Анализ в основе системы ИБ

Евгений Лопатин
руководитель отдела разработки
программного обеспечения
компании “ИТЕРАНЕТ"

Business Guardian

Система информационной безопасности (СИБ) Business Guardian, предназначенная для контроля информационных потоков, циркулирующих в телекоммуникационной сети организации, и обеспечения соблюдения требований политики информационной безопасности внутренними и внешними пользователями, была разработана специалистами "ИТЕРАНЕТ" и успешно апробирована и внедрена в ряде государственных и коммерческих организаций. Как любая информационная система, она способна развиваться и совершенствоваться при увеличении круга решаемых задач и изменении состава требований к выполняемым процессам. Благодаря модульной структуре системы Business Guardian всегда существует возможность расширения функциональности ее отдельных модулей в соответствии с потребностями пользователя и возникающими изменениями в инфраструктуре телекоммуникационной сети предприятия.

Анализ трафика

Основная функция СИБ Business Guardian – мониторинг трафика на предмет выявления фактов передачи конфиденциальной информации из внутренней сети организации с последующим информированием сотрудника службы безопасности о наличии данных фактов. Данная задача реализуется в СИБ Business Guardian посредством анализа трафика с рабочих мест пользователей. Система анализирует трафик, разбивая его на объекты (письма, файлы, сообщения и пр.), и осуществляет поиск конфиденциальной информации, распространение которой является нежелательным.

Анализ информации на предмет следования политики безопасности компании осуществляется с помощью контентного и субъектного анализа, а также контроля авторизаций на интернет-ресурсах. В случае обнаружения утечки информации или нежелательного поведения пользователя в сети, охраняемой СИБ Business Guardian, система генерирует событие, которое анализируется сотрудником службы безопасности.

Особенности анализа

Каждый из видов используемого в системе анализа информации имеет свои особенности. Например, контентный анализ, представляющий собой поиск с учетом синтаксиса и морфологии заданного контента (слов, словосочетаний, фраз) в передаваемой информации, позволяет отслеживать нежелательное разглашение конфиденциальной информации с помощью публикации файлов, отправки писем, передачи файлов по сети и т.д. Контентный анализ работает в соответствии с рубрикатором, который настраивается сотрудником службы безопасности.

Субъектный анализ, осуществляющий поиск всей информации, передаваемой конкретными пользователями, характеризуется возможностью установки контроля за электронной корреспонденцией сотрудников, вызывающих подозрение. Субъект наблюдения может быть задан путем указания одного или нескольких параметров, например, e-mail, IP-адрес, фамилия и т.д. Все объекты, имеющие отношение к субъекту наблюдения, считаются потенциально опасными и приводят к генерации события (например, e-mail на адрес субъекта или с его адреса, посещение интернет-страницы с IP-адреса субъекта).

Контроль авторизаций на интернет-ресурсах представляет собой поиск попыток регистрации и авторизации пользователей на любых сайтах в сети Интернет и блокирование доступа к сайтам, запрещенным к регистрации. Он позволяет выявить все регистрации и авторизации сотрудников на интернет-ресурсах, например вход в социальные сети или развлекательные форумы. Система анализирует интернет-трафик пользователя и при обнаружении факта авторизации пользователя на любом сайте сохраняет логин пользователя, под которым он пытался авторизоваться. Доступ блокируется при попытке авторизации на запрещенном для регистрации сайте.

Предусмотренные системой виды анализа позволяют, с одной стороны, выявлять в трафике факты нарушения политики безопасности, а с другой – вести наблюдение за действиями уже выявленных и предполагаемых недобросовестных сотрудников.

Типовая конфигурация СИБ Business Guardian дает возможность в реальном времени обрабатывать трафик типовых каналов связи средних и больших организаций со скоростью до 100 Мбит/с, что позволяет говорить как о качественном, так и о количественном повышении уровня безопасности информации, обеспечиваемого внедрением системы Business Guardian.