28.01.2014 Szergej Korablev

Egy vállalati szintű termék kiválasztása sem triviális feladat a műszaki szakemberek és a döntéshozók számára. A Data Leak Protection (DLP) adatvesztés-megelőzési rendszer kiválasztása még nehezebb. Az egységes fogalmi rendszer hiánya, a rendszeres független összehasonlító vizsgálatok és maguk a termékek összetettsége arra készteti a fogyasztókat, hogy kísérleti projekteket rendeljenek meg a gyártóktól, és önállóan végezzenek el számos tesztet, meghatározva saját igényeik körét és összefüggésbe hozva azokat a rendszer képességeivel. tesztelve

Egy ilyen megközelítés mindenképpen helyes. A kiegyensúlyozott, sőt esetenként nehezen meghozott döntés leegyszerűsíti a további megvalósítást, és elkerüli a csalódást az adott termék működésében. A döntéshozatali folyamat azonban ebben az esetben ha nem is éveket, de hónapokat is elhúzhat. Emellett a piac folyamatos bővülése, az új megoldások és gyártók megjelenése tovább bonyolítja azt a feladatot, hogy ne csak a megvalósításhoz szükséges terméket válasszuk ki, hanem egy előzetes szűkített listát is készítsünk a megfelelő DLP rendszerekről. Ilyen körülmények között a DLP-rendszerek naprakész áttekintése kétségtelenül gyakorlati értéket jelent a műszaki szakemberek számára. Egy adott megoldást fel kell venni a tesztlistára, vagy túl bonyolult lenne egy kis szervezetben megvalósítani? Mérhető-e a megoldás 10 000 fős cégre? Egy DLP-rendszer képes kezelni az üzleti szempontból kritikus CAD-fájlokat? A nyílt összehasonlítás nem helyettesíti az alapos tesztelést, de segít megválaszolni a DLP kiválasztási folyamat kezdeti szakaszában felmerülő alapvető kérdéseket.

tagok

Az orosz információbiztonsági piacon az InfoWatch, a McAfee, a Symantec, a Websense, a Zecurion és a Jet Infosystem cégek legnépszerűbb (2013 közepén az Anti-Malware.ru elemzőközpont szerint) DLP rendszerei kerültek a résztvevők közé.

Az elemzéshez a felülvizsgálat elkészítésekor a DLP rendszerek kereskedelmi forgalomban kapható változatait, valamint a termékek dokumentációját és nyílt felülvizsgálatát használtuk.

A DLP-rendszerek összehasonlításának kritériumait a különböző méretű és iparágak igényei alapján választottuk ki. A DLP rendszerek fő feladata, hogy megakadályozzák a bizalmas információk különböző csatornákon történő kiszivárgását.

Ezeknek a cégeknek a termékeire példák az 1-6. ábrákon láthatók.

3. ábra Symantec termék

4. ábra InfoWatch termék

5. ábra Websense termék

6. ábra: McAfee termék

Üzemmódok

A DLP rendszerek két fő működési módja az aktív és a passzív. Aktív - általában a fő működési mód, amely blokkolja a biztonsági irányelveket sértő műveleteket, például az érzékeny információk küldését egy külső postafiókba. A passzív módot leggyakrabban a rendszerkonfiguráció szakaszában használják a beállítások ellenőrzésére és módosítására, amikor a hamis pozitívak aránya magas. Ebben az esetben a szabályzat megsértését rögzítik, de az információáramlást nem korlátozzák (1. táblázat).

Ebből a szempontból az összes vizsgált rendszer egyenértékűnek bizonyult. A DLP-k mindegyike működhet aktív és passzív módban is, ami bizonyos szabadságot ad az ügyfélnek. Nem minden vállalat áll készen arra, hogy azonnal megkezdje a DLP működését blokkoló módban - ez tele van az üzleti folyamatok megzavarásával, az ellenőrzött részlegek alkalmazottainak elégedetlenségével és a menedzsment követeléseivel (beleértve az indokoltakat is).

Technológiák

Az észlelési technológiák lehetővé teszik az elektronikus csatornákon továbbított információk minősítését és a bizalmas információk azonosítását. Ma már több alaptechnológia és ezek fajtái léteznek, lényegükben hasonlóak, de megvalósításuk eltérő. Mindegyik technológiának vannak előnyei és hátrányai is. Ezenkívül a különböző típusú technológiák alkalmasak a különböző osztályok információinak elemzésére. Ezért a DLP-megoldások gyártói igyekeznek a lehető legtöbb technológiát integrálni termékeikbe (lásd 2. táblázat).

Általánosságban elmondható, hogy a termékek nagyszámú technológiát kínálnak, amelyek megfelelő konfigurálás esetén a bizalmas információk nagy százalékos felismerését biztosítják. A DLP McAfee, a Symantec és a Websense meglehetősen rosszul alkalmazkodott az orosz piachoz, és nem tudnak a felhasználóknak támogatást nyújtani a "nyelvi" technológiákhoz - morfológia, átírási elemzés és maszkolt szöveg.

Ellenőrzött csatornák

Minden adatátviteli csatorna potenciális szivárgási csatorna. Még egyetlen nyitott csatorna is érvénytelenítheti az információáramlást szabályozó információbiztonsági szolgálat minden erőfeszítését. Ezért olyan fontos, hogy blokkoljuk azokat a csatornákat, amelyeket a dolgozók nem használnak munkára, a többit pedig szivárgásgátló rendszerek segítségével ellenőrizzük.

Annak ellenére, hogy a legjobb modern DLP rendszerek nagyszámú hálózati csatorna figyelésére képesek (lásd 3. táblázat), célszerű a felesleges csatornákat blokkolni. Például, ha egy alkalmazott csak belső adatbázissal rendelkező számítógépen dolgozik, célszerű teljesen letiltani az internethez való hozzáférését.

Hasonló következtetések érvényesek a helyi szivárgási csatornákra is. Igaz, ebben az esetben az egyes csatornák blokkolása nehezebb lehet, mivel a portokat gyakran használják perifériák, I / O eszközök stb. csatlakoztatására.

A titkosítás különleges szerepet játszik a helyi portokon, mobil meghajtókon és eszközökön keresztüli szivárgások megelőzésében. A titkosítási eszközök használata meglehetősen egyszerű, használatuk átlátható lehet a felhasználó számára. Ugyanakkor a titkosítás lehetővé teszi az információkhoz való jogosulatlan hozzáféréssel és a mobil meghajtók elvesztésével kapcsolatos szivárgások egész osztályának kizárását.

A helyi ügynökök vezérlésével általában rosszabb a helyzet, mint a hálózati csatornákkal (lásd 4. táblázat). Minden termék csak az USB-eszközöket és a helyi nyomtatókat vezérli sikeresen. Valamint a titkosítás fentebb említett fontossága ellenére ilyen lehetőség csak bizonyos termékeknél van, a tartalomelemzésen alapuló kényszerített titkosítási funkció pedig csak a Zecurion DLP-ben.

A szivárgások megelőzése érdekében nemcsak az érzékeny adatok felismerése fontos az átvitel során, hanem az információk vállalati környezetben történő elosztásának korlátozása is. Ennek érdekében a gyártók olyan eszközöket építenek be a DLP-rendszerekbe, amelyek képesek azonosítani és osztályozni a hálózat szerverein és munkaállomásain tárolt információkat (lásd 5. táblázat). Az információbiztonsági irányelveket sértő adatokat törölni kell, vagy biztonságos tárhelyre kell helyezni.

A vállalati hálózati csomópontokon lévő bizalmas információk észlelésére ugyanazokat a technológiákat alkalmazzák, mint az elektronikus csatornákon keresztüli szivárgások ellenőrzésére. A fő különbség az építészeti. Ha a hálózati forgalmat vagy a fájlműveleteket elemzik a szivárgás elkerülése érdekében, akkor a tárolt információkat, a munkaállomások és hálózati szerverek tartalmát megvizsgálják a bizalmas adatok jogosulatlan másolatainak felderítése érdekében.

A figyelembe vett DLP rendszerek közül csak az InfoWatch és a Dozor-Jet hagyja figyelmen kívül az információtároló helyek azonosítására szolgáló eszközök használatát. Ez nem kritikus funkció az elektronikus szivárgásmegelőzés szempontjából, de nagymértékben korlátozza a DLP-rendszerek azon képességét, hogy proaktívan megakadályozzák a szivárgást. Például, ha egy bizalmas dokumentum egy vállalati hálózaton belül található, ez nem információszivárgás. Ha azonban ennek a dokumentumnak a helye nincs szabályozva, ha az információtulajdonosok és a biztonsági tisztek nem tudnak ennek a dokumentumnak a helyéről, ez szivárgáshoz vezethet. Az információkhoz illetéktelen hozzáférés lehetséges, vagy a dokumentumra nem vonatkoznak a megfelelő biztonsági szabályok.

Könnyű kezelhetőség

Az olyan jellemzők, mint a könnyű használhatóság és vezérlés, ugyanolyan fontosak lehetnek, mint a megoldások műszaki lehetőségei. Végül is egy igazán összetett terméket nehéz lesz megvalósítani, a projekt több időt, erőfeszítést és ennek megfelelően pénzügyet igényel. A már bevezetett DLP rendszer a műszaki szakemberek figyelmét igényli. Megfelelő karbantartás, rendszeres ellenőrzés és a beállítások módosítása nélkül a bizalmas információk felismerésének minősége idővel jelentősen csökken.

A biztonsági tiszt anyanyelvén készült vezérlőfelület az első lépés a DLP rendszerrel végzett munka egyszerűsítéséhez. Ez nemcsak megkönnyíti annak megértését, hogy ez vagy az a beállítás miért felelős, hanem jelentősen felgyorsítja a rendszer megfelelő működéséhez konfigurálandó nagyszámú paraméter konfigurálásának folyamatát. Az angol még az oroszul beszélő adminisztrátorok számára is hasznos lehet az egyes műszaki fogalmak egyértelmű értelmezéséhez (lásd 6. táblázat).

A legtöbb megoldás meglehetősen kényelmes kezelést biztosít egyetlen (minden komponenshez) webes felülettel rendelkező konzolról (lásd 7. táblázat). Ez alól kivételt képez az orosz InfoWatch (nincs egyetlen konzol) és a Zecurion (nincs webes felület). Ugyanakkor mindkét gyártó már bejelentette, hogy jövőbeli termékeiben megjelenik egy webkonzol. Az InfoWatch egyetlen konzoljának hiánya a termékek eltérő technológiai bázisából adódik. A saját ügynökségi megoldás fejlesztése több évre megszakadt, a jelenlegi EndPoint Security pedig a cég által 2012-ben megvásárolt harmadik féltől származó termék, az EgoSecure (korábbi nevén cynapspro) utódja.

Az InfoWatch megoldás hátrányai közé sorolható még, hogy a zászlóshajó DLP termék, az InfoWatch TrafficMonitor konfigurálásához és kezeléséhez egy speciális LUA szkriptnyelv ismerete szükséges, ami megnehezíti a rendszer működését. Mindazonáltal a legtöbb műszaki szakember számára pozitívan kell értékelni azt a kilátást, hogy javítsa szakmai színvonalát, és tanuljon meg egy további, bár nem túl gyakori nyelvet.

A rendszergazdai szerepkörök szétválasztása azért szükséges, hogy minimalizáljuk a korlátlan jogokkal rendelkező szuperfelhasználó megjelenésének és egyéb DLP-t használó machinációinak megakadályozását.

Naplózás és jelentéskészítés

A DLP archívum egy olyan adatbázis, amely a működése során a rendszer érzékelői által rögzített eseményeket, objektumokat (fájlok, levelek, http kérések stb.) gyűjti és tárolja. Az adatbázisban gyűjtött információk különféle célokra felhasználhatók, többek között felhasználói műveletek elemzésére, kritikus dokumentumok másolatainak mentésére, információbiztonsági incidensek kivizsgálásának alapjául. Ezen túlmenően az összes esemény adatbázisa rendkívül hasznos a DLP-rendszer megvalósításának szakaszában, mivel segít a DLP-rendszerelemek viselkedésének elemzésében (például, hogy megtudja, miért blokkolnak bizonyos műveleteket), és módosíthatja a biztonsági beállításokat. (lásd 8. táblázat).

Ebben az esetben alapvető építészeti különbséget látunk az orosz és a nyugati DLP-k között. Az utóbbiak egyáltalán nem archiválódnak. Ebben az esetben maga a DLP is könnyebben karbantarthatóvá válik (nincs szükség nagy mennyiségű adat karbantartására, tárolására, biztonsági mentésére és tanulmányozására), de működtetni nem. Végül is az események archívuma segít a rendszer konfigurálásában. Az archívum segít megérteni, miért blokkolták az információtovábbítást, ellenőrizni, hogy a szabály megfelelően működött-e, és elvégezni a szükséges korrekciókat a rendszerbeállításokon. Azt is meg kell jegyezni, hogy a DLP-rendszereknek nemcsak kezdeti konfigurációra van szükségük a megvalósítás során, hanem rendszeres „hangolásra” is szükségük van működés közben. A nem megfelelően karbantartott, nem műszaki szakemberek által nevelt rendszer sokat veszít az információfelismerés minőségében. Ennek eredményeként mind az incidensek, mind a hamis pozitív eredmények száma növekedni fog.

A jelentéstétel minden tevékenység fontos része. Ez alól az információbiztonság sem kivétel. A DLP rendszerek jelentései egyszerre több funkciót is ellátnak. Először is, a tömör és érthető jelentések lehetővé teszik az információbiztonsági szolgálatok vezetői számára, hogy a részletekbe menően gyorsan nyomon követhessék az információbiztonság állapotát. Másodszor, a részletes jelentések segítenek a biztonsági tiszteknek a biztonsági szabályzatok és rendszerbeállítások módosításában. Harmadszor, a vizuális jelentéseket mindig meg lehet mutatni a vállalat felső vezetőinek, hogy bemutassák a DLP rendszer eredményeit és magukat az információbiztonsági szakembereket (lásd 9. táblázat).

Szinte minden, az áttekintésben tárgyalt versengő megoldás egyaránt kínál grafikus, a felső vezetők és az információbiztonsági szolgálatok vezetői számára kényelmes, valamint a műszaki szakemberek számára inkább alkalmas táblázatos jelentéseket. A grafikus jelentések csak a DLP InfoWatch-ból hiányoznak, ehhez csökkentették őket.

Tanúsítvány

Az információbiztonsági eszközök és különösen a DLP tanúsításának szükségessége nyitott, és a szakértők gyakran vitáznak erről a témáról a szakmai közösségeken belül. Összegezve a felek véleményét, el kell ismerni, hogy a tanúsítás önmagában nem jelent komoly versenyelőnyt. Ugyanakkor számos olyan ügyfél, elsősorban állami szervezet van, akiknél kötelező az adott tanúsítvány megléte.

Ráadásul a meglévő tanúsítási eljárás nem korrelál jól a szoftverfejlesztési ciklussal. Ennek eredményeként a fogyasztók választás előtt állnak: a termék már elavult, de tanúsított változatát vagy egy korszerű, de nem tanúsított változatot vásárolnak. Ebben a helyzetben a szokásos kiút az, ha egy tanúsítvánnyal rendelkező terméket vásárol a „polcon”, és az új terméket valós környezetben használja (lásd 10. táblázat).

Összehasonlítási eredmények

Foglaljuk össze a figyelembe vett DLP-megoldások benyomásait. Általában minden résztvevő kedvező benyomást keltett, és felhasználható az információszivárgás megelőzésére. A termékek közötti különbségek lehetővé teszik az alkalmazási körük meghatározását.

Az InfoWatch DLP rendszer azoknak a szervezeteknek ajánlható, amelyek számára alapvetően fontos az FSTEC tanúsítvány megléte. Az InfoWatch Traffic Monitor legújabb, hitelesített verzióját azonban 2010 végén tesztelték, és a tanúsítvány 2013 végén jár le. Az InfoWatch EndPoint Security (más néven EgoSecure) alapú ügynök alapú megoldások inkább kisvállalkozások számára alkalmasak, és a Traffic Monitortól külön is használhatók. A Traffic Monitor és az EndPoint Security együttes használata méretezési problémákat okozhat a nagyvállalatoknál.

A nyugati gyártók termékei (McAfee, Symantec, Websense) a független elemző ügynökségek szerint sokkal kevésbé népszerűek, mint az oroszok. Ennek oka az alacsony lokalizáció. És még csak nem is az interfész bonyolultsága vagy az orosz nyelvű dokumentáció hiánya. A bizalmas információk felismerésére szolgáló technológiák jellemzői, az előre konfigurált sablonok és szabályok a DLP nyugati országokban történő használatához „ki vannak élezve”, és célja a nyugati szabályozási követelmények teljesítése. Ennek eredményeként az információfelismerés minősége Oroszországban észrevehetően rosszabbnak bizonyul, és a külföldi szabványok követelményeinek való megfelelés gyakran irreleváns. Ugyanakkor maguk a termékek egyáltalán nem rosszak, de az orosz piacon a DLP-rendszerek használatának sajátosságai valószínűleg nem teszik lehetővé, hogy belátható időn belül népszerűbbé váljanak, mint a hazai fejlesztések.

A Zecurion DLP jó skálázhatóságáról (az egyetlen orosz DLP-rendszer, amely több mint 10 000 munkahelyen megerősített implementációval rendelkezik) és magas technológiai érettségéről nevezetes. Meglepő azonban, hogy nincs olyan webkonzol, amely megkönnyítené a különböző piaci szegmenseket célzó vállalati megoldások kezelését. A Zecurion DLP erősségei közé tartozik a kiváló minőségű bizalmas információfelismerés és a szivárgásgátló termékek teljes sora, beleértve az átjárók, munkaállomások és szerverek védelmét, helymeghatározó és adattitkosítási eszközöket.

A Dozor-Jet DLP rendszer, a hazai DLP piac egyik úttörője, széles körben elterjedt az orosz vállalatok között, és a Jet Infosystems rendszerintegrátor, részmunkaidős és DLP fejlesztő kiterjedt kapcsolatainak köszönhetően folyamatosan bővíti ügyfélkörét. Bár technológiailag a DLP némileg le van maradva erősebb társaitól, használata sok cégnél indokolt lehet. Ezenkívül a külföldi megoldásokkal ellentétben a Dozor Jet lehetővé teszi az összes esemény és fájl archiválását.

A vállalat információs rendszerén kívüli információk eltávolításához vezető szivárgási csatornák lehetnek hálózati szivárgások (például e-mail vagy ICQ), helyi (külső USB-meghajtók használata), tárolt adatok (adatbázisok). Külön kiemelheti a média elvesztését (flash memória, laptop). Egy rendszer akkor rendelhető a DLP osztályhoz, ha megfelel a következő kritériumoknak: többcsatornás (az adatszivárgás több lehetséges csatornájának nyomon követése); egységes menedzsment (egységes felügyeleti eszközök minden felügyeleti csatornához); aktív védelem (biztonsági politika betartása); mind a tartalmat, mind a kontextust figyelembe véve.

A legtöbb rendszer versenyelőnye az elemző modul. A gyártók annyira hangsúlyozzák ezt a modult, hogy termékeiket gyakran erről nevezik el, például „Címke alapú DLP megoldás”. Ezért a felhasználó gyakran nem a teljesítmény, a skálázhatóság vagy a vállalati információbiztonsági piacra jellemző egyéb szempontok alapján választ megoldást, hanem az alkalmazott dokumentumelemzés típusa alapján.

Nyilvánvalóan, mivel minden módszernek megvannak a maga előnyei és hátrányai, egyetlen dokumentumelemzési módszer alkalmazása technológiailag attól teszi függővé a megoldást. A legtöbb gyártó többféle módszert alkalmaz, bár ezek közül az egyik általában a „zászlóshajó” módszer. Ez a cikk egy kísérlet a dokumentumok elemzése során alkalmazott módszerek osztályozására. Erősségeiket és gyengeségeiket többféle terméktípus gyakorlati alkalmazásának tapasztalatai alapján értékelik. A cikk alapvetően nem foglalkozik konkrét termékekkel, mert. A felhasználó fő feladata a választásuk során, hogy kiküszöbölje a „mindent megvédünk mindentől”, „egyedülálló szabadalmaztatott technológia” marketing szlogeneket, és rájöjjön, mi marad az eladók távozásakor.

Konténerelemzés

Ez a módszer egy információt tartalmazó fájl vagy egyéb tároló (archívum, cryptodisk stb.) tulajdonságait elemzi. Az ilyen módszerek köznyelvi neve „megoldások a címkéken”, ami teljes mértékben tükrözi a lényegüket. Minden tároló tartalmaz egy címkét, amely egyedileg azonosítja a tárolóban lévő tartalom típusát. Az említett módszerek gyakorlatilag nem igényelnek számítási erőforrásokat az áthelyezett információ elemzéséhez, mivel a címke teljes mértékben leírja a felhasználó jogait a tartalom tetszőleges útvonalon történő mozgatására. Egyszerűsített formában egy ilyen algoritmus így hangzik: "van egy címke - tiltjuk, nincs címke - kihagyjuk."

Ennek a megközelítésnek az előnyei nyilvánvalóak: az elemzés gyorsasága és a második típusú hibák teljes hiánya (amikor a rendszer tévesen bizalmasnak talál egy nyitott dokumentumot). Az ilyen módszereket egyes forrásokban „determinisztikusnak” nevezik.

A hátrányok is nyilvánvalóak - a rendszer csak a címkézett információkkal törődik: ha a címke nincs beállítva, a tartalom nem védett. Ki kell dolgozni egy eljárást az új és a bejövő dokumentumok címkézésére, valamint egy olyan rendszert, amely megakadályozza, hogy pufferműveletek, fájlműveletek, információk ideiglenes fájlokból történő másolása stb. történjen a címkézett tárolóból a címkézetlenbe történő információátvitel ellen.

Az ilyen rendszerek gyengesége a címkézés megszervezésében is megmutatkozik. Ha ezeket a dokumentum szerzője helyezi el, akkor rosszindulatú szándékkal lehetősége van arra, hogy ne jelölje meg az ellopni kívánt információkat. Rosszindulatú szándék hiányában előbb-utóbb megjelenik a hanyagság vagy a figyelmetlenség. Ha egy adott munkatársat, például információbiztonsági tisztet vagy rendszergazdát kötelez megcímkézni, akkor nem mindig tudja megkülönböztetni a bizalmas tartalmat a nyílt tartalomtól, mivel nem ismeri alaposan a vállalat összes folyamatát. Tehát a „fehér” egyenleget fel kell tenni a cég honlapjára, a „szürke” vagy „fekete” egyenleget pedig nem lehet kivenni az információs rendszerből. De csak a főkönyvelő tudja megkülönböztetni az egyiket a másiktól, i.e. az egyik szerző.

A címkéket általában attribútumra, formátumra és külsőre osztják. Ahogy a neve is sugallja, az előbbiek a fájlattribútumokba, az utóbbiak magának a fájlnak a mezőibe kerülnek, a harmadikat pedig külső programok csatolják (társítják hozzá) a fájlhoz.

Konténerszerkezetek az IB-ben

A címkékre épülő megoldások előnye olykor az elfogók alacsony teljesítményigénye is, mert csak a címkéket ellenőrzik, pl. úgy viselkednek, mint a forgókapuk a metróban: "ha van jegyed - menj át." Azonban ne felejtsük el, hogy csodák nem történnek – ebben az esetben a számítási terhelés a munkaállomásokra hárul.

A címkéken hozott döntések helye, bármi legyen is az, az irattárolók védelme. Ha egy cégnek van egy dokumentumtárolója, amelyet egyrészt elég ritkán töltenek fel, másrészt az egyes dokumentumok kategóriája és titkossági szintje pontosan ismert, akkor legegyszerűbb címkékkel megszervezni a védelmét. A tárba kerülő dokumentumokon a címkék elhelyezését szervezési eljárással tudja megszervezni. Például, mielőtt elküldené a dokumentumot az adattárba, a működéséért felelős alkalmazott felveheti a kapcsolatot a szerzővel és a szakemberrel azzal a kérdéssel, hogy milyen titkossági szintet állítson be a dokumentumra. Ezt a feladatot különösen sikeresen oldják meg a formátumjelek, pl. minden beérkező dokumentumot biztonságos formátumban tárolnak, majd a munkavállaló kérésére kiállítanak, jelezve, hogy az olvasható. A modern megoldások lehetővé teszik a hozzáférési jogok korlátozott ideig történő hozzárendelését, és a kulcs lejárta után a dokumentum olvasása egyszerűen leáll. Ennek a sémának megfelelően szerveződik például az Egyesült Államokban a közbeszerzési pályázatok dokumentációjának kiállítása: a beszerzési menedzsment rendszer egy olyan dokumentumot generál, amely olvasható anélkül, hogy csak az ajánlat tartalmát módosítani vagy másolni lehetne. a jelen dokumentumban felsorolt ​​résztvevők. A hozzáférési kulcs csak a pályázati dokumentumok benyújtásának határidejéig érvényes, ezt követően a dokumentum olvasása megszűnik.

Ugyancsak a címkéken alapuló megoldások segítségével a cégek a hálózat zárt szegmenseiben szervezik meg az iratforgalmat, amelyben a szellemi tulajdon és az államtitkok keringenek. Valószínűleg most, a „Személyes adatokról” szóló szövetségi törvény előírásai szerint, a nagyvállalatok személyzeti osztályain a dokumentumáramlást is megszervezik.

Tartalom vizsgálat

Az ebben a szakaszban ismertetett technológiák alkalmazásakor, a korábban leírtakkal ellentétben, teljesen közömbös, hogy a tartalmat melyik tárolóban tárolják. Ezeknek a technológiáknak az a célja, hogy értelmes tartalmat nyerjenek ki egy tárolóból, vagy egy kommunikációs csatornán keresztül elfogják az átvitelt, és elemzik az információkat tiltott tartalom szempontjából.

A tárolókban lévő tiltott tartalom észlelésének fő technológiái az aláírás-ellenőrzés, a hash-alapú ellenőrzés és a nyelvi módszerek.

Aláírások

A legegyszerűbb vezérlési módszer, ha az adatfolyamban keresünk valamilyen karaktersorozatot. Néha egy tiltott karaktersorozatot "stop szónak" neveznek, de általánosabb esetben nem szóval, hanem tetszőleges karakterkészlettel, például ugyanazzal a címkével ábrázolható. Általánosságban elmondható, hogy ez a módszer nem minden megvalósításában tulajdonítható a tartalomelemzésnek. Például az UTM osztály legtöbb eszközén a tiltott aláírások keresése az adatfolyamban a szöveg tárolóból való kivonása nélkül történik, amikor az adatfolyamot „ahogy van” elemzi. Vagy ha a rendszer csak egy szóra van konfigurálva, akkor a munkájának eredménye a 100%-os egyezés meghatározása, pl. módszer determinisztikusnak minősíthető.

A szövegelemzés során azonban gyakrabban egy adott karaktersorozat keresését alkalmazzák. Az esetek túlnyomó többségében az aláírási rendszerek úgy vannak beállítva, hogy több szóra és a kifejezések előfordulási gyakoriságára keressenek, pl. ezt a rendszert továbbra is tartalomelemző rendszerekre fogjuk hivatkozni.

A módszer előnyei közé tartozik a nyelvtől való függetlenség és a tiltott kifejezések szótárának egyszerű feltöltése: ha ezzel a módszerrel szeretne pastu nyelvű szót keresni az adatfolyamban, akkor nem kell ismernie ezt a nyelvet, egyszerűen csak tudnia kell, hogyan van megírva. Könnyen hozzáadható például átírt orosz szöveg vagy "albán" nyelv is, ami fontos például SMS-szövegek, ICQ-üzenetek vagy blogbejegyzések elemzésekor.

A hátrányok nyilvánvalóvá válnak, ha nem angol nyelvet használunk. Sajnos a legtöbb szövegelemző rendszer gyártója az amerikai piacnak dolgozik, és az angol nyelv nagyon "aláírás" - a szóalakok leggyakrabban elöljárószavak használatával jönnek létre anélkül, hogy magát a szót megváltoztatnák. Oroszul minden sokkal bonyolultabb. Vegyük például a „titkos” szót, amely kedves egy információbiztonsági tisztviselő szívében. Az angolban egyaránt jelenti a "titok" főnevet, a "titkos" melléknevet és a "titkot tartani" igét. Oroszul több tucat különböző szó képződhet a „titok” gyökből. Azok. ha egy angol nyelvű szervezetben elegendő egy információbiztonsági tisztnek egy szót beírnia, egy orosz nyelvű szervezetben pár tucat szót kell beírnia, majd hat különböző kódolásban módosítania kell.

Ezenkívül az ilyen módszerek instabilak a primitív kódolással szemben. Szinte mindegyik enged a kezdő spammerek kedvenc trükkjének – a karakterek lecserélésére hasonlókkal. A szerző ismételten bemutatott a biztonsági tiszteknek egy elemi trükköt - a bizalmas szöveg áthaladását aláírásszűrőkön. Elfogad egy szöveget, amely például a "szigorúan titkos" kifejezést tartalmazza, és egy levélelfogót konfigurál ehhez a kifejezéshez. Ha a szöveget MS Wordben nyitják meg, akkor egy két másodperces művelet: Ctrl + F, "o" keresése (orosz elrendezés)", "o" helyett "o" (angol elrendezés)", "minden cseréje", "küldés" dokumentum" - a dokumentumot teljesen láthatatlanná teszi a szűrő számára. Annál kiábrándítóbb, hogy egy ilyen cserét az MS Word vagy bármely más szövegszerkesztő rendszeres eszközeivel, pl. akkor is elérhetők a felhasználó számára, ha nem rendelkezik helyi rendszergazdai jogokkal és nem tud titkosító programokat futtatni.

Leggyakrabban az aláírás alapú folyamvezérlés az UTM eszközök funkcionalitásában szerepel, pl. megoldások, amelyek megtisztítják a forgalmat a vírusoktól, a spamektől, a behatolásoktól és az aláírások által észlelt egyéb fenyegetésektől. Mivel ez a funkció "ingyenes", a felhasználók gyakran úgy érzik, hogy ez elég. Az ilyen megoldások valóban megvédenek a véletlen szivárgástól, pl. olyan esetekben, amikor a kimenő szöveget a küldő nem módosítja a szűrő megkerülése érdekében, de tehetetlenek a rosszindulatú felhasználókkal szemben.

maszkok

A stopszó-aláírások keresési funkciójának kiterjesztése a maszkjaik keresése. Olyan tartalom keresése, amely nem adható meg pontosan a "stop szavak" alapjában, de eleme vagy szerkezete megadható. Az ilyen információknak tartalmazniuk kell egy személyt vagy vállalkozást jellemző kódokat: TIN-szám, számlák száma, dokumentumok stb. Aláírások segítségével lehetetlen megkeresni őket.

Indokolatlan egy adott bankkártya számát keresési objektumként beállítani, de bármilyen hitelkártyaszámot szeretne találni, függetlenül attól, hogy hogyan írják - szóközökkel vagy együtt. Ez nem csupán vágy, hanem a PCI DSS szabvány követelménye is: tilos e-mailben titkosítatlan plasztikkártyaszámokat küldeni, pl. a felhasználó felelőssége az ilyen számok megtalálása az e-mailben, és a tiltott üzenetek elvetése.

Itt van például egy maszk, amely egy stop szót határoz meg, például egy bizalmas vagy titkos megbízás nevét, amelynek száma nullával kezdődik. A maszk nem csak egy tetszőleges számot vesz figyelembe, hanem minden esetet, sőt az orosz betűk latin betűkkel való helyettesítését is. A maszk a szabványos "REGEXP" jelöléssel van írva, bár a különböző DLP-rendszereknek lehet saját, rugalmasabb jelölésük. A telefonszámokkal még rosszabb a helyzet. Ez az információ személyes adatnak minősül, és tucatnyi módon írhatja meg - különböző szóközök kombinációival, különböző típusú zárójelekkel, plusz és mínusz stb. Itt talán egyetlen maszk nélkülözhetetlen. Például az anti-spam rendszerekben, ahol hasonló feladatot kell megoldani, több tucat maszkot használnak egyszerre egy telefonszám észlelésére.

A cégek és alkalmazottaik tevékenységébe beírt különféle kódok számos jogszabály által védettek és üzleti titkot, banktitkot, személyes adatokat és egyéb törvényileg védett információkat jelentenek, így ezek felderítése a forgalomban minden megoldás feltétele.

Hash függvények

A bizalmas dokumentumok mintáinak különféle típusú hash függvényei egy időben új szónak számítottak a szivárgás elleni védelem piacán, bár maga a technológia az 1970-es évek óta létezik. Nyugaton ezt a módszert néha "digitális ujjlenyomat"-nak is nevezik, pl. "digitális ujjlenyomatok" vagy "shindle" a tudományos szlengben.

Az összes módszer lényege ugyanaz, bár az egyes gyártók sajátos algoritmusai jelentősen eltérhetnek. Néhány algoritmus még szabadalmaztatott is, ami megerősíti a megvalósítás egyediségét. A cselekvés általános forgatókönyve a következő: a bizalmas dokumentumok mintáiból álló adatbázis gyűjtése folyamatban van. Mindegyikből egy „lenyomatot” vesznek, i.e. értelmes tartalmat nyerünk ki a dokumentumból, amelyet valamilyen normál, például (de nem feltétlenül) szöveges formára redukálunk, majd az összes tartalom és annak részeinek hash-jeit (pl. bekezdések, mondatok, ötös szavak stb.) eltávolítjuk. , a részletek a konkrét megvalósítástól függenek. Ezeket az ujjlenyomatokat egy speciális adatbázisban tárolják.

Az elfogott dokumentumot ugyanúgy megtisztítják a szolgáltatási információktól és normál formába hozzák, majd ugyanezzel az algoritmussal eltávolítják róla az ujjlenyomatokat-shindle-eket. A beérkezett nyomatokat megkeresi a bizalmas dokumentumok nyomatainak adatbázisában, és ha megtalálják, a dokumentum bizalmasnak minősül. Mivel ezt a módszert arra használják, hogy közvetlen idézeteket találjanak egy mintadokumentumból, a technológiát néha "plágiumellenességnek" nevezik.

Ennek a módszernek a legtöbb előnye egyben a hátránya is. Mindenekelőtt ez a dokumentumminta használatának követelménye. Egyrészt a felhasználónak nem kell aggódnia a stopszavak, jelentős kifejezések és egyéb, a biztonsági tisztek számára teljesen nem jellemző információk miatt. Másrészt a "nincs minta, nincs védelem" ugyanazokat a problémákat veti fel az új és bejövő dokumentumokkal, mint a címkealapú technológiákkal. Ennek a technológiának egy nagyon fontos előnye, hogy tetszőleges karaktersorozatokkal dolgozik. Ebből mindenekelőtt a szöveg nyelvétől való függetlenség következik - még a hieroglifáktól, sőt a pastutól is. Ezen túlmenően ennek a tulajdonságnak az egyik fő következménye az ujjlenyomatok vétele a nem szöveges információkból - adatbázisokból, rajzokból, médiafájlokból. Ezeket a technológiákat használják a hollywoodi stúdiók és a világ felvételi stúdiói a digitális tárolóikban lévő médiatartalom védelmére.

Sajnos az alacsony szintű hash függvények nem robusztusak az aláírási példában tárgyalt primitív kódolással szemben. Könnyen megbirkóznak a szavak sorrendjének megváltoztatásával, a bekezdések átrendezésével és a "plágiumozók" egyéb trükkjeivel, de például a betűk megváltoztatása a dokumentumban tönkreteszi a hash-mintát, és egy ilyen dokumentum láthatatlanná válik az elfogó számára.

Csak ennek a módszernek a használata bonyolítja az űrlapokkal való munkát. Tehát az üres hiteligénylőlap szabadon terjesztett dokumentum, a kitöltött pedig bizalmas, mivel személyes adatokat tartalmaz. Ha egyszerűen ujjlenyomatot vesz egy üres űrlapról, akkor az elfogott kitöltött dokumentum az üres űrlap összes információját tartalmazza, pl. A nyomatok nagyrészt megegyeznek. Így a rendszer vagy átengedi a bizalmas információkat, vagy megakadályozza az üres űrlapok szabad terjesztését.

Az említett hiányosságok ellenére ezt a módszert széles körben alkalmazzák, különösen egy olyan vállalkozásban, amely nem engedheti meg magának a képzett alkalmazottakat, de a "minden bizalmas információt ebbe a mappába helyezzen, és aludjon jól" elve alapján működik. Ebben az értelemben a speciális dokumentumok megkövetelése ezek védelmére némileg hasonló a címkéken alapuló megoldásokhoz, csak a mintáktól elkülönítve tárolódnak, és a fájlformátum megváltoztatásakor, a fájl egy részének másolásakor stb. Egy nagyvállalat azonban, amely több százezer dokumentumot tart forgalomban, gyakran egyszerűen nem tud mintát adni a bizalmas dokumentumokból, mert. a vállalat üzleti folyamatai nem követelik meg. Az egyetlen dolog, ami minden vállalkozásban megtalálható (vagy őszintén szólva, annak lennie kell), az "Üzleti titkot képező információk listája". Minták készítése nem triviális feladat.

A minták egyszerű hozzáadásával egy ellenőrzött tartalomadatbázishoz gyakran trükközik a felhasználók. Ez az ujjlenyomatbázis fokozatos növekedéséhez vezet, ami jelentősen befolyásolja a rendszer teljesítményét: minél több minta van, annál több az egyes elfogott üzenetek összehasonlítása. Mivel minden nyomat az eredeti 5-20%-át foglalja el, a nyomatok alapja fokozatosan növekszik. A felhasználók a teljesítmény meredek csökkenését észlelik, amikor az adatbázis túllépi a szűrőkiszolgáló RAM-ját. Általában a problémát a mintadokumentumok rendszeres auditálásával és az elavult vagy ismétlődő minták eltávolításával oldják meg, pl. megtakarítás a megvalósításon, a felhasználók veszítenek a működésből.

Nyelvi módszerek

Napjainkban a legelterjedtebb elemzési módszer a szöveg nyelvi elemzése. Annyira népszerű, hogy a köznyelvben gyakran „tartalomszűrésnek” is nevezik. a tartalomelemzési módszerek egész osztályának jellemzőit hordozza. Az osztályozás szempontjából mind a hash-analízis, mind az aláírás-elemzés, mind a maszkelemzés „tartalomszűrés”, azaz. tartalomelemzésen alapuló forgalomszűrés.

Ahogy a neve is sugallja, a módszer csak szövegekkel működik. Nem fogja használni a csak számokból és dátumokból álló adatbázisok védelmére, különösen rajzok, rajzok és kedvenc dalok gyűjteménye. De a szövegekkel ez a módszer csodákra képes.

A nyelvészet mint tudomány számos tudományágból áll – a morfológiától a szemantikáig. Ezért a nyelvi elemzési módszerek is különböznek egymástól. Vannak metódusok, amelyek csak stop szavakat használnak, csak gyökérszinten írják be, és maga a rendszer már komplett szótárt állít össze; vannak olyan kifejezések, amelyek a szövegben előforduló súlyeloszláson alapulnak. Léteznek nyelvészeti módszerek és statisztikai alapokon nyugvó lenyomatok; például egy dokumentumot készítünk, megszámoljuk az ötven leggyakrabban használt szót, majd kiválasztjuk a 10 leggyakrabban használt szót minden bekezdésben. Az ilyen "szótár" a szöveg szinte egyedülálló jellemzője, és lehetővé teszi, hogy értelmes idézeteket találjon a "klónokban".

A nyelvi elemzés összes finomságának elemzése nem tartozik e cikk hatókörébe, ezért az előnyökre és a hátrányokra fogunk összpontosítani.

A módszer előnye a dokumentumok számára való teljes érzéketlenség, i.e. ritka a vállalati információbiztonsági skálázhatóság szempontjából. A tartalomszűrő alap (a kulcsszókincs osztályok és szabályok összessége) mérete nem változik attól függően, hogy új dokumentumok vagy folyamatok jelennek meg a vállalatnál.

Ezenkívül a felhasználók ebben a módszerben megjegyzik a hasonlóságot a "stop szavakkal", mivel ha a dokumentum késik, akkor azonnal világos, hogy miért történt ez. Ha egy ujjlenyomat alapú rendszer azt jelzi, hogy egy dokumentum hasonlít egy másikhoz, akkor a biztonsági tisztnek magának kell összehasonlítania a két dokumentumot, és a nyelvi elemzés során már megjelölt tartalmat kap. A nyelvi rendszerek az aláírásszűréssel együtt olyan gyakoriak, mert lehetővé teszik, hogy a telepítés után azonnal megkezdje a munkát anélkül, hogy a vállalatnál változás lenne. Nem kell bajlódni a címkézéssel és az ujjlenyomatvétellel, a dokumentumok leltározásával és egyéb, nem specifikus munkavégzéssel a biztonsági tiszt számára.

A hátrányok ugyanolyan nyilvánvalóak, és az első a nyelvi függőség. Ez nem hátrány minden olyan országban, amelynek nyelvét a gyártó támogatja, de a globális vállalatok szempontjából, amelyek egyetlen vállalati kommunikációs nyelven (például angolon) kívül sokkal több helyi nyelvű dokumentummal rendelkeznek. nyelveket minden országban, ez egyértelmű hátrány.

További hátránya a II. típusú hibák magas százaléka, aminek csökkentéséhez nyelvészeti szakképzettség szükséges (a szűrési alap finomhangolásához). A szabványos iparági adatbázisok általában 80-85%-os szűrési pontosságot adnak. Ez azt jelenti, hogy minden ötödik vagy hatodik betűt tévedésből elkapnak. A bázis elfogadható 95-97%-os pontosságú beállítása általában speciálisan képzett nyelvész beavatkozásával jár. És bár a szűrőalap beállításának megtanulásához elég két nap szabadidő és egy érettségizett ember szintjén beszélni a nyelvet, ezt a munkát egy biztonsági tiszten kívül senki sem tudja elvégezni, ill. az ilyen munkát általában nem alapnak tekinti. Egy személy kívülről vonzása mindig kockázatos - végül is bizalmas információkkal kell dolgoznia. A kiút ebből a helyzetből általában egy kiegészítő modul vásárlása – egy öntanuló „autolingvist”, amely téves pozitív eredményeket kap, és automatikusan alkalmazkodik a szabványos iparági bázishoz.

A nyelvi módszereket akkor választják, amikor minimalizálni akarják az üzletmenetben való interferenciát, amikor az információbiztonsági szolgálatnak nincs adminisztratív erőforrása a meglévő dokumentumok létrehozási és tárolási folyamatainak megváltoztatásához. Mindig és mindenhol működnek, bár az említett hátrányokkal.

A mobil adathordozók véletlenszerű szivárgásának népszerű csatornái

Az InfoWatch elemzői úgy vélik, hogy a mobil adathordozók (laptopok, pendrive-ok, mobil kommunikátorok stb.) továbbra is a legnépszerűbb csatorna a véletlen kiszivárgások számára, mivel az ilyen eszközök felhasználói gyakran figyelmen kívül hagyják az adattitkosítási eszközöket.

A véletlen szivárgások másik gyakori oka a papírhordozó: nehezebb ellenőrizni, mint az elektronikus médiát, mivel például miután egy lap elhagyja a nyomtatót, csak „manuálisan” figyelhető meg: a papíranyag feletti ellenőrzés gyengébb, mint a számítógépes információk. Sok szivárgásvédelmi eszköz (nem nevezhető teljes értékű DLP-rendszernek) nem szabályozza az információ kimeneti csatornáját a nyomtató felé, így a bizalmas adatok könnyen kiszivárognak a szervezetből.

Ezt a problémát többfunkciós DLP-rendszerek oldhatják meg, amelyek blokkolják a jogosulatlan információk nyomtatásra küldését, és ellenőrzik a postai cím és a címzett egyezését.

Ráadásul a mobileszközök növekvő népszerűsége jelentősen megnehezíti a szivárgás elleni védekezést, mert még nincsenek megfelelő DLP kliensek. Ezen túlmenően nagyon nehéz észlelni a szivárgást kriptográfia vagy szteganográfia esetén. A bennfentes, hogy megkerüljön valamilyen szűrőt, mindig az Internethez fordulhat „best practice”-ekért. Vagyis a DLP-eszközök meglehetősen gyengén védenek a szervezett szándékos szivárgás ellen.

A DLP-eszközök hatékonyságát hátráltathatják nyilvánvaló hibáik: a modern szivárgásvédelmi megoldások nem teszik lehetővé az összes elérhető információs csatorna ellenőrzését és blokkolását. A DLP rendszerek figyelik a vállalati e-maileket, a webhasználatot, az azonnali üzenetküldést, a külső adathordozókat, a dokumentumnyomtatást és a merevlemez-tartalmat. A Skype azonban továbbra is kikerüli az irányítást a DLP-rendszerek felett. Csak a Trend Micro-nak sikerült kijelentenie, hogy képes irányítani ennek a kommunikációs programnak a működését. A többi fejlesztő azt ígéri, hogy a megfelelő funkcionalitást a biztonsági szoftverük következő verziója biztosítja.

De ha a Skype megígéri, hogy megnyitja protokolljait a DLP-fejlesztők előtt, más megoldások, például az együttműködés megszervezésére szolgáló Microsoft Collaboration Tools továbbra is zárva maradnak a külső programozók előtt. Hogyan szabályozható az információátvitel ezen a csatornán? Eközben a modern világban kialakulóban van az a gyakorlat, amikor a szakemberek távolról egyesülnek csapatokba, hogy egy közös projekten dolgozzanak, és annak befejezése után szétesnek.

A bizalmas információk kiszivárogtatásának fő forrásai 2010 első felében továbbra is kereskedelmi (73,8%) és kormányzati (16%) szervezetek. A kiszivárogtatások mintegy 8%-a oktatási intézményekből származik. A kiszivárogtatott bizalmas információ személyes adat (az összes információ kiszivárogtatásának csaknem 90%-a).

A világ kiszivárogtatásában hagyományosan az Egyesült Államok és Nagy-Britannia az élen jár (a legtöbb kiszivárogtatással Kanada, Oroszország és Németország is az első öt ország között van, lényegesen alacsonyabb arányokkal), ami a jogszabályok sajátosságából adódik. amely megköveteli a bizalmas adatok kiszivárgásával kapcsolatos összes incidens jelentését. Az Infowatch elemzői jövőre a véletlen kiszivárogtatások arányának csökkenését és a szándékos szivárgások arányának növekedését jósolják.

Megvalósítási nehézségek

A nyilvánvaló nehézségek mellett a DLP megvalósítását a megfelelő megoldás kiválasztásának nehézsége is nehezíti, mivel a DLP rendszerek különböző gyártói saját megközelítést vallanak a védelem megszervezésére. Egyesek szabadalmaztatott algoritmusokkal rendelkeznek a tartalom kulcsszavak szerinti elemzésére, míg mások digitális ujjlenyomat-vételi módszert kínálnak. Hogyan válasszuk ki a legjobb terméket ilyen körülmények között? Mi a hatékonyabb? Nagyon nehéz válaszolni ezekre a kérdésekre, hiszen ma nagyon kevés a DLP-rendszer implementációja, és még kevesebb a valós gyakorlat (amelyre támaszkodhat) a használatukra. De azok a projektek, amelyek mégis megvalósultak, azt mutatták, hogy a tanácsadás a munka és a költségvetés több mint felét teszi ki, és ez általában nagy szkepticizmust vált ki a menedzsmentben. Ezen túlmenően a vállalat meglévő üzleti folyamatait rendszerint át kell alakítani, hogy megfeleljenek a DLP követelményeinek, és a vállalatoknak ez nehézségekbe ütközik.

A DLP bevezetése mennyiben segíti a szabályozók jelenlegi követelményeinek való megfelelést? Nyugaton a DLP rendszerek bevezetését törvények, szabványok, iparági követelmények és egyéb előírások motiválják. Szakértők szerint a külföldön elérhető egyértelmű jogi követelmények, a követelmények biztosítására vonatkozó irányelvek jelentik a DLP piac igazi motorját, hiszen a speciális megoldások bevezetése kiküszöböli a szabályozói igényeket. Nálunk egészen más a helyzet ezen a téren, és a DLP rendszerek bevezetése sem segíti a törvényi előírások betartását.

A DLP vállalati környezetben való bevezetését és használatát ösztönözheti a vállalatok üzleti titkainak védelmének szükségessége és az „Üzleti titkokról” szóló szövetségi törvény követelményeinek való megfelelés.

Szinte minden vállalkozás elfogadott olyan dokumentumokat, mint az „Üzleti titokról szóló szabályzat” és az „Üzleti titkot képező információk jegyzéke”, és ezek előírásait be kell tartani. Egyes vélemények szerint az „Üzleti titkokról” szóló törvény (98-FZ) nem működik, azonban a cégvezetők jól tudják, hogy fontos és szükséges számukra az üzleti titkaik védelme. Ráadásul ez a tudatosság sokkal magasabb, mint a személyes adatokról szóló törvény (152-FZ) fontosságának megértése, és minden vezetőnek sokkal könnyebb elmagyarázni a bizalmas dokumentumkezelés bevezetésének szükségességét, mint a védelemről beszélni. személyes adatokról.

Mi akadályozza meg a DLP használatát az üzleti titkok védelmének automatizálása során? Az Orosz Föderáció Polgári Törvénykönyve szerint az üzleti titok védelmi rendszerének bevezetéséhez csak az szükséges, hogy az információnak legyen valamilyen értéke, és felkerüljön a megfelelő listára. Ebben az esetben az ilyen információk tulajdonosát törvény kötelezi a bizalmas információk védelmére.

Ugyanakkor nyilvánvaló, hogy a DLP nem lesz képes minden problémát megoldani. Különösen kiterjed a harmadik felek bizalmas információkhoz való hozzáférésére. De más technológiák is léteznek erre. Számos modern DLP-megoldás integrálható velük. Majd ennek a technológiai láncnak a felépítésekor egy működőképes rendszert lehet beszerezni az üzleti titkok védelmére. Egy ilyen rendszer érthetőbb lesz a vállalkozás számára, és a vállalkozás képes lesz a szivárgásvédelmi rendszer megrendelőjeként fellépni.

Oroszország és a Nyugat

Elemzők szerint Oroszország másként viszonyul a biztonsághoz, és más a DLP-megoldásokat szállító cégek érettségi szintje. Az orosz piac a biztonsági szakemberekre és a speciális problémákra összpontosít. Az adatszivárgás megelőzése Az emberek nem mindig értik, milyen adatok értékesek. Oroszországban "militarista" megközelítés a biztonsági rendszerek megszervezésében: erős kerület tűzfalakkal és mindent megtesznek a behatolás megakadályozására.

De mi van akkor, ha a cég alkalmazottja olyan mennyiségű információhoz fér hozzá, amely nem szükséges a feladatai ellátásához? Viszont ha megnézzük azt a szemléletet, ami Nyugaton az elmúlt 10-15 évben kialakult, akkor elmondható, hogy nagyobb figyelem irányul az információ értékére. Az erőforrásokat oda irányítják, ahol az értékes információk találhatók, és nem az összes információhoz egymás után. Talán ez a legnagyobb kulturális különbség Nyugat és Oroszország között. Elemzők szerint azonban a helyzet változik. Az információt kezdik üzleti eszközként felfogni, és időbe telik, amíg fejlődik.

Nincs átfogó megoldás

100%-os szivárgásvédelmet még egyetlen gyártó sem fejlesztett ki. A DLP-termékek használatával kapcsolatos problémákat egyes szakértők a következőképpen fogalmazzák meg: a DLP-rendszerekben alkalmazott szivárgáskezelési tapasztalatok hatékony felhasználása megköveteli annak megértését, hogy a szivárgásvédelem biztosításán sokat kell dolgozni az ügyfél oldalán, mivel senki sem jobban ismeri nála az információáramlást.

Mások úgy vélik, hogy nem lehet védekezni a kiszivárogtatás ellen: lehetetlen megakadályozni az információszivárgást. Mivel az információ valakinek értékes, előbb-utóbb megkapja. A szoftvereszközök költségesebbé és időigényesebbé tehetik ezen információk megszerzését. Ez jelentősen csökkentheti az információ birtoklásának hasznát, relevanciáját. Ez azt jelenti, hogy a DLP rendszerek hatékonyságát ellenőrizni kell.

»

Ma a DLP-rendszerek piaca az egyik leggyorsabban növekvő információbiztonsági eszköz. A hazai információbiztonsági szféra azonban nem tartott lépést a globális trendekkel, ezért a DLP-rendszerek piacának hazánkban is megvannak a maga sajátosságai.

Mi az a DLP és hogyan működnek?

Mielőtt a DLP-rendszerek piacáról beszélnénk, el kell dönteni, hogy valójában mire is gondolunk, ha ilyen megoldásokról van szó. A DLP-rendszerek általában olyan szoftvertermékek, amelyek megvédik a szervezeteket a bizalmas információk kiszivárogtatásától. Maga a DLP rövidítés a Data Leak Prevention, vagyis az adatszivárgás megelőzését jelenti.

Az ilyen rendszerek biztonságos digitális „körvonalat” hoznak létre a szervezet körül, elemezve az összes kimenő és bizonyos esetekben bejövő információt. Az ellenőrzött információnak nemcsak az internetes forgalomnak kell lennie, hanem számos egyéb információáramlásnak is: olyan dokumentumoknak, amelyeket külső adathordozón a védett biztonsági hurkon kívülre visznek, nyomtatóra nyomtatnak, Bluetooth-on keresztül mobil adathordozóra küldik, stb.

Mivel a DLP-rendszernek meg kell akadályoznia a bizalmas információk kiszivárgását, szükségszerűen beépített mechanizmusokkal rendelkezik az elfogott forgalom során észlelt dokumentumok bizalmassági fokának meghatározására. Általában két módszer a legelterjedtebb: a speciális dokumentumjelölők elemzése és a dokumentum tartalmának elemzése. Jelenleg a második lehetőség elterjedtebb, mert ellenáll a dokumentumon a küldés előtt végrehajtott módosításoknak, és lehetővé teszi a bizalmas dokumentumok számának egyszerű bővítését is, amellyel a rendszer tud dolgozni.

"Side" DLP feladatok

A DLP rendszerek az információszivárgás megelőzésével kapcsolatos fő feladatukon túlmenően számos egyéb, a személyi intézkedések ellenőrzésével kapcsolatos feladat megoldására is alkalmasak.

A DLP rendszereket leggyakrabban a következő nem alapvető feladatok megoldására használják maguknak:

• figyelemmel kíséri a munkavállalók munkaidő- és munkaerőforrás-felhasználását;
• az alkalmazottak kommunikációjának nyomon követése annak érdekében, hogy azonosítsák azokat a „fedett” küzdelmeket, amelyek károsíthatják a szervezetet;
• az alkalmazottak cselekedeteinek jogszerűségének ellenőrzése (hamisított dokumentumok nyomtatásának megelőzése stb.);
• azon munkatársak azonosítása, akik önéletrajzokat küldenek ki a megüresedett pozícióra szakember gyors felkutatására.

Tekintettel arra, hogy sok szervezet számos ilyen feladatot (különösen a munkaidő-felhasználás ellenőrzését) prioritásként kezeli, mint az információszivárgás elleni védelmet, számos olyan program született, amelyek kifejezetten erre készültek, de egyes esetekben Az esetek a szervezet szivárgások elleni védelmét is szolgálhatják. Az ilyen programokat az különbözteti meg a teljes értékű DLP-rendszerektől, hogy nincsenek fejlett eszközök az elfogott adatok elemzéséhez, amelyet egy információbiztonsági szakembernek kell manuálisan elvégeznie, ami csak nagyon kis szervezetek számára kényelmes (maximum tíz ellenőrzött alkalmazott).

DLP technológia

A Digital Light Processing (DLP) a Texas Instruments által feltalált fejlett technológia. Ennek köszönhetően nagyon kicsi, nagyon könnyű (3 kg - ez tényleg súly?) És ennek ellenére meglehetősen erős (több mint 1000 ANSI Lm) multimédiás kivetítőket lehetett készíteni.

A teremtés rövid története

Nagyon régen, egy messzi galaxisban...

1987-ben dr. Larry J. Hornbeck találta fel digitális multitükör készülék(Digital Micromirror Device vagy DMD). Ez a találmány befejezte a Texas Instruments több évtizedes mikromechanikai kutatását deformálható tüköreszközök(Deformable Mirror Devices vagy ismét DMD). A felfedezés lényege az volt, hogy elutasították a rugalmas tükröket egy olyan merev tükrök mátrixa javára, amelyeknek csak két stabil pozíciója van.

1989-ben a Texas Instruments egyike lesz annak a négy vállalatnak, amelyeket kiválasztottak az Egyesült Államok "projektor" részének megvalósítására. Nagy felbontású kijelző, amelyet az Advanced Research and Development Administration (ARPA) finanszíroz.

1992 májusában a TI bemutatja az első DMD-alapú rendszert, amely támogatja az ARPA modern felbontási szabványát.

1994 februárjában bemutatták a DMD három nagy felbontású DMD-n alapuló nagyfelbontású televíziós (HDTV) változatát.

A DMD chipek tömeges értékesítése 1995-ben kezdődött.

DLP technológia

A DLP technológiával készült multimédiás kivetítők kulcseleme a mikroszkopikus tükrök (DMD elemek) mátrixa, amelyek alumíniumötvözetből készülnek, nagyon nagy fényvisszaverő képességgel. Mindegyik tükör egy merev hordozóhoz van rögzítve, amely mozgatható lemezeken keresztül kapcsolódik a mátrix alapjához. A CMOS SRAM memóriacellákhoz csatlakoztatott elektródák a tükrökkel ellentétes szögben vannak elhelyezve. Az elektromos tér hatására a tükörrel ellátott szubsztrát a mátrix alján elhelyezett határolók miatt pontosan 20°-kal eltérő helyzetek egyikét veszi fel.

Ez a két pozíció megfelel a bejövő fényáram lencsébe való visszaverődésének és egy hatékony fényelnyelőnek, amely megbízható hőelvezetést és minimális fényvisszaverődést biztosít.

Az adatbuszt és magát a mátrixot úgy tervezték, hogy másodpercenként 60 vagy több képkockát biztosítson 16 millió szín felbontásával.

A tükörtömb a CMOS SRAM-mal együtt alkotja a DMD chipet, a DLP technológia alapját.

A kristály kis mérete lenyűgöző. Az egyes mátrixtükrök területe legfeljebb 16 mikron, a tükrök közötti távolság pedig körülbelül 1 mikron. A kristály, és nem is egy, könnyen elfér a tenyerében.

Összességében, ha a Texas Instruments nem téveszt meg minket, háromféle kristályt (vagy chipet) állítanak elő különböző felbontással. Ez:

• SVGA: 848×600; 508 800 tükör
• XGA: 1024×768 fekete rekesznyílással (résközi tér); 786 432 tükör
• SXGA: 1280×1024; 1 310 720 tükör

Tehát van egy mátrixunk, mit tehetünk vele? Hát persze, világítsunk rá erősebb fényárammal, és helyezzünk a tükrök valamelyik visszaverődési irányának útjába egy optikai rendszert, ami a képet a képernyőre fókuszálja. A másik irány útján célszerű fényelnyelőt elhelyezni, hogy a felesleges fény ne okozzon kellemetlenséget. Itt már monokróm képeket vetíthetünk. De hol a szín? Hol van a fényerő?

De úgy tűnik, ez Larry elvtárs találmánya volt, amelyről a DLP létrehozásának történetéről szóló rész első bekezdése volt szó. Ha még mindig nem érted, mi a baj, készülj, mert most sokk érhet téged :), mert ez az elegáns és egészen kézenfekvő megoldás ma a legfejlettebb és technológiailag legfejlettebb a képvetítés területén.

Emlékezzen a gyerekek trükkjére egy forgó zseblámpával, amelyből a fény egy bizonyos ponton összeolvad és világító körré változik. Jövőképünk e poénja lehetővé teszi számunkra, hogy teljesen elhagyjuk az analóg képalkotó rendszereket a teljesen digitális rendszerek helyett. Végül is az utolsó szakaszban lévő digitális monitorok is analóg jellegűek.

De mi történik, ha a tükröt nagy frekvenciával egyik helyzetből a másikba kapcsoljuk? Ha elhanyagoljuk a tükör kapcsolási idejét (és mikroszkopikus méretei miatt ez az idő teljesen elhanyagolható), akkor a látszólagos fényerő csak kétszeresére csökken. A tükör egyik és másik pozícióban eltöltött idő arányának megváltoztatásával könnyen megváltoztathatjuk a kép látszólagos fényességét. És mivel a ciklusszám nagyon-nagyon magas, egyáltalán nem lesz látható villogás. Eureka. Bár semmi különös, de mindez már régóta ismert :)

Nos, most az utolsó simítás. Ha kellően gyors a kapcsolási sebesség, akkor a fényáram útján egymás után szűrőket helyezhetünk el, és ezáltal színes képet készíthetünk.

Valójában itt van az egész technológia. Ennek további evolúciós fejlődését a multimédiás projektorok példáján követjük nyomon.

DLP projektor eszköz

A Texas Instruments nem gyárt DLP kivetítőket, sok más cég igen, mint például a 3M, ACER, PROXIMA, PLUS, ASK PROXIMA, OPTOMA CORP., DAVIS, LIESEGANG, INFOCUS, VIEWSONIC, SHARP, COMPAQ, NEC, KODAK, TOSHIBA, LIESEGANG, stb. A gyártott projektorok többsége hordozható, 1,3-8 kg tömegű és akár 2000 ANSI lumen teljesítményű. A projektorok három típusra oszthatók.

Egymátrixos projektor

A már leírt legegyszerűbb típus a − egymátrixos projektor, ahol egy forgó korong színszűrőkkel - kék, zöld és piros - van elhelyezve a fényforrás és a mátrix közé. A lemez forgatási gyakorisága határozza meg az általunk megszokott képkockasebességet.

A képet felváltva az egyes alapszínek alkotják, ami normál színes képet eredményez.

Minden, vagy majdnem minden hordozható kivetítő egymátrixos típusra épül.

Az ilyen típusú projektorok további fejlesztése volt a negyedik, átlátszó fényszűrő bevezetése, amely lehetővé teszi a kép fényerejének jelentős növelését.

Három mátrix projektor

A projektorok legösszetettebb típusa az három mátrix projektor, ahol a fény három színáramra oszlik, és egyszerre három mátrixról verődik vissza. Egy ilyen kivetítő rendelkezik a legtisztább színekkel és képkockasebességgel, amelyet nem korlátoz a lemez sebessége, mint az egymátrixos projektorok esetében.

Az egyes mátrixokból visszavert fluxus pontos egyezését (konvergencia) egy prizma biztosítja, amint az az ábrán is látható.

Kettős mátrix projektor

A projektorok köztes típusa az kettős mátrix projektor. Ebben az esetben a fény két áramra oszlik: az egyik DMD mátrixról a vörös, a másikról a kék és zöld visszaverődik. A fényszűrő rendre eltávolítja a kék vagy zöld komponenseket a spektrumból.

A kétmátrixos projektor közepes képminőséget biztosít az egymátrixos és hárommátrixos típusokhoz képest.

LCD és DLP projektorok összehasonlítása

Az LCD kivetítőkkel összehasonlítva a DLP projektorok számos fontos előnnyel rendelkeznek:

Vannak-e hátrányai a DLP technológiának?

De az elmélet az elmélet, de a gyakorlatban még van mit tenni. A fő hátrány a technológia tökéletlensége, és ennek eredményeként a tükrök ragadásának problémája.

Az a tény, hogy ilyen mikroszkopikus méretekkel a kis részek „összetapadásra” törekszenek, és az alappal ellátott tükör sem kivétel.

A Texas Instruments azon erőfeszítései ellenére, hogy új anyagokat találjon ki, amelyek csökkentik a mikrotükrök tapadását, létezik egy ilyen probléma, amint azt a multimédiás kivetítők tesztelésekor láttuk. Infocus LP340. De azt kell mondanom, hogy nem igazán szól bele az életbe.

Egy másik probléma nem annyira nyilvánvaló, és a tükörváltási módok optimális kiválasztásában rejlik. Minden DLP projektor cégnek megvan a saját véleménye ebben a kérdésben.

Nos, az utolsó. Annak ellenére, hogy a tükrök egyik helyzetből a másikba való átállításához minimális idő telik el, ez a folyamat alig észrevehető nyomot hagy a képernyőn. Egyfajta ingyenes élsimítás.

Technologiai fejlodes

• Az átlátszó fényszűrő bevezetése mellett folyamatosan dolgoznak a tükrök közötti tér és a tükröt a hordozóhoz rögzítő oszlop területének csökkentése érdekében (fekete pont a képelem közepén).
• A mátrix különálló blokkokra bontásával és az adatbusz bővítésével a tükörkapcsolási frekvencia megnő.
• Dolgoznak a tükrök számának növelésén és a mátrix méretének csökkentésén.
• A fényáram ereje és kontrasztja folyamatosan növekszik. A 10 000 ANSI Lm feletti teljesítményű, 1000:1 feletti kontrasztarányú hárommátrixos projektorok már ma is léteznek, és a digitális médiát használó korszerű mozikba is eljutottak.
• A DLP technológia teljes mértékben felváltja a CRT-kijelző technológiát a házimozikban.

Következtetés

Ez nem minden, amit a DLP technológiáról el lehetne mondani, például nem érintettük a DMD mátrixok nyomtatásban való felhasználásának témáját. De megvárjuk, amíg a Texas Instruments megerősíti a más forrásokból származó információkat, hogy ne adjunk hamisítványt. Remélem, ez a novella elég ahhoz, hogy, ha nem is a legteljesebb, de elegendő képet kapjunk a technológiáról, és ne kínozzuk az eladókat kérdésekkel a DLP projektorok előnyeiről másokkal szemben.

Köszönet Alexey Slepynyinnek az anyag elkészítésében nyújtott segítségéért

Manapság gyakran hallani olyan technológiákról, mint a DLP rendszerek. Mi ez és hol használják? Ezt a szoftvert úgy tervezték, hogy megakadályozza az adatvesztést azáltal, hogy észleli a lehetséges jogsértéseket az adatok küldése és szűrése közben. Ezenkívül az ilyen szolgáltatások figyelik, észlelik és blokkolják, mikor használják, mikor mozog (hálózati forgalom) és mikor tárolják.

A bizalmas adatok szivárgása általában a berendezésekkel dolgozó tapasztalatlan felhasználók miatt vagy rosszindulatú műveletek eredménye. Az ilyen jellegű magán- vagy vállalati információk, szellemi tulajdon (IP), pénzügyi vagy orvosi információk, hitelkártya-információk és hasonlók a modern információs technológia által kínált fokozott biztonságot igénylik.

Az "adatvesztés" és az "adatszivárgás" kifejezések összefüggenek, és gyakran felcserélhetően használják, bár kissé eltérnek egymástól. Az információvesztés esetei akkor válnak kiszivárogtatássá, amikor a bizalmas információkat tartalmazó forrás eltűnik, és ezt követően illetéktelen félhez kerül. Az adatszivárgás azonban veszteség nélkül lehetséges.

Kategóriák DLP

Az adatszivárgás leküzdésére használt technológiai eszközök a következő kategóriákba sorolhatók: szabványos biztonsági intézkedések, intelligens (fejlett) intézkedések, hozzáférés-vezérlés és titkosítás, valamint speciális DLP-rendszerek (melyeket az alábbiakban részletesen ismertetünk).

Szabványos intézkedések

A szabványos biztonsági intézkedések, például a behatolásészlelő rendszerek (IDS) és a víruskereső szoftverek olyan gyakori mechanizmusok, amelyek megvédik a számítógépeket a kívülállóktól és a bennfentes támadásoktól. A tűzfal csatlakoztatása például megakadályozza, hogy illetéktelenek hozzáférjenek a belső hálózathoz, és egy behatolásérzékelő rendszer észleli a behatolási kísérleteket. A bennfentes támadások megelőzhetők a számítógépre telepített, bizalmas információkat küldő víruskereső vizsgálatokkal, valamint olyan szolgáltatások használatával, amelyek kliens-szerver architektúrában működnek anélkül, hogy a számítógépen személyes vagy bizalmas adatokat tárolnának.

További biztonsági intézkedések

A további biztonsági intézkedések rendkívül speciális szolgáltatásokat és időzítési algoritmusokat használnak a rendellenes adathozzáférés (azaz adatbázisok vagy információ-visszakereső rendszerek) vagy a rendellenes e-mail-váltások észlelésére. Ezenkívül az ilyen modern információs technológiák észlelik a rosszindulatú programokat és kéréseket, és mélyreható ellenőrzéseket hajtanak végre a számítógépes rendszereken (például a billentyűleütések vagy a hangszórók hangjainak felismerése). E szolgáltatások némelyike ​​még a felhasználói tevékenység figyelésére is képes, hogy észlelje a szokatlan adathozzáférést.

Egyedi tervezésű DLP rendszerek – mi ez?

Az információbiztonságra tervezett DLP-megoldások arra szolgálnak, hogy észleljék és megakadályozzák az érzékeny adatok (szándékosan vagy nem szándékosan) engedély vagy hozzáférés nélküli másolására vagy átvitelére irányuló jogosulatlan kísérleteket, általában olyan felhasználóktól, akiknek joguk van hozzáférni a bizalmas adatokhoz.

Bizonyos információk osztályozása és az azokhoz való hozzáférés szabályozása érdekében ezek a rendszerek olyan mechanizmusokat alkalmaznak, mint az adatok pontos egyezése, strukturált ujjlenyomat, szabályok és reguláris kifejezések elfogadása, kódkifejezések, fogalmi definíciók és kulcsszavak közzététele. A DLP rendszerek típusait és összehasonlítását az alábbiak szerint ábrázolhatjuk.

Hálózati DLP (más néven adat-in-motion vagy DiM)

Általában hardvermegoldásról vagy szoftverről van szó, amelyet a kerület közelében lévő hálózati pontokra telepítenek. Elemezi a hálózati forgalmat, hogy észlelje a megsértéssel küldött érzékeny adatokat

Végpont DLP (adatok használatakor )

Az ilyen rendszerek különféle szervezetek végfelhasználói munkaállomásain vagy szerverein működnek.

A többi hálózati rendszerhez hasonlóan a végpontok a belső és a külső kommunikációt egyaránt megcélozhatják, és ezért felhasználhatók a felhasználók típusai vagy csoportjai közötti információáramlás vezérlésére (pl. „tűzfalak”). Az e-mailek és az azonnali üzenetküldés figyelésére is képesek. Ez a következőképpen történik - mielőtt az üzeneteket letöltené az eszközre, azokat a szolgáltatás ellenőrzi, és ha kedvezőtlen kérést tartalmaznak, letiltja azokat. Ennek eredményeként elküldetlenné válnak, és nem vonatkoznak rájuk az eszköz adatmegőrzési szabályai.

A DLP rendszer (technológia) előnye, hogy képes szabályozni és kezelni a fizikai típusú eszközökhöz (pl. tárolási képességgel rendelkező mobil eszközök) való hozzáférést, és néha még a titkosítás előtt hozzáférhet az információkhoz.

Egyes végpont-alapú rendszerek alkalmazásvezérlést is biztosíthatnak az érzékeny információk továbbítására irányuló kísérletek blokkolására, valamint azonnali visszajelzést adnak a felhasználónak. Hátránya azonban, hogy a hálózat minden munkaállomására telepíteni kell őket, és nem használhatók mobil eszközökön (pl. mobiltelefonok és PDA-k), vagy ahol gyakorlatilag nem telepíthetők (pl. egy internetkávézó munkaállomására). . Ezt a körülményt figyelembe kell venni, amikor bármilyen célra DLP rendszert választunk.

Adatazonosítás

A DLP rendszerek számos módszert tartalmaznak a titkos vagy bizalmas információk azonosítására. Néha ezt a folyamatot összekeverik a visszafejtéssel. Az adatazonosítás azonban az a folyamat, amelynek során a szervezetek DLP technológiát használnak annak meghatározására, hogy mit kell keresniük (mozgásban, nyugalomban vagy használatban).

Az adatok strukturált vagy strukturálatlan kategóriába sorolhatók. Az első típust a fájl rögzített mezőiben tárolja (például táblázatokban), míg a strukturálatlan a szabad formátumú szövegre vonatkozik (szöveges dokumentumok vagy PDF-ek formájában).

Szakértők becslése szerint az összes adat 80%-a strukturálatlan. Ennek megfelelően 20%-a strukturált. strukturált információkra és kontextuális elemzésre összpontosító tartalomelemzésen alapul. Ez azon alkalmazás vagy rendszer létrehozásának helyén történik, amelyből az adatok származnak. Így a válasz a "DLP rendszerek - mi ez?" az információelemző algoritmus definíciójaként szolgál majd.

Alkalmazott módszerek

Manapság számos módszer létezik az érzékeny tartalom leírására. Két kategóriába sorolhatók: pontosak és pontatlanok.

Pontos módszerek azok, amelyek a tartalomelemzéshez kapcsolódnak, és gyakorlatilag semmissé teszik a lekérdezésekre adott hamis pozitív válaszokat.

Az összes többi pontatlan, és a következőket foglalhatja magában: szótárak, kulcsszavak, reguláris kifejezések, kiterjesztett reguláris kifejezések, adatmetacímkék, Bayes-analízis, statisztikai elemzés stb.

Az elemzés hatékonysága közvetlenül függ annak pontosságától. A magas minősítésű DLP rendszer magas pontszámot ér el ezen a paraméteren. A DLP-azonosítás pontossága elengedhetetlen a hamis pozitív és negatív következmények elkerülése érdekében. A pontosság számos tényezőtől függhet, amelyek némelyike ​​helyzetfüggő vagy technológiai lehet. A pontossági tesztelés biztosíthatja a DLP rendszer megbízhatóságát – szinte nulla téves pozitív eredmény.

Információszivárgás észlelése és megelőzése

Néha az adatterjesztés forrása bizalmas információkat bocsát harmadik felek rendelkezésére. Egy idő után annak egy része valószínűleg nem engedélyezett helyen (például az interneten vagy egy másik felhasználó laptopján) található. A DLP rendszereknek, amelyek árát a fejlesztők kérésre biztosítják, és több tíz és több ezer rubel között változhat, ezt követően meg kell vizsgálniuk, hogyan szivárogtak ki az adatok - egy vagy több harmadik féltől, egymástól függetlenül történt-e, bármely akkor más módon biztosította, stb.

Adatok nyugalmi állapotban

A „nyugalmi adatok” az ügyfélszámítógép bármely merevlemezén, távoli fájlszerveren, lemezen tárolt régi archivált információkra utal. Ez a meghatározás a biztonsági mentési rendszerben (flash meghajtókon vagy CD-ken) tárolt adatokra is vonatkozik. . Ezek az információk nagy érdeklődésre tartanak számot a vállalkozások és a kormányok számára, pusztán azért, mert nagy mennyiségű adatot tárolnak kihasználatlanul a tárolóeszközök, és nagyobb valószínűséggel férhetnek hozzá illetéktelen személyek a hálózaton kívül.