
Перехват (SMTP) трафика осуществляется с использования съема копии трафика через SPAN порт и подачу перехваченного SMTP трафика через устройство концентрации SPAN трафика Gigamon (GigaVUE-2404) на сервер DSS Protector Websense.
Перехват (HTTP) трафика осуществляется с использованием съема копии трафика через SPAN порт и подачу перехваченного HTTP трафика через устройство концентрации SPAN трафика Gigamon (GigaVUE-2404) на сервер DSS Protector Websense.
Перехват (HTTPS) трафика осуществляется на уровне компонента Endpoint agent (непосредственно на рабочих станциях, с которых осуществляется выход в интернет).
Компонент Endpoint agent устанавливается на всех рабочих станциях банка. Данный компонент контролирует следующие каналы утечки информации (включая HTTPS):
Компонент Endpoint agent может использоваться также для контроля мобильных пользователей.
Компонент Discovery Websense реализует функцию поиска конфиденциальных данных, хранение которых запрещено политикой ИБ на файловых хранилищах и рабочих станциях пользователей.
Описание потребности в оборудовании системы Websense: Итого: 2 единицы серверного оборудования
Оборудование GigaVUE 2404 в количестве 1 единица.



Николай Ткаченко, 2015 г.