Системы предотвращения утечек конфиденциальной информации на примере предприятия банковской отрасли

Дипломная работа,написана мной как автором в 2015 году,в итоге сдана,допущена к защите и защищена на отлично.Прекрасно подойдет как основа для будущего диплома. ...

В настоящее время информационные технологии активно развиваются и применяются в различных областях, появляется множество устройств и различных инструментов, предназначенных для хранения, передачи, обработки информации. Относятся или нет определённые данные к конфиденциальным, каждый заказчик программного обеспечения определяет сама. Например это может быть информация о новом продукте, новой технологии или данные клиентской базы. Но суть всегда одна - утечка конфиденциальных данных является прямой угрозой для бизнеса, и игнорирование этой проблемы может привести к глобальным последствиям.
По степени преднамеренности причины утечек информации могут быть как ошибками или халатностью персонала, так и быть следствием деятельности злоумышленников (инсайдерами). Для защиты от такого рода угроз исоздаются системы предотвращения утечек информации, описанные в данной работе.
Актуальность темы исследования заключается в том, что за последние два десятка лет компании из самых разных областей экономики стали обладателями объектов интеллектуальной собственности и большими объемами конфиденциальных данных, включая персональные данные клиентов и работников. Все эти данные требуют защиты. В такой ситуации на помощь бизнесу приходят производители программных и аппаратных средств защиты, которые достаточно давно предлагают на рынке решения для защиты от утечек конфиденциальных данных.
Целью выпускной квалификационной работы является исследование систем предотвращения утечек конфиденциальной информации компании ООО Зекурион на примере предприятия банковской отрасли.


Задачи выпускной квалификационной работы:
1) Изучение основных понятий и угроз информационной безопасности.
2) Оценка актуальности использования DLP-систем.
3) Анализ и сравнение различных DLP-систем, имеющихся на рынке.
4) Изучение организационной структуры компании «Зекурион».
5) Подробное рассмотрение продуктов и решений «Зекурион».
6) Разработка и создание инструментов контентного анализа в DLP-системе для предприятия банковской отрасли.
Объектом исследования в данной работе являются системы предотвращения утечек конфиденциальной информации компании «Зекурион».
Предметом исследования являются системы информационной безопасности.
Создаваемые в выпускной квалификационной работе примеры инструментов контентного анализа могут быть использованы в практических целях для предприятия банковской отрасли.

ВВЕДЕНИЕ ……………………………………………………………………...4
ГЛАВА 1. АНАЛИЗ И СРАВНЕНИЕ СОВРЕМЕННЫХ DLP-СИСТЕМ …..6
1.1. Основы информационной безопасности ……………………………....6
1.1.1. Основные понятия защиты информации и информационной безопасности компьютерных систем и сетей…………………………………..6
1.1.2. Анализ угроз информационной безопасности…………………..9
1.2. Защита информации на сетевом уровне. DLP-системы………….…..12
1.2.1. Понятие DLP-систем……………………………………………..12
1.2.2. Технология защиты конфиденциальной информации IPC…….13
1.2.3. Технологии детектирования конфиденциальной информации..14
1.3. Сравнение существующих DLP-систем….…………………………….20
Вывод по 1-й главе………………………………………………………………23
ГЛАВА 2. ОРГАНИЗАЦИОННАЯ СТРУКТУРА И DLP-РЕШЕНИЯ КОМПАНИИ О ОО “ЗЕКУРИОН”..……………………………………………25
2.1. Деятельность компании «Зекурион»…..……………………………….25
2.2. Работа отделов компании «Зекурион»………………...……………….29
2.2.1. Работа отдела внедрения…………………………………………29
2.2.2. Работа отдела разработки и тестирования……………………...32
2.3. Продукты и решения компании «Зекурион»..…………………………34
2.4. Оценка утечек информации на примере предприятия (банка)….……41
Вывод по 2-й главе………………………………………………………………42
ГЛАВА 3. СОЗДАНИЕ ИНСТРУМЕНТОВ КОНТЕНТНОГО АНАЛИЗА В DLP-СИСТЕМЕ ДЛЯ ПРЕДПРИЯТИЯ БАНКОВСКОЙ ОТРАСЛИ………..43
3.1. Создание словарей……………………...………………………………..43
3.1.1. Анализ текста по словарю………………………………….……43
3.1.2. Создание словаря для поиска паспортных данных…….....……45
3.1.3. Возможности наполнения словарей……………………….……46
3.1.4. Тестовая проверка методом Байеса..……………..……….……49
3.2. Шаблоны.………………………………………………….…………….51
3.2.1. Принцип создания шаблонов…………………………………...51
3.2.2. Создание шаблонов для обнаружения личных данных клиента банка……………………….…………………………………………………..…52
3.3. Создание категорий отпечатков..……….………………………………55
3.3.1. Создание отпечатков текстов методом шинглов………………..56
3.3.2. Создание отпечатков методом опорных векторов.……………..58
3.3.3. Создание графических отпечатков………………..……………..59
Вывод по 3-й главе………………………………………………………………61
ЗАКЛЮЧЕНИЕ …………………………………………………………………63
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ …………………………….65
 

IMРисунок 5 – Контролируемые каналы. ВебРисунок 6 – Контролируемые каналы. Внешние устройстваРисунок 7 – Контролируемые каналы. Мобильные устройстваВывод по 1-й главеИзучив понятие DLP-систем стало ясно, что данные системы играют важную роль в IT-сфере, так как существует много подобных систем, конкурирующих между собой и занимающих достойное место на рынке России.Проанализировав сравнительные таблицы различных DLP-систем было выяснено, что системы компаний существующих на рынке имеют как недостатки так и преимущества, но в целом обладают похожими характеристиками. Например, контроль Skype осуществляют все системы, контроль IP-телефонии только половина участников. Также у некоторых систем отсутствует веб-интерфейс для администрирования.ГЛАВА 2. ОРГАНИЗАЦИОННАЯ СТРУКТУРА И DLP-РЕШЕНИЯ КОМПАНИИ «ЗЕКУРИОН»Деятельность компании «Зекурион»«Зекурион» — один из лидеров по обороту производитель DLP-систем в России и СНГ. DLP-продукты компании надежно защищают от утечек несколько тысяч компаний по всему миру. Кроме DLP компания «Зекурион» является экспертом в области криптографии и лидирующим разработчиком систем шифрования для защиты данных при хранении и перевозке.Компания “Зекурион’ основана в 2001 году тремя инженерами, среди которых был нынешний генеральный директор компании Алексей Раевский. К моменту создания компании ее основатели уже имели свои разработки в области информационной безопасности. Уже в первый год работы компания «Зекурион» выпустила первую версию системы защиты информации на серверных хранилищах Zserver, которая изначально имела название SecurIT Server. Продукт воплотил в себе передовые разработки компании в области криптографии и стал интенсивно развиваться, опережая ожидания рынка. С самого появления и до сегодняшнего дня Zserver является лидирующим решением в своей отрасли.В 2003 году продуктовый портфель «Зекурион» пополнился решениями нового направления. Компания выпустила систему двухфакторной аутентификации Zlogin, а годом позже — систему контроля доступа к приложениям Zshell.В 2004 году компания расширила линейку решений для шифрования данных при хранении и выпустила средство для шифрования магнитных лент Zbackup.Заняв твердую лидирующую позицию в отрасли шифрования и управления доступом, компания направила фокус на освоение нового перспективного сегмента российского рынка информационной безопасности — DLP. В 2005 году разработчики «Зекурион» представили первый продукт в этой области — систему для контроля использования USB-устройств и принтеров Zlock.В 2006 году компания «Зекурион» расширила рынок присутствия, открыв дополнительный офис в США и расширив направление работы с заказчиками стран Европы и СНГ. В связи с выходом компании на западные рынки возникла необходимость в новом бренде, подходящем для продвижения продуктов компании в других странах. В 2007 году была зарегистрирована торговая марка Zecurion.В 2008 году был выпущен второй продукт для защиты от инсайдерских угроз — система Zgate для предотвращения утечек по сетевым каналам. Zgate органично дополнил продуктовый портфель «Зекурион», предложив рынку эффективное решение задачи контроля HTTP-, SMTP- и прочего сетевого трафика.В 2009 году «Зекурион» объединил ключевые продукты — Zserver, Zgate и Zlock — в единый DLP-комплекс и стал оказывать услуги по аудиту информационных систем и построению комплексных систем защиты данных. Таким образом стратегия компании была переориентирована в сторону комплексных решений для защиты информации.В 2010 году была значительно расширена функциональность системы Zgate, укрепив технологическое преимущество над другими DLP-продуктами. В частности, с помощью Zgate стало возможным блокировать любые перехваченные сообщения — почтовый, веб-трафик, сообщения интернет-пейджеров. Набор технологий анализа пополнился собственной разработкой SmartID и еще несколькими прогрессивными технологиями, превысив общим числом десяток.Вслед за Zgate в 2011 году была значительно усовершенствована агентская DLP-система Zlock: в ее функционале появились инструменты контентного анализа, которые позволили вывести контроль устройств на новый уровень эффективности.В том же году руководство компании приняло решение об объединении всех направлений деятельности под единым брендом Zecurion. Новая для российского рынка торговая марка была успешно представлена на мероприятиях по защите от утечек, на которых компания выступила организатором и участником, — конференции Zecurion DLP Forum 2011 и первой в отрасли веб-конференции Zecurion DLP Web Conference 2011.Весной 2012 года компания «Зекурион» завершила ребрендинг, запустила новый корпоративный сайт и полностью прекратила использование названия SECURIT.В 2012 году вышел в свет первый выпуск системы Zdiscovery, предназначенной для поиска конфиденциальной информации в локальных и сетевых хранилищах. Система Zecurion Zdiscovery дополнила комплекс Zecurion DLP. [29]Основные задачи «Зекурион»: разработка DLP решений, поддержка пользователей, внедрение программного обеспечения, обеспечение работоспособности программного обеспечения.Основными отделами компании являются: отдел разработки, отдел продаж, отдел сопровождения и поддержки, отдел внедрения. Организационная структура «Зекурион» указана на рисунке 8.35077682048010010132821560000183642030480Генеральный директор00Генеральный директорcenter25597700416772620983Директор по разработке00Директор по разработке1981368104328007924322684730025096100496Коммерческий директор00Коммерческий директор1816100104775Технический директор00Технический директор 6999733219450036899854318000493180917464004183628133433Отдел разработки и тестирования00Отдел разработки и тестирования25122109579Бухгалтерия00Бухгалтерия1910080222250Отдел продаж00Отдел продаж36902731688620025546055092700049406172122520025096229345Отдел персонала и хозяйственные службы00Отдел персонала и хозяйственные службы6165431954200418362947349Отдел сопровождения и поддержки00Отдел сопровождения и поддержки3693807346459001957070113665Отдел внедрения00Отдел внедренияРисунок 8 – Организационная структура «Зекурион»Смоделируем бизнес-процессы IT-компании «Зекурион», для этого выбрано инструментальное средство компании Computer Associates BPWin. Рассмотрим предметную область «Зекурион» на рисунке 9.Рисунок 9 – Предметная область «Зекурион»На следующем этапе разобьём схему на пять основных бизнес-процессов (Рисунок 10): составление технического задания, разработка и тестирование, пилотное тестирование, закупка, внедрениеРисунок 10 – Диаграмма декомпозиции «Зекурион»Работа отделов компании «Зекурион»Работа отдела внедренияЗадача по внедрению программного обеспечения в отдел внедрения поступает напрямую от отдела продаж, далее происходит согласование с отделом разработки и отделом сопровождения, выделяются инженеры для проведения внедрения программного обеспечения «Зекурион» на территории заказчика.Отдел внедрения включает в себя ряд инженеров, делящих между собой функции сетевых инженеров, проектных администраторов, администраторов офиса, helpdesk, и инженеров по контролю качества программного обеспечения.Рассмотрим подробно процесс внедрения программного обеспечения. После того, как все нюансы оговорены и отделу внедрения поступает указание приступить к внедрению, выделяются несколько инженеров, которые отправляются на территорию заказчика для установки и настройки программного обеспечения. Процесс внедрения всегда начинается со знакомства с сетевой архитектурой, которая используется в компании, а также с ознакомлением уже предустановленного «вспомогательного» программного обеспечения, такого как: Серверная операционная система (Microsoft Windows 2000 SP4, 2000 Server SP4, XP SP3, 2003 SP2, Vista SP1, 2008.); Прокси-сервер (Microsoft Forefront Threat Management Gateway или Microsoft ISA Server 2006 для зеркалирования и фильтрации SSL-трафика); Почтовый сервер (Microsoft Exchange 2007/2010 (x64) — для зеркалирования и фильтрации внутреннего почтового трафика MS Exchange); Сервер баз данных для ведения архива, журналирования и карантина (Oracle Database не ниже 10g или Microsoft SQL Server 2005, 2008, 2008 R2, 2011);С заказчиком дополнительно обсуждаются условия фильтрации траффика и политики, которые будут задаваться в настройках программного обеспечения.В данном случае был выбран режим фильтрации, при котором весь WEB и MAIL траффик собирается и хранится в базе данных. При корректно настроенных фильтрах именно этот метод защиты дает максимальную степень надежности, которую может предоставить подобное DLP решение.Управление всеми конфигурациями осуществляется с помощью консоли управления (Рисунок 11).Рисунок 11 – Консоль управленияНа данном рисунке представлено подключение с помощью консоли управления к серверу Zgate и серверу журналов. Сервер журналов необходим для хранения на нем записей о найденных инцидентах, а также об ошибках в работе системы.Помимо внедрения Zgate также требуется внедрение таких модулей, как Zdiscovery и Zlock. Для их настройки и конфигурации требуется установка агентских модулей на машины пользователей. Удобнее всего выполнить данную установку можно с помощью групповых политик (Group Policy Management Editor) из-под домен-контроллера (Рисунок 12).Рисунок 12 – Редактор управления групповых политикВсе, что остается выполнить инженеру по внедрению – это выполнить команду обновления групповых политик на машине пользователя.Далее остается дождаться, когда конфигурация будет применена к определенным клиентским машинам, которые были выбраны в консоли управления.Работа отдела разработки и тестированияОтдел разработки и тестирования контактирует напрямую только с отделом сопровождения и поддержки и с отделом внедрения. Все остальные вопросы решаются директором по разработке.Отдел работает по методологии Scrum (схема работы данного метода отображена на Рисунке 2). Scrum (от англ. scrum «схватка») — методология управления проектами, активно применяющаяся при разработке информационных систем для гибкой разработки программного обеспечения. Scrum чётко делает акцент на качественном контроле процесса разработки. Кроме управления проектами по разработке ПО Scrum может также использоваться в работе команд поддержки программного обеспечения (software support teams), или как подход управления разработкой и сопровождением программ: Scrum of Scrums.Скрам (Scrum) — это набор принципов, на которых строится процесс разработки, позволяющий в жёстко фиксированные и небольшие по времени итерации, называемые спринтами (sprints), предоставлять конечному пользователю работающее ПО с новыми возможностями, для которых определён наибольший приоритет. Возможности ПО к реализации в очередном спринте определяются в начале спринта на этапе планирования и не могут изменяться на всём его протяжении. При этом строго фиксированная небольшая длительность спринта придаёт процессу разработки предсказуемость и гибкость. [32]Преимущества такой методики в том, что каждый член команды программистов и тестировщиков всегда знает, кто чем в данный момент занят и кто ответственен за различные компоненты и модули системы.Спринт — итерация в скраме, в ходе которой создаётся функциональный рост программного обеспечения. В компании «Зекурион» спринт обычно длится 30 рабочих дней. В начале спринта проводится планирование, на котором все участники процесса разработки и тестирования оценивают количество дней, необходимых на выполнение поставленных менеджером проекта задач.Рисунок 13 – Последовательность СпринтаПо завершении спринта (30 рабочих дней) проводится сначала показ результатов спринта, а затем подведение итогов спринта, на котором происходит «разбор полетов» (Рисунок 13). На показе результатов спринта могут присутствовать сотрудники других отделов.Как мне кажется, эта методика довольно удобна, но существует и ряд недостатков, таких как:Невозможность на планировании правильно оценить затраты на выполнение той или иной задачиПри планировании не берутся в расчет возможные отгулы и болезни сотрудниковКороткий срок на разработку и отладку того или иного модуля программы.Продукты и решения компании «Зекурион»Компания «Зекурион» предлагает следующие продукты:Zecurion Zgate (Traffic Control) — DLP-система для защиты от утечек по сети. Zecurion Zgate анализирует все данные, передаваемые сотрудниками за пределы локальной сети, и блокирует утечки конфиденциальной информации через корпоративную почту, социальные сети, форумы, интернет-пейджеры, веб-почту, FTP-ресурсы. Zecurion Zlock (Device Control) — DLP-система для защиты от утечек на конечных точках сети. Zecurion Zlock предотвращает утечки конфиденциальной информации через периферийные устройства. Zecurion Zlock (Device Control) разграничивает доступ к накопителям и принтерам, анализирует содержимое файлов, распечатываемых и записываемых на устройства, и блокирует действия пользователей в случае выявления нарушений политики безопасности.Zecurion Zdiscovery (Discovery) — система поиска конфиденциальной информации на рабочих станциях и серверах в режиме реального времени. Zecurion Zdiscovery в режиме реального времени сканирует все хранилища данных в корпоративной сети, обнаруживает конфиденциальную информацию и определяет нарушения политик безопасности.Zecurion Zserver (Storage Security) — криптографический комплекс для защиты информации при хранении. Zecurion Zserver является комплексом криптографических решений для защиты данных, которые хранятся на серверах, магнитных лентах, оптических дисках, в хранилищах и на внешних площадках. С помощью шифрования носителей Zecurion Zserver (Storage Security) защищает данные в процессе использования, хранения и транспортировки. [29]Готовые решения компании Zecurion включают в себя следующие системы:Zecurion DLP (защита от утечек)Zecurion Zserver Suite (шифрование данных)Отраслевые решения (для государственных организаций)Решения для крупного, среднего и малого бизнеса. [29]Рассмотрим подробнее характеристики и преимущества этих решений. Zecurion DLP — комплексная система защиты от утечек корпоративной информации. Zecurion DLP является самым технологичным решением на рынке (по результатам обзора Anti-Malware) по состоянию на 2011 год, а сама компания Zecurion — лидером среди всех DLP-вендоров по объемам выручки (по данным рейтинга CNews за 2011 и 2012 годы).Zecurion DLP позволяет контролировать:Корпоративную электронную почту.Письма и вложения, отсылаемые через сервисы веб-почты.Общение в социальных сетях, на форумах и блогах (HTTP/HTTPS).Сообщения интернет-мессенджеров — ICQ, Mail.Ru Агент, QIP, Google Talk и более десяти других систем, включая Skype.FTP, POP3, IMAP, SMTP и другие сетевые каналы.Файлы, записываемые на USB-накопители и любые внешние устройства.Печать на локальных и сетевых принтерах и другие каналы утечки.Наличие конфиденциальных данных, хранящихся на компьютерах пользователей и серверах.Доступ к информации, хранящейся на серверах, магнитных лентах и оптических дисках.Основные преимущества Zecurion DLP:Контроль всех наиболее опасных каналов утечки.Гибридный анализ перехваченных данных (эффективность более 95%) с использованием морфологии, «цифровых отпечатков», регулярных выражений, OCR и собственной технологии SmartID.Поддержка анализа более 500 типов файлов.Возможность блокирования утечек в режиме реального времени.Архивирование всей перехваченной информации, возможности последующего поиска и анализа данных архива.Сканирование локальных и сетевых хранилищ для поиска файлов с конфиденциальной информацией.Защита данных в местах хранения — на серверах и резервных носителях информации.Единая консоль управления.Рассмотрим решение Zecurion Zserver Suite для шифрования данных.В условиях динамичной конкурентной среды корпорации стремятся к централизации данных для обеспечения возможности оперативно реагировать на изменяющиеся условия рынка. Вместе с тем централизация данных создает дополнительные угрозы безопасности конфиденциальной информации.Проблема заключается в том, что средства защиты периметра сети и антивирусы не смогут предотвратить утечки информации, если злоумышленник получит физический доступ к носителю информации. Вот некоторые возможные варианты утечки информации, когда обычные средства защиты периметра не помогут защитить информацию:Размещение серверов в стороннем дата-центре (collocation).Отправка серверов или жестких дисков в ремонт.Перевозка компьютеров из одного офиса в другой, например при переезде.Утилизация компьютеров, серверов, жестких дисков и лент.Хранение магнитных лент в специальном депозитарии (off-site storage).Перевозка ленты, например в депозитарий.Кража или потеря жестких дисков или лент.Попадание в руки злоумышленника жесткого диска с конфиденциальной информацией может нанести серьезный ущерб деятельности компании и даже поставить под угрозу дальнейшее ее существование. В такой ситуации единственной возможной защитой данных является шифрование информации на носителе. Шифрование является широко признанным простым и эффективным способом защиты информации на носителях. При этом данные постоянно хранятся в зашифрованном виде и становятся доступны для использования только при загрузке ключа шифрования.Комплекс Zecurion Zserver Suite предназначен для шифрования данных, размещенных на жестких дисках, на дисковых массивах (RAID-массивы любых конфигураций) и в хранилищах SAN, а также резервных копий информации на магнитных лентах и оптических дисках. Zserver Suite использует только современные криптостойкие алгоритмы шифрования, надежные методы генерации и хранения ключей. Широкий набор функций обеспечивает надежную защиту информации в любой, даже экстренной, ситуации.Отраслевые решения для государственных организаций.В государственных организациях при построении систем управления информационной безопасностью необходимо учитывать требования большого количества регламентирующих документов: внутренних стандартов, требований регуляторов и различных нормативно-правовых актов. К тому же в государственных организациях возможно использовать только сертифицированные средства защиты информации, что дополнительно осложняет выбор конечных продуктов. Zecurion DLP уже успешно защищает информацию в Министерстве финансов, Федеральном казначействе, Федеральной таможенной службе, ГУВД и других государственных организациях России и стран СНГ.Преимущества Zecurion DLP для госсектора:Необходимые лицензии и сертификаты. Компания «Зекурион» имеет лицензии ФСТЭК и ФСБ на деятельность в области защиты информации, а продукты компании проходят регулярную сертификацию для использования в автоматизированных системах с соответствующими требованиями.Полная защита от утечек от одного вендора. Комплекс решений Zecurion DLP включает в себя как продукты с возможностями традиционных DLP, так и системы шифрования данных и контроля доступа к сети и приложениям. Внедрение системы защиты информации от одного вендора значительно сокращает число итераций внутренних согласований, оформления, проверок и тестирования продуктов.Оптимизация трудозатрат ИБ-специалистов. DLP-решения Zecurion максимально адаптированы для применения в государственных организациях. Они предоставляют широкий набор готовых инструментов для эффективной защиты информации в сочетании с простым управлением. Это позволяет освободить трудовые ресурсы квалифицированного персонала для решения других важных задач в рамках защиты информации.Специальная программа поддержки для госсектора. При построении системы защиты информации на основе продуктов «Зекурион» заказчик может получить при необходимости весь цикл услуг напрямую от разработчика, включая внедрение и настройку системы, пилотный проект DLP, техническую поддержку или полное сопровождение работы DLP-системы. Частичный или полный аутсорсинг обслуживания DLP силами разработчика позволяет заказчику сократить собственные трудозатраты и при этом быть уверенным в гарантированном качестве конечного решения.Комфортное управление.