DeviceLock DLP 8 Manual_ru.pdf · (Amazon S3, Dropbox, Box, Google Drive, Microsoft OneDrive и...

DeviceLock® DLP 8.3Руководство пользователя

© 1996-2020 Смарт Лайн Инк. Все права защищены.Сведения, приведенные в этом документе, могут быть изменены в любой момент без предварительного уведомления. В целях обеспечения авторских прав никакая часть настоящего документа ни в каких целях за исключением личных некоммерческих целей не может быть воспроизведена или передана в какой бы то ни было форме и какими бы то ни было средствами, если на то нет предварительного письменного разрешения компании Смарт Лайн Инк.

Товарные знакиDeviceLock и логотип DeviceLock являются зарегистрированными товарными знаками компании Смарт Лайн Инк. Все другие названия продуктов, услуг и товарных знаков, упомянутые в данном документе, являются товарными знаками соответствующих владельцев.

DeviceLock DLP - Руководство пользователяВерсия продукта: 8.3Обновлено: май 2020

Содержание

3

Об этом руководстве . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8Условные обозначения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Краткий обзор DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9Основная информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Управляемый контроль доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Сервис DeviceLock для Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Сервер DeviceLock Content Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Как работает поисковый сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Модули ContentLock и NetworkLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Лицензирование NetworkLock и ContentLock . . . . . . . . . . . . . . . . . . . . . . . . . . 26Правила обеспечения безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Установка DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28Системные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Развертывание сервиса DeviceLock для Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Интерактивная установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Установка без вмешательства пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . 37Установка с помощью Systems Management Server . . . . . . . . . . . . . . . . . . . . . 39Установка в DeviceLock Management Console . . . . . . . . . . . . . . . . . . . . . . . . . . 39Установка в DeviceLock Enterprise Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Установка через групповые политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Установка с помощью DeviceLock Enterprise Server . . . . . . . . . . . . . . . . . . . . . 48

Развертывание сервиса DeviceLock для Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Интерактивная установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Использование командной строки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Установка без вмешательства пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Установка консолей управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Установка DeviceLock Enterprise Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Инструкции по установке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Установка и использование DeviceLock WebConsole . . . . . . . . . . . . . . . . . . . . . . . . 71

Подготовка к установке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Установка DeviceLock WebConsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Запуск DeviceLock WebConsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Установка DeviceLock Content Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Подготовка к установке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Запуск установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Настройка и завершение установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Консоли и инструменты DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89DeviceLock Management Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Пользовательский интерфейс . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Подключение к компьютеру . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

DeviceLock Service Settings Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Создание или редактирование политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

DeviceLock Group Policy Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100О применении групповых политик . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Начало работы с DeviceLock Group Policy Manager . . . . . . . . . . . . . . . . . . . . . 102Использование DeviceLock Group Policy Manager . . . . . . . . . . . . . . . . . . . . . . 105Использование Resultant Set of Policy (RSoP) . . . . . . . . . . . . . . . . . . . . . . . . . 108Управления сервисом DeviceLock для Mac через групповые политики . . . . . . . 109

4

DeviceLock Enterprise Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Пользовательский интерфейс . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Диалоговое окно “Сканирование сети” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Модули . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Загрузка / Сохранение / Экспорт . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Сравнение данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Фильтрация данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Сертификаты DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Создание сертификата . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Установка и удаление сертификата . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Мастер создания подписи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Код устройства . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Настройки сервиса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Сервис DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147Управление сервисом DeviceLock для Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Настройки сервиса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Узел “Устройства” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Разрешения (обычный профиль) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204Аудит, теневое копирование и алерты (обычный профиль) . . . . . . . . . . . . . . 216Белый список USB-устройств (обычный профиль) . . . . . . . . . . . . . . . . . . . . . 229Белый список носителей (обычный профиль) . . . . . . . . . . . . . . . . . . . . . . . . 236Настройки безопасности (обычный профиль) . . . . . . . . . . . . . . . . . . . . . . . . 241Просмотрщик журнала аудита (для компьютера) . . . . . . . . . . . . . . . . . . . . . . 245Просмотрщик журнала теневого копирования (для компьютера) . . . . . . . . . . 252

Управление сервисом DeviceLock для Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Разрешение NTLM-аутентификации для локальных пользователей в Mac OS X 262

Контентно-зависимые правила (обычный профиль) . . . . . . . . . . . . . . . . . . .266Правила для устройств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Узел “Контентно-зависимые правила” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267Управление доступом к контенту . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Теневое копирование контента . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276Обнаружение контента . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

Правила для протоколов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281Узел “Контентно-зависимые правила” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Управление доступом к контенту . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Теневое копирование контента . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288Обнаружение контента . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

Настройка контентных групп . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296Группы определения типа файла . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Группы ключевых слов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300Группы шаблонов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307Группы свойств документа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314Составные группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323Группы Oracle IRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326Просмотр встроенных контентных групп . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329Дублирование встроенных контентных групп . . . . . . . . . . . . . . . . . . . . . . . . 330Редактирование или удаление пользовательских контентных групп . . . . . . . . 331Тестирование контентных групп . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332

Управление контентно-зависимыми правилами . . . . . . . . . . . . . . . . . . . . . . . . . . 333Создание контентно-зависимых правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333Редактирование контентно-зависимых правил . . . . . . . . . . . . . . . . . . . . . . . . 342Копирование контентно-зависимых правил . . . . . . . . . . . . . . . . . . . . . . . . . . 343Экспорт и импорт контентно-зависимых правил . . . . . . . . . . . . . . . . . . . . . . 344Сброс контентно-зависимых правил в исходное состояние . . . . . . . . . . . . . . . 346

5

Удаление контентно-зависимых правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Цифровые отпечатки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348О методе цифровых отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348

Как этот метод устроен . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Сбор и хранение отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351Сравнение отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Приступая к работе с цифровыми отпечатками . . . . . . . . . . . . . . . . . . . . . . . 354

Управление цифровыми отпечатками . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355Настройки отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355Задачи отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356База отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362Журнал отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368

Применение цифровых отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373Настройки сервиса для цифровых отпечатков . . . . . . . . . . . . . . . . . . . . . . . . 373Группы цифровых отпечатков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374

Протоколы (обычный профиль) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .377Общая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

Узел “Протоколы” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Разрешения на доступ к протоколам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384

Права доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Разрешения по умолчанию . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391Действия по управлению разрешениями . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

Аудит, теневое копирование и алерты для протоколов . . . . . . . . . . . . . . . . . . . . 398Права аудита и теневого копирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399Аудит и теневое копирование по умолчанию . . . . . . . . . . . . . . . . . . . . . . . . . 419Действия по управлению аудитом, теневым копированием и алертами . . . . . . 422

Белый список протоколов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427Правила белого списка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428Параметры правил белого списка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430Действия по управлению белым списком . . . . . . . . . . . . . . . . . . . . . . . . . . . 436

Базовый IP-файрвол . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445Правила файрвола . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446Параметры правил файрвола . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447Действия по управлению файрволом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450

Настройки безопасности для протоколов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459Описание настроек безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460Действия по управлению настройками безопасности . . . . . . . . . . . . . . . . . . . 461

Контроль трафика с SSL-шифрованием . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463

Политики безопасности DeviceLock (офлайн-профиль) . . . . . . . . . . . . . . . .464Общая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464Настройка конфигурации для автономного режима . . . . . . . . . . . . . . . . . . . . . . . 466Переключение между оперативным и автономным режимами . . . . . . . . . . . . . . . . 468Управление политиками безопасности для автономного режима (устройства) . . . . 469

Управление разрешениями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470Управление правилами аудита, теневого копирования и оповещений . . . . . . . 475Управление белым списком USB-устройств . . . . . . . . . . . . . . . . . . . . . . . . . . 482Управление белым списком носителей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490Управление контентно-зависимыми правилами . . . . . . . . . . . . . . . . . . . . . . . 498Управление настройками безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511

Управление политиками безопасности для автономного режима (протоколы) . . . . 516Управление разрешениями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516Управление правилами аудита, теневого копирования и оповещений . . . . . . . 522

6

Управление белым списком протоколов . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529Управление базовым IP-файрволом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540Управление контентно-зависимыми правилами . . . . . . . . . . . . . . . . . . . . . . . 551Управление настройками безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563

Временный белый список . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .566Общая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566Получение временного доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567

Сервер DeviceLock Enterprise Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .569Администрирование сервера DeviceLock Enterprise Server . . . . . . . . . . . . . . . . . . 569

Настройки сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570Средства просмотра журналов DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573

Просмотрщик журнала аудита (для сервера) . . . . . . . . . . . . . . . . . . . . . . . . . 573Просмотрщик журнала теневого копирования (для сервера) . . . . . . . . . . . . . 580Просмотрщик журнала сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588

Консолидация журналов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593Приступая к работе с консолидацией журналов . . . . . . . . . . . . . . . . . . . . . . . 594Управление консолидацией журналов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595

Мониторинг . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 600Задачи мониторинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601Просмотрщик журнала мониторинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612

Политики DeviceLock Enterprise Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .617Общая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617

Как обрабатываются и применяются политики . . . . . . . . . . . . . . . . . . . . . . . 617Сценарии применения политик: пошаговое конфигурирование . . . . . . . . . . . . . . 619Управление политиками DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621

Использование узла “Политики” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621Управление объектами политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625Управление компьютерами, назначенными объектам политики . . . . . . . . . . . . 629Просмотр журнала политик . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632

Отчеты в DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .637Категории и типы отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637

Графы связей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638Отчеты по данным журнала аудита . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645Отчеты по данным журнала теневого копирования . . . . . . . . . . . . . . . . . . . . 659

Задачи создания отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667Создание задач . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668Управление существующими задачами . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681Просмотр отчетов, созданных задачей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682

Настройка доставки отчетов электронной почтой . . . . . . . . . . . . . . . . . . . . . . . . 683Выбор формата отчетов по умолчанию . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685Работа с отчетами . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686

Создание отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686Обновление списков отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687Просмотр отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687Просмотр параметров отчета . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688Экспорт и сохранение отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688Отправка отчетов по электронной почте . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689Удаление отчетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690

Сервер DeviceLock Content Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . .691Администрирование сервера DeviceLock Content Security Server . . . . . . . . . . . . . 691

Настройки сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692

7

Управление общими параметрами сервера . . . . . . . . . . . . . . . . . . . . . . . . . . 694Управление параметрами поискового сервера . . . . . . . . . . . . . . . . . . . . . . . . 700

Использование поискового сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707Выполнение полнотекстового поиска . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707Работа с результатами поиска . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727Автоматизация полнотекстового поиска . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736

Приложение: Активация лицензий DeviceLock . . . . . . . . . . . . . . . . . . . . . . . .751О типах лицензий DeviceLock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 751Активация клиентских лицензий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 752Активация серверных лицензий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753

Enterprise Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753Поисковый сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753Сервер Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753

Приложение: Консолидация журналов в облаке с помощью OpenVPN . . . .754Обзор требований . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754Настройка облачного сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755

Установить OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755Подготовить сертификаты сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756Настроить сервер OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757Настроить DeviceLock Enterprise Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758

Настройка локальных серверов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758Установить OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758Подготовить клиентский сертификат и IP-адрес . . . . . . . . . . . . . . . . . . . . . . 759Настроить клиент OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760Настроить DeviceLock Enterprise Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761Тест: Подключить консоль к облачному серверу . . . . . . . . . . . . . . . . . . . . . . 761

Приложение: Примеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .762Примеры разрешений и правил аудита для устройств . . . . . . . . . . . . . . . . . . . . . 762

Примеры разрешений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762Примеры правил аудита и теневого копирования . . . . . . . . . . . . . . . . . . . . . 776

Примеры разрешений для протоколов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779Примеры контентно-зависимых правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782Примеры правил IP-файрвола . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788

DeviceLock DLP 8.3 | Об этом руководстве | 8

Об этом руководствеВ данном руководстве содержится подробная информация по установке и использованию DeviceLock DLP. Документ предназначен в первую очередь для сетевых администраторов, специалистов по безопасности данных и других ИТ-специалистов, которые заинтересованы в обеспечении безопасности корпоративных данных.

Использование руководства подразумевает, что читатель знаком с основами управления установленной операционной системой и имеет базовые понятия о настройке локальной сети.

Условные обозначенияВ руководстве используются следующие условные обозначения.

Элемент Описание

Полужирный шрифт Обозначает элементы пользовательского интерфейса.

Курсив Используется для комментариев.

Голубой шрифт Используется для выделения гиперссылок.

Примечание Дополнительная информация об описываемых процессах.

Полезный совет Рекомендации для получения наилучших результатов.

Внимание Действия, которые следует выполнять с большой осторожностью.

Знак “плюс” (+) Указывает на сочетание клавиш, которые надо нажимать одновременно.

DeviceLock DLP 8.3 | Краткий обзор DeviceLock | 9

1

Краткий обзор DeviceLockВ этой главе:

Основная информация

Управляемый контроль доступа

Сервис DeviceLock для Mac

Сервер DeviceLock Content Security Server

Модули ContentLock и NetworkLock

Правила обеспечения безопасности

Основная информацияНаиболее эффективный подход к защите от утечек информации с компьютеров начинается с использования, прежде всего, механизмов контекстного контроля - запрета или разрешения передачи данных для конкретных пользователей в зависимости от форматов данных, типов интерфейсов и устройств, сетевых протоколов, направления передачи, дня недели и времени суток и т.д.

Однако, во многих случаях требуется более глубокий уровень контроля - например, проверка содержимого передаваемых данных на наличие персональной или конфиденциальной информации в условиях, когда порты ввода-вывода не должны блокироваться, чтобы не нарушать производственные процессы, но отдельные пользователи входят в «группу риска», поскольку подозреваются в причастности к нарушениям корпоративной политики информационной безопасности. В подобных ситуациях дополнительно к контекстному контролю необходимо применение технологий контентного анализа и фильтрации, позволяющих выявить и предотвратить передачу неавторизованных данных, не препятствуя при этом информационному обмену в рамках служебных обязанностей сотрудников.

Программный комплекс DeviceLock DLP использует как контекстные, так и основанные на анализе контента методы контроля данных, обеспечивая надежную защиту от информационных утечек с пользовательских компьютеров и серверов корпоративных ИС при минимальных затратах на приобретение и обслуживание комплекса. Контекстные механизмы DeviceLock реализуют гранулированный контроль доступа пользователей к широкому спектру периферийных устройств и каналов ввода-вывода, включая сетевые коммуникации. Дальнейшее повышение уровня защиты достигается за счет применения методов контентного анализа и фильтрации данных, что позволяет предотвратить их несанкционированное копирование на внешние накопители и Plug-and-Play устройства, а также передачу по сетевым протоколам за пределы корпоративной сети.

Наряду с методами активного контроля эффективность применения DeviceLock обеспечивается за счет детального протоколирования действий пользователей и административного персонала, а также селективного теневого копирования передаваемых данных для их последующего анализа, в том числе с использованием методов полнотекстового поиска.

Программный комплекс DeviceLock DLP состоит из взаимодополняющих функциональных модулей - DeviceLock, NetworkLock, ContentLock, DeviceLock Search Server (DLSS) и DeviceLock Discovery, лицензируемых опционально в любых комбинациях для удовлетворения задач служб информационной безопасности.


Базисный компонент DeviceLock является инфраструктурной платформой и ядром для других компонентов комплекса и реализует все функции его централизованного управления и администрирования. DeviceLock поддерживает полный набор механизмов контекстного контроля доступа пользователей, а также обеспечивает событийное протоколирование (аудит) и теневое копирование данных для всех локальных каналов ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и КПК, Media Transfer Protocol (MTP), а также канал печати документов на локальные и сетевые принтеры. Кроме того, компонент DeviceLock включает в себя все консоли централизованного управления.

Компонент NetworkLock™ обеспечивает контекстный контроль каналов сетевых коммуникаций на рабочих компьютерах, включая распознавание сетевых протоколов независимо от используемых портов, детектирование коммуникационных приложений и их селективную блокировку, реконструкцию сессий с восстановлением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных.

NetworkLock контролирует большинство популярных сетевых протоколов и приложений, включая простые и SSL-защищенные SMTP-сессии электронной почты (с раздельным контролем сообщений и вложений), взаимодействие между клиентом Microsoft Outlook и сервером Microsoft Exchange (протокол MAPI), IBM Notes, веб-доступ и другие HTTP приложения, включая HTTPS сессии, веб-службы электронной почты и социальные сети (AOL Mail, freenet.de, Gmail, GMX Mail, Hotmail (Outlook.com), Mail.ru, NAVER, Outlook Web App (OWA), Rambler Mail, T-online.de, Web.de, Yahoo! Mail, Yandex Mail, Zimbra; Facebook, Google+, Instagram, LinkedIn, LiveJournal, MeinVZ, Myspace, Odnoklassniki, Pinterest, StudiVZ, Tumblr, Twitter, Vkontakte, XING, Disqus, LiveInternet.ru), службы мгновенных сообщений (Skype, Telegram, Viber, WhatsApp, ICQ Messenger, Jabber, IRC, Mail.ru Агент), облачные хранилища (Amazon S3, Dropbox, Box, Google Drive, Microsoft OneDrive и др.), передачу файлов по протоколам FTP и FTP-SSL, передачу файлов в локальной сети по SMB, а также сеансы Telnet и Torrent.

Компонент ContentLock™ реализует механизмы контентного мониторинга и фильтрации файлов и данных, передаваемых с/на сменные носители и в каналах сетевых коммуникаций - веб-почте и социальных сетях, службах мгновенных сообщений, файловом обмене по протоколам FTP и FTP-SSL и др. Кроме того, технологии контентной фильтрации в модуле ContentLock позволяют задать фильтрацию для данных теневого копирования, чтобы сохранять только те файлы и данные, которые информационно значимы для задач аудита информационной безопасности, расследований нештатных ситуаций и их криминалистического анализа.

Компонент DeviceLock Search Server (DLSS) обеспечивает полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования. Сервер DLSS позволяет значительно снизить трудозатратность и повысить эффективность процессов аудита и расследования инцидентов информационной безопасности, связанных с утечками информации, их криминалистического анализа и сбора доказательной базы. DeviceLock Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов, таких как: Adobe Acrobat (включая зашифрованные файлы, если шифрование файла выполнено одним из следующих алгоритмов: 40-bit RC4, 128-bit RC4, 128-bit AES и 256-bit AES, и при этом разрешения, установленные на файл, не запрещают извлечение текста) (PDF), Ami Pro, AutoCAD (DWG, DXF), Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Visio, Microsoft Word, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие.

Компонент DeviceLock Discovery выполняет сканирование рабочих станций и корпоративных сетевых ресурсов, и на основании заданных политик способен обнаруживать документы и файлы с критическим содержимым, осуществлять различные действия с обнаруженными документами, а также может инициировать процедуры управления инцидентами, направляя тревожные оповещения в реальном режиме времени. Подробную информацию о DeviceLock Discovery можно найти в документе “Руководство пользователя DeviceLock Discovery”, который доступен на нашем сайте по адресу www.devicelock.com/ru/support/docs.html.

Помимо обеспечения контроля доступа к портам, устройствам и каналам сетевых коммуникаций, включая событийное протоколирование (аудит), DeviceLock обеспечивает тревожные оповещения безопасности (алерты) в реальном времени, уведомляя

http://www.devicelock.com/ru/support/docs.html


администратора о серьезных происшествиях и проблемах. Оповещения в реальном времени упрощают отслеживание событий в журнале, а также позволяют оперативнее и более эффективно реагировать на инциденты и нарушения политики безопасности. Оповещения отправляются по протоколам SMTP (Simple Mail Transfer Protocol), SNMP (Simple Network Management Protocol) и/или syslog.

Функция теневого копирования в DeviceLock позволяет для каждого пользователя или группы сохранять точную копию данных, копируемых на внешние устройства, передаваемых по сети и через последовательные и параллельные порты, а также печатаемых на локальных и сетевых принтерах. Точные копии всех файлов и данных сохраняются в SQL-базе данных. Теневое копирование, как и аудит, может быть задано для отдельных пользователей и групп пользователей.

Кроме того, теневое копирование DeviceLock совместимо с библиотекой программного обеспечения, поддерживаемой национальным институтом стандартов и технологий США, а также с базой данных Hashkeeper, созданной и поддерживаемой министерством юстиции США.

Данные теневого копирования могут быть проверены на вхождение в базы данных известных файлов, что позволяет их использовать в компьютерной криминалистике.

Такие базы данных содержат цифровые “отпечатки” множества известных файлов (файлы операционных систем, прикладного программного обеспечения и т.п.). Вы можете создать ваши собственные базы данных цифровых “отпечатков” (поддерживаются алгоритмы SHA-1, MD5 и CRC32) конфиденциальных файлов и затем использовать их для выявления фактов копирования пользователями этих конфиденциальных файлов.

За дополнительной информацией об использовании DeviceLock с базами данных цифровых “отпечатков” обращайтесь в службу технической поддержки DeviceLock.

Дополнительную информацию о базах данных цифровых “отпечатков” известных файлов, а также примеры подобных баз данных можно найти на сайте национального института стандартов и технологий США по адресу www.nsrl.nist.gov.

В дополнение к стандартным возможностям управления правами доступа и настройками, DeviceLock предлагает наиболее рациональный и удобный подход к управлению DLP-системой - с использованием объектов групповых политик домена Microsoft Active Directory и интегрированной в редактор групповых политик (GPO Editor) консоли DeviceLock. При этом политики DeviceLock автоматически распространяются средствами директории как интегральная часть ее групповых политик на все компьютеры домена. Такое решение позволяет службе информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации, а их исполнение распределенными агентами DeviceLock обеспечивает точное соответствие между бизнес-функциями пользователей и их правами на передачу и хранение информации на рабочих компьютерах.

Глубокая интеграция в Active Directory - важная особенность DeviceLock. Она упрощает развертывание в больших сетях и более удобна для системных администраторов, а также исключает необходимость установки дополнительных приложений для централизованного управления и развертывания. Полная интеграция централизованного управления DeviceLock в групповые политики Windows позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку политик контроля доступа, аудита и теневого копирования и других настроек Агентов DeviceLock для новых компьютеров в автоматическом режиме. DeviceLock не требует своего собственного серверного компонента для контроля за всей сетью, вместо этого используется стандартная функция, предоставляемая Active Directory.

В состав программного комплекса DeviceLock DLP входят три основные части: агент (сервис DeviceLock), серверы (DeviceLock Enterprise Server и DeviceLock Content Security Server) и консоли управления (DeviceLock Management Console, DeviceLock Group Policy Manager, DeviceLock Enterprise Manager и DeviceLock WebConsole).

http://www.nsrl.nist.gov


1. Агент DeviceLock, или сервис DeviceLock - это ядро системы DeviceLock. Агент устанавливается на каждый контролируемый компьютер, автоматически запускается и обеспечивает защиту устройств и сети на машине-клиенте, оставаясь в то же время невидимым для локального пользователя.

2. DeviceLock Enterprise Server (DLES) - это дополнительный компонент, предназначенный для централизованного сбора и хранения данных теневого копирования и журналов аудита. Для хранения своих данных DeviceLock Enterprise Server использует сервер базы данных - SQL Server или PostgreSQL. Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров DLES и серверов базы данных.

DeviceLock Content Security Server - еще один дополнительный компонент, включающий в себя компонент Search Server для быстрого поиска текста в файлах теневого копирования и журналах, хранящихся на DeviceLock Enterprise Server. Дополнительную информацию см. в разделе Сервер DeviceLock Content Security Server ниже в этой главе.

Сервис DeviceLock (Агент)

Служба DeviceLock(уровень

приложений)

Настройки DeviceLock

Драйвер DeviceLock(уровень ядра)

Устройство или сетьПользователь

Администратор DeviceLock

Сервербазы данных

DeviceLock Management Console (оснастка для MMC)

DeviceLockEnterprise Server

DeviceLockEnterprise Server

Сервербазы данных

Сервис DeviceLock Сервис DeviceLock Сервис DeviceLock Сервис DeviceLock


3. Консоль управления - это интерфейс контроля, который системный администратор использует для удаленного управления любой системой, на которой установлен сервис DeviceLock. DeviceLock поставляется с четырьмя консолями управления: DeviceLock Management Console (оснастка для MMC), DeviceLock Enterprise Manager, DeviceLock WebConsole и DeviceLock Group Policy Manager (интегрируется в редактор групповых политик Windows). DeviceLock Management Console также используется для управления DeviceLock Enterprise Server и Content Security Server.

СетьКонсоли управления DeviceLock

Политика

Администратор DeviceLock

Контроллер доменаActive Directory

Удаленный вызов процедур (RPC)

Сервис DeviceLock




DeviceLock Management Console (оснастка для MMC)

DeviceLock Enterprise Manager

DeviceLock Group Policy Manager(редактор групповых политик)


Управляемый контроль доступаКонтроль доступа для устройств работает следующим образом: каждый раз, когда пользователь пытается получить доступ к устройству, DeviceLock перехватывает запрос на уровне ядра ОС. В зависимости от типа устройства и интерфейса подключения (например, USB), DeviceLock проверяет права пользователя в соответствующем списке управления доступом (ACL). Если у пользователя отсутствуют права доступа к данному устройству, будет возвращено сообщение об ошибке “доступ запрещен”.

Проверка разрешений на доступ выполняется на трех уровнях: интерфейс (порт), тип и содержимое файла. Некоторые устройства проверяются на всех трех уровнях, в то время как другие - только на одном: либо на уровне интерфейса (порта), либо на уровне типа.

Уровень содержимого файла

Уровень типа

Уровень интерфейса (порта)

Доступ запрещен Доступ разрешен

Устройство добавлено в белый список USB-устройств

для Пользователя?

ДАНЕТ

Флажок “Управлять доступом к устройствам хранения USB” снят в

настройках безопасности?

ДАНЕТ

Пользователю разрешен доступ к USB-порту?

ДАНЕТ

Пользователю разрешен доступ к типу “Съемные

устройства”?

ДАНЕТ

ПользовательUSB-флеш диск

(Устройство)

Флажок “Контролировать как тип” снят в

белом списке USB-устройств?

ДАНЕТ

Контентно-зависимые правила разрешают

Пользователю доступ к содержимому файла?

ДАНЕТ Контентно-зависимые правила запрещают

Пользователю доступ к содержимому файла?

ДА НЕТ


Рассмотрим случай доступа пользователя к USB-флеш через USB-порт. В данном случае DeviceLock в первую очередь проверит на уровне интерфейса (USB-порта), открыт или нет доступ к USB-порту. Затем, поскольку Windows определяет USB-флеш как съемное устройство, DeviceLock также проверит ограничения на уровне типа устройства (съемное). И в завершение проверки DeviceLock также проверит ограничения на уровне содержимого файла, определенные контентно-зависимыми правилами.

В случае же использования USB-сканера доступ будет проверяться только на уровне интерфейса (USB-порта), поскольку DeviceLock не имеет отдельного типа устройств для сканеров.

Существуют дополнительные настройки безопасности (см. Настройки безопасности (обычный профиль)), которые могут выключать контроль доступа для классов устройств (напр., для всех USB-клавиатур и мышей), в то время как остальные устройства остаются под контролем. В этом случае, если устройство принадлежит к классу, для которого контроль отключен, DeviceLock пропускает все запросы на соединение с этим устройством на уровне интерфейса (порта). DeviceLock также поддерживает белый список определенных устройств (см. Белый список USB-устройств (обычный профиль)); иными словами, вы можете отключить контроль доступа только для определенных устройств (например, некоторых USB-принтеров).

Контроль доступа для протоколов работает следующим образом: каждый раз, когда пользователь пытается получить доступ к удаленному сетевому ресурсу, DeviceLock перехватывает запрос на соединение на уровне ядра ОС и проверяет права пользователя в соответствующем списке управления доступом (ACL). Если у пользователя отсутствуют права доступа к данному протоколу, будет возвращено сообщение об ошибке “доступ запрещен”.

Примечание: Если доступ к устройству запрещен на уровне интерфейса (порта), DeviceLock не будет проверять разрешения на уровне типа. Если доступ к устройству на уровне интерфейса (порта) разрешен, DeviceLock также проверит разрешения на уровне типа. Пользователь может подключиться к устройству, только если у него есть права на обоих уровнях.

Примечание: Настройки контроля доступа для социальных сетей, сервисов файлового обмена и веб-почты имеют преимущество перед настройками для протокола HTTP. Например, если пользователям разрешен доступ к почтовой службе Gmail, но запрещено использовать протокол HTTP, они, тем не менее, смогут получить доступ к почтовой службе.

Уровень интерфейса (порта)


Устройство добавлено в белый список USB-устройств


ДАНЕТ

Флажок “Управлять доступом к USB-сканерам”

снят в настройках безопасности?

ДАНЕТ

Пользователю разрешен доступ к USB-порту?

ДАНЕТ

ПользовательUSB-сканер(Устройство)


Проверка разрешений на доступ выполняется на двух уровнях: протокол и содержимое. Все сетевые подключения проверяются на обоих уровнях, за исключением подключений по протоколам Торрент, Telnet, Telegram и WhatsApp, которые проверяются только на уровне протокола.

Например, при попытке пользователя подключиться к удаленному узлу, DeviceLock проверит, разрешено ли подключение на уровне протокола, а затем будут проверены разрешения на уровне содержимого передаваемых данных, определенные контентно-зависимыми правилами.

Уровеньсодержимого

Уровень протокола


Протокол Соединения распознается в NetworkLock?

Блокируется ли Соединение согласно

настройкам безопасности для протоколов?

Разрешают ли контентно-зависимые правила доступ

Пользователя к этим данным?

Запрещают ли контентно-зависимые правила доступ


Хост Соединения разрешен по правилу

“Любой” или “SSL” белого списка протоколов для

Пользователя?

Разрешено ли Соединение правилами базового IP-файрвола


ПользовательСоединение

Разрешено ли Соединение согласно списку разрешений

протоколов для Пользователя?

Протокол Соединения указан в белом списке

протоколов для Пользователя?

ДАНЕТ

ДА НЕТ

НЕТ

НЕТ ДА

НЕТ ДА

НЕТ ДА

ДА

НЕТДАДАНЕТ


Рассмотрим случай доступа пользователя к сайту социальной сети. В данном случае DeviceLock в первую очередь проверит на уровне протокола, открыт или нет доступ к социальным сетям. Затем DeviceLock проверит разрешения на уровне содержимого данных, определенные контентно-зависимыми правилами.

Кроме того, DeviceLock поддерживает белые списки протоколов (см. Белый список протоколов). Белый список протоколов позволяет отключать контроль доступа для сетевых подключений с определенными параметрами (например, HTTP-подключений для определенных узлов и портов).

Уровень содержимого

Уровень протокола


Ресурс указан в белом списке протоколов для

Пользователя?

ДАНЕТ

Разрешен ли Пользователю доступ к социальным сетям

согласно списку разрешений протоколов?

ДА

Разрешают ли контентно-зависимые правила доступ


ДАНЕТ Запрещают ли контентно-зависимые правила доступ


НЕТДА

ПользовательСоциальная сеть

(Ресурс)

НЕТ


Сервис DeviceLock для MacСервис DeviceLock для Mac создан, чтобы помочь администраторам и службам информационной безопасности предотвратить неавторизованную передачу данных, блокировать копирование файлов и предотвратить загрузку программного обеспечения.

Благодаря поддержке широкого ряда устройств, носителей и протоколов хранения данных, сервис DeviceLock для Mac обеспечивает гибкий контроль доступа к внутренним и внешним устройствам хранения данных, таким как оптические приводы CD, DVD, BD, внешние накопители и диски; контролирует доступ к адаптерам WiFi и Bluetooth, обеспечивает управляемый контроль доступа к портам USB, FireWire и последовательному порту. Устройства, подключаемые по шине eSATA, контролируются как класс съемных устройств, а устройства, подключаемые по шине Thunderbolt, контролируются как класс съемных устройств и как устройства WiFi.

Сервис DeviceLock для Mac включает следующие функциональные возможности:

• Контроль доступа к портам и устройствам хранения данных. С помощью сервиса DeviceLock для Mac администраторы получают полный контроль над тем, кто, когда, и при каких условиях может получить доступ к определенным устройствам и портам. Это позволяет предотвратить утечку данных в том числе и через неавторизованные приложения.

• Аудит пользовательской активности. Сервис DeviceLock для Mac позволяет вести подробный аудит активности с конкретных типов устройств на рабочих станциях. Основанная на контексте безопасности пользователя, эта функциональность позволяет администраторам и службам ИБ отслеживать активность отдельных пользователей и групп пользователей. Журналы аудита, создаваемые агентом, собираются сервером DeviceLock Enterprise Server и отображаются в консолях управления.

• Теневое копирование. Сервис DeviceLock для Mac позволяет администраторам и службам ИБ просматривать, какая именно информация была передана пользователями путем создания теневых копий всех данных, отправляемых или передаваемых через определенные порты и устройства. Система использует теневое копирование данных для зеркалирования всех данных, копируемых на внешние устройства хранения данных. Точная копия переданных файлов может быть сохранена в SQL-базе данных. Теневое копирование, как и аудит, может быть задано для отдельных пользователей и групп пользователей.

• Интеграция в Active Directory. Полная интеграция в Active Directory делает сервис DeviceLock для Mac легко конфигурируемым и управляемым, упрощает настройку параметров агентов, настройку прав доступа и развертывание агентов в больших гетерогенных сетях. Интеграция сервиса DeviceLock для Mac в домен позволяет получать данные для конфигурирования агентов из Active Directory через DeviceLock Enterprise Server.


Сервер DeviceLock Content Security ServerDeviceLock Content Security Server - дополнительный компонент программного комплекса DeviceLock DLP. Он включает в себя поисковый сервер (Search Server), который обеспечивает полнотекстовый поиск по данным журналов, хранящихся на DeviceLock Enterprise Server, что делает управление данными более простым и эффективным на фоне их увеличивающегося количества в базе данных DeviceLock Enterprise Server.

Также DeviceLock Content Security Server включает в себя сервер Discovery, предназначенный для обнаружения документов и файлов с критическим содержимым. Подробную информацию о сервере Discovery можно найти в документе “Руководство пользователя DeviceLock Discovery” по адресу www.devicelock.com/ru/support/docs.html.

DeviceLock Content Security Server включает следующие функциональные возможности:

• Поддержка полнотекстового поиска. Посредством использования поискового сервера DeviceLock Content Security Server позволяет быстро искать важные текстовые данные, применяя различные критерии поиска.

• Автоматизация операций полнотекстового поиска. DeviceLock Content Security Server позволяет выполнять поисковые запросы по расписанию с автоматической отправкой результатов поиска по электронной почте.

• Гибкие настройки конфигурации. Для оптимизации производительности DeviceLock Content Security Server предусмотрены различные параметры конфигурации.

Полнотекстовый поиск можно использовать для нахождения данных, которые невозможно найти с применением фильтров в просмотрщиках журналов. Полнотекстовый поиск особенно полезен в ситуациях, когда необходимо осуществлять поиск теневых копий документов по их содержимому.

Вариант использования - Предотвращение утечек конфиденциальной информации

Специалисты по безопасности, чьей задачей является оперативное выявление инцидентов, связанных с конфиденциальностью важной информации, могут регулярно использовать поисковый сервер для оперативного и удобного поиска и анализа теневых копий файлов, содержащих важные бизнес-данные, например, списки клиентов или прайс-листы. Записи в журнале, относящиеся к найденным теневым копиям, помогут определить, когда и кем была скопирована конфиденциальная информация. Имея эти данные, специалисты по безопасности могут предпринять оперативные меры для предотвращения возможного раскрытия и утечки информации за пределами компании.

Настройка и использование DeviceLock Content Security Server выполняется с помощью консоли DeviceLock Management Console или DeviceLock WebConsole.

Как работает поисковый серверПоисковый сервер выполняет следующие функции:

• Индексирует данные DeviceLock Enterprise Server.

• Выполняет полнотекстовые запросы после операции индексирования.

Более подробное описание этих функций представлено ниже.

http://www.devicelock.com/ru/support/docs.html


Индексирование данных DeviceLock Enterprise ServerИндексирование - это процесс, в результате которого текстовые данные на DeviceLock Enterprise Server становятся доступными для поиска и просмотра.

Поисковый сервер начинает индексирование автоматически, как только будут указаны экземпляры сервера DeviceLock Enterprise Server. В результате процесса индексирования создается или обновляется полнотекстовый индекс. Каждый поисковый сервер создает только один полнотекстовый индекс, что делает управление более эффективным. В полнотекстовом индексе хранятся данные о существенных для поиска словах и их позициях. В процессе создания или обновления индекса поисковый сервер отбрасывает неучитываемые слова (такие, как предлоги, артикли и т.п.), которые не повышают эффективность поиска.

Поисковый сервер индексирует все текстовые данные из следующих источников: журнал аудита, журнал теневого копирования, журнал удаленных данных теневого копирования, внутренний журнал сервера DeviceLock Enterprise Server, журнал мониторинга и журнал политик сервера DeviceLock Enterprise Server.

Процесс индексирования выполняется в два этапа. На первом этапе поисковый сервер извлекает ключевые слова из теневых копий и записей в журналах и сохраняет их во временные индексы для каждого указанного DeviceLock Enterprise Server. Для каждого временного индекса поисковый сервер обрабатывает 1000 записей из каждого журнала. На втором этапе, когда число временных индексов становится равным 50 или проходит 10 минут, инициируется процесс объединения всех временных индексов в один главный полнотекстовый индекс, который используется для поисковых запросов. Процесс объединения временных индексов в главный полнотекстовый индекс называется слиянием (merging).

Процесс создания главного полнотекстового индекса требует много времени. Скорость индексирования может значительно изменяться в зависимости от типа индексируемых данных и используемого оборудования. Скорость индексирования обычно находится в диапазоне от 30 до 120 MB/мин. Рассмотрим следующий пример:

• Данные: 170 GB, состоящие из 4 373 004 файлов разного типа (HTML, офисные документы, текстовые файлы)

• Время индексирования: 24.7 часов (6.8 GB/час)

• Размер индекса: 12% от исходного размера документов

• Оборудование: Pentium® 4 Processor 550 (3.40GHz, 800 FSB), 2GB RAM, встроенный SATA RAID-0.

Выполнение поисковых запросовПосле того, как данные на DeviceLock Enterprise Server будут проиндексированы, можно выполнять полнотекстовые запросы. Эти запросы могут выполнять поиск по заданным словам или фразам.

При выполнении запроса поисковый сервер обрабатывает его и извлекает из индекса список результатов поиска, соответствующих критериям поискового запроса. Чтобы ограничить количество возвращаемых по поиску результатов, можно использовать фильтрование. Например, результаты поиска могут быть отфильтрованы по типу журнала или дате.

Запросы к полнотекстовому индексу выполняются очень быстро. Операция поиска, в ходе которой находятся и возвращаются совпадения, удовлетворяющие критериям поиска, занимает лишь несколько секунд. Для получения подробной информации о странице результатов поиска и результатах поиска см. раздел Работа с результатами поиска далее в этом документе.


Модули ContentLock и NetworkLockDeviceLock DLP поставляется с модулями ContentLock и NetworkLock - отдельно лицензируемыми компонентами, обеспечивающими дополнительные функциональные возможности DeviceLock. Эти модули устанавливаются автоматически, но требуют лицензии на использование. Для получения подробной информации о лицензировании модулей ContentLock и NetworkLock см. раздел Лицензирование NetworkLock и ContentLock ниже в этой главе.

Модуль NetworkLock предоставляет дополнительные возможности контекстного контроля сетевых коммуникаций на рабочих компьютерах пользователей. NetworkLock распознает сетевые протоколы независимо от используемых портов, обеспечивает определение приложений и их выборочное блокирование, реконструкцию сообщений и сессий с извлечением файлов, данных и параметров, а также событийное протоколирование и теневое копирование передаваемых данных. NetworkLock контролирует большинство популярных сетевых протоколов и приложений, включая простые и SSL-защищенные SMTP-сессии электронной почты (с раздельным контролем сообщений и вложений), взаимодействие между клиентом Microsoft Outlook и сервером Microsoft Exchange (протокол MAPI), IBM Notes, веб-доступ и другие HTTP приложения, включая HTTPS сессии, веб-службы электронной почты и социальные сети, такие как Gmail, Yahoo! Mail, Windows Live Mail, Facebook, Twitter, LiveJournal и др., службы мгновенных сообщений Skype, Telegram, Viber, WhatsApp, ICQ Messenger, Jabber, IRC, Mail.ru Агент, облачные хранилища (Amazon S3, Dropbox, Box, Google Drive, Microsoft OneDrive и др.), передачу файлов по протоколам FTP и FTP-SSL, передачу файлов в локальной сети по SMB, а также сеансы Telnet и Torrent.

Модуль NetworkLock представлен в виде узла Протоколы в пользовательском интерфейсе консолей DeviceLock Management Console, Service Settings Editor и DeviceLock Group Policy Manager:

Модуль NetworkLock имеет следующие функциональные возможности:

• Контроль доступа к сетевым протоколам. Позволяет контролировать доступ пользователей и групп пользователей к протоколам FTP, HTTP, SMTP, MAPI (Microsoft Exchange), IBM Notes, SMB, Torrent и Telnet, службам мгновенных сообщений (Skype, Telegram, Viber, WhatsApp, ICQ Messenger, Jabber, IRC, Mail.ru Агент), сайтам веб-поиска, веб-сайтам поиска работы, веб-конференциям и вебинарам (Zoom.us), веб-службам электронной почты и социальным сетям (AOL Mail, freenet.de, Gmail, GMX Mail, Hotmail (Outlook.com), Mail.ru, NAVER, Outlo

DeviceLock DLP 8 Manual_ru.pdf · (Amazon S3, Dropbox, Box, Google Drive, Microsoft OneDrive и...

Documents

Transcript of DeviceLock DLP 8 Manual_ru.pdf · (Amazon S3, Dropbox, Box, Google Drive, Microsoft OneDrive и...