kancboom.ru

Преглед на DLP системи. DLP технология. Кратка история на създаването

За проблема Днес информационните технологии са важен компонент на всяка съвременна организация. Образно казано, информационните технологии са сърцето на предприятието, което поддържа ефективността на бизнеса и повишава ефективността и конкурентоспособността му в условията на съвременна, ожесточена конкуренция.Системите за автоматизация на бизнес процеси, като документооборот, CRM системи, ERP системи, Многоизмерните системи за анализ и планиране позволяват бързо събиране на информация, систематизиране и групиране, ускоряване на процесите на вземане на управленски решения и осигуряване на прозрачност на бизнеса и бизнес процесите за ръководството и акционерите Става очевидно, че голямо количество стратегически, поверителни и лични данни е важен информационен актив на предприятието и последиците от изтичането на тази информация ще повлияят на ефективността на организацията.Използването на днешните традиционни мерки за сигурност, като антивируси и защитни стени, изпълняват функциите за защита на информационните активи от външни заплахи, но по никакъв начин не гарантира защитата на информационните активи от изтичане, изкривяване или унищожаване от вътрешен нападател Вътрешните заплахи за информационната сигурност може да останат игнорирани или, в някои случаи, незабелязани от ръководството поради липса на разбиране на критичността на тези заплахи към бизнеса.Това е поради тази причина защита на поверителните даннитолкова важно днес. Относно решението Защита на поверителна информация от изтичане е важен компонент от комплекса за информационна сигурност на организацията. DLP системите (система за защита от изтичане на данни) са предназначени да решат проблема със случайни и умишлени течове на поверителни данни.

Пълна система за защита от изтичане на данни (DLP система)са софтуерен или хардуерно-софтуерен комплекс, който предотвратява изтичането на поверителни данни.

Извършва се от DLP системата, като се използват следните основни функции:

  • Филтриране на трафика по всички канали за предаване на данни;
  • Задълбочен анализ на трафика на ниво съдържание и контекст.
Защита на поверителна информация в DLP система извършва се на три нива: данни в движение, данни в покой, данни в употреба.

Данни в движение– данни, предавани по мрежови канали:

  • Уеб (HTTP/HTTPS протоколи);
  • Интернет - месинджъри (ICQ, QIP, Skype, MSN и др.);
  • Корпоративна и лична поща (POP, SMTP, IMAP и др.);
  • Безжични системи (WiFi, Bluetooth, 3G и др.);
  • FTP връзки.
Данни в покой– данни, статично съхранени на:
  • сървъри;
  • работни станции;
  • лаптопи;
  • Системи за съхранение на данни (DSS).
Данни в употреба– данни, използвани на работни станции.

Мерки, насочени към предотвратяване на изтичане на информациясе състои от две основни части: организационна и техническа.

Защита на поверителна информациявключва организационни мерки за търсене и класифициране на данните, налични в компанията. По време на процеса на класификация данните се разделят на 4 категории:

  • Секретна информация;
  • Конфиденциална информация;
  • Информация за служебно ползване;
  • Обществена информация.
Как се определя поверителната информация в DLP системите.

В DLP системите поверителната информация може да бъде определена чрез редица различни характеристики, както и по различни начини, например:

  • Езиков информационен анализ;
  • Статистически анализ на информация;
  • Регулярни изрази (модели);
  • Метод на цифров пръстов отпечатък и др.
След намирането, групирането и систематизирането на информацията следва втората организационна част – техническата.

Технически мерки:
Защитата на поверителна информация с технически средства се основава на използването на функционалността и технологиите на системата за защита от изтичане на данни. DLP системата включва два модула: хост модул и мрежов модул.

Хост модулиса инсталирани на потребителски работни станции и осигуряват контрол върху действията, извършвани от потребителя по отношение на класифицирани данни (поверителна информация). В допълнение, хост модулът ви позволява да проследявате активността на потребителите по различни параметри, като време, прекарано в интернет, стартирани приложения, процеси и пътища на данни и др.

Мрежов модулизвършва анализ на информацията, предавана по мрежата, и контролира трафика, който излиза извън рамките на защитената информационна система. Ако в предавания трафик бъде открита поверителна информация, мрежовият модул спира предаването на данни.

Какво ще даде внедряването на DLP система?

След внедряване на система за защита от изтичане на данни, компанията ще получи:

  • Защита на информационни активи и важна стратегическа информация на компанията;
  • Структурирани и систематизирани данни в организацията;
  • Прозрачност на бизнеса и бизнес процесите за услуги за управление и сигурност;
  • Контрол на процесите на трансфер на поверителни данни в компанията;
  • Намаляване на рисковете, свързани със загуба, кражба и унищожаване на важна информация;
  • Защита срещу злонамерен софтуер, проникващ в организацията отвътре;
  • Запазване и архивиране на всички действия, свързани с движението на данни в информационната система;
Вторични предимства на DLP системата:
  • Следене на присъствието на персонала на работното място;
  • Спестяване на интернет трафик;
  • Оптимизация на корпоративната мрежа;
  • Контрол на приложенията, използвани от потребителя;
  • Повишаване ефективността на персонала.

(Предотвратяване на загуба на данни)

Системи за наблюдение на действията на потребителите, система за защита на поверителни данни от вътрешни заплахи.

DLP системите се използват за откриване и предотвратяване на трансфера на поверителни данни на различни етапи. (по време на движение, използване и съхранение). DLP системата позволява:

    Контролирайте работата на потребителите, предотвратявайки неконтролираната загуба на работно време за лични цели.

    Автоматично, незабелязано от потребителя, записвайте всички действия, включително изпратени и получени имейли, чатове и незабавни съобщения, социални мрежи, посетени уебсайтове, въведени на клавиатурата данни, прехвърлени, отпечатани и запазени файлове и др.

    Следете използването на компютърни игри на работното място и вземете предвид количеството работно време, прекарано в компютърни игри.

    Наблюдавайте мрежовата активност на потребителите, вземайте предвид обема на мрежовия трафик

    Контролирайте копирането на документи на различни носители (преносими носители, твърди дискове, мрежови папки и др.)

    Контролирайте мрежовия печат на потребителя

    Записване на потребителски заявки към търсачки и др.

    Data-in-motion - данни в движение - имейл съобщения, прехвърляне на уеб трафик, файлове и др.

    Data-in-rest - съхранени данни - информация за работни станции, файлови сървъри, USB устройства и др.

    Data-in-use - данни в употреба - информация, която се обработва в момента.

Архитектурата на DLP решенията може да варира при различните разработчици, но като цяло има 3 основни тенденции:

    Прехващачи и контролери за различни канали за предаване на информация. Прехващачите анализират преминаващите информационни потоци, произтичащи от периметъра на компанията, откриват поверителни данни, класифицират информация и я предават на сървъра за управление за обработка на възможен инцидент. Контролерите за откриване на данни в покой изпълняват процеси за откриване на мрежови ресурси за чувствителна информация. Контролерите за операции на работни станции разпространяват политики за сигурност до крайни устройства (компютри), анализират резултатите от дейностите на служителите с поверителна информация и предават данни за възможни инциденти на сървъра за управление.

    Програми на агенти, инсталирани на крайни устройства: забелязват, че се обработват поверителни данни и наблюдават спазването на правила като запазване на информация на преносим носител, изпращане, печат, копиране чрез клипборда.

    Централен сървър за управление - сравнява информацията, получена от прихващачи и контролери и предоставя интерфейс за обработка на инциденти и генериране на отчети.

DLP решенията предлагат широка гама от комбинирани методи за откриване на информация:

    Дигитален печат на документи и части от тях

    Цифрови отпечатъци на бази данни и друга структурирана информация, която е важно да се защити от разпространение

    Статистически методи (повишаване на чувствителността на системата при повтарящи се нарушения).

Когато работят DLP системи, няколко процедури обикновено се изпълняват циклично:

    Обучение на системата на принципите на класификация на информацията.

    Въвеждане на правила за реагиране във връзка с категорията на откритата информация и групи служители, чиито действия да бъдат наблюдавани. Доверените потребители са подчертани.

    Изпълнение на контролна операция от DLP системата (системата анализира и нормализира информацията, извършва сравнение с принципите на откриване и класификация на данни и когато бъде открита поверителна информация, системата я сравнява със съществуващите политики, присвоени на откритата категория информация и, ако е необходимо, създава инцидент)

    Обработка на инциденти (например информиране, пауза или блокиране на изпращане).

Характеристики на създаване и работа на VPN от гледна точка на сигурността

Опции за изграждане на VPN:

    Базиран на мрежови операционни системи

    Базиран на рутер

    Въз основа на ITU

    Базиран на специализиран софтуер и хардуер

    Базиран на специализиран софтуер

За да работи VPN правилно и сигурно, трябва да разберете основите на взаимодействието между VPN и защитните стени:

    VPN мрежите са способни да създават комуникационни тунели от край до край, преминаващи през периметъра на мрежата и следователно са изключително проблематични по отношение на контрола на достъпа от защитната стена, която затруднява анализирането на криптиран трафик.

    Благодарение на своите възможности за криптиране, VPN мрежите могат да се използват за заобикаляне на IDS системи, които не могат да открият прониквания от криптирани комуникационни канали.

    В зависимост от мрежовата архитектура, изключително важната функция за преобразуване на мрежови адреси (NAT) може да не е съвместима с някои реализации на VPN и т.н.

По същество, когато взема решения за внедряване на VPN компоненти в мрежова архитектура, администраторът може или да избере VPN като самостоятелно външно устройство, или да избере да интегрира VPN в защитната стена, за да осигури и двете функции в една система.

    ITU + отделна VPN. Опции за VPN хостинг:

    1. Вътре в DMZ, между защитната стена и граничния рутер

      Вътре в защитената мрежа на ITU мрежови адаптери

      Вътре в екранираната мрежа, зад защитната стена

      Паралелно с ITU, на входната точка в защитената мрежа.

    Защитна стена + VPN, хоствана като единична единица - такова интегрирано решение е по-удобно за техническа поддръжка от предишната опция, не създава проблеми, свързани с NAT (превод на мрежови адреси) и осигурява по-надежден достъп до данните, за които е защитната стена отговорен. Недостатъкът на интегрираното решение е високата първоначална цена за закупуване на такъв инструмент, както и ограничените възможности за оптимизиране на съответните компоненти на VPN и Firewall (т.е. най-удовлетворяващите ITU реализации може да не са подходящи за изграждане на VPN компоненти на техните VPN може да окаже значително влияние върху производителността на мрежата и може да възникне забавяне по време на следните фази:

    1. При установяване на защитена връзка между VPN устройства (удостоверяване, обмен на ключове и др.)

      Закъснения, свързани с криптиране и дешифриране на защитени данни, както и трансформации, необходими за контрол на тяхната цялост

      Закъснения, свързани с добавянето на нов хедър към предадените пакети

Сигурност на електронната поща

Основни пощенски протоколи: (E)SMTP, POP, IMAP.

SMTP - прост протокол за прехвърляне на поща, TCP порт 25, без удостоверяване. Добавено е разширено SMTP - удостоверяване на клиента.

POP - post Office Protocol 3 - получаване на поща от сървъра. Удостоверяване с чист текст. APOP - с възможност за удостоверяване.

IMAP - протокол за достъп до интернет съобщения - е некриптиран протокол за поща, който съчетава свойствата на POP3 и IMAP. Позволява ви да работите директно с вашата пощенска кутия, без да е необходимо да изтегляте писма на вашия компютър.

Поради липсата на нормални средства за криптиране на информация, ние решихме да използваме SSL за криптиране на данните на тези протоколи. Оттук се появиха следните разновидности:

POP3 SSL - порт 995, SMTP SSL (SMTPS) порт 465, IMAP SSL (IMAPS) - порт 993, всички TCP.

Нападател, работещ с имейл система, може да преследва следните цели:

    Атакуване на компютъра на потребител чрез изпращане на имейл вируси, изпращане на фалшиви имейли (фалшифицирането на адреса на подателя в SMTP е тривиална задача), четене на имейли на други хора.

    Атака срещу пощенски сървър с помощта на имейл с цел проникване в неговата операционна система или отказ на услуга

    Използване на пощенски сървър като реле при изпращане на нежелани съобщения (спам)

    Прихващане на парола:

    1. Прихващане на пароли в POP и IMAP сесии, в резултат на което нападателят може да получава и изтрива поща без знанието на потребителя

      Прихващане на пароли в SMTP сесии - в резултат на което нападателят може да бъде незаконно упълномощен да изпраща поща през този сървър

За решаване на проблеми със сигурността с протоколите POP, IMAP и SMTP най-често се използва SSL протоколът, който ви позволява да шифровате цялата комуникационна сесия. Недостатък: SSL е ресурсоемък протокол, който може значително да забави комуникацията.

Спам и борбата с него

Видове измамнически спам:

    Лотария - ентусиазирано известие за печалби в лотарии, в които получателят на съобщението не е участвал. Всичко, което трябва да направите, е да посетите съответния уебсайт и да въведете номера на сметката си и ПИН кода на картата, които уж са необходими за плащане на услугите за доставка.

    Търгове - този вид измама се състои в липсата на стоки, които измамниците продават. След плащане клиентът не получава нищо.

    Фишингът е писмо, съдържащо връзка към някакъв ресурс, където искат да предоставите данни и т.н. Примамване на лековерни или невнимателни потребители на лични и поверителни данни. Измамниците изпращат много писма, обикновено маскирани като официални писма от различни институции, съдържащи линкове, водещи към примамливи сайтове, които визуално копират сайтовете на банки, магазини и други организации.

    Пощенската измама е набирането на персонал за компания, за която се предполага, че се нуждае от представител в която и да е страна, който може да се погрижи за изпращането на стоки или превода на пари към чуждестранна компания. По правило тук се крият схеми за пране на пари.

    Нигерийски букви - поискайте да депозирате малка сума, преди да получите пари.

    Писма за щастие

Спамът може да бъде масов или целенасочен.

Груповият спам няма конкретни цели и използва измамни техники за социално инженерство срещу голям брой хора.

Целевият спам е техника, насочена към конкретно лице или организация, при която атакуващият действа от името на директора, администратора или друг служител на организацията, в която работи жертвата, или атакуващият представлява компания, с която целевата организация е създала доверена връзка.

Събирането на адреси се извършва чрез подбор на собствени имена, красиви думи от речници, чести комбинации дума-число, метод на аналогия, сканиране на всички налични източници на информация (чат стаи, форуми и др.), кражба на бази данни и др.

Получените адреси се верифицират (проверява дали са валидни) чрез изпращане на тестово съобщение, поставяне в текста на съобщението на уникален линк към снимка с брояч за изтегляне или линк „отписване от спам съобщения“.

Впоследствие спамът се изпраща или директно от наети сървъри, или от неправилно конфигурирани легитимни имейл услуги, или чрез скрито инсталиране на зловреден софтуер на компютъра на потребителя.

Нападателят усложнява работата на анти-спам филтрите чрез въвеждане на произволни текстове, шум или невидими текстове, използване на графични букви или промяна на графични букви, фрагментирани изображения, включително използване на анимация, и текстове с предварителна фраза.

Анти-спам методи

Има 2 основни метода за филтриране на спам:

    Филтриране по формални характеристики на имейл съобщение

    Филтриране по съдържание

    Формален метод

    1. Фрагментиране по списъци: черно, бяло и сиво. Сивите списъци са метод за временно блокиране на съобщения с неизвестни комбинации от имейл адрес и IP адрес на изпращащия сървър. Когато първият опит завърши с временна неуспех (като правило програмите за спам не изпращат повторно писмото). Недостатъкът на този метод е възможният дълъг интервал от време между изпращането и получаването на легално съобщение.

      Проверка дали съобщението е изпратено от истински или фалшив (фалшив) пощенски сървър от посочения в съобщението домейн.

      “Обратно повикване” - при получаване на входяща връзка, получаващият сървър спира сесията и симулира работна сесия с изпращащия сървър. Ако опитът е неуспешен, спряната връзка се прекратява без допълнителна обработка.

      Филтриране по формални характеристики на писмото: адреси на подател и получател, размер, наличие и брой прикачени файлове, IP адрес на изпращача и др.

    Лингвистични методи – работа със съдържанието на писмото

    1. Разпознаване по съдържанието на писмото - проверява се наличието на признаци на спам съдържание в писмото: определен набор и разпределение на конкретни фрази в цялото писмо.

      Разпознаване чрез проби от букви (метод за филтриране, базиран на подпис, включително графични подписи)

      Байесовото филтриране е строго филтриране на думи. При проверка на входящо писмо вероятността то да е спам се изчислява въз основа на обработка на текста, която включва изчисляване на средното „тегло“ на всички думи в дадено писмо. Едно писмо се класифицира като спам или не в зависимост от това дали теглото му надвишава определен праг, зададен от потребителя. След като се вземе решение за писмо, „теглата“ за думите, включени в него, се актуализират в базата данни.

Идентификация в компютърни системи

Процесите на удостоверяване могат да бъдат разделени на следните категории:

    Но въз основа на знание за нещо (ПИН, парола)

    Въз основа на притежание на нещо (смарт карта, USB ключ)

    Не се основава на присъщи характеристики (биометрични характеристики)

Видове удостоверяване:

    Лесно удостоверяване с помощта на пароли

    Силно удостоверяване с помощта на многофакторни проверки и криптографски методи

    Биометрично удостоверяване

Основните атаки срещу протоколите за удостоверяване са:

    „Маскарад“ – когато даден потребител се опита да се представи за друг потребител

    Повторно предаване - когато прихваната парола се изпраща от името на друг потребител

    Принудително забавяне

За предотвратяване на подобни атаки се използват следните техники:

    Механизми като предизвикателство-отговор, времеви отпечатъци, произволни числа, цифрови подписи и др.

    Свързване на резултата от удостоверяването с последващи потребителски действия в рамките на системата.

    Периодично извършване на процедури за удостоверяване в рамките на вече установена комуникационна сесия.

    Проста автентификация

    1. Удостоверяване на базата на пароли за многократна употреба

      Удостоверяване на базата на еднократни пароли - OTP (one time password) - еднократните пароли са валидни само за едно влизане и могат да бъдат генерирани с помощта на OTP токен. За това се използва секретният ключ на потребителя, който се намира както в OTP токена, така и на сървъра за удостоверяване.

    Стриктното удостоверяване включва доказващата страна да докаже своята автентичност на разчитащата страна, като демонстрира познаване на определена тайна. Случва се:

    1. Едностранно

      Двустранен

      Тристранна

Може да се извърши на базата на смарт карти или USB ключове или криптография.

Силното удостоверяване може да се приложи с помощта на процес на дву- или трифакторна проверка.

В случай на двуфакторна автентификация, потребителят трябва да докаже, че знае паролата или ПИН кода и притежава определен персонален идентификатор (смарт карта или USB ключ).

Трифакторното удостоверяване изисква потребителят да предостави друг вид идентификация, като например биометрия.

Силното удостоверяване с помощта на криптографски протоколи може да разчита на симетрично и асиметрично криптиране, както и на хеш функции. Доказващата страна доказва познаване на тайната, но самата тайна не се разкрива. Използват се еднократни параметри (произволни числа, времеви марки и поредни номера), за да се избегне повторно предаване, да се гарантира уникалност, недвусмисленост и времеви гаранции на предаваните съобщения.

Биометрично удостоверяване на потребителя

Най-често използваните биометрични характеристики са:

    Пръстови отпечатъци

    Модел на вените

    Геометрия на ръцете

    Ирис

    Геометрия на лицето

    Комбинации от горните

Контрол на достъпа чрез схема за единично влизане с оторизация за единично влизане (SSO).

SSO позволява на потребител на корпоративна мрежа да премине само едно удостоверяване, когато влезе в мрежата, представяйки само една парола или друг необходим удостоверител веднъж и след това, без допълнително удостоверяване, да получи достъп до всички оторизирани мрежови ресурси, които са необходими за извършване на работа. Активно се използват инструменти за цифрово удостоверяване като токени, PKI цифрови сертификати, смарт карти и биометрични устройства. Примери: Kerberos, PKI, SSL.

Отговор на инциденти със сигурността на информацията

Сред задачите, пред които е изправена всяка система за управление на информационната сигурност, могат да бъдат идентифицирани две от най-важните:

    Предотвратяване на инциденти

    При възникване навременна и правилна реакция

Първата задача в повечето случаи се основава на закупуването на различни инструменти за информационна сигурност.

Втората задача зависи от степента на готовност на компанията за такива събития:

        Наличие на обучен екип за реагиране при инциденти с ИВ с предварително определени роли и отговорности.

        Наличие на добре обмислена и взаимосвързана документация относно процедурата за управление на инциденти с информационната сигурност, по-специално реакцията и разследването на идентифицирани инциденти.

        Наличие на подготвени ресурси за нуждите на екипа за реагиране (комуникационни инструменти, ..., безопасно)

        Наличие на актуална база от знания за възникнали инциденти по сигурността на информацията

        Високо ниво на информираност на потребителите в областта на информационната сигурност

        Квалификация и координация на екипа за реагиране

Процесът на управление на инциденти в информационната сигурност се състои от следните етапи:

    Подготовка – предотвратяване на инциденти, подготовка на екипи за реагиране, разработване на политики и процедури и др.

    Откриване – известие за сигурност, известие за потребителя, анализ на журнала за сигурност.

    Анализ – потвърждаване на възникването на инцидент, събиране на налична информация за инцидента, идентифициране на засегнатите активи и класифициране на инцидента по безопасност и приоритет.

    Реагиране - спиране на инцидента и събиране на доказателства, предприемане на мерки за спиране на инцидента и запазване на информация, базирана на доказателства, събиране на информация, базирана на доказателства, взаимодействие с вътрешни отдели, партньори и засегнати страни, както и привличане на външни експертни организации.

    Разследване – разследване на обстоятелствата на инциденти с информационната сигурност, привличане на външни експертни организации и взаимодействие с всички засегнати страни, както и с правоприлагащи и съдебни органи.

    Възстановяване – предприемане на мерки за затваряне на уязвимостите, довели до инцидента, отстраняване на последствията от инцидента, възстановяване на функционалността на засегнатите услуги и системи. Регистрация на застрахователна бележка.

    Анализ на ефективността и модернизация - анализ на инцидента, анализ на ефективността и модернизация на процеса на разследване на инциденти по сигурността на информацията и свързани документи, частни инструкции. Генериране на доклад за разследването и необходимостта от модернизиране на системата за сигурност за управление, събиране на информация за инцидента, добавянето й към базата знания и съхраняване на данни за инцидента.

Една ефективна система за управление на инциденти в информационната сигурност има следните цели:

    Осигуряване на правната значимост на събраната доказателствена информация за инциденти по сигурността на информацията

    Осигуряване на навременност и коректност на действията за реагиране и разследване на инциденти, свързани със сигурността на информацията

    Осигуряване на възможност за идентифициране на обстоятелствата и причините за инциденти с информационната сигурност с цел по-нататъшно модернизиране на системата за информационна сигурност

    Осигуряване на разследване и правна подкрепа за вътрешни и външни инциденти, свързани със сигурността на информацията

    Осигуряване на възможност за наказателно преследване на нападателите и изправянето им пред правосъдието, както е предвидено в закона

    Осигуряване на възможност за обезщетение за вреди от инцидент със сигурността на информацията в съответствие със закона

Системата за управление на инциденти в информационната сигурност обикновено взаимодейства и се интегрира със следните системи и процеси:

    Управление на информационната сигурност

    Управление на рисковете

    Осигуряване на непрекъснатост на бизнеса

Интеграцията се изразява в последователност на документацията и формализиране на реда на взаимодействие между процесите (входна, изходна информация и условия на преход).

Процесът на управление на инциденти на информационната сигурност е доста сложен и обемен. Това изисква натрупване, обработка и съхранение на огромно количество информация, както и изпълнение на много паралелни задачи, така че на пазара има много инструменти, които ви позволяват да автоматизирате определени задачи, например така наречените SIEM системи (информация за сигурност и управление на събития).

Chief Information Officer (CIO) – директор по информационни технологии

Chief Information Security Officer (CISO) – ръководител на отдела по информационна сигурност, директор по информационна сигурност

Основната задача на SIEM системите е не просто да събират събития от различни източници, а да автоматизират процеса на откриване на инциденти с документация в собствения си дневник или външна система, както и своевременно информиране за събитието. Системата SIEM има следните задачи:

    Консолидиране и съхранение на журнали на събития от различни източници - мрежови устройства, приложения, логове на OS, инструменти за сигурност

    Представяне на инструменти за анализ на събития и анализ на инциденти

    Корелация и обработка по правилата на настъпили събития

    Автоматично известяване и управление на инциденти

SIEM системите могат да идентифицират:

    Мрежови атаки във вътрешни и външни периметри

    Вирусни епидемии или отделни вирусни инфекции, неотстранени вируси, задни вратички и троянски коне

    Опити за неоторизиран достъп до поверителна информация

    Грешки и неизправности в работата на ИС

    Уязвимости

    Грешки в конфигурацията, мерките за сигурност и информационните системи.

Основни източници на SIEM

    Данни за контрол на достъпа и удостоверяване

    Регистри на събития на сървър и работна станция

    Мрежово активно оборудване

  1. Антивирусна защита

    Скенери за уязвимости

    Системи за отчитане на рискове, критичност на заплахите и приоритизиране на инциденти

    Други системи за защита и контрол на политиките за сигурност на информацията:

    1. DLP системи

      Уреди за контрол на достъп и др.

    2. Системи за инвентаризация

    Системи за отчитане на трафика

Най-известните SIEM системи:

QRadar SIEM (IBM)

КОМРАД (ЗАО НПО ЕШЕЛОН)

DLP ( Цифрова обработка на светлината) е технология, използвана в проекторите. Създаден е от Лари Хорнбек от Texas Instruments през 1987 г.

В DLP проекторите изображението се създава от микроскопично малки огледала, които са подредени в матрица върху полупроводников чип, наречено Digital Micromirror Device (DMD). Всяко от тези огледала представлява един пиксел в проектираното изображение.

Общият брой огледала показва разделителната способност на полученото изображение. Най-често срещаните DMD размери са 800x600, 1024x768, 1280x720 и 1920x1080 (за HDTV, High Definition TeleVision). В проекторите за цифрово кино стандартните DMD резолюции се считат за 2K и 4K, които съответстват съответно на 2000 и 4000 пиксела по дългата страна на рамката.

Тези огледала могат бързо да бъдат позиционирани така, че да отразяват светлината върху леща или радиатор (наричан още светлинен дъмп). Бързото въртене на огледалата (по същество превключване между включване и изключване) позволява на DMD да променя интензитета на светлината, която преминава през обектива, създавайки нюанси на сивото в допълнение към бялото (огледалото във включено положение) и черно (огледалото в изключено положение ).

Цвят в DLP проектори

Има два основни метода за създаване на цветно изображение. Единият метод включва използването на едночипови проектори, а другият - тричипови.

Едночипови проектори
Преглед на съдържанието на едночипов DLP проектор. Жълтата стрелка показва пътя на светлинния лъч от лампата до матрицата, през филтърния диск, огледалото и лещата. След това лъчът се отразява или в лещата (жълта стрелка), или в радиатора (синя стрелка).
Външни изображения
Оптичен дизайн на едноматричен DLP проектор
Микроогледално окачване и верига за управление

В проектори с единичен DMD чип цветовете се произвеждат чрез поставяне на въртящ се цветен диск между лампата и DMD, подобно на „последователната цветна телевизионна система“ на Columia Broadcasting System, използвана през 50-те години на миналия век. Цветният диск обикновено е разделен на 4 сектора: три сектора за основните цветове (червено, зелено и синьо), а четвъртият сектор е прозрачен за увеличаване на яркостта.

Поради факта, че прозрачният сектор намалява наситеността на цветовете, в някои модели той може да отсъства напълно; в други могат да се използват допълнителни цветове вместо празния сектор.

DMD чипът е синхронизиран с въртящия се диск, така че зеленият компонент на изображението да се показва на DMD, когато зеленият сектор на диска е на пътя на лампата. Същото за червените и сините цветове.

Червените, зелените и сините компоненти на изображението се показват последователно, но с много висока честота. Така на зрителя изглежда, че на екрана се проектира многоцветна картина. В ранните модели дискът се завърташе веднъж на всеки кадър. По-късно се създават проектори, при които дискът прави по два-три оборота на кадър, а при някои проектори дискът е разделен на по-голям брой сектори и палитрата върху него се повтаря два пъти. Това означава, че компонентите на изображението се показват на екрана, като се сменят един друг до шест пъти в един кадър.

Някои скорошни модели от висок клас са заменили въртящия се цветен диск с блок от много ярки светодиоди в три основни цвята. Поради факта, че светодиодите могат да се включват и изключват много бързо, тази техника ви позволява допълнително да увеличите честотата на опресняване на цветовете на картината и напълно да се отървете от шума и механично движещите се части. Отказът от халогенна лампа също улеснява топлинната работа на матрицата.

"Ефект на дъгата"

Rainbow DLP ефект

Ефектът на дъгата е уникален за DLP проектори с един чип.

Както вече споменахме, само един цвят се показва на изображение в даден момент. Докато окото се движи през проектираното изображение, тези различни цветове стават видими, което води до възприятието на "дъга" от окото.

Производителите на едночипови DLP проектори са намерили изход от тази ситуация чрез овърклок на въртящия се сегментиран многоцветен диск или чрез увеличаване на броя на цветните сегменти, като по този начин намаляват този артефакт.

Светлината от светодиоди направи възможно допълнително намаляване на този ефект поради високата честота на превключване между цветовете.

В допълнение, светодиодите могат да излъчват всеки цвят с всякакъв интензитет, което е увеличило гамата и контраста на изображението.

Тричипови проектори

Този тип DLP проектор използва призма за разделяне на лъча, излъчван от лампата, и след това всеки от основните цветове се насочва към собствен DMD чип. След това тези лъчи се комбинират и изображението се проектира върху екран.

Проекторите с три чипа са способни да произвеждат повече градации на нюанси и цветове от проекторите с един чип, тъй като всеки цвят е наличен за по-дълъг период от време и може да бъде модулиран с всеки видео кадър. В допълнение, изображението изобщо не е обект на трептене и „ефект на дъгата“.

Dolby Digital Cinema 3D

Infitec разработи спектрални филтри за въртящия се диск и очила, позволяващи прожектиране на рамки за различни очи в различни подгрупи на спектъра. В резултат на това всяко око вижда свое собствено, почти пълноцветно изображение на обикновен бял екран, за разлика от системите с поляризация на проектираното изображение (като IMAX), които изискват специален „сребърен“ екран за поддържане на поляризацията при отражение .

Вижте също

Алексей Бородин DLP технология. Портал ixbt.com (05-12-2000). Архивиран от оригинала на 14 май 2012 г.


Фондация Уикимедия. 2010 г.

Вижте какво е "DLP" в други речници:

    DLP- Saltar a navegación, búsqueda Digital Light Processing (en español Procesado digital de la luz) es una tehnología usada en proyectores y televisores de proyección. DLP е оригинално инсталирано на Texas Instruments, след което сте го направили... ... Wikipedia Español

    DLP- е съкращение от три букви с множество значения, както е описано по-долу: Технология Предотвратяване на загуба на данни е област на компютърната сигурност Обработка на цифрова светлина, технология, използвана в проектори и видео проектори Проблем с дискретния логаритъм,… … Wikipedia

Ние предлагаме набор от маркери, за да ви помогнем да извлечете максимума от всяка DLP система.

DLP-системи: какво е това?

Нека ви напомним, че DLP системите (Data Loss/Leak Prevention) ви позволяват да контролирате всички канали на мрежовата комуникация на компанията (поща, интернет, системи за незабавни съобщения, флаш устройства, принтери и др.). Защитата от изтичане на информация се постига чрез инсталиране на агенти на всички компютри на служителите, които събират информация и я предават на сървъра. Понякога информацията се събира чрез шлюз с помощта на SPAN технологии. Информацията се анализира, след което системата или служителят по сигурността взема решения относно инцидента.

И така, вашата компания е внедрила DLP система. Какви стъпки трябва да се предприемат, за да може системата да работи ефективно?

1. Правилно конфигурирайте правилата за сигурност

Нека си представим, че в система, обслужваща 100 компютъра, е създадено правило „Поправете цялата кореспонденция с думата „споразумение“.“ Такова правило ще провокира огромен брой инциденти, при които може да се загуби истинско изтичане.

Освен това не всяка компания може да си позволи да разполага с пълен персонал от служители, които наблюдават инциденти.

Инструментите за създаване на ефективни правила и проследяване на резултатите от тяхната работа ще помогнат за увеличаване на полезността на правилата. Всяка DLP система има функционалност, която ви позволява да направите това.

Като цяло методологията включва анализ на натрупаната база данни от инциденти и създаване на различни комбинации от правила, които в идеалния случай водят до появата на 5-6 наистина спешни инцидента на ден.

2. Актуализирайте правилата за безопасност на редовни интервали

Рязкото намаляване или увеличаване на броя на инцидентите е индикатор, че са необходими корекции в правилата. Причините може да са, че правилото е загубило своята релевантност (потребителите са спрели достъпа до определени файлове) или служителите са научили правилото и вече не извършват действия, забранени от системата (DLP - система за обучение). Практиката обаче показва, че ако се научи едно правило, тогава в съседно място потенциалните рискове от течове са се увеличили.

Трябва да обърнете внимание и на сезонността в работата на предприятието. През годината е възможно да се променят ключови параметри, свързани със спецификата на работата на компанията. Например, за доставчик на едро на дребно оборудване, велосипедите ще бъдат актуални през пролетта, а скутерите за сняг през есента.

3. Помислете за алгоритъм за реагиране при инциденти

Има няколко подхода за реакция при инцидент. При тестване и стартиране на DLP системи хората най-често не се уведомяват за промени. Участниците в инцидентите се наблюдават само. Когато се натрупа критична маса, представител на отдела за сигурност или човешки ресурси комуникира с тях. В бъдеще работата с потребителите често се оставя на представители на отдела за сигурност. Възникват миниконфликти и се натрупва негативизъм в екипа. Може да прерасне в умишлен саботаж на служителите спрямо компанията. Важно е да поддържате баланс между изискването за дисциплина и поддържането на здравословна атмосфера в екипа.

4. Проверете работата на режима на блокиране

Има два режима на реакция при инцидент в системата - фиксиране и блокиране. Ако всеки факт на изпращане на писмо или прикачване на прикачен файл към флашка е блокиран, това създава проблеми за потребителя. Служителите често атакуват системния администратор с искания за отключване на някои функции; ръководството също може да бъде недоволно от такива настройки. В резултат DLP системата и компанията получават отрицателна обратна връзка, системата е дискредитирана и демаскирана.

5. Проверете дали е въведен режим на търговска тайна

Предоставя възможност да направи определена информация поверителна, а също така задължава всяко лице, което знае за нея, да носи пълна юридическа отговорност за нейното разкриване. В случай на сериозно изтичане на информация съгласно действащия режим на търговска тайна в предприятието, на нарушителя може да бъде възстановен размерът на реалните и моралните щети чрез съда в съответствие с 98-FZ „За търговската тайна“.

Надяваме се, че тези съвети ще помогнат за намаляване на броя на неволните течове в компаниите, защото именно с тях DLP системите са предназначени да се борят успешно. Не бива обаче да забравяме цялостната система за сигурност на информацията и факта, че умишленото изтичане на информация изисква специално, внимателно внимание. Има съвременни решения, които могат да допълнят функционалността на DLP системите и значително да намалят риска от умишлени течове. Например, един от разработчиците предлага интересна технология - когато поверителни файлове се посещават подозрително често, уеб камерата автоматично се включва и започва да записва. Именно тази система позволи да се запише как нещастният крадец активно прави екранни снимки с помощта на мобилна камера.

Олег Нечеухин, експерт по защита на информационните системи, Контур.Сигурност

Днес често можете да чуете за такава технология като DLP системи. Какво представлява такава система? Как може да се използва? DLP системите означават софтуер, предназначен да предотвратява загуба на данни чрез откриване на възможни нарушения по време на филтриране и изпращане. Тези услуги също наблюдават, откриват и блокират поверителна информация по време на нейното използване, движение и съхранение. Изтичането на поверителна информация, като правило, възниква поради работа на оборудването от неопитни потребители или злонамерени действия.

Такава информация под формата на корпоративна или лична информация, интелектуална собственост, медицинска и финансова информация, информация за кредитни карти изисква специални мерки за защита, които модерните информационни технологии могат да предложат. Случаите на загуба на информация се превръщат в течове, когато източник, съдържащ поверителна информация, изчезне и попадне в ръцете на неупълномощена страна. Изтичането на информация е възможно без загуба.

Условно технологичните средства, които се използват за борба с изтичането на информация, могат да бъдат разделени на следните категории:

— стандартни мерки за сигурност;
— интелектуални (напреднали) мерки;
— контрол на достъпа и криптиране;
— специализирани DLP системи.

Стандартни мерки

Стандартните мерки за сигурност включват защитни стени, системи за откриване на проникване (IDS) и антивирусен софтуер. Те защитават компютъра от външни и вътрешни атаки. Така. Например свързването на защитна стена предотвратява достъпа на външни лица до вътрешната мрежа. Система за откриване на проникване може да открие опити за проникване. За да предотвратите вътрешни атаки, можете да използвате антивирусни програми, които откриват троянски коне, инсталирани на вашия компютър. Можете също така да използвате специализирани услуги, които работят в архитектура клиент-сървър, без каквато и да е поверителна или лична информация, съхранявана на компютъра.

Допълнителни мерки за сигурност

Допълнителните мерки за сигурност използват високоспециализирани услуги и алгоритми за синхронизиране, които са предназначени да откриват необичаен достъп до данни, по-специално до бази данни и системи за извличане на информация. Такива защити могат също да открият необичаен обмен на имейли. Такива съвременни информационни технологии идентифицират заявки и програми, които идват със злонамерени намерения, и извършват задълбочени проверки на компютърните системи, като разпознаване на звуци от високоговорители или натискане на клавиши. Някои услуги от този вид дори могат да наблюдават активността на потребителите, за да открият необичаен достъп до данни.

Какво представляват DLP системите, проектирани по поръчка?

DLP решенията, предназначени за защита на информация, са предназначени да откриват и предотвратяват неупълномощени опити за копиране и предаване на чувствителна информация без разрешение или достъп от потребители, които са упълномощени да осъществяват достъп до чувствителната информация. За да класифицират информация от определен тип и да регулират достъпа до нея, тези системи използват механизми като точно съпоставяне на данни, статистически методи, структуриран пръстов отпечатък, приемане на регулярни изрази и правила, публикуване на кодови фрази, ключови думи и концептуални определения. Нека да разгледаме основните видове и характеристики на DLP системите.

Мрежов DLP

Тази система обикновено е хардуерно решение или софтуер, който се инсталира в мрежови точки, произхождащи близо до периметъра. Такава система анализира мрежовия трафик, за да открие поверителна информация, изпратена в нарушение на политиките за сигурност на информацията.

Крайна точка DLP

Системи от този тип работят на работни станции на крайни потребители или сървъри в организации. Една крайна точка, както в други мрежови системи, може да се сблъска както с вътрешни, така и с външни комуникации и следователно може да се използва за контролиране на потока от информация между типове и групи потребители. Те също така могат да наблюдават незабавни съобщения и имейл. Това се случва по следния начин: преди данните за съобщението да бъдат изтеглени на устройството, те се проверяват от услугата. Ако има неблагоприятна заявка, съобщенията ще бъдат блокирани. Така те стават некоригирани и не подлежат на правилата за съхранение на информация на устройството.

Предимството на DLP системата е, че може да контролира и управлява достъпа до физически устройства, както и да има достъп до информация, преди да бъде криптирана. Някои системи, които работят на базата на крайни течове, могат също така да осигурят контрол на приложението, за да блокират опитите за предаване на чувствителна информация и да предоставят незабавна обратна връзка на потребителя. Недостатъкът на такива системи е, че те трябва да бъдат инсталирани на всяка работна станция в мрежата и не могат да се използват на мобилни устройства като PDA или мобилни телефони. Това обстоятелство трябва да се вземе предвид при избора на DLP системи за изпълнение на определени задачи.

Идентификация на данните

DLP системите съдържат няколко метода, насочени към идентифициране на поверителна и класифицирана информация. Този процес често се бърка с процедурата за декодиране на информация. Идентификацията на информацията обаче е процесът, чрез който организациите използват DLP технологията, за да определят какво да търсят. В този случай данните се класифицират като структурирани или неструктурирани. Първият тип данни се съхраняват във фиксирани полета във файл, като например електронна таблица. Неструктурираните данни се отнасят до текст в свободна форма. Според експертни оценки 80% от цялата обработена информация може да бъде класифицирана като неструктурирана информация. Съответно само 20% от общото количество информация е структурирана. За класифициране на информация се използва анализ на съдържанието, който е фокусиран върху структурирана информация и контекстуален анализ. Извършва се на мястото, където е създадено приложението или системата, в която се е появила информацията. По този начин отговорът на въпроса „какво представляват DLP системите“ може да бъде дефинирането на алгоритъм за анализ на информация.

Методи

Методите за описване на чувствително съдържание, използвани в DLP системите днес, са многобройни. Условно те могат да бъдат разделени на две категории: точни и неточни. Прецизни са методите, които са свързани с анализ на съдържанието и практически намаляват до нула всички фалшиви положителни отговори на запитвания. Други методи са неточни. Те включват статистически анализ, байесов анализ, мета тагове, разширени регулярни изрази, ключови думи, речници и др. Ефективността на анализа на данните ще зависи пряко от неговата точност. DLP система с висок рейтинг има висока производителност в този параметър. Точността на DLP идентификацията е важна, за да се избегнат фалшиви положителни резултати и други негативни последици. Точността зависи от много фактори, които могат да бъдат технологични или ситуационни. Тестването на точността помага да се гарантира надеждността на DLP системата.

Откриване и предотвратяване на изтичане на информация

В някои случаи източникът на разпространение на данни предоставя чувствителна информация на трета страна. Някои от тези данни най-вероятно ще бъдат намерени на неоторизирано място след известно време, например на лаптоп на друг потребител или в Интернет. DLP системите, чиято цена се предоставя от разработчиците при поискване, могат да варират от няколко десетки до няколко хиляди рубли. DLP системите трябва да разследват как са изтекли данни от една или повече трети страни, дали това е направено независимо или информацията е изтекла по друг начин.

Данните в покой

Описанието „данни в покой“ се отнася за стара архивирана информация, която се съхранява на някой от твърдите дискове на персоналния компютър на клиента, на отдалечен файлов сървър или на мрежово устройство за съхранение. Това определение се отнася и за данни, съхранявани в система за архивиране на компактдискове или флаш устройства. Такава информация е от голям интерес за държавните агенции или предприятия, тъй като голямо количество данни се съхраняват неизползвани в устройства с памет. В този случай има голяма вероятност достъпът до информацията да бъде получен от неоторизирани лица извън мрежата.

Зареждане...

Може да се интересувате от:

Изтеглете стария Skype - всички стари версии на Skype
Windows 7, XP

Изтеглете стария Skype - всички стари версии на Skype

Преди това потребителите можеха да инсталират старата версия на Skype за Windows XP, която беше съвместима с такава „древна“ операционна система от Microsoft. Но напоследък просто спря да функционира. И когато го стартирах, се появиха само грешки

Подробни инструкции за активиране на режим Screen Mirroring Дублирането на екрана е деактивирано
Програми

Подробни инструкции за активиране на режим Screen Mirroring Дублирането на екрана е деактивирано

Добър вечер!Както обещах,пускам подробни инструкции за активиране на режима Screen Mirroring.Няма нужда да променяте нищо,префлашвате и т.н. Всичко ми работи на фабричния фърмуер 33.00.500 Какво е Screen Mirroring - вероятно повечето и

реклама