Компанія Продукти Наші партнери Технічна підтримка База знань

ПОШУК

 

СКВТ "Дозор-Джет" Новини

У наш час Інтернет відіграє значну роль у діяльності більшості компаній. Він став повноцінним інструментом бізнесу і може приносити прибутки. Однак неконтрольоване використання Інтернет-ресурсів може становити серйозну загрозу для компанії, а саме:

  • Інтернет є основним джерелом поширення мобільного програмного коду вірусів, червів, троянських програм, які можуть нанести значну шкоду інформаційним ресурсам;
  • Інтернет активно використовується як засіб проникнення в корпоративні обчислювальні мережі. Таке проникнення здійснюється з метою отримання конфіденційної інформації, або контролю над мережевою інфраструктурою;
  • Інтернет може стати каналом витоку конфіденційної інформації зсередини компанії внаслідок неправомірних або ненавмисних дій самих співробітників компанії;
  • Інтернет використовують недобросовісні співробітники для розваг, або вирішення завдань, не пов’язаних з службовою діяльністю, що спричиняє надлишковий трафік, який може обмежувати функціонування прикладних мережевих програм компанії. До того ж нецільове використання Інтернет призводить до втрат робочого часу.

    Система контролю веб-трафіку СКВТ "Дозор" компанії «Інфосістеми Джет» призначена для захисту корпоративних мереж від загроз, пов’язаних з використанням Інтернет-ресурсів. Захист досягається комплексом заходів, до яких входять: фільтрація змісту інформаційного обміну, який здійснюється за протоколами HTTP і FTP, авторизація користувачів і ведення протоколу їх дій. За допомогою СКВТ "Дозор" в компанії може бути реалізована обрана корпоративна політика використання Інтернет-ресурсів.

    Політика безпеки СКВТ "Дозор" базується на чотирьох поняттях:

    1.Групи користувачів.

    2.Напрямок, в якому передаються дані.

    3.Ресурси.

    4.Обмеження у часі.

    Система забезпечує:

    1.Контроль використання Інтернет-ресурсів:

  • контроль форматів і обсягів файлів, що завантажуються;
  • контроль змісту (аналіз тексту на наявність певних слів і виразів);
  • блокування шкідливих програмних кодів;
  • контроль адрес.

    2.Розмежування доступу до зовнішніх ресурсів Інтернет по групам користувачів.

    3.Розмежування доступу до ресурсів Інтернет в залежності від часу.

    4.Генерування звітів за результатами контролю.

    5.Супровід списків каталогів адресних ресурсів.

    Переваги СКВТ «Дозор-Джет»

    Фільтрація веб-трафіку

    СКВТ «Дозор-Джет» має потужну і ефективну підсистему фільтрації трафіку, що забезпечує:

  • фільтрацію за декількома компонентами: URL, заголовки, зміст тексту, типи файлів, обсяг переданих даних, час, напрямок передачі даних, формати файлів;
  • аналіз російських текстів незалежно від кодування кирилиці (Win1251, DOS866, ISO8859-5, KOI-8R, MAC й ін.), у тому числі текстів з неправильно або помилково зазначеним кодуванням;
  • гнучку систему створення правил використання Інтернет-ресурсів і доступу користувачів до них.
    В основу СКВТ «Дозор-Джет» покладені гнучкі механізми реагування на виконання умов фільтрації і можливість автоматичного здійснення наступних дій:
  • блокування трафіку, параметри якого не відповідають політиці використання Інтернет-ресурсів;
  • пропуск даних з підтвердженням;
  • занесення всієї інформації про події і функціонування СКВТ «Дозор-Джет» до журналу реєстрації.

    Адміністрування

    СКВТ «Дозор-Джет» має інтуїтивно зрозумілий російськомовний інтерфейс управління. Настроювання і адміністрування здійснюються централізовано з робочого місця адміністратора безпеки через веб-інтерфейс.
    СКВТ «Дозор-Джет» має внутрішні механізми захисту: доступ за протоколом HTTPS, розмежування доступу до функцій адміністратора, доступ тільки уповноважених адміністраторів, протоколювання.

    Продуктивність

    Система здатна працювати на мегабітних каналах. Це досягається за рахунок використання багатомашинної конфігурації, що дозволяє рознести виконання задач на окремі сервери. Розподіл навантаження забезпечує високу швидкість аналізу даних інформаційного обміну і підвищує надійність системи контролю веб-трафіку «Дозор-Джет».
    Система звітів

    СКВТ «Дозор-Джет» відображає повну картину використання Інтернет-ресурсів користувачами. Вбудований модуль побудови звітів дає можливість отримувати:

  • зведену інформацію про використання Інтернету всіма співробітниками;
    інформацію про порушення політики безпеки;
  • інформацію про обсяги і типи даних, що завантажуються, сортування даних за адресами зовнішніх джерел або за групами користувачів.

    Архітектура СКВТ

    Система контролю веб-трафіку складається з декількох модулів:

    1. Підсистема автентифікації - забезпечує перевірку прав доступу користувача і призначає політику безпеки для даного користувача.

    2. Підсистема фільтрації - забезпечує аналіз переданих в обох напрямках даних на підставі політики безпеки, визначеної для даного користувача.

    3. Кеш-сервер - використовується для кешування даних, отриманих від зовнішніх серверів (може бути задіяний уже існуючий сервер).

    4. Підсистема управління - використовується для управління політикою безпеки і обліковими записами користувачів, настроювання системи і доступу до звітів.

    5. Підсистема звітності - використовується для формування звітів про використання веб-ресурсів і трафіку.

    6. Система управління базами даних використовується для зберігання політик безпеки і журналів доступу користувачів до зовнішніх ресурсів.



    Схема взаємодії основних підсистем СКВТ «Дозор-Джет»

    Підсистема автентифікації

    Забезпечує перевірку прав доступу користувачів. Авторизація користувачів здійснюється на основі інформації з різних джерел:

  • сервісів каталогів (LDAP);
  • даних з доменів Windows NT (з використанням протоколу NTLM);
  • баз даних;
  • даних користувачів із файлів.

    Перевірка права доступу здійснюється за паролем користувача. Крім того доступ можна розмежувати за IP-адресою комп’ютера. Користувачів можна занести у спеціальні групи "black" і "white", таким чином доступ до усіх ресурсів буде або повністю закритий, або повністю відкритий без здійснення будь-яких перевірок. Аналогічно визначається доступ за IP-адресою, що дозволяє не перевіряти трафік для окремих комп’ютерів, чи навпаки – повністю заборонити доступ. Параметри доступу, можна помістити в окрему групу "all", тоді обрана політика безпеки буде враховуватися при розробці політики для конкретної групи користувачів. Існує також група "default", політика безпеки якої застосовується до усіх користувачів, які явно не входять ні у яку групу.

    Автентифікація користувачів може здійснюватися прозоро: завантаження веб-програми клієнта ініціює запит до служби каталогів, якщо користувача ідентифіковано, то запит виконується непомітно для нього.

    Підсистема фільтрації

    Перевірки, які здійснюються при фільтрації:

  • контроль адреси (чи може користувач звертатися за цією адресою?);
  • контроль формату і методів (чи може таким чином здійснюватися запит?);
  • контроль змісту (яка інформація міститься у даних?).

  • Ступінь складності перевірок суттєво впливає на продуктивність системи контролю веб-трафіку і відповідно на швидкість, з якою користувач отримує дані.



    В СКВТ "Дозор" для кожної групи користувачів може бути визначена окрема політика використання Інтернет-ресурсів.

    Адреси для контролю можуть бути взяті з різних джерел - це адреси, які розповсюджуються компанією "Инфосистемы Джет" у складі дистрибутиву та адреси, що формуються на основі пошуку в Інтернеті шляхом порівняння даних що передаються із завчасно підготовленим зразком. Адреси перевіряються для усіх запитів, у тому числі для тих, адреси яких передаються при використанні команди CONNECT (у такому випадку можна обмежити доступ лише до усього сайту, а не до його окремих розділів). При роботі з серверами, які не використовують протокол HTTPS, можна забороняти чи дозволяти доступ як до усього сайту, так і до його окремих розділів.

    Контроль форматів здійснюється поетапно, а саме:

  • контроль розширення файлів;
  • контроль MIME-типів у даних, що передаються;
  • контроль типів за сигнатурами файлів.

    Контроль змісту включає:

  • пошук за ключовими словами, з урахуванням вагових коефіцієнтів для різних слів;
  • пошук за шаблонами (регулярні вирази);
  • автоматичне категорування ресурсів (наприклад, безплатних поштових скриньок);
  • антивірусна перевірка

    При аналізі тексту автоматично визначається кодування даних, що передаються і, при необхідності, здійснюється перекодування російського тексту в ту систему кодування, в якій зберігаються списки слів для перевірки.

    СКВТ "Дозор" дозволяє використовувати ключові слова і вирази в наступних ситуаціях:

  • як ознаку для заборони передавати дані — "чорний" список;
  • як ознаку для дозволу передавати дані — "білий" список.

    При використанні "чорних" списків слова можуть оброблятися двома способами: наявність забороненого слова відразу блокує передачу даних, або передача даних блокується лише при наявності поєднання слів, вагові коефіцієнти яких сумуються і отриманий результат є ознакою для заборони передавати дані. Блокування доступу за результатами підрахунку вагових коефіцієнтів є найбільш ефективним способом запобігти доступу користувачів до серверів, що надають послуги роботи з поштою (сервіси безкоштовної пошти).

    СКВТ "Дозор" може порівнювати отримані дані зі зразком, який автоматично створюється після порівняння "поганих" и "хороших" сайтів. При аналізі "поганих" сайтів спеціальна утиліта вилучає з сторінок ключові слова и вирази, які відсутні на "хороших" сайтах, а потім ця інформація може використовуватися для аналізу сторінок, що проходять крізь систему контролю веб-трафіку.

    Для антивірусної перевірки використовуються зовнішні антивірусні програми. Поточні версії системи підтримують "Антивірус Касперського" версії 4, Dr.Web, Sophos. Антивірусна підтримка реалізована у вигляді окремих модулів, що завантажуються за необхідності, таким чином підтримка нових антивірусних пакетів може бути добавлена без переустановлення підсистеми фільтрації.

    Для групи користувачів можуть бути задані різні обмеження і параметри, які визначають максимальний обсяг даних, що передаються з використанням команди POST, ліміти для роботи у режимі підрахунку вагових коефіцієнтів фраз і т.п.

    В залежності від результатів конкретної перевірки СКВТ "Дозор" може по різному реагувати — блокувати передачу даних, дозволяти передачу, дозволяти передачу з підтвердженням. В останньому випадку користувачеві необхідно відповісти на запитання системи і підтвердити необхідність доступу до вказаного ресурсу. Після підтвердження створюється тимчасовий ключ для доступу до цього ресурсу.

    Усі події СКВТ "Дозор" зберігаються в журналі аудиту, що дозволяє адміністратору аналізувати використання Інтернет-ресурсів і, за необхідності, корегувати політику безпеки.

    Кеш-сервер

    Підсистема призначена для кешування даних, що передаються і дозволяє суттєво прискорити процес доступу до даних і зменшити навантаження на канал обміну даними. СКВТ "Дозор" використовує для кешування проксі-сервер Squid 2.5, який застосовується в операційних системах Linux, FreeBSD та інших Unix- системах. Якщо в організації вже встановлений проксі-сервер, підсистему фільтрації можна налагодити на його використання.

    Підсистема управління

    Підсистема дозволяє СКВТ "Дозор" дозволяє виконувати наступні завдання:

  • управляти СКВТ "Дозор" через веб-броузер;
  • розмежовувати доступ до підсистеми управління;
  • управляти політикою безпеки і настройками СКВТ "Дозор";
  • отримувати доступ до підсистеми звітності.

    Управління СКВТ "Дозор" з використанням веб-броузера дозволяє адміністратору з любого комп’ютера мережі контролювати дії користувачів і змінювати політику безпеки. Доступ до підсистеми управління може здійснюватися за протоколами HTTP або HTTPS.

    Розмежування доступу до системи управління дозволяє встановлювати різні права для адміністраторів політик безпеки, операторів, які аналізують використання Інтернет-ресурсів користувачами системи и т.п.

    Підсистема звітності

    Підсистема забезпечує збір статистичної інформації та формування звітів і складається з двох частин. Перша призначена для обробки даних, отриманих від підсистеми фільтрації і завантаження їх у базу даних. Друга - для формування різноманітних звітів про доступ до Інтернет-ресурсів, про зареєстровані інциденти і т.п. В поточній версії в СКВТ "Дозор" реалізовані наступні види звітів:

  • використання Інтернет-ресурсів користувачами і групами користувачів;
  • типи даних, що були передані крізь СКВТ "Дозор";
  • обсяги даних, що були передані конкретним користувачем, або групою користувачів;
  • інциденти, що були зареєстровані підсистемою фільтрації.

    У звіті про обсяги трафіку наводиться кількісна оцінка трафіку для кожного користувача за обраний період часу.

    Звіт по ресурсам містить інформацію про ресурси, якими користувався будь-хто з користувачів або груп користувачів При цьому дані можуть бути згруповані за назвою сайтів. Цей звіт може відображати любий заданий проміжок часу. Інтервал може корегуватися динамічно, без необхідності повторно задавати решту параметрів пошуку.

    Звіт про інциденти, що мали місце в системі відображає узагальнену або деталізовану інформацію про випадки блокування передачі даних, відмови в наданні доступу до ресурсів, видані системою попередження.

    Звіт про типи даних призначений для швидкого оцінювання обсягів трафіку в залежності від формату даних, що дозволяє виявляти типи файлів. які частіше всього передаються.

    Додаткові види звітів можна отримати з використанням стандартних засобів формування звітів (Crystal Reports, Oracle Reports и т.п.).

    Системні вимоги

    СКВТ "Дозор" може функціонувати під управлінням операційних систем Sun Solaris і Linux. Версія для Linux використовує дистрибутиви RedHat Enterprise Linux 3 і RedHat Fedora Core. Версія для Sun Solaris функціонує на обладнанні з процесорами Sparc і Intelx86. Тестування здійснювалось на Sun Solaris 9. Програмне забезпечення поставляється у вигляді пакетів для відповідних операційних систем, що дозволяє управляти інсталяцією і оновленням СКВТ "Дозор" засобами операційної системи.

    Для функціонування СКВТ "Дозор" необхідна наявність на сервері певного набору програмного забезпечення:

  • проксі-сервер Squid;
  • веб-сервер Apache;
  • СУБД PostgreSQL;
  • інтерпретатор мови Perl і набір модулів до нього для доступу до бази даних;
  • бібліотеки для доступу до серверу каталогів OpenLDAP.

    Обладнання, яке рекомендоване для встановлення СКВТ "Дозор":

  • На платформі Intel: процесор Intel Pentium IV 3 GHz, AMD Opteron64, 512 Mb RAM, 36 GB SCSI HDD.
  • На платформі Sparc: Sparc IIIi, 1 GHz, 512 Mb RAM, 36 GB SCSI


    Proventia Web Filter


    28 січня 2008
    IDC IT Security Roadshow 2008

    10 квітня 2007
    Вакансії

    Design by HTD 2007

    Головна сторінка