Dlp sistēmu apskats. DLP tehnoloģija. Īsa radīšanas vēsture

Par problēmu Mūsdienās informācijas tehnoloģijas ir svarīga jebkuras mūsdienu organizācijas sastāvdaļa. Tēlaini izsakoties, informācijas tehnoloģijas ir uzņēmuma sirds, kas uztur biznesa sniegumu un paaugstina tā efektivitāti un konkurētspēju modernas, sīvas konkurences apstākļos Biznesa procesu automatizācijas sistēmas, piemēram, dokumentu plūsma, CRM sistēmas, ERP sistēmas, daudzdimensionālās analīzes un plānošanas sistēmas ļauj ātri savākt informāciju, sistematizēt un grupēt to, paātrinot vadības lēmumu pieņemšanas procesus un nodrošinot biznesa un biznesa procesu caurspīdīgumu vadībai un akcionāriem.Kļūst acīmredzams, ka liels apjoms stratēģisko, konfidenciālo un personisko datu ir nozīmīgs uzņēmuma informācijas aktīvs, un šīs informācijas noplūdes sekas ietekmēs organizācijas efektivitāti.Mūsdienu tradicionālo drošības pasākumu, piemēram, antivīrusu un ugunsmūru izmantošana veic informācijas līdzekļu aizsardzības funkcijas no ārējiem apdraudējumiem, bet dara. nekādā veidā nenodrošina informācijas līdzekļu aizsardzību pret nopludināšanu, sagrozīšanu vai iznīcināšanu, ko veic iekšējs uzbrucējs. Iekšējos draudus informācijas drošībai vadība var ignorēt vai dažos gadījumos nepamanīt, jo nav izpratnes par šo apdraudējumu kritiskumu. šī iemesla dēļ konfidenciālu datu aizsardzību tik svarīgi šodien. Par risinājumu Konfidenciālas informācijas aizsardzība pret noplūdi ir svarīga organizācijas informācijas drošības kompleksa sastāvdaļa. DLP sistēmas (datu noplūdes aizsardzības sistēma) ir paredzētas, lai atrisinātu nejaušas un tīšas konfidenciālu datu noplūdes problēmu.

Visaptveroša datu noplūdes aizsardzības sistēma (DLP sistēma) ir programmatūras vai aparatūras-programmatūras komplekss, kas novērš konfidenciālu datu noplūdi.

To veic DLP sistēma, izmantojot šādas galvenās funkcijas:

• Trafika filtrēšana visos datu pārraides kanālos;
• Padziļināta trafika analīze satura un konteksta līmenī.

• Web (HTTP/HTTPS protokoli);
• Internets - tūlītējie kurjeri (ICQ, QIP, Skype, MSN utt.);
• Korporatīvais un personīgais pasts (POP, SMTP, IMAP utt.);
• Bezvadu sistēmas (WiFi, Bluetooth, 3G utt.);
• FTP savienojumi.

• Serveri;
• Darbstacijas;
• Portatīvie datori;
• Datu uzglabāšanas sistēmas (DSS).

• Slepena informācija;
• Konfidenciāla informācija;
• Informācija dienesta lietošanai;
• Publiskā informācija.

• Lingvistiskās informācijas analīze;
• Informācijas statistiskā analīze;
• Regulāras izteiksmes (raksti);
• Digitālā pirkstu nospiedumu metode utt.

• Informācijas aktīvu un svarīgas uzņēmuma stratēģiskās informācijas aizsardzība;
• Strukturēti un sistematizēti dati organizācijā;
• Uzņēmējdarbības un biznesa procesu caurspīdīgums vadības un drošības pakalpojumiem;
• Konfidenciālo datu nodošanas procesu kontrole uzņēmumā;
• Samazināt riskus, kas saistīti ar svarīgas informācijas nozaudēšanu, zādzību un iznīcināšanu;
• Aizsardzība pret ļaunprātīgu programmatūru, kas iekļūst organizācijā no iekšpuses;
• Visu darbību, kas saistītas ar datu apriti informācijas sistēmā, saglabāšana un arhivēšana;

• Personāla klātbūtnes uzraudzība darba vietā;
• Interneta trafika saglabāšana;
• Korporatīvā tīkla optimizācija;
• Lietotāja izmantoto aplikāciju kontrole;
• Personāla efektivitātes paaugstināšana.

(Datu zuduma novēršana)

Sistēmas lietotāju darbību uzraudzībai, sistēma konfidenciālu datu aizsardzībai no iekšējiem draudiem.

DLP sistēmas tiek izmantotas, lai atklātu un novērstu konfidenciālu datu pārsūtīšanu dažādos posmos. (pārvietošanas, lietošanas un uzglabāšanas laikā). DLP sistēma ļauj:

Kontrolēt lietotāju darbu, nepieļaujot nekontrolētu darba laika tērēšanu personiskām vajadzībām.

Automātiski, lietotājam nepamanot, reģistrē visas darbības, tostarp nosūtītos un saņemtos e-pastus, tērzēšanu un tūlītējo ziņojumapmaiņu, sociālos tīklus, apmeklētās vietnes, tastatūrā ievadītos datus, pārsūtītos, izdrukātos un saglabātos failus utt.

Uzraudzīt datorspēļu lietošanu darba vietā un ņemt vērā datorspēlēm veltītā darba laika apjomu.

Pārraugiet lietotāju tīkla aktivitātes, ņemiet vērā tīkla trafika apjomu

Kontrolējiet dokumentu kopēšanu uz dažādiem datu nesējiem (noņemamiem datu nesējiem, cietajiem diskiem, tīkla mapēm utt.)

Kontrolējiet lietotāja tīkla drukāšanu

Ierakstiet lietotāju pieprasījumus meklētājprogrammām utt.

Dati kustībā — dati kustībā — e-pasta ziņojumi, tīmekļa trafika pārsūtīšana, faili utt.

Dati-in-rest - saglabātie dati - informācija par darbstacijām, failu serveriem, USB ierīcēm utt.

Lietojamie dati - izmantotie dati - informācija, kas pašlaik tiek apstrādāta.

DLP risinājumu arhitektūra dažādiem izstrādātājiem var atšķirties, taču kopumā ir 3 galvenās tendences:

Pārtvērēji un kontrolieri dažādiem informācijas pārraides kanāliem. Pārtvērēji analizē no uzņēmuma perimetra izplūstošās informācijas plūsmas, atklāj konfidenciālus datus, klasificē informāciju un nosūta to pārvaldības serverim iespējamā incidenta apstrādei. Datu miera stāvoklī atklāšanas kontrolieri palaiž atklāšanas procesus tīkla resursos sensitīvai informācijai. Kontrolieri darbam darbstacijās izplata drošības politikas gala ierīcēm (datoriem), analizē darbinieku darbību rezultātus ar konfidenciālu informāciju un pārsūta iespējamo incidentu datus uz pārvaldības serveri.

Gala ierīcēs instalētās aģentu programmas: ievērojiet konfidenciālus datus, kas tiek apstrādāti, un uzraugiet atbilstību noteikumiem, piemēram, informācijas saglabāšana noņemamajā datu nesējā, sūtīšana, drukāšana, kopēšana, izmantojot starpliktuvi.

Centrālais pārvaldības serveris – salīdzina no pārtvērējiem un kontrolieriem saņemto informāciju un nodrošina interfeisu incidentu apstrādei un atskaišu ģenerēšanai.

DLP risinājumi piedāvā plašu kombinēto informācijas atklāšanas metožu klāstu:

Dokumentu un to daļu digitālās izdrukas

Datu bāzu digitālie pirkstu nospiedumi un cita strukturēta informācija, kas ir svarīga, lai aizsargātu pret izplatīšanu

Statistikas metodes (sistēmas jutīguma palielināšana, pārkāpjot atkārtoti).

Darbinot DLP sistēmas, vairākas procedūras parasti tiek veiktas cikliski:

Sistēmas apmācība informācijas klasifikācijas principos.

Atbildes noteikumu ievadīšana saistībā ar atklātās informācijas kategoriju un darbinieku grupām, kuru darbība ir jāuzrauga. Uzticamie lietotāji ir izcelti.

DLP sistēmas kontroles operācijas izpilde (sistēma analizē un normalizē informāciju, veic salīdzinājumu ar datu noteikšanas un klasifikācijas principiem un, atklājot konfidenciālu informāciju, sistēma to salīdzina ar esošajām politikām, kas piešķirtas atklātajai informācijas kategorijai un, ja nepieciešams, rada incidentu)

Negadījumu apstrāde (piemēram, informēšana, apturēšana vai sūtīšanas bloķēšana).

VPN izveides un darbības iespējas no drošības viedokļa

VPN izveides iespējas:

Pamatojoties uz tīkla operētājsistēmām

Uz maršrutētāja bāzes

Pamatojoties uz ITU

Pamatojoties uz specializētu programmatūru un aparatūru

Balstīts uz specializētu programmatūru

Lai VPN darbotos pareizi un droši, jums ir jāsaprot VPN un ugunsmūru mijiedarbības pamati.

VPN spēj izveidot tiešus sakaru tuneļus, kas šķērso tīkla perimetru, un tāpēc tie ir ārkārtīgi problemātiski piekļuves kontroles ziņā no ugunsmūra, kas apgrūtina šifrētās trafika analīzi.

Pateicoties tā šifrēšanas iespējām, VPN var izmantot, lai apietu IDS sistēmas, kuras nespēj noteikt ielaušanos no šifrētiem sakaru kanāliem.

Atkarībā no tīkla arhitektūras ļoti svarīgais tīkla adrešu tulkošanas (NAT) līdzeklis var nebūt saderīgs ar dažām VPN ieviešanām utt.

Būtībā, pieņemot lēmumus par VPN komponentu ieviešanu tīkla arhitektūrā, administrators var izvēlēties VPN kā atsevišķu ārējo ierīci vai arī integrēt VPN ugunsmūrī, lai nodrošinātu abas funkcijas vienā sistēmā.

ITU + atsevišķs VPN. VPN mitināšanas iespējas:

1. DMZ iekšpusē, starp ugunsmūri un robežas maršrutētāju

   Aizsargātajā tīklā ITU tīkla adapteros

   Ekranētā tīkla iekšpusē, aiz ugunsmūra

   Paralēli ITU, ieejas punktā aizsargātajā tīklā.

Ugunsmūris + VPN, mitināts kā viena vienība - šāds integrēts risinājums ir ērtāks tehniskajam atbalstam nekā iepriekšējā opcija, nerada problēmas, kas saistītas ar NAT (tīkla adrešu tulkošana) un nodrošina uzticamāku piekļuvi datiem, kuriem tiek izmantots ugunsmūris. atbildīgs. Integrēta risinājuma trūkums ir augstās sākotnējās izmaksas par šāda rīka iegādi, kā arī ierobežotās iespējas optimizēt atbilstošos VPN un ugunsmūra komponentus (tas ir, vispiemērotākās ITU implementācijas var nebūt piemērotas VPN komponentu izveidei savās ierīcēs. VPN var būtiski ietekmēt tīkla veiktspēju, un latentums var rasties šādās fāzēs:

1. Izveidojot drošu savienojumu starp VPN ierīcēm (autentifikācija, atslēgu apmaiņa utt.)

   Aizkaves, kas saistītas ar aizsargāto datu šifrēšanu un atšifrēšanu, kā arī transformācijas, kas nepieciešamas to integritātes kontrolei

   Kavējumi, kas saistīti ar jaunas galvenes pievienošanu pārsūtītajām paketēm

E-pasta drošība

Galvenie pasta protokoli: (E)SMTP, POP, IMAP.

SMTP - vienkāršs pasta pārsūtīšanas protokols, TCP ports 25, nav autentifikācijas. Paplašināta SMTP — pievienota klienta autentifikācija.

POP - pasta biroja protokols 3 - pasta saņemšana no servera. Skaidra teksta autentifikācija. APOP — ar autentifikācijas iespēju.

IMAP — interneta ziņojumu piekļuves protokols — ir nešifrēts pasta protokols, kas apvieno POP3 un IMAP īpašības. Ļauj strādāt tieši ar pastkasti, bez nepieciešamības lejupielādēt vēstules datorā.

Tā kā trūkst parastu informācijas šifrēšanas līdzekļu, mēs nolēmām izmantot SSL, lai šifrētu šo protokolu datus. No šejienes parādījās šādas šķirnes:

POP3 SSL - ports 995, SMTP SSL (SMTPS) ports 465, IMAP SSL (IMAPS) - ports 993, visi TCP.

Uzbrucējs, kas strādā ar e-pasta sistēmu, var sasniegt šādus mērķus:

Uzbrukt lietotāja datoram, sūtot e-pasta vīrusus, sūtot viltus e-pastus (sūtītāja adreses viltošana SMTP ir triviāls uzdevums), lasīt citu cilvēku e-pastus.

Uzbrukums pasta serverim, izmantojot e-pastu, lai iekļūtu tā operētājsistēmā vai pakalpojuma atteikums

Pasta servera izmantošana kā relejs, sūtot nevēlamus ziņojumus (surogātpastu)

Paroles pārtveršana:

1. Paroļu pārtveršana POP un IMAP sesijās, kā rezultātā uzbrucējs var saņemt un dzēst pastu bez lietotāja ziņas

   Paroļu pārtveršana SMTP sesijās - kā rezultātā uzbrucējs var tikt nelikumīgi pilnvarots sūtīt pastu caur šo serveri

Lai atrisinātu drošības problēmas ar POP, IMAP un SMTP protokoliem, visbiežāk tiek izmantots SSL protokols, kas ļauj šifrēt visu sakaru sesiju. Trūkums: SSL ir resursietilpīgs protokols, kas var ievērojami palēnināt saziņu.

Surogātpasts un cīņa pret to

Krāpnieciska surogātpasta veidi:

Loterija - entuziasma pilns paziņojums par laimestiem loterijās, kurās ziņojuma saņēmējs nepiedalījās. Viss, kas jums jādara, ir jāapmeklē atbilstošā vietne un jāievada sava konta numurs un kartes PIN kods, kas it kā ir nepieciešams, lai samaksātu par piegādes pakalpojumiem.

Izsoles - šāda veida maldināšana ir preču trūkums, ko krāpnieki pārdod. Pēc samaksas klients neko nesaņem.

Pikšķerēšana ir vēstule, kurā ir saite uz kādu resursu, kurā viņi vēlas, lai jūs sniedzat datus utt. Pievilināt lētticīgus vai neuzmanīgus personas un konfidenciālu datu lietotājus. Krāpnieki izsūta daudz vēstuļu, kas parasti tiek maskētas kā oficiālas dažādu iestāžu vēstules, kurās ir saites, kas ved uz mānekļu vietnēm, kas vizuāli kopē banku, veikalu un citu organizāciju vietnes.

Pasta krāpšana ir personāla vervēšana uzņēmumam, kuram, domājams, ir vajadzīgs pārstāvis jebkurā valstī, kurš varētu parūpēties par preču nosūtīšanu vai naudas pārskaitījumu ārvalstu uzņēmumam. Parasti šeit tiek paslēptas naudas atmazgāšanas shēmas.

Nigērijas vēstules - lūdziet iemaksāt nelielu summu pirms naudas saņemšanas.

Laimes vēstules

Surogātpasts var būt masveida vai mērķtiecīgs.

Lielapjoma surogātpastam nav konkrētu mērķu un tiek izmantotas krāpnieciskas sociālās inženierijas metodes pret lielu skaitu cilvēku.

Mērķtiecīgs surogātpasts ir paņēmiens, kas vērsts uz konkrētu personu vai organizāciju, kurā uzbrucējs rīkojas tās organizācijas direktora, administratora vai cita darbinieka vārdā, kurā strādā upuris vai uzbrucējs pārstāv uzņēmumu, ar kuru mērķa organizācija ir izveidojusi uzticamas attiecības.

Adrešu vākšana tiek veikta, izvēloties īpašvārdus, skaistus vārdus no vārdnīcām, biežas vārdu un skaitļu kombinācijas, analoģijas metodi, skenējot visus pieejamos informācijas avotus (tērzētavas, forumus utt.), zogot datubāzes utt.

Saņemtās adreses tiek pārbaudītas (pārbaudītas, vai tās ir derīgas), nosūtot testa ziņojumu, ziņojuma tekstā ievietojot unikālu saiti uz attēlu ar lejupielādes skaitītāju vai saiti “atrakstīties no surogātpasta ziņojumiem”.

Pēc tam surogātpasts tiek sūtīts vai nu tieši no īrētiem serveriem, vai arī no nepareizi konfigurētiem likumīgiem e-pasta pakalpojumiem, vai arī slēptās ļaunprātīgas programmatūras instalēšanas rezultātā lietotāja datorā.

Uzbrucējs apgrūtina pretsurogātpasta filtru darbu, ieviešot nejaušus tekstus, trokšņus vai neredzamus tekstus, izmantojot grafiskus burtus vai mainot grafiskos burtus, sadrumstalotus attēlus, tostarp izmantojot animāciju, kā arī iepriekš formulējot tekstus.

Anti-spam metodes

Ir 2 galvenās surogātpasta filtrēšanas metodes:

Filtrēšana pēc e-pasta ziņojuma formālajām īpašībām

Filtrēt pēc satura

Formālā metode

1. Sadrumstalotība pēc sarakstiem: melns, balts un pelēks. Pelēkie saraksti ir veids, kā īslaicīgi bloķēt ziņojumus ar nezināmām e-pasta adreses un sūtīšanas servera IP adreses kombinācijām. Kad pirmais mēģinājums beidzas ar īslaicīgu neveiksmi (parasti surogātpasta izplatītājas vēstuli nesūta atkārtoti). Šīs metodes trūkums ir iespējamais ilgs laika intervāls starp juridiskas ziņas nosūtīšanu un saņemšanu.

   Pārbauda, ​​vai ziņojums ir nosūtīts no īsta vai viltus (viltus) pasta servera no ziņojumā norādītā domēna.

   “Atzvans” - saņemot ienākošo savienojumu, saņemošais serveris aptur sesiju un simulē darba sesiju ar sūtītāja serveri. Ja mēģinājums neizdodas, apturētais savienojums tiek pārtraukts bez turpmākas apstrādes.

   Filtrēšana pēc vēstules formālajām īpašībām: sūtītāja un saņēmēja adreses, lielums, pielikumu klātbūtne un skaits, sūtītāja IP adrese utt.

Lingvistiskās metodes - darbs ar vēstules saturu

1. Atpazīšana pēc vēstules satura - tiek pārbaudīta surogātpasta satura pazīmju klātbūtne vēstulē: noteikts noteiktu frāžu kopums un sadalījums visā vēstulē.

   Atpazīšana pēc burtu paraugiem (uz parakstiem balstīta filtrēšanas metode, ieskaitot grafiskos parakstus)

   Bajesa filtrēšana ir tikai vārdu filtrēšana. Pārbaudot ienākošo vēstuli, iespējamība, ka tā ir surogātpasts, tiek aprēķināta, pamatojoties uz teksta apstrādi, kas ietver visu vārdu vidējā “svara” aprēķināšanu dotajā vēstulē. Vēstule tiek klasificēta kā surogātpasts vai ne, pamatojoties uz to, vai tās svars pārsniedz noteiktu lietotāja norādīto slieksni. Pēc lēmuma pieņemšanas par burtu tajā iekļauto vārdu “svari” tiek atjaunināti datu bāzē.

Autentifikācija datorsistēmās

Autentifikācijas procesus var iedalīt šādās kategorijās:

Bet pamatojoties uz zināšanām par kaut ko (PIN, parole)

Pamatojoties uz to, ka jums ir kaut kas (viedkarte, USB atslēga)

Nebalstās uz raksturīgajām pazīmēm (biometriskajiem raksturlielumiem)

Autentifikācijas veidi:

Vienkārša autentifikācija, izmantojot paroles

Spēcīga autentifikācija, izmantojot daudzfaktoru pārbaudes un kriptogrāfijas metodes

biometriskais autentifikācija

Galvenie uzbrukumi autentifikācijas protokoliem ir:

"Maskerāde" - kad lietotājs mēģina uzdoties par citu lietotāju

Atkārtota pārraide – kad pārtvertā parole tiek nosūtīta cita lietotāja vārdā

Piespiedu kavēšanās

Lai novērstu šādus uzbrukumus, tiek izmantotas šādas metodes:

Mehānismi, piemēram, izaicinājums-atbilde, laikspiedoli, nejauši skaitļi, ciparparaksti utt.

Autentifikācijas rezultāta saistīšana ar turpmākām lietotāja darbībām sistēmā.

Periodiski veicot autentifikācijas procedūras jau izveidotā saziņas sesijā.

Vienkārša autentifikācija

1. Autentifikācija, pamatojoties uz atkārtoti lietojamām parolēm

   Autentifikācija, pamatojoties uz vienreizējām parolēm - OTP (vienreizēja parole) - vienreizējās paroles ir derīgas tikai vienam pieteikšanās reizē, un tās var ģenerēt, izmantojot OTP marķieri. Šim nolūkam tiek izmantota lietotāja slepenā atslēga, kas atrodas gan OTP marķiera iekšpusē, gan autentifikācijas serverī.

Stingrā autentifikācija nozīmē, ka puse, kas pierāda savu autentiskumu, pierāda savu autentiskumu, demonstrējot zināšanas par noteiktu noslēpumu. Notiek:

1. Vienpusējs

   Abpusējs

   Trīspusējs

Var veikt, pamatojoties uz viedkartēm vai USB atslēgām vai kriptogrāfiju.

Spēcīgu autentifikāciju var ieviest, izmantojot divu vai trīs faktoru verifikācijas procesu.

Divfaktoru autentifikācijas gadījumā lietotājam ir jāpierāda, ka viņš zina paroli vai PIN kodu un viņam ir noteikts personas identifikators (viedkarte vai USB atslēga).

Trīs faktoru autentifikācijai lietotājam ir jānodrošina cita veida identifikācija, piemēram, biometriskie dati.

Spēcīga autentifikācija, izmantojot kriptogrāfiskos protokolus, var balstīties uz simetrisku un asimetrisku šifrēšanu, kā arī jaucējfunkcijām. Pierādītāja puse pierāda noslēpuma zināšanu, bet pats noslēpums netiek atklāts. Lai izvairītos no atkārtotas pārraides, nodrošinātu pārsūtīto ziņojumu unikalitāti, nepārprotamību un laika garantijas, tiek izmantoti vienreizējie parametri (gadījuma skaitļi, laika zīmogi un kārtas numuri).

Biometriskā lietotāja autentifikācija

Visbiežāk izmantotās biometriskās pazīmes ir:

Pirkstu nospiedumi

Vēnu raksts

Rokas ģeometrija

Iriss

Sejas ģeometrija

Iepriekš minēto kombinācijas

Piekļuves kontrole, izmantojot vienas pierakstīšanās shēmu ar vienreizējās pierakstīšanās (SSO) autorizāciju

SSO ļauj korporatīvā tīkla lietotājam, piesakoties tīklā, veikt tikai vienu autentifikāciju, vienreiz uzrādot tikai vienu paroli vai citu nepieciešamo autentifikatoru, un pēc tam bez papildu autentifikācijas piekļūt visiem autorizētajiem tīkla resursiem, kas nepieciešami, lai veiktu darbs. Aktīvi tiek izmantoti digitālās autentifikācijas rīki, piemēram, marķieri, PKI digitālie sertifikāti, viedkartes un biometriskās ierīces. Piemēri: Kerberos, PKI, SSL.

Reakcija uz informācijas drošības incidentiem

Starp uzdevumiem, kas jārisina jebkurai informācijas drošības pārvaldības sistēmai, var identificēt divus no svarīgākajiem:

Negadījumu novēršana

Ja tie rodas, laicīgi un pareizi reaģēt

Pirmais uzdevums vairumā gadījumu ir balstīts uz dažādu informācijas drošības rīku iegādi.

Otrais uzdevums ir atkarīgs no uzņēmuma sagatavotības pakāpes šādiem pasākumiem:

Apmācītas IS incidentu reaģēšanas komandas klātbūtne ar jau iepriekš piešķirtām lomām un pienākumiem.

Pārdomātas un savstarpēji saistītas dokumentācijas pieejamība par informācijas drošības incidentu pārvaldības kārtību, jo īpaši, reaģēšanu un identificēto incidentu izmeklēšanu.

Sagatavotu resursu pieejamība reaģēšanas komandas vajadzībām (saziņas līdzekļi, ..., seifs)

Atjauninātas zināšanu bāzes pieejamība par notikušajiem informācijas drošības incidentiem

Augsts lietotāju informētības līmenis informācijas drošības jomā

Reaģēšanas komandas kvalifikācija un koordinēšana

Informācijas drošības incidentu pārvaldības process sastāv no šādiem posmiem:

Sagatavošanās – incidentu novēršana, reaģēšanas komandu sagatavošana, politikas un procedūru izstrāde utt.

Atklāšana – drošības paziņojums, lietotāja paziņojums, drošības žurnāla analīze.

Analīze – incidenta notikuma apstiprināšana, pieejamās informācijas vākšana par incidentu, skarto aktīvu identificēšana un incidenta klasificēšana pēc drošības un prioritātes.

Reaģēšana - incidenta apturēšana un pierādījumu vākšana, pasākumu veikšana incidenta apturēšanai un uz pierādījumiem balstītas informācijas saglabāšana, uz pierādījumiem balstītas informācijas vākšana, mijiedarbība ar iekšējām nodaļām, partneriem un ietekmētajām pusēm, kā arī ārējo ekspertu organizāciju piesaiste.

Izmeklēšana – informācijas drošības incidentu apstākļu izmeklēšana, ārējo ekspertu organizāciju iesaistīšana un mijiedarbība ar visām skartajām pusēm, kā arī ar tiesībsargājošajām un tiesu iestādēm.

Atkopšana – pasākumu veikšana, lai novērstu ievainojamības, kas izraisījušas incidentu, likvidējot incidenta sekas, atjaunojot skarto pakalpojumu un sistēmu funkcionalitāti. Apdrošināšanas paziņojuma reģistrācija.

Efektivitātes analīze un modernizācija - incidenta analīze, informācijas drošības incidentu un saistīto dokumentu izmeklēšanas procesa efektivitātes un modernizācijas analīze, privātas instrukcijas. Ziņojuma ģenerēšana par izmeklēšanu un vadības drošības sistēmas modernizācijas nepieciešamību, informācijas apkopošana par incidentu, pievienošana zināšanu bāzei un datu glabāšana par notikušo.

Efektīvai informācijas drošības incidentu pārvaldības sistēmai ir šādi mērķi:

Nodrošināsim apkopotās pierādījumu informācijas par informācijas drošības incidentiem juridisko nozīmi

Darbību savlaicīguma un pareizības nodrošināšana, lai reaģētu uz informācijas drošības incidentiem un izmeklētu tos

Nodrošināsim spēju identificēt informācijas drošības incidentu apstākļus un cēloņus, lai turpinātu modernizēt informācijas drošības sistēmu

Iekšējās un ārējās informācijas drošības incidentu izmeklēšanas un juridiskā atbalsta nodrošināšana

Nodrošināsim iespēju saukt pie atbildības uzbrucējus un saukt viņus pie atbildības, kā to paredz likums

Informācijas drošības incidenta radītā kaitējuma atlīdzināšanas iespēju nodrošināšana saskaņā ar likumu

Informācijas drošības incidentu pārvaldības sistēma parasti mijiedarbojas un integrējas ar šādām sistēmām un procesiem:

Informācijas drošības vadība

Risku vadība

Uzņēmējdarbības nepārtrauktības nodrošināšana

Integrācija izpaužas kā dokumentācijas konsekvence un procesu mijiedarbības kārtības formalizēšana (ievades, izejas informācija un pārejas nosacījumi).

Informācijas drošības incidentu pārvaldības process ir diezgan sarežģīts un apjomīgs. Tam nepieciešama milzīga informācijas apjoma uzkrāšana, apstrāde un uzglabāšana, kā arī daudzu paralēlu uzdevumu izpilde, tāpēc tirgū ir daudz rīku, kas ļauj automatizēt noteiktus uzdevumus, piemēram, tā sauktās SIEM sistēmas. (drošības informācija un pasākumu vadība).

Galvenais informācijas virsnieks (CIO) – informācijas tehnoloģiju direktors

Galvenais informācijas drošības speciālists (CISO) – informācijas drošības departamenta vadītājs, informācijas drošības direktors

SIEM sistēmu galvenais uzdevums ir ne tikai apkopot notikumus no dažādiem avotiem, bet gan automatizēt incidentu atklāšanas procesu ar dokumentāciju savā žurnālā vai ārējā sistēmā, kā arī savlaicīgu informēšanu par notikumu. SIEM sistēmai ir šādi uzdevumi:

Notikumu žurnālu konsolidācija un uzglabāšana no dažādiem avotiem - tīkla ierīcēm, aplikācijām, OS žurnāliem, drošības rīkiem

Notikumu analīzes un incidentu analīzes rīku prezentācija

Korelācija un apstrāde saskaņā ar notikušo notikumu noteikumiem

Automātiska paziņojumu un incidentu pārvaldība

SIEM sistēmas spēj identificēt:

Tīkla uzbrukumi iekšējos un ārējos perimetros

Vīrusu epidēmijas vai atsevišķas vīrusu infekcijas, nenoņemti vīrusi, aizmugures durvis un Trojas zirgi

Mēģinājumi nesankcionēti piekļūt konfidenciālai informācijai

Kļūdas un darbības traucējumi IS darbībā

Ievainojamības

Kļūdas konfigurācijā, drošības pasākumos un informācijas sistēmās.

Galvenie SIEM avoti

Piekļuves kontroles un autentifikācijas dati

Serveru un darbstaciju notikumu žurnāli

Tīkla aktīvā iekārta

1. Pretvīrusu aizsardzība

   Ievainojamības skeneri

   Sistēmas risku, draudu kritiskuma un incidentu prioritāšu noteikšanai

   Citas sistēmas informācijas drošības politiku aizsardzībai un kontrolei:

   1. DLP sistēmas

      Piekļuves kontroles ierīces utt.

Inventāra sistēmas

Satiksmes uzskaites sistēmas

Slavenākās SIEM sistēmas:

QRadar SIEM (IBM)

KOMRAD (CJSC NPO ESHELON)

DLP ( Digitālā gaismas apstrāde) ir projektoros izmantota tehnoloģija. To 1987. gadā izveidoja Lerijs Hornbeks no Texas Instruments.

DLP projektoros attēlu veido mikroskopiski mazi spoguļi, kas ir sakārtoti matricā uz pusvadītāju mikroshēmas, ko sauc par digitālo mikrospoguļu ierīci (DMD). Katrs no šiem spoguļiem attēlo vienu pikseļu projicētajā attēlā.

Kopējais spoguļu skaits norāda iegūtā attēla izšķirtspēju. Visizplatītākie DMD izmēri ir 800x600, 1024x768, 1280x720 un 1920x1080 (HDTV, augstas izšķirtspējas TeleVision). Digitālajos kino projektoros standarta DMD izšķirtspējas tiek uzskatītas par 2K un 4K, kas atbilst attiecīgi 2000 un 4000 pikseļiem gar kadra garo malu.

Šos spoguļus var ātri novietot, lai atstarotu gaismu uz objektīva vai radiatora (ko sauc arī par gaismas izgāztuvi). Strauji pagriežot spoguļus (būtībā pārslēdzoties no ieslēgšanas un izslēgšanas) ļauj DMD mainīt gaismas intensitāti, kas iziet cauri objektīvam, radot pelēkas nokrāsas papildus baltajam (spogulis ieslēgtā pozīcijā) un melnajam (spogulis izslēgtā pozīcijā). ).).

Krāsa DLP projektoros

Krāsu attēla izveidei ir divas galvenās metodes. Viena metode ietver viena mikroshēmu projektoru izmantošanu, otra - trīs mikroshēmu projektorus.

Viena mikroshēmas projektori

Viena mikroshēmas DLP projektora satura skats. Dzeltenā bultiņa parāda gaismas stara ceļu no lampas līdz matricai caur filtra disku, spoguli un objektīvu. Pēc tam stars tiek atstarots vai nu objektīvā (dzeltenā bultiņa), vai radiatorā (zilā bultiņa).

Projektoros ar vienu DMD mikroshēmu krāsas tiek iegūtas, novietojot rotējošu krāsu disku starp lampu un DMD, līdzīgi kā Columia Broadcasting System "secīgās krāsu televīzijas sistēma", ko izmantoja 1950. gados. Krāsu disks parasti ir sadalīts 4 sektoros: trīs sektoros primārajām krāsām (sarkanai, zaļai un zilai), un ceturtais sektors ir caurspīdīgs, lai palielinātu spilgtumu.

Tā kā caurspīdīgais sektors samazina krāsu piesātinājumu, dažos modeļos tā var nebūt vispār, citos tukšā sektora vietā var tikt izmantotas papildu krāsas.

DMD mikroshēma tiek sinhronizēta ar rotējošo disku, lai attēla zaļā sastāvdaļa tiktu parādīta DMD, kad diska zaļais sektors atrodas lampas ceļā. Tas pats attiecas uz sarkanām un zilām krāsām.

Attēla sarkanās, zaļās un zilās sastāvdaļas tiek parādītas pārmaiņus, bet ļoti augstā frekvencē. Tādējādi skatītājam šķiet, ka uz ekrāna tiek projicēts daudzkrāsains attēls. Pirmajos modeļos disks pagriezās vienu reizi katrā kadrā. Vēlāk tika radīti projektori, kuros disks veic divus trīs apgriezienus uz kadru, un atsevišķos projektoros disks tiek sadalīts lielākā sektoru skaitā un uz tā esošā palete atkārtojas divas reizes. Tas nozīmē, ka attēla sastāvdaļas tiek parādītas ekrānā, viena otru nomainot līdz sešām reizēm vienā kadrā.

Dažos jaunākajos augstākās klases modeļos rotējošo krāsu disku ir aizstāts ar ļoti spilgtu gaismas diožu bloku trīs pamatkrāsās. Sakarā ar to, ka gaismas diodes var ļoti ātri ieslēgt un izslēgt, šis paņēmiens ļauj vēl vairāk palielināt attēla krāsu atsvaidzes intensitāti un pilnībā atbrīvoties no trokšņiem un mehāniski kustīgām daļām. Atteikšanās no halogēna lampas arī atvieglo matricas termisko darbību.

"Varavīksnes efekts"

Varavīksnes DLP efekts

Varavīksnes efekts ir unikāls vienas mikroshēmas DLP projektoriem.

Kā jau minēts, vienā attēlā noteiktā laikā tiek parādīta tikai viena krāsa. Kad acs pārvietojas pa projicēto attēlu, šīs dažādās krāsas kļūst redzamas, kā rezultātā acs uztver "varavīksni".

Viena mikroshēmas DLP projektoru ražotāji ir atraduši izeju no šīs situācijas, pārtaktējot rotējošo segmentēto daudzkrāsu disku, vai palielinot krāsu segmentu skaitu, tādējādi samazinot šo artefaktu.

Gaisma no gaismas diodes ļāva vēl vairāk samazināt šo efektu, pateicoties augstajai krāsu pārslēgšanās biežumam.

Turklāt gaismas diodes var izstarot jebkuras krāsas un jebkuras intensitātes, kas ir palielinājis attēla gamma un kontrastu.

Trīs mikroshēmu projektori

Šāda veida DLP projektoram tiek izmantota prizma, lai sadalītu lampas izstaroto staru, un katra no primārajām krāsām pēc tam tiek novirzīta uz savu DMD mikroshēmu. Pēc tam šie stari tiek apvienoti un attēls tiek projicēts uz ekrāna.

Trīskāršu mikroshēmu projektori spēj radīt vairāk toņu un krāsu gradāciju nekā vienas mikroshēmas projektori, jo katra krāsa ir pieejama ilgāku laiku un to var modulēt ar katru video kadru. Turklāt attēls vispār nav pakļauts mirgošanai un “varavīksnes efektam”.

Dolby Digital Cinema 3D

Infitec ir izstrādājis spektrālos filtrus rotējošajam diskam un brillēm, kas ļauj projicēt dažādu acu kadrus dažādās spektra apakškopās. Tā rezultātā katra acs redz savu, gandrīz pilnkrāsu attēlu uz parastā balta ekrāna, atšķirībā no sistēmām ar projicētā attēla polarizāciju (piemēram, IMAX), kurām ir nepieciešams īpašs “sudraba” ekrāns, lai saglabātu polarizāciju pēc atstarošanas. .

Skatīt arī

Aleksejs Borodins DLP tehnoloģija. Portāls ixbt.com (05-12-2000). Arhivēts no oriģināla, laiks: 2012. gada 14. maijā.

Wikimedia fonds. 2010. gads.

Skatiet, kas ir "DLP" citās vārdnīcās:

DLP- Saltar a navegación, búsqueda Digital Light Processing (en español Procesado digital de la luz) es una tecnología usada en proyectores y televisores de proyección. El DLP fue desarrollado oriģināls no Texas Instruments, y sigue siendo el... ... Wikipedia Español

DLP- ir trīs burtu saīsinājums ar vairākām nozīmēm, kā aprakstīts tālāk: Tehnoloģija Datu zudumu novēršana ir datoru drošības joma Digital Light Processing, tehnoloģija, ko izmanto projektoros un video projektoros Diskrēta logaritma problēma,… … Wikipedia

Mēs piedāvājam virkni marķieru, lai palīdzētu jums gūt maksimālu labumu no jebkuras DLP sistēmas.

DLP-sistēmas: kas tas ir?

Atgādinām, ka DLP sistēmas (Data Loss/Leak Prevention) ļauj kontrolēt visus uzņēmuma tīkla komunikācijas kanālus (pasts, internets, tūlītējās ziņojumapmaiņas sistēmas, zibatmiņas diski, printeri utt.). Aizsardzība pret informācijas noplūdi tiek panākta, visos darbinieku datoros uzstādot aģentus, kas apkopo informāciju un pārraida to uz serveri. Dažreiz informācija tiek vākta caur vārteju, izmantojot SPAN tehnoloģijas. Informācija tiek analizēta, pēc kuras sistēmas vai drošības darbinieks pieņem lēmumus par incidentu.

Tātad jūsu uzņēmums ir ieviesis DLP sistēmu. Kādi pasākumi jāveic, lai sistēma darbotos efektīvi?

1. Pareizi konfigurējiet drošības noteikumus

Iedomāsimies, ka sistēmā, kas apkalpo 100 datorus, ir izveidots noteikums “Labojiet visu saraksti ar vārdu “vienošanās.” Šāds noteikums izraisīs milzīgu skaitu incidentu, kuros var pazust reāla noplūde.

Turklāt ne katrs uzņēmums var atļauties pilnu darbinieku personālu, kas uzrauga incidentus.

Efektīvu noteikumu izveides un viņu darba rezultātu izsekošanas rīki palīdzēs palielināt noteikumu lietderību. Katrai DLP sistēmai ir funkcionalitāte, kas ļauj to izdarīt.

Kopumā metodoloģija ietver uzkrātās incidentu datu bāzes analīzi un dažādu noteikumu kombināciju izveidi, kas ideālā gadījumā rada 5–6 patiesi steidzamus incidentus dienā.

2. Regulāri atjauniniet drošības noteikumus

Straujš incidentu skaita samazinājums vai pieaugums ir rādītājs, ka noteikumi ir jāpielāgo. Iemesli var būt tādi, ka noteikums ir zaudējis savu aktualitāti (lietotāji ir pārtraukuši piekļuvi noteiktiem failiem) vai darbinieki ir apguvuši noteikumu un vairs neveic sistēmas aizliegtas darbības (DLP - mācību sistēma). Taču prakse rāda, ka, ja tiek apgūts viens noteikums, tad blakus vietā potenciālie noplūdes riski ir palielinājušies.

Uzņēmuma darbībā jāpievērš uzmanība arī sezonalitātei. Gada laikā var mainīties galvenie parametri, kas saistīti ar uzņēmuma darba specifiku. Piemēram, mazo iekārtu vairumtirdzniecības piegādātājam pavasarī būs aktuāli velosipēdi, rudenī – sniega skrejriteņi.

3. Apsveriet algoritmu reaģēšanai uz incidentiem

Ir vairākas pieejas reaģēšanai uz incidentiem. Testējot un darbinot DLP sistēmas, cilvēki visbiežāk netiek informēti par izmaiņām. Incidentu dalībnieki tiek tikai novēroti. Kad ir sakrājusies kritiskā masa, ar viņiem sazinās drošības departamenta vai cilvēkresursu nodaļas pārstāvis. Nākotnē darbs ar lietotājiem bieži tiek atstāts drošības departamenta pārstāvju ziņā. Rodas minikonflikti un kolektīvā sakrājas negatīvisms. Tas var izvērsties apzinātā darbinieku sabotāžā pret uzņēmumu. Ir svarīgi saglabāt līdzsvaru starp disciplīnas prasību un veselīgas atmosfēras uzturēšanu komandā.

4. Pārbaudiet bloķēšanas režīma darbību

Sistēmā ir divi reaģēšanas režīmi uz incidentu - fiksācija un bloķēšana. Ja katrs fakts par vēstules nosūtīšanu vai pievienota faila pievienošanu zibatmiņas diskam tiek bloķēts, tas rada problēmas lietotājam. Darbinieki bieži uzbrūk sistēmas administratoram ar lūgumiem atbloķēt dažas funkcijas, arī vadība var būt neapmierināta ar šādiem iestatījumiem. Rezultātā DLP sistēma un uzņēmums saņem negatīvas atsauksmes, sistēma tiek diskreditēta un atmaskota.

5. Pārbaudiet, vai ir ieviests komercnoslēpuma režīms

Nodrošina iespēju noteiktu informāciju padarīt konfidenciālu, kā arī uzliek par pienākumu jebkurai personai, kas par to zina, uzņemties pilnu juridisku atbildību par tās izpaušanu. Nopietnas informācijas noplūdes gadījumā saskaņā ar pašreizējo komercnoslēpuma režīmu uzņēmumā pārkāpējam var piedzīt faktiskā un morālā kaitējuma summu tiesas ceļā saskaņā ar 98-FZ “Par komercnoslēpumiem”.

Ceram, ka šie padomi palīdzēs samazināt netīšu noplūžu skaitu uzņēmumos, jo tieši ar tām DLP sistēmas ir paredzētas, lai veiksmīgi cīnītos. Tomēr nevajadzētu aizmirst par visaptverošo informācijas drošības sistēmu un to, ka tīša informācijas noplūde prasa īpašu, rūpīgu uzmanību. Ir mūsdienīgi risinājumi, kas var papildināt DLP sistēmu funkcionalitāti un būtiski samazināt tīšu noplūžu risku. Piemēram, viens no izstrādātājiem piedāvā interesantu tehnoloģiju – aizdomīgi bieži piekļūstot konfidenciāliem failiem, tīmekļa kamera automātiski ieslēdzas un sāk ierakstīšanu. Tieši šī sistēma ļāva fiksēt, kā neveiksmīgais zaglis aktīvi uzņem ekrānuzņēmumus, izmantojot mobilo kameru.

Oļegs Ņečehins, informācijas sistēmu aizsardzības eksperts, Kontur.Security

Mūsdienās bieži var dzirdēt par tādām tehnoloģijām kā DLP sistēmas. Kas ir šāda sistēma? Kā to var izmantot? DLP sistēmas ir programmatūra, kas izstrādāta, lai novērstu datu zudumu, atklājot iespējamos pārkāpumus filtrēšanas un sūtīšanas laikā. Šie pakalpojumi arī pārrauga, nosaka un bloķē konfidenciālu informāciju tās lietošanas, pārvietošanas un uzglabāšanas laikā. Konfidenciālas informācijas noplūde, kā likums, notiek nepieredzējušu lietotāju iekārtu darbības vai ļaunprātīgas darbības dēļ.

Šādai informācijai korporatīvās vai privātās informācijas, intelektuālā īpašuma, medicīniskās un finanšu informācijas, kredītkaršu informācijas veidā ir nepieciešami īpaši aizsardzības pasākumi, ko var piedāvāt mūsdienu informācijas tehnoloģijas. Informācijas nozaudēšanas gadījumi pārvēršas nopludināšanā, kad pazūd avots, kurā ir konfidenciāla informācija, un nonāk nesankcionētas personas rokās. Informācijas noplūde iespējama bez zaudējumiem.

Parasti tehnoloģiskos līdzekļus, ko izmanto, lai apkarotu informācijas noplūdi, var iedalīt šādās kategorijās:

— standarta drošības pasākumi;
— intelektuālie (progresīvie) pasākumi;
— piekļuves kontrole un šifrēšana;
— specializētas DLP sistēmas.

Standarta pasākumi

Standarta drošības pasākumi ietver ugunsmūrus, ielaušanās atklāšanas sistēmas (IDS) un pretvīrusu programmatūru. Tie aizsargā datoru no ārējiem un iekšējiem uzbrukumiem. Tātad. Piemēram, ugunsmūra pievienošana neļauj nepiederošām personām piekļūt iekšējam tīklam. Ielaušanās noteikšanas sistēma var noteikt ielaušanās mēģinājumus. Lai novērstu iekšējos uzbrukumus, varat izmantot pretvīrusu programmas, kas nosaka datorā instalētos Trojas zirgus. Varat arī izmantot specializētus pakalpojumus, kas darbojas klienta-servera arhitektūrā, bez datorā saglabātas konfidenciālas vai personiskas informācijas.

Papildu drošības pasākumi

Papildu drošības pasākumos tiek izmantoti īpaši specializēti pakalpojumi un laika noteikšanas algoritmi, kas paredzēti, lai noteiktu neparastu piekļuvi datiem, konkrētāk, datu bāzēm un informācijas izguves sistēmām. Šāda aizsardzība var arī atklāt neparastu e-pasta apmaiņu. Šādas modernas informācijas tehnoloģijas identificē pieprasījumus un programmas, kas nāk ar ļaunprātīgu nolūku, un veic dziļas datorsistēmu pārbaudes, piemēram, atpazīst skaļruņu skaņas vai taustiņu nospiešanu. Daži šāda veida pakalpojumi pat spēj uzraudzīt lietotāju darbības, lai atklātu neparastu piekļuvi datiem.

Kas ir individuāli izstrādātas DLP sistēmas?

Informācijas aizsardzībai izstrādāti DLP risinājumi ir paredzēti, lai atklātu un novērstu neatļautus mēģinājumus kopēt un pārsūtīt sensitīvu informāciju bez atļaujas vai piekļuves no lietotājiem, kuri ir pilnvaroti piekļūt sensitīvajai informācijai. Lai klasificētu noteikta veida informāciju un regulētu piekļuvi tai, šajās sistēmās tiek izmantoti tādi mehānismi kā precīza datu saskaņošana, statistikas metodes, strukturēta pirkstu nospiedumu noņemšana, regulāru izteiksmju un noteikumu saņemšana, koda frāžu, atslēgvārdu un konceptuālo definīciju publicēšana. Apskatīsim galvenos DLP sistēmu veidus un īpašības.

Tīkla DLP

Šī sistēma parasti ir aparatūras risinājums vai programmatūra, kas tiek instalēta tīkla punktos, kas atrodas netālu no perimetra. Šāda sistēma analizē tīkla trafiku, lai atklātu konfidenciālu informāciju, kas nosūtīta, pārkāpjot informācijas drošības politikas.

Galapunkts DLP

Šāda veida sistēmas darbojas galalietotāju darbstacijās vai serveros organizācijās. Galapunkts, tāpat kā citās tīkla sistēmās, var saskarties gan ar iekšējo, gan ārējo komunikāciju, un tāpēc to var izmantot, lai kontrolētu informācijas plūsmu starp lietotāju veidiem un grupām. Tie spēj arī uzraudzīt tūlītējo ziņojumapmaiņu un e-pastu. Tas notiek šādi: pirms ziņojuma datu lejupielādes ierīcē, pakalpojums tos pārbauda. Nelabvēlīga pieprasījuma gadījumā ziņojumi tiks bloķēti. Tādējādi tie kļūst nekoriģēti un uz tiem neattiecas noteikumi par informācijas glabāšanu ierīcē.

DLP sistēmas priekšrocība ir tā, ka tā var kontrolēt un pārvaldīt piekļuvi fiziskajām ierīcēm, kā arī piekļūt informācijai, pirms tā tiek šifrēta. Dažas sistēmas, kas darbojas, pamatojoties uz gala noplūdēm, var arī nodrošināt lietojumprogrammu kontroli, lai bloķētu mēģinājumus pārsūtīt sensitīvu informāciju un sniegt tūlītēju atgriezenisko saiti lietotājam. Šādu sistēmu trūkums ir tāds, ka tās ir jāinstalē katrā tīkla darbstacijā, un tās nevar izmantot mobilajās ierīcēs, piemēram, PDA vai mobilajos tālruņos. Šis apstāklis ​​ir jāņem vērā, izvēloties DLP sistēmas noteiktu uzdevumu veikšanai.

Datu identifikācija

DLP sistēmās ir vairākas metodes, kuru mērķis ir identificēt konfidenciālu un klasificētu informāciju. Šo procesu bieži sajauc ar informācijas dekodēšanas procedūru. Tomēr informācijas identificēšana ir process, kurā organizācijas izmanto DLP tehnoloģiju, lai noteiktu, ko meklēt. Šajā gadījumā dati tiek klasificēti kā strukturēti vai nestrukturēti. Pirmā veida dati tiek glabāti fiksētos laukos failā, piemēram, izklājlapā. Nestrukturēti dati attiecas uz brīvas formas tekstu. Pēc ekspertu aplēsēm, 80% no visas apstrādātās informācijas var klasificēt kā nestrukturētus datus. Attiecīgi tikai 20% no kopējā informācijas apjoma ir strukturēti. Informācijas klasificēšanai tiek izmantota satura analīze, kas ir vērsta uz strukturētu informāciju un kontekstuālo analīzi. Tas tiek darīts vietā, kur tika izveidota lietojumprogramma vai sistēma, kurā parādījās informācija. Tādējādi atbilde uz jautājumu “kas ir DLP sistēmas” var būt informācijas analīzes algoritma definīcija.

Metodes

Mūsdienās DLP sistēmās tiek izmantotas ļoti daudzas sensitīva satura aprakstīšanas metodes. Parasti tos var iedalīt divās kategorijās: precīzi un neprecīzi. Precīzas ir metodes, kas saistītas ar satura analīzi un praktiski samazina visas viltus pozitīvas atbildes uz vaicājumiem līdz nullei. Citas metodes ir neprecīzas. Tie ietver statistisko analīzi, Bajesa analīzi, metatagus, uzlabotas regulārās izteiksmes, atslēgvārdus, vārdnīcas utt. Datu analīzes efektivitāte būs tieši atkarīga no tās precizitātes. DLP sistēmai ar augstu novērtējumu ir augsta veiktspēja šajā parametrā. DLP identifikācijas precizitāte ir svarīga, lai izvairītos no viltus pozitīviem rezultātiem un citām negatīvām sekām. Precizitāte ir atkarīga no daudziem faktoriem, kas var būt tehnoloģiski vai situācijas. Precizitātes pārbaude palīdz nodrošināt DLP sistēmas uzticamību.

Informācijas noplūdes atklāšana un novēršana

Dažos gadījumos datu izplatīšanas avots sensitīvu informāciju dara pieejamu trešajai pusei. Daļa no šiem datiem, visticamāk, pēc kāda laika tiks atrasti neatļautā vietā, piemēram, cita lietotāja klēpjdatorā vai internetā. DLP sistēmas, kuru izmaksas nodrošina izstrādātāji pēc pieprasījuma, var svārstīties no vairākiem desmitiem līdz vairākiem tūkstošiem rubļu. DLP sistēmām ir jāizpēta, kā dati tika nopludināti no vienas vai vairākām trešajām pusēm, vai tas tika darīts neatkarīgi, vai informācija tika nopludināta ar citiem līdzekļiem.

Dati miera stāvoklī

Apraksts “dati miera stāvoklī” attiecas uz vecu arhivētu informāciju, kas tiek glabāta jebkurā no klienta personālā datora cietajiem diskiem, attālā failu serverī vai tīkla atmiņas diskā. Šī definīcija attiecas arī uz datiem, kas tiek glabāti rezerves sistēmā kompaktdiskos vai zibatmiņas diskos. Šāda informācija ļoti interesē valsts aģentūras vai uzņēmumus, jo liels datu apjoms tiek glabāts neizmantots atmiņas ierīcēs. Šajā gadījumā pastāv liela varbūtība, ka piekļuvi informācijai iegūs nepiederošas personas ārpus tīkla.