Нужно решение, позволяющее обеспечить полную контентную безопасность на предприятии. То есть:- фильтрацию web-запросов с возможностью запретить доступ к сайтам, не связанным с работой, обязательно нужна настройка для конкретных пользователей (групп)
- фильтрация входящей почты, то есть защита от спама
- фильтрация исходящей почты, что сотрудники не могли заниматься рассылками (массовыми или чем-то подобным) и не могли слить секретную инфу конкурентам.
Пока я нашел только комплекс, состоящий из Cobion OrangeBox Mail и Cobion OrangeBox Web. Кто-нибудь знает альтернативу?
>Нужно решение, позволяющее обеспечить полную контентную безопасность на предприятии. То есть:
>
>- фильтрацию web-запросов с возможностью запретить доступ к сайтам, не связанным с
>работой, обязательно нужна настройка для конкретных пользователей (групп)
>
>- фильтрация входящей почты, то есть защита от спама
>
>- фильтрация исходящей почты, что сотрудники не могли заниматься рассылками (массовыми или
>чем-то подобным) и не могли слить секретную инфу конкурентам.
>
>Пока я нашел только комплекс, состоящий из Cobion OrangeBox Mail и Cobion
>OrangeBox Web. Кто-нибудь знает альтернативу?
CheckPoint + TrendMicro
>- фильтрацию web-запросов с возможностью запретить доступ к сайтам, не связанным с
>работой, обязательно нужна настройка для конкретных пользователей (групп)
SQUID + System Administrator
>
>- фильтрация входящей почты, то есть защита от спама
Postfix+Spamassasin+DrWeb+System Administrator>- фильтрация исходящей почты, что сотрудники не могли заниматься рассылками (массовыми или
>чем-то подобным) и не могли слить секретную инфу конкурентам.
Postfix+Spamassasin+DrWeb+System Administrator (последнее больше)
Я вот тут несколько обзоров в Сети нашел. Речь идет о продуктах типа Cobion OrangeBox или SurfControl. Там везде база используется: спам-писем и веб-запросов. У Cobion база в несколько десятков раз больше, чем у SurfControl. Вроде он мощнее.Предлагая использовать брандмауэр, вы указываете на возможность блокирования почтового трафика (это не подходит - мне нужно ограничение, то есть фильтрация: что-то проходит, а что-то нет) и по-видимому фильтрацию web-трафика посредством создания собственных списков IP-адресов (типа куда нельзя ходить). В крупных современных команиях так не поступают.
>- фильтрация исходящей почты, что сотрудники не могли заниматься рассылками (массовыми или
>чем-то подобным) и не могли слить секретную инфу конкурентам.
вот этот вопрос меня и самого интересует, но даже теоретического решения я пока не нашел.
потому что неизвестно как определять, какая исходящая инфап является секретной или нет. причем если пользователи действительно хотят что-то передать и они достаточно изощренные, то они могут спрятать эту инфу так, что ее и человек не разглядит! я уж не говорю про всяку портативную электронику, которая еще больше упрощает работу потенциальных шпионов.
>то они могут спрятать эту инфу так, что ее и человек
>не разглядит! я уж не говорю про всяку портативную электронику, котораяОсобено, если инфа посылается в запароленом архиве :)
>>то они могут спрятать эту инфу так, что ее и человек
>>не разглядит! я уж не говорю про всяку портативную электронику, которая
>
>Особено, если инфа посылается в запароленом архиве :)
это еще полбеды... архивы перед пересылкой можно пробовать на раскрываемость без пароля или с заранее оговоренным паролем.
кроме того, есть программы позволяющие скрывать информацию в обыкновенных файлах с картинками так, что это не заметно глазу при просмотре картики.а как анализировать простой вордовский файл на секретность его содержимого???
то ли это обыкновенное коммерческое предложение, которые шлют десятками и сотнями, то ли конфиденциальный договор с партнерами...
>>>то они могут спрятать эту инфу так, что ее и человек
>>>не разглядит! я уж не говорю про всяку портативную электронику, которая
>>
>>Особено, если инфа посылается в запароленом архиве :)
>это еще полбеды... архивы перед пересылкой можно пробовать на раскрываемость без пароля
>или с заранее оговоренным паролем.
>кроме того, есть программы позволяющие скрывать информацию в обыкновенных файлах с картинками
>так, что это не заметно глазу при просмотре картики.
>
>а как анализировать простой вордовский файл на секретность его содержимого???
>то ли это обыкновенное коммерческое предложение, которые шлют десятками и сотнями, то
>ли конфиденциальный договор с партнерами...
Мне кажется, что вы пытаетесь переложить функции службы безопасности предприятия на свои плечи.
Ибо если есть настолько конфиденциальная информация, могущая повлечь убытки компании, то и СБ должна быть, дабы пресечь зло в корне.
При использовании стеганографии (о чём упоминалось) можно не только картинки использовать. Следовательно либо вообще аттачи запрещать и парсить тексты на предмет ключевых слов, либо вообще почту запрещать для всех и разрешать только лояльным сотрудникам, что не выход. Купить всех можно. Так и до паранойи дойти можно. На мой взгляд выхода однозначного нет. Либо СБ, которая должна будет отслеживать нарушения, либо тотальное DENY на всё выходящее за рамки прокрустова ложа.
>Мне кажется, что вы пытаетесь переложить функции службы безопасности предприятия на свои
>плечи.
>Ибо если есть настолько конфиденциальная информация, могущая повлечь убытки компании, то и
>СБ должна быть, дабы пресечь зло в корне.
в идеале - да, этим занимается СБ...
но когда в реале СБ представляет из себя охрану из ментов ОВО, которым компьютер разрешено трогать только один - который показывает сработки в охранной сигнализации, тогда как-то (хотя бы частично) контролировать поток данных приходится, увы, компьютерщикам...>парсить тексты на предмет ключевых слов,
парсить тоже не выход :(
тогда будут десятки, если не сотни, сигналов в день.>Либо СБ, которая должна будет отслеживать нарушения
СБ должна иметь техническу базу, чтобы она смогла отследивать нарушения... а вот как ее создать - уже проблема...
>>Мне кажется, что вы пытаетесь переложить функции службы безопасности предприятия на свои
>>плечи.
>>Ибо если есть настолько конфиденциальная информация, могущая повлечь убытки компании, то и
>>СБ должна быть, дабы пресечь зло в корне.
>в идеале - да, этим занимается СБ...
>но когда в реале СБ представляет из себя охрану из ментов ОВО,
>которым компьютер разрешено трогать только один - который показывает сработки в
>охранной сигнализации, тогда как-то (хотя бы частично) контролировать поток данных приходится,
>увы, компьютерщикам...
А зачем на предприятии, в котором варятся секреты с потепциальными колоссалными убытками ТАКАЯ СБ?:) Не путайте силовую охрану со службой безопасности, функции которой намного шире и где работа администратора - часть системы защиты конфидециальности и служебных секретов. Сие кардинально разные вещи, как МВД и ФСБ :) Суть одна, а методы и способы воплощения разные.
>>парсить тексты на предмет ключевых слов,
>парсить тоже не выход :(
>тогда будут десятки, если не сотни, сигналов в день.
На то и щука в озере... :) Сорри:)>>Либо СБ, которая должна будет отслеживать нарушения
>СБ должна иметь техническу базу, чтобы она смогла отследивать нарушения... а вот
>как ее создать - уже проблема...Для этого вырабатывается куча нормативных документов предприятия, где вводится понятие о служебной тайне, её соблюдении и всего такого, по этим документам и создаётся принцип и механизм отслеживания нарушений производственной этики и служебной тайны. Иначе под лозунг "Это секрет и тайна!" можно будет подвести всё, что душе угодно. Замечу, что это НЕ РАБОТА администратора, а только инструкция для него.
Впрочем если фирма действительно нуждается в качественном пресечении утечки интелектуальной собственности и служебной информации, то объяснять руководству о необходимости серьёзных мер безопасности не потребуется. Это логично и видно сразу А если это блажь и самодурство руководство, насмотревшихся западных боевиков - то так и останется всё на своём месте. кроме прибавления головной боли у администраторов :))Удачного дня.
>А зачем на предприятии, в котором варятся секреты с потепциальными колоссалными убытками
>ТАКАЯ СБ?:)
чтоб не воровали матценности, с этим она неплохо справляется...>Не путайте силовую охрану со службой безопасности, функции которой
>намного шире и где работа администратора - часть системы защиты конфидециальности
>и служебных секретов. Сие кардинально разные вещи, как МВД и ФСБ
>:) Суть одна, а методы и способы воплощения разные.
я-то не путаю... но начальство за утечку информации, которую может устроить каждый второй сотрудник, будет наказывать компьютерщиков... и то, если она будет обнаружена, что вряд ли...
>Впрочем если фирма действительно нуждается в качественном пресечении утечки интелектуальной собственности и
>служебной информации, то объяснять руководству о необходимости серьёзных мер безопасности не
>потребуется. Это логично и видно сразу.
что может быть логично и видно сразу, начальству которое настолько далеко от ИТ-технологий, что спрашивает какую кнопочку нажать в Аутглюке?
я не спорю с тем, с коммерческой точки зрения они грамотные люди, иначе бы фирма не дожила бы до сих пор... но все технические вопросы они автоматически перекладывают на соответсвующие службы, в данном случае на сисадминов.мне кажется, что в данном треде пошел флейм, предлагаю дальше не развивать.
>>А зачем на предприятии, в котором варятся секреты с потепциальными колоссалными убытками
>>ТАКАЯ СБ?:)
>чтоб не воровали матценности, с этим она неплохо справляется...
Ну и пусть себе занимается этим, речь ведём о другой форме безопасности.>>Не путайте силовую охрану со службой безопасности, функции которой
>>намного шире и где работа администратора - часть системы защиты конфидециальности
>>и служебных секретов. Сие кардинально разные вещи, как МВД и ФСБ
>>:) Суть одна, а методы и способы воплощения разные.
>я-то не путаю... но начальство за утечку информации, которую может устроить каждый
>второй сотрудник, будет наказывать компьютерщиков... и то, если она будет обнаружена,
>что вряд ли...
>
>
>>Впрочем если фирма действительно нуждается в качественном пресечении утечки интелектуальной собственности и
>>служебной информации, то объяснять руководству о необходимости серьёзных мер безопасности не
>>потребуется. Это логично и видно сразу.
>что может быть логично и видно сразу, начальству которое настолько далеко от
>ИТ-технологий, что спрашивает какую кнопочку нажать в Аутглюке?
>я не спорю с тем, с коммерческой точки зрения они грамотные люди,
>иначе бы фирма не дожила бы до сих пор... но все
>технические вопросы они автоматически перекладывают на соответсвующие службы, в данном случае
>на сисадминов.
Это только минус службе сисадминов.. и только. Неумение объяснить пути решения проблемы не избавляет службу администрирования от ответственности за принятые на себя в данном случае обязательства. Неграмотность пользователей не оправдание. Вот.>мне кажется, что в данном треде пошел флейм
Не думаю. Это обсуждение заданной темы.
Конкретно по решениям, в том числе и программно-техническим :
1. для начала рассчитай все риски и управление ими (риск утечки информации, точки обработки "закрытой" информации, уязвимости этих точек и т.д.) - методики эти есть. Из них ты просчитаешь экономическую составляющую защиты данной информации (чтоб система защиты информации за 1 000 000 млн. долл. не защищала только 1000 тыс. руб. реального убытка)
2. исходя из этого можно выбирать системы - либо платные, дорогие, с поддержкой, либо бесплатные.
3. ДЛя недопущения раскрытия "закрытой" информации (печать, просмотр....) под Windows (я думаю, что у Вас именно под этой системой работают пользователи, причем под Microsoft Office) есть решение от Microsoft (!!!это не реклама Microsoft!!!).- MRMS (Rights Management Services) - http://www.microsoft.com/windowsserver2003/technologies/righ...
Политика безопасности живет непосредственно в файле (например, в файле .doc), куда бы этот файл не перемещался. Открыть, посмотреть, изменить его могут только определенные субъекты.
4. От спама много и бесплатных решений, только опять же, под какой сервер и ОС.
Любая защита информации - комплекс организационных мероприятий, технических и программных средств, по всему этому есть не плохой документ: "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К), утвержденные приказом Гостехкомиссии №282 от 13 августа 2002 г. По моему мнению, ее надо обязательно прочесть перед тем как начать планировать вопросы защиты информации. В ней вы найдете много полезной информации именно по организационным вопросам, что поможет сделать правильный выбор, как и писал ovix в своем посте.
Проблема, имхо, решается как и у нас, каждый сотрудник подписывает бумажку, что еслив что разгласит, будет возмещать ВСЕ убытки. Технически, тогда, останется создать стандарт пользования е-мылой. Например, все сообщения создаются в MSWord-е в формате doc, на сервере прогоняются через catdoc и в таком виде уходят наружу с сохранением копии (о чём все должны знать). Все картинки прогоняются через конвертер в формат с потерей информации, тот же jpg. Всё остальное идёт лесом (или очень неохотно, ручками админа). По-моему, большего админу сделать нельзя...
А вот по фильтрации веб контента промолчали, какие есть оналоги cobion ?