DeviceLock ContentLock

Компонент ContentLock реализует механизмы контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций - веб-почте и социальных сетях, службах мгновенных сообщений, файловом обмене по протоколам FTP и FTP-SSL и др. Кроме того, технологии контентной фильтрации в модуле ContentLock позволяют задать фильтрацию для данных теневого копирования, чтобы сохранять только те файлы и данные, которые информационно значимы для задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа.

Наряду с методами активного контроля эффективность применения DeviceLock обеспечивается за счет детального протоколирования действий пользователей и административного персонала, а также селективного теневого копирования передаваемых данных для их последующего анализа, в том числе с использованием методов полнотекстового поиска. Программный комплекс DeviceLock DLP состоит из взаимодополняющих функциональных модулей - DeviceLock, NetworkLock, ContentLock, DeviceLock Search Server (DLSS) и DeviceLock Discovery, лицензируемых опционально в любых комбинациях для удовлетворения задач служб информационной безопасности. DeviceLock DLP 8.3 | Краткий обзор DeviceLock | 10 Базисный компонент DeviceLock является инфраструктурной платформой и ядром для других компонентов комплекса и реализует все функции его централизованного управления и администрирования. DeviceLock поддерживает полный набор механизмов контекстного контроля доступа пользователей, а также обеспечивает событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и КПК, Media Transfer Protocol (MTP), а также канал печати документов на локальные и сетевые принтеры. Кроме того, компонент DeviceLock включает в себя все консоли централизованного управления. Компонент NetworkLock™ обеспечивает контекстный контроль каналов сетевых коммуникаций на рабочих компьютерах, включая распознавание сетевых протоколов независимо от используемых портов, детектирование коммуникационных приложений и их селективную блокировку, реконструкцию сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных. NetworkLock контролирует большинство популярных сетевых протоколов и приложений, включая простые и SSL-защищенные SMTP-сессии электронной почты (с раздельным контролем сообщений и вложений), взаимодействие между клиентом Microsoft Outlook и сервером Microsoft Exchange (протокол MAPI), IBM Notes, веб-доступ и другие HTTP приложения, включая HTTPS сессии, веб-службы электронной почты и социальные сети (AOL Mail, freenet.de, Gmail, GMX Mail, Hotmail (Outlook.com), Mail.ru, NAVER, Outlook Web App (OWA), Rambler Mail, T-online.de, Web.de, Yahoo! Mail, Yandex Mail, Zimbra; Facebook, Google+, Instagram, LinkedIn, LiveJournal, MeinVZ, Myspace, Odnoklassniki, Pinterest, StudiVZ, Tumblr, Twitter, Vkontakte, XING, Disqus, LiveInternet.ru), службы мгновенных сообщений (Skype, Telegram, Viber, WhatsApp, ICQ Messenger, Jabber, IRC, Mail.ru Агент), облачные хранилища (Amazon S3, Dropbox, Box, Google Drive, Microsoft OneDrive и др.), передачу файлов по протоколам FTP и FTP-SSL, передачу файлов в локальной сети по SMB, а также сеансы Telnet и Torrent. Компонент ContentLock™ реализует механизмы контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций - веб-почте и социальных сетях, службах мгновенных сообщений, файловом обмене по протоколам FTP и FTP-SSL и др. Кроме того, технологии контентной фильтрации в модуле ContentLock позволяют задать фильтрацию для данных теневого копирования, чтобы сохранять только те файлы и данные, которые информационно значимы для задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа. Компонент DeviceLock Search Server (DLSS) обеспечивает полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования. Сервер DLSS позволяет значительно снизить трудозатратность и повысить эффективность процессов аудита и расследования инцидентов информационной безопасности, связанных с утечками информации, их криминалистического анализа и сбора доказательной базы. DeviceLock Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов, таких как: Adobe Acrobat (включая зашифрованные файлы, если шифрование файла выполнено одним из следующих алгоритмов: 40-bit RC4, 128-bit RC4, 128-bit AES и 256-bit AES, и при этом разрешения, установленные на файл, не запрещают извлечение текста) (PDF), Ami Pro, AutoCAD (DWG, DXF), Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Visio, Microsoft Word, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие. Компонент DeviceLock Discovery выполняет сканирование рабочих станций и корпоративных сетевых ресурсов, и на основании заданных политик способен обнаруживать документы и файлы с критическим содержимым, осуществлять различные действия с обнаруженными документами, а также может инициировать процедуры управления инцидентами, направляя тревожные оповещения в реальном режиме времени.  Помимо обеспечения контроля доступа к портам, устройствам и каналам сетевых коммуникаций, включая событийное протоколирование (аудит), DeviceLock обеспечивает тревожные оповещения безопасности (алерты) в реальном времени, уведомляя DeviceLock DLP 8.3 | Краткий обзор DeviceLock | 11 администратора о серьезных происшествиях и проблемах. Оповещения в реальном времени упрощают отслеживание событий в журнале, а также позволяют оперативнее и более эффективно реагировать на инциденты и нарушения политики безопасности. Оповещения отправляются по протоколам SMTP (Simple Mail Transfer Protocol), SNMP (Simple Network Management Protocol) и/или syslog. Функция теневого копирования в DeviceLock позволяет для каждого пользователя или группы сохранять точную копию данных, копируемых на внешние устройства, передаваемых по сети и через последовательные и параллельные порты, а также печатаемых на локальных и сетевых принтерах. Точные копии всех файлов и данных сохраняются в SQL-базе данных. Теневое копирование, как и аудит, может быть задано для отдельных пользователей и групп пользователей. Кроме того, теневое копирование DeviceLock совместимо с библиотекой программного обеспечения, поддерживаемой национальным институтом стандартов и технологий США, а также с базой данных Hashkeeper, созданной и поддерживаемой министерством юстиции США. Данные теневого копирования могут быть проверены на вхождение в базы данных известных файлов, что позволяет их использовать в компьютерной криминалистике. Такие базы данных содержат цифровые “отпечатки” множества известных файлов (файлы операционных систем, прикладного программного обеспечения и т.п.). Вы можете создать ваши собственные базы данных цифровых “отпечатков” (поддерживаются алгоритмы SHA-1, MD5 и CRC32) конфиденциальных файлов и затем использовать их для выявления фактов копирования пользователями этих конфиденциальных файлов.В дополнение к стандартным возможностям управления правами доступа и настройками, DeviceLock предлагает наиболее рациональный и удобный подход к управлению DLP-системой - с использованием объектов групповых политик домена Microsoft Active Directory и интегрированной в редактор групповых политик (GPO Editor) консоли DeviceLock. При этом политики DeviceLock автоматически распространяются средствами директории как интегральная часть ее групповых политик на все компьютеры домена. Такое решение позволяет службе информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации, а их исполнение распределенными агентами DeviceLock обеспечивает точное соответствие между бизнес-функциями пользователей и их правами на передачу и хранение информации на рабочих компьютерах. Глубокая интеграция в Active Directory - важная особенность DeviceLock. Она упрощает развертывание в больших сетях и более удобна для системных администраторов, а также исключает необходимость установки дополнительных приложений для централизованного управления и развертывания. Полная интеграция централизованного управления DeviceLock в групповые политики Windows позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку политик контроля доступа, аудита и теневого копирования и других настроек Агентов DeviceLock для новых компьютеров в автоматическом режиме. DeviceLock не требует своего собственного серверного компонента для контроля за всей сетью, вместо этого используется стандартная функция, предоставляемая Active Directory. В состав программного комплекса DeviceLock DLP входят три основные части: агент (сервис DeviceLock), серверы (DeviceLock Enterprise Server и DeviceLock Content Security Server) и консоли управления (DeviceLock Management Console, DeviceLock Group Policy Manager, DeviceLock Enterprise Manager и DeviceLock WebConsole).