Контур информационной безопасности

Контур информационной безопасности

Тип	DLP/IPC
Разработчик	SearchInform
Написана на	Delphi, C, C++
Операционная система	Windows
Языки интерфейса	русский, английский
Последняя версия	4.0
Лицензия	Проприетарное ПО
Сайт	[1]

Контур информационной безопасности (КИБ) – программный комплекс, предназначенный для контроля утечек и обнаружения случаев несанкционированного доступа к корпоративной информации. Выступает в качестве полноценной DLP-системы российской разработки.

Контролирует внутреннее информационное пространство компании и широкий спектр каналов коммуникации. Действует в рамках корпоративной компьютерной сети.

Разработчиком "Контура информационной безопасности" является компания SearchInform (Россия).

Пользователями «Контура» являются более чем 600 компаний России, Украины, Беларуси, Казахстана и Латвии, среди которых Газпром нефть, Красноярская ГЭС, ВТБ 24, Московская межбанковская валютная биржа, Промсвязьбанк и другие^[1]. За 2011 г. программный комплекс внедрило у себя более 200 компаний различной направленности^[2].

В 2012 г. планируется введение дисциплины «Информационная безопасность» с использованием «Контура информационной безопасности SearchInform» в Национальном исследовательском технологическом университете «МИСиС»^[3].

Направленность

КИБ позволяет контролировать следующие каналы утечки информации:

• запись данных на мобильные носители информации (USB-флеш-накопители, CD/DVD диски; карты памяти, внешние винчестеры и т.п.);
• отправку данных по FTP;
• публикацию сообщений в блогах, форумах, популярных социальных сетях;
• передачу данных с помощью средств мгновенного обмена сообщениями (Google Talk, ICQ, MSN Messenger, QIP и т.д.);
• передачу данных по электронной почте;
• вывод документов на печать;
• обмен сообщениями по скайпу.

Помимо этого программный комплекс обеспечивает контроль за активностью пользователей на файловых серверах компании и рабочих станциях, включая корпоративные ноутбуки.

Последняя версия продукта позволяет также отслеживать информацию, отображаемую на мониторах пользователей.

Архитектура и принцип действия

КИБ имеет модульную архитектуру, позволяя подключать лишь необходимые пользователю компоненты.

Работа КИБ реализована на двух платформах:

• EndpointSniffer – трафик перехватывается специально встраиваемыми агентскими модулями на уровне рабочих станций пользователей;
• NetworkSniffer – трафик перехватывается на уровне сетевых коммутаторов методом зеркалирования.

В обоих случаях перехват данных осуществляется незаметно для пользователя, блокирования получаемых и отправляемых данных не происходит.

КИБ осуществляет контроль и протоколирование (включая теневое копирование) доступа пользователей к периферийным устройствам, портам ввода-вывода и сетевым протоколам.

Для КИБ реализована интеграция с доменной структурой Windows, которая позволяет:

• определить, под учетной записью какого пользователя и с какого компьютера отправляется вовне конфиденциальная информация;
• временно либо постоянно исключить из мониторинга того или иного доменного пользователя;
• разграничить права доступа сотрудников службы безопасности предприятия так, чтобы каждый из них имел доступ к определенной части перехваченной информации в пределах своей компетенции.

Компоненты КИБ

Большинство компонентов КИБ представляют собой анализаторы трафика (снифферы), перехватывающие сетевой трафик для его последующего анализа уполномоченными сотрудниками.

AlertCenter

AlertCenter – модуль, предназначенный анализа перехваченных по различным каналам данных. AlertCenter опрашивает компоненты «Контура», и при наличии определённых ключевых слов, фраз или фрагментов текста в перехваченном документе немедленно оповещает об этом сотрудника, ответственного за информационную безопасность.

Модуль служит для настроек политик безопасности, настроек остановки исходящего почтового трафика, настроек библиотеки регулярных выражений, библиотеки цифровых отпечатков (Digital Fingerprints), тематических словарей и словаря синонимов.

Сведения о возможных утечках данных и настройках программы AlertCenter хранит в базе данных, что позволяет в любое время получить доступ к перечню случаев нарушения установленных политик безопасности.

DeviceSniffer

DeviceSniffer обеспечивает полный контроль над подключением внешних устройств к рабочим и серверным станциям. Позволяет полностью либо частично ограничивать доступ к следующим типам устройств:

• Bluetooth-адаптеры,
• CD/DVD диски,
• FireWire,
• USB-флеш-накопители,
• внешние жесткие диски,
• ИК-порты,
• карты памяти,
• КПК,
• клавиатуры,
• ленточные накопители,
• модемы,
• принтеры,
• сетевые адаптеры,
• сканеры,
• фотокамеры.

Также DeviceSniffer осуществляет теневое копирование данных, записываемых на внешние носители информации.

FileSniffer

FileSniffer осуществляет мониторинг операций с файлами, производимых на файловых серверах и рабочих станциях пользователей.

Отслеживаются следующие операции с файлами:

• открытие,
• чтение,
• запись,
• переименование,
• выполнение,
• закрытие.

FTPSniffer

FTPSniffer обеспечивает перехват документов, передаваемых по протоколу передачи файлов (FTP).

Модуль выполняет поиск по тексту файлов с использованием запатентованной технологии SoftInform Search Technology.

HTTPSniffer

HTTPSniffer обеспечивает перехват информации, отправляемой на интернет-форумы, в блоги и другие веб-сервисы.

Модуль поддерживает следующие методы GET и POST протокола HTTP.

Модуль позволяет осуществлять фильтрацию перехваченных данных по имени пользователя домена, IP- и MAC-адресам.

IMSniffer

IMSniffer обеспечивает перехват данных, переданных с помощью средств мгновенного обмена сообщениями:

• Google Talk,
• ICQ,
• Mail.Ru Агент,
• Microsoft Lync,
• MSN Messenger,
• QIP,
• Windows Live,
• X-Lite  (англ.).

Также IMSniffer производит мониторинг входящих и исходящих сообщений сотрудников в чатах наиболее популярных социальных сетей^[4]:

• Facebook,
• LinkedIn,
• ВКонтакте,
• ЖЖ,
• Мой Мир@mail.ru,
• Одноклассники.ru.

Программа сохраняет переписку в базу данных, по которой впоследствии можно производить поиск, используя поисковые возможности КИБ (морфология, синонимы, поиск похожих документов и т.д).

MailSniffer

MailSniffer обеспечивает перехват всей входящей и исходящей электронной почты.

Перехват почтового трафика производится на уровне сетевых протоколов HTTP Mail, IMAP, MAPI, SMTP, POP3.

По всем отправленным и принятым письмам MailSniffer может проводить полнотекстовый поиск с учетом морфологии и и словаря синонимов. Также поддерживается фразовый поиск с учётом расстояния между словами в поисковом запросе и поиск по различным атрибутам (дата, отправитель, размер сообщения и т.п.).

Модуль поддерживает помещение почтовых сообщений, содержащих подозрительный текст или вложения, в карантин. Решение об отправке их адресату принимается сотрудником службы безопасности по результатам его ознакомления с содержимым писем.

MonitorSniffer

MonitorSniffer обеспечивает перехват информации, отображаемой на мониторах пользователей.

В обычном режиме модуль выполняет перехват содержимого пользовательских экранов через заданные промежутки времени и сохраняет полученные снимки экрана в графическом формате в базе данных.

Модуль также позволяет наблюдать за содержимым экрана одного или нескольких пользователей в режиме реального времени (Live View Mode).

MonitorSniffer обеспечивает просмотр списка процессов, запущенных на компьютере пользователя в момент получения снимка экрана.

PrintSniffer

PrintSniffer обеспечивает перехват содержимого документов, выводимых на печать, позволяя выявлять документы, которые содержат конфиденциальные данные.

Модуль производит поиск по тексту перехваченных документов, а также выполняет распознавание текста в графических изображениях с последующим по нему поиском.

SkypeSniffer

SkypeSniffer обеспечивает перехват голосовых и текстовых сообщений, передаваемых по скайпу.

Помимо сообщений чата SkypeSniffer перехватывает SMS-сообщения и вложенные файлы.

Модуль выполняет поиск по тексту перехваченных документов с использованием запатентованной технологии SoftInform Search Technology.

Модуль позволяет проводить распознавание текста в переданных графических файлах с быстрым поиском по распознанному тексту.

Поисковый модуль SearchInform

Данный модуль осуществляет поиск информации, полученной с компьютеров пользователей всей локальной сети предприятия, используя заданный список ключевых слов, фраз, а также целых фрагментов текста.

Примечания

1. ↑ Основные клиенты
2. ↑ Официальный сайт SearchInform
3. ↑ Новая дисциплина в «МИСиС» на основе КИБ
4. ↑ HiTech.Expert: SearchInform IMSniffer контролирует чаты в Facebook и ВКонтакте

См. также

• Information Protection and Control
• Информационная безопасность
• Информационная система
• Несанкционированный доступ
• Предотвращение утечек

Ссылки

• Официальный сайт
• Видеопрезентация продукта
• PCWeek: Обновлена платформа SearchInform NetworkSniffer