Смарт Лайн - Лицензирование DeviceLock, общие вопросы о DeviceLock Endpoint DLP Suite

Общие вопросы

 

  • Что такое DeviceLock Endpoint DLP Suite и для чего он нужен?

    DeviceLock - это средство защиты информации от утечек (DLP), осуществляющее контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам. DeviceLock позволяет контролировать весь спектр потенциально опасных устройств и сетевых коммуникаций: USB-порты, дисководы, CD/DVD-приводы, FireWire, инфракрасные, параллельные и последовательные порты, WiFi и Bluetooth-адаптеры, ленточные накопители, КПК, внутренние и внешние сменные накопители и жесткие диски, буфер обмена Windows, простые и SSL-защищенные SMTP-сессии электронной почты, HTTP и HTTPS-сессии, веб-почту и социальные сети, почтовый протокол MAPI, службы мгновенных сообщений, файловый обмен по протоколам FTP и FTP-SSL, Telnet-сессии, файлы, размещённые на локальных сетевых ресурсах и сетевые сервисы файлового обмена и синхронизации. Поддерживаются сетевые протоколы IPv4 и IPv6. DeviceLock осуществляет детальный аудит и теневое копирование действий пользователей с устройствами, протоколами и данными.

    DeviceLock Endpoint DLP Suite предлагает технологию Virtual DLP (DLP для виртуальных сред), предназначенную для снижения рисков утечки данных в различных вариантах виртуализации рабочих сред и приложений от трех основных разработчиков – это Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop) и VMware (VMware View).

    С помощью DeviceLock службы информационной безопасности получают возможность своевременного оперативного реагирования на инциденты утечки данных благодаря тревожным оповещениям по протоколам SMTP или SNMP.

  • К какому классу ИТ-решений относится DeviceLock Endpoint DLP Suite?

    Продукт DeviceLock Endpoint DLP Suite, или просто DeviceLock, относится к классу DLP-решений (Data Loss/Leak Prevention), т.е. предназначенных для защиты корпоративной информации от утечек за пределы информационной сети организации – как намеренных, так и случайных.

    К классу DLP относятся решения, которые позволяют предотвращать утечки через различные каналы хранения и передачи информации – такие как электронная почту, интернет-сервисы и различные устройства, подключаемые пользователями к рабочим станциям.

    DLP-система должна уметь перехватывать и анализировать передаваемые сообщения и файлы и блокировать их передачу при обнаружении конфиденциальных данных. DLP-система также должна предоставлять возможность контрольного хранения передаваемых пользователями данных для их последующего анализа и расследования инцидентов безопасности.

  • Какие еще задачи решает DeviceLock Endpoint DLP Suite помимо защиты от утечек?

    Очевидно, что защита от утечек – первичная задача для любой DLP-системы. Но кроме этой задачи, возможности продукта более чем достаточны для параллельного решения и других задач информационной безопасности, таких как:

    • Повышение благонадежности сотрудников и снижение репутационных рисков – за счет предотвращения передачи наружу нежелательной информации (слухов, спама, жалоб и т. п.);

    • Предотвращение использования работниками интернет-ресурсов и ресурсов сети в личных целях;

    • Защита от входящего спама и вирусов – за счет контроля сетевых протоколов и приносимых устройств хранения данных;

    • Оптимизация загрузки каналов, сокращение нецелевого трафика;

    • Обеспечение соответствия стандартам и требованиям регуляторов в области информационной безопасности и действующего законодательства.

     

  • Можно ли настроить контроль только для конкретного сотрудника или группы?

    Да, конечно. Все DLP-политики в DeviceLock являются user-based, т.е. задаются для указанных пользователей и групп.

  • Зачем нужен контентный анализ?

    В ситуации, когда простого контроля каналов передачи данных недостаточно и требуется более глубокий уровень контроля информации – например, проверка передаваемых данных на наличие персональных данных в условиях, когда порты ввода-вывода открыты и не контролируются - применяются механизмы контентного анализа и фильтрации, предотвращающие передачу неавторизованных данных.

    Методы контентного анализа позволяют обеспечить избирательную фильтрацию потоков данных – а следовательно, снижение уровня ложных срабатываний, и избирательное теневое копирование переданных данных в зависимости от их содержимого (контента).

    В DeviceLock используются такие методы контентного анализа, как поиск по создаваемым администратором шаблонам на базе регулярных выражений (RegExp) с различными численными и логическими условиями соответствия шаблона критериям и ключевым словам; поиск по ключевым словам; поиск по встроенным комплексным шаблонам регулярных выражений (номера кредитных карт, адреса, паспортные данные и т.д.); встроенные отраслевые терминологические словари; поиск по свойствам файлов и данных (имя, размер, наличие парольной защиты, наличие текстовых данных, дата/время, др.).

  • Зачем нужны регулярные выражения (шаблоны)?

    Регулярные выражения на основе языка Perl являются одним из самых мощных и эффективных средств контентного анализа и используются в компоненте ContentLock для выявления данных, имеющих четко определенную структуру, таких как адреса электронной почты, номера документов, номера телефонов и многого другого.

    Регулярные выражения являются основой для создания шаблонов, с которыми сравниваются передаваемые файлы и данные. Среди более чем 50 параметров, которые можно использовать для задания таких шаблонов, присутствуют такие, как пользователи, компьютеры, группы пользователей, порты и интерфейсы, устройства, типы каналов и направление передачи данных, диапазоны дат и времени и многие другие.

  • Можно ли с помощью DeviceLock блокировать утечки таких данных, как номера кредитных карт и паспортные данные?

    Да, это задача компонента ContentLock и решается она методами контентного анализа и фильтрации. Для решения таких традиционных для ИБ задач, как контроль номеров кредитных карт и номеров документов, в компоненте ContentLock есть возможность проверять передаваемую информацию на соответствие шаблонам регулярных выражений, уже встроенным в продукт.

  • Может ли DeviceLock работать в «пассивном» режиме без блокировки передачи данных, но с протоколированием?

    Да. DeviceLock может работать в любых режимах, как ему предпишет администратор. Если не заданы политики блокировки портов, устройств, сетевых протоколов, но заданы политики в части аудита и теневого копирования – DeviceLock будет работать в «пассивном» режиме, разрешая передачу данных и сохраняя соответствующие записи в журналах аудита и теневого копирования. Если же политики блокирования заданы, DeviceLock будет блокировать передачу, а значит – и предотвращать утечки, принимая решения в реальном времени непосредственно на рабочем компьютере пользователя.

  • Чем DeviceLock Endpoint DLP Suite принципиально отличается от конкурентных DLP-систем?

    Прежде всего, DeviceLock – узконаправленный нишевой продукт, предназначенный для защиты от утечек данных, а не побочное приложение к, например, антивирусу. DeviceLock не содержит ни одного аппаратного элемента в составе своего комплекса, что существенно удешевляет процесс его внедрения и эксплуатации. Исторически DeviceLock развивался как продукт, обладающий всеми необходимыми возможностями для контроля утечек с периферийных портов и устройств и на сегодня обладает наиболее широкими возможностями в этой области задач ИБ. Появившиеся в 2011 г. в комплексе DeviceLock 7 компоненты NetworkLock и ContentLock перевели продукт в класс полноценных DLP-систем, позволяя обеспечить контроль также большинства сетевых каналов, а также применять наиболее эффективные методы контентного анализа и фильтрации.

    Всю историю своего развития (с 1996 г.) DeviceLock являлся технологическим лидером в области EDPC и теперь – DLP. Некоторые функции продукта являются уникальными и запатентованы – такие, как контроль каналов синхронизации мобильных устройств.

    Также важной отличительной особенностью DeviceLock от конкурентных DLP-систем является открытость продукта. Мы придерживаемся принципов полной прозрачности, нам нечего скрывать. Изучить возможности DeviceLock можно самостоятельно, при этом не требуется пилотный проект как обязательное условие, можно обойтись без навязчивого консультирования со стороны продавцов – при наличии достаточного времени и навыков системного администратора никаких сложностей в процессе установки не возникает. В отличие от большинства конкурентных продуктов DeviceLock Endpoint DLP Suite, подробное руководство по его использованию и даже техническая поддержка всегда доступны для всех, кому интересен DLP-комплекс DeviceLock DLP Suite. Демонстрационная версия ничем не отличается от «реальной», кроме ограничения по сроку использования. Как следствие открытой политики продвижения DeviceLock каждый пользователь может самостоятельно составить свое мнение о нашем продукте и выявить отличия от конкурентных DLP-систем.

    Еще одним существенным конкурентным преимуществом DeviceLock Endpoint DLP Suite является покомпонентное лицензирование системы, позволяющее обеспечить поэтапное приобретение и ввод в эксплуатацию DLP-системы, что в свою очередь позволяет значительно снизить трудозатраты на внедрение и эксплуатацию системы. Клиентская база компании превышает (на 2012 г.) 4 миллиона установленных агентов DeviceLock, что очевиднейшим образом говорит о надежности продукта вследствие широчайшего тестирования в самых различных вариантах среды окружения (программное обеспечение и разнообразное оборудование, установленное на контролируемых компьютерах), и ценовых преимуществах продукта. Наиболее крупная инсталляция DeviceLock – это более 71 тысяч компьютеров в одной организации. Среди клиентов Смарт Лайн Инк – крупнейшие российские и зарубежные компании, банки и государственные организации.

  • Есть ли в системе DeviceLock сервер и какие функции он выполняет?

    В комплексе DeviceLock Endpoint DLP Suite присутствует два серверных компонента – DeviceLock Enterprise Server (DLES) и DeviceLock Content Security Server (DLCSS).

    Сервер DLES в составе комплекса DeviceLock не является обязательным для решения задач информационной безопасности в части предотвращения утечки информации, если не стоит задача централизованного сбора данных аудита и теневого копирования. DLES не несет на себе каких-либо управляющих функций по отношению к контролирующим рабочие компьютеры агентам DeviceLock; не хранит задаваемые администратором DLP-политики. Агенты DeviceLock получают политики контроля доступа вместе с групповыми политиками (если используется интеграция DeviceLock с групповыми политиками контроллера домена) либо политики передаются на агенты напрямую из консолей управления DeviceLock. Функции DeviceLock Enterprise Server ограничены задачами централизованного сбора данных аудита и теневого копирования с удаленных агентов, и автоматизированным мониторингом текущего состояния агентов и применяемых на них политиках, с возможностью автоматической замены политики на эталонную в случае выявления отклонений от эталона. Важно отметить, что DeviceLock Enterprise Server – нелицензируемый компонент, может быть установлен в любом количестве в локальной сети организации совершенно бесплатно, а агенты могут передавать данные аудита и теневые копии на любое число DLES в зависимости от, например, текущей нагрузки на локальную сеть.

    Сервер DeviceLock Content Security Server является вспомогательным компонентом для решения прочих задач информационной безопасности. На текущий момент в DLCSS встроен только один сервер – DeviceLock Search Server (сервер полнотекстового поиска), в ближайшем будущем добавится еще один очень важный DLP-компонент.

    Компонент DeviceLock Search Server (DLSS) позволяет осуществлять полнотекстовый поиск по содержимому файлов теневого копирования и журналам, хранящимся в центральной базе данных сервера DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда вам необходим поиск по содержимому документов, хранимых в базе данных теневого копирования. DeviceLock Search Server может автоматически распознавать, индексировать, находить и отображать документы множества форматов, таких как: Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие. Компонент DLSS является опционально лицензируемым.

  • Можно ли настроить различные политики для рабочего и нерабочего времени?

    Да, можно. Все DLP-политики в DeviceLock устанавливаются действующими для указанного времени и дня недели, аналогично тому, как это принято в Windows-администрировании.

  • Можно ли настроить различные политики для ноутбуков, которые пользователи забирают с собой, для режимов «в сети» и «вне сети»?

    Да, можно. DeviceLock поддерживает онлайн- и оффлайн-политики (в терминологии DeviceLock – оперативный и автономный режимы).

  • Что такое оффлайн- и онлайн-политики?

    Это два различных набора DLP-политик, именуемых в DeviceLock соответственно автономный и оперативный режимы, и применяемых автоматически агентом DeviceLock в зависимости от того, находится ли в данный момент времени контролируемый компьютер в корпоративной сети или за ее пределами.

  • Можно ли посмотреть, какую конкретно информацию пересылали пользователи?

    Да, можно. DeviceLock обладает функционалом теневого копирования. Переданные пользователем данные будут сохранены агентом DeviceLock для дальнейшего исследования службой ИБ. Журналы теневого копирования можно хранить как локально на рабочих станциях пользователей, так и централизованно в базе данных DeviceLock Enterprise Server.

  • Что из себя представляет журнал теневого копирования, можно ли по нему искать?

    Журнал теневого копирования в DeviceLock Enterprise Server - это база данных, хранимая в сервере MS SQL. Поиск данных по этой базе можно вести как посредством встроенного в консорль DeviceLock просмотрщика, с применением различных фильтров, так и посредством сервера полнотекстового поиска DeviceLock Search Server с помощью лингвистических технологий, что существенно упрощает и ускоряет поиск.

  • Сколько места требуется для хранения базы данных теневого копирования?

    К сожалению, на этот вопрос нельзя дать точный ответ, не зная специфики работы компании и ее пользователей. Здесь существует прямая зависимость от выбранных DLP-политик и выбора каналов, с которых будет выполняться теневое копирование; от объема трафика у контролируемых сотрудников, который будет перехватываться и сохраняться в виде теневых копий; от установленного срока хранения. Так, если стоит задача в течение 1 года хранить исходящую электронную почту, а ее средний объем которой составляет вместе с вложениями 1 Гбайт в рабочий день, то для хранения только этой переписки в базе данных понадобится около 250 Гбайт.

  • Влияет ли работа DeviceLock на скорость копирования файлов на съемные носители?

    Если не заданы политики, содержащие правила анализа содержимого передаваемых данных – задержек не возникает. Далее же задержки напрямую зависят от сложности заданных правил контентного анализа и размера проверяемых данных.

  • Влияет ли работа DeviceLock на скорость Интернета и производительность сети в целом?

    Безусловно, DeviceLock оказывает влияние на скорость передачи данных из/в сеть Интернет, если заданы политики контроля содержимого передаваемых пользователем данных. Это объективные причины, и это неизбежно – так же как и для антивирусов.

    На производительность локальной сети DeviceLock в принципе не влияет, поскольку нет избыточности в виде передачи данных по сети для их анализа на сервере.

    Передача же данных аудита и теневого копирования для их централизованного хранения может быть гибко настроена в зависимости от нагрузки на локальную сеть, а также за счет правильного размещения серверов DeviceLock Enterprise Server.

  • Есть ли в DeviceLock русский интерфейс?

    Да. А также русская документация и справочная система. Техническая поддержка русскоязычных клиентов оказывается русскоязычными сотрудниками на русском языке.

Контроль передачи данных

 

  • Какие каналы утечек может контролировать DeviceLock Endpoint DLP Suite?

    Компонент DeviceLock контролирует все локальные каналы ввода-вывода на защищаемых компьютерах, включая периферийные устройства и интерфейсы, системный буфер обмена, локально подсоединенные смартфоны и КПК, а также канал печати документов на локальные и сетевые принтеры.

    Компонент NetworkLock контролирует передачу почтовых сообщений по открытым и SSL-защищенным SMTP-сессиям (с раздельным контролем сообщений и вложений), web-доступ и другие HTTP/HTTPS-приложения, web-почту, мессенджеры, социальные сети, передачу файлов по протоколам FTP и FTP-SSL, a также Telnet-сессии.

    Подробный список контролируемых каналов приведен на странице описания (спецификации) продукта.

  • Можно ли контролировать запись на устройства по типам файлов?

    Да, можно. Можно разрешать и запрещать доступ к определенным типам файлов вне зависимости от установленных на устройство или протокол разрешений, а также задавать гибкие политики теневого копирования с целью уменьшения объема хранимых на сервере данных. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Поддерживается более 4000 типов файлов.

  • Какие форматы файлов поддерживаются для анализа?

    Прежде всего следует отметить, что DeviceLock обеспечивает два уровня контроля по формату (типу) файлов.

    Первый уровень контроля осуществляется модулями DeviceLock и NetworkLock для оптимизации контроля передачи данных по типам файлов. Можно разрешать и запрещать доступ к определенным типам файлов вне зависимости от установленных на устройство или протокол разрешений, а также задавать гибкие политики теневого копирования с целью уменьшения объема хранимых на сервере данных. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Поддерживается более 4000 типов файлов.

    Второй уровень контроля осуществляется компонентом ContentLock в процессе контентного анализа содержимого передаваемых файлов и документов. В этом процессе поддерживается более 80 форматов файлов, включая документы Microsoft Office, Adobe PDF, OpenOffice, Lotus 1-2-3, WordPerfect, WordStar, Quattro Pro, архивы и репозитории электронной почты, CSV, DBF, XML, Unicode, GZIP, RAR, ZIP, др.

  • Можно ли анализировать текст, размещенный в графическом файле, например, скан документа?

    На текущий момент DeviceLock не содержит OCR-модуля, позволяющего анализировать содержимое текста. Прежде всего это ограничение связано с тем, что DeviceLock осуществляет перехват и контроль передаваемых данных непосредственно в момент отправки, будучи установленным на рабочем компьютере пользователя, а OCR-технологии являются очень ресурсоемкими, и совмещение функционала DLP и OCR повлечет существенные задержки в процессе передачи данных и сделает ее по сути невозможной – по крайней мере, на текущем этапе развития вычислительной техники.

    Тем не менее в DeviceLock есть функция Text-in-Picture, позволяющая определять наличие текста в графическом документе, вычислять его процентное соотношение к общему объему документа и задавать соответствующие политики контроля.

  • Можно ли контролировать социальные сети, такие как «Одноклассники» и Твиттер?

    Да, компонент NetworkLock позволяет контролировать и протоколировать переписку и передачу пользователями файлов и данных в социальных сетях Google+, Facebook, Twitter, LiveJournal, LinkedIn, MySpace, Одноклассники, Вконтакте и другие.

    Подробный список контролируемых социальных сетей приведен на странице описания (спецификации) продукта.

  • Можно ли контролировать мессенджеры и электронную почту?

    Да, компонент NetworkLock позволяет контролировать и протоколировать переписку и передачу пользователями файлов и данных в службах мгновенных сообщений и электронную почту. Контролируются мессенджеры Skype, ICQ/AOL, MSN Messenger, Jabber, IRC, Yahoo! Messenger, Mail.ru Agent и другие. Что касается электронной почты, то контролируется протокол SMTP , а начиная с версии DeviceLock 7.2 – еще и протокол MAPI.

    Подробный список контролируемых мессенджеров и протоколов электронной почты приведен на странице описания (спецификации) продукта.

  • Умеет ли DeviceLock контролировать Skype?

    Да. DeviceLock (а точнее, компонент NetworkLock) контролирует Skype, причем на уровне рабочих станций, встраиваясь в клиент Skype. DeviceLock перехватывает весь трафик Skype и анализирует текстовую переписку (в том числе мультичат с несколькими собеседниками), передаваемые файлы, аудио- и видео-разговоры. Вся текстовая переписка и передаваемые файлы сохраняются в журнале теневого копирования. В будущих версиях будут также создаваться теневые копии аудио- и видео разговоров.

    Уникальной возможностью DeviceLock в отношении контроля Skype является Белый список сетевых протоколов, позволяющий ограничить участников разговора только пользователями, внесенными в Белый список. Более того – если включить возможности компонента ContentLock, можно самым гибким образом задавать принципы использования Skype в корпоративной сети – включая контроль контента разговоров, проверку содержимого, типа, размера и прочих параметров передаваемых файлов, допустимое время использования мессенджера и др.

  • Какие сервисы веб-почты контролируются?

    Компонент NetworkLock обеспечивает контроль и протоколирование почтовых сообщений и вложений, отправляемых и получаемых через веб-сервисы Gmail, Яндекс-Почта, Mail.ru, Рамблер-Почта и другие.

    Подробный список контролируемых сервисов веб-почты приведен на странице описания (спецификации) продукта.

  • Какие сайты может контролировать DeviceLock?

    В компоненте NetworkLock нет принципа контроля сайтов на основании их категоризации. DeviceLock Endpoint DLP Suite позволяет контролировать любой http- и https- трафик независимо от категории сайтов. Все зависит только от условий, заданных администратором в DLP-политиках продукта. Рекомендуем внимательно ознакомиться с документацией по продукту – возможностей для контроля посещения веб-сайтов предусмотрено очень много и о них невозможно рассказать в рамках FAQ.

  • Перехватывает ли DeviceLock данные, передаваемые по зашифрованным SSL каналам?

    Да. Компонент NetworkLock позволяет перехватывать и анализировать данные, передающиеся по защищенным протоколам, использующим SSL-шифрование (HTTPS, FTPS, SMTP over SSL, шифрованные протоколы мессенджеров).

  • Можно ли разрешить использование только конкретной флешки для конкретного пользователя?

    Да, конечно. Белый список USB-устройств поддерживает авторизацию USB-устройств по производителю, модели и заводскому серийному номеру.

  • Можно ли как-то показывать сотруднику причину запрета передачи данных?

    Да, конечно. В DeviceLock есть возможность выводить соответствующие всплывающие сообщения в системном трее для ряда контролируемых каналов.

  • Поддерживает ли DeviceLock анализ файлов внутри архивов и документов?

    Да. DeviceLock анализирует архивы любого уровня вложенности. Если какой-то из вложенных архивов защищен паролем – можно блокировать отправку всего архива.

    Также DeviceLock анализирует файлы, вложенные в документы MS Office и Adobe PDF.

  • Позволяет ли DeviceLock шифровать флешки?

    Нет, такого функционала в продукте нет и не предполагается. Мы предпочитаем использовать возможности интеграции со сторонними криптографическими продуктами, хорошо зарекомендовавшими себя на рынке, не нагружая продукт избыточными для DLP функциями и не подвергая его необходимости лицензировать встроенные алгоритмы шифрования. DeviceLock позволяет устанавливать специальные "политики шифрования" для внешних подключаемых дисков, зашифрованных при помощи сторонних программных средств шифрования. Используя такие политики, возможно, например, разрешить запись только зашифрованных данных на съемные устройства и запретить запись незашифрованных данных. DeviceLock обнаруживает диски, созданные продуктами BitLocker To Go (встроенное в ОС Windows средство шифрования данных на съемных носителях) , ViPNet SafeDisk (продукт российской компании Инфотекс, сертифицирован ФСБ России как СКЗИ), PGP Whole Disk Encryption, TrueCrypt и другие.

    Подробный список поддерживаемых криптопродуктов приведен на странице описания (спецификации) продукта.

  • Контролируются ли сетевые принтеры?

    Да. DeviceLock контролирует локальные, сетевые и виртуальные принтеры, а также создает теневые копии печатаемых документов. Более того – DeviceLock обеспечивает контентный анализ и фильтрацию печатаемых на любых принтерах документов.

  • Сохраняются ли копии файлов, записыванных пользователями на флешки?

    Да, если это задано в DLP-политиках DeviceLock.

  • Можно ли контролировать содержимое файлов, записываемых пользователями на флешки?

    Да, компонент ContentLock позволяет применять методы контентного анализа и фильтрации при записи файлов на сьемные накопители.

  • Обеспечивает ли DeviceLock контроль в терминальных и виртуальных средах?

    Да. DeviceLock поддерживает MS RDP, RemoteFX, Citrix XenDesktop, Citrix XenApp, а также решения виртуализации от VMWare и Microsoft (Hyper-V).

    Подчеркнем, что DeviceLock не просто умеет работать в терминальных сессиях, но и имеет поддержку технологий Application Virtualization и Application Streaming от Citrix, что позволяет контролировать доступ любого приложения (любого пользователя посредством приложения) к любым каналам обмена информацией независимо от того, как это приложение было доставлено пользователю. Для этого достаточно установить Агент DeviceLock на компьютер, на котором выполняется исполняемый код приложения, и задать настройки доступа.

  • Может ли пользователь как-то обмануть DeviceLock?

    Смотря что понимать под обманом. Если пользователь ставит себе задачу во что бы то ни стало унести конфиденциальную информацию и обладает достаточно высокой квалификацией – то конечно же, при должном старании он такой способ найдет независимо от используемой DLP-системы. Для решения проблемы потенциальных утечек от злонамеренного инсайдера с высокой технической квалификацией следует использовать не только DLP-продукты, но и применять комплекс административно-технических мер.

    Если же пользователь хочет «упростить себе жизнь» и избавиться от неудобных для него блокировок личных устройств и каких-либо сетевых протоколов, и для этого будет пытаться изменить применяемую политику – то в случае с DeviceLock это будет невозможно, если, конечно, администратор использует соответствующий защитный функционал продукта.

  • Может ли пользователь с правами локального администратора отключить DeviceLock?

    Функция DeviceLock Administrators обеспечивает необходимый уровень защиты, даже если пользователи имеют административные привилегии на локальных компьютерах. Когда защита DeviceLock включена, никто, кроме авторизованных администраторов, не может подключиться к агенту, остановить или удалить его. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту.

    В качестве средств противодействия предусмотрены защита файлов и ключей реестра, используемых DeviceLock (в том числе применяемой DLP-политики), от неавторизованного воздействия; unhook-защита драйвера (защита от руткитов); автоматический мониторинг состояния агентов и применяемых на них политик с возможностью автоматической замены политики на эталонную.

    Разумеется, при этом предполагается, что выполнены необходимые примитивные технические меры по защите порядка загрузки операционной системы – нет возможности загрузиться с другого носителя и нет доступа к BIOS.

  • Что будет, если пользователь сделает скриншоты документа, а потом попытается все это записать на флешку?

    Чтобы сделать скриншот, пользователь использует стандартную функцию Windows PrintScreen и Clipboard (Буфер обмена) Windows. DeviceLock также позволяет селективно блокировать «снимки экрана», выполняемые стандартной функцией Windows, а также сторонними программами, для отдельных пользователей и групп пользователей.

    Чтобы предотвратить использование буфера обмена и скриншоты в том числе – воспользуйтесь функцией контроля буфера обмена. Политики контроля DeviceLock могут быть настроены для выборочной блокировки и аудита операций передачи данных через системный буфер между различными приложениями (например, из MS Word в MS Excel или в OpenOffice). Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне объектов и типов данных – включая файлы, текстовые данные, графические изображения, аудиофрагменты (например, записи, сделанные Windows Sound Recorder) и прочих.

  • Можно ли с помощью DeviceLock следить за пользователем (например, передавать администратору снимки экрана)?

    Нет, и более того - такая функция не предвидится в обозримом будущем. Есть все основания полагать, что таковой функционал не только не относится к задачам DLP-продуктов, но и потенциально опасен. Одна дело, когда служба безопасности осуществляет проверку содержимого переданных документов и данных, и совсем другое – когда офицер ИБ получает возможность доступа к открытым на экране данным, конфиденциальность которых может превышать уровень доверия к службе ИБ.

Установка и администрирование

 

  • Сколько компьютеров может контролировать один сервер DeviceLock?

    Поскольку серверные компоненты DeviceLock не несут на себе управляющей нагрузки, а сетевой трафик в отличие от многих других DLP-систем контролируется не на сервере, а непосредственно на рабочем компьютере пользователя, вопрос лишен смысла.

  • Какой максимум пользователей может быть под контролем DeviceLock?

    DeviceLock Endpoint DLP Suite может контролировать любое количество пользователей. Наиболее крупная инсталляция DeviceLock – это более 71 тысяч компьютеров в одной организации.

  • Есть ли в DeviceLock удаленное (централизованное) управление?

    Да, конечно. Развертывание агентов, управление политиками, обновление и удаление агентов – все эти функции можно выполнять удаленно, в т.ч. централизованно, с помощью консолей DeviceLock. Наиболее мощным и эффективным способом централизованного управления является использование групповых политик домена Windows.

  • Могу ли я установить DeviceLock автоматически (без вмешательства пользователя)?

    Да. Запустите установку DeviceLock с параметром "/s" (например, "c:\setup.exe /s"). Более подробно этот процесс описан в документации.

  • Могу ли я установить DeviceLock, если у меня нет привилегий администратора?

    Нет. Чтобы установить DeviceLock, необходимы привилегии администратора. Если вы собираетесь использовать DeviceLock в сети, вы также должны иметь привилегии администратора домена.

  • Каковы рекомендованные системные требования для оптимальной работы сервера DeviceLock Enterprise Server?

    Заранее определить, какие именно аппаратные ресурсы будут необходимы невозможно, так как это зависит от нагрузки на сервер (от типа информации, какие файлы и какого объема копируются пользователями, и т.д. ), от конфигурации и топологии\технологии сети (звезда, шина, Token Ring\оптоволокно, витая пара), от SQL сервера и других параметров. Какие именно ресурсы потребуются для оптимальной работы машины можно определить только в процессе тестирования конкретного случая.

    Есть возможность уменьшить требования к отдельным системам, распределив нагрузку на несколько компьютеров, как это описано в руководстве пользователя (раздел «Планирование инфраструктуры»). По мере возрастания нагрузки можно наращивать ресурсы. Какой из предложенных там вариантов лучше подойдет для вашей сети, решать только Вам.

    Тем не менее, существует рекомендуемая нагрузка на один DeviceLock Enterprise Server (далее просто "сервер"). Она составляет 100-150 агентов (DeviceLock Service), при условии, что в день от общего количества агентов приходит не более 10 ГБ данных (т.е. каждый агент передает в среднем не более 100 МБ данных). При этом скорость передачи данных по сети должна составлять не менее 100 мегабит.

    На компьютере, используемом для установки сервера, должно быть как минимум 1 ГБ оперативной памяти. На этот компьютер не рекомендуется ставить SQL Server. Однако, если по каким-то причинам принято решение об установке сервера и SQL Server на один компьютер, то этот компьютер должен иметь не менее 2 ГБ оперативной памяти, а сервер не должен обслуживать более 100 агентов.

    Рекомендуется хранить данные теневого копирования на диске, а не в базе SQL (для оптимальной работы сервера хранящего данные в базе SQL требуется в два раза больше оперативной памяти).

    Если требуется обработать более 150 агентов, рекомендуется установить второй сервер. При этом можно обойтись одним SQL Server, при условии, что он установлен на отдельном компьютере с 2ГБ и более оперативной памяти. В зависимости от нагрузки один SQL Server может обслуживать до 8-10 серверов (до 1000 агентов).

  • Нужно ли устанавливать агенты DeviceLock на клиентские рабочие станции?

    Да. Весь контроль доступа пользователей к устройствам, портам, сетевым протоколам осуществляется непосредственно в момент попытки вомпользоваться этими каналами передачи данных. Более того, контроль внешних устройств невозможен без локальной установки. Таким образом, установка агента на клиентские компьютеры является необходимым условием функционирования DLP-комплекса DeviceLock. При этом помните, пожалуйста, что консоли и серверные компоненты не требуют установки на каждый контролируемый компьютер.

  • Нужно ли устанавливать агенты на клиентские рабочие станции для контроля сетевых протоколов?

    Компонент NetworkLock, отвечающий за контроль и протоколирование сетевых протоколов, входит в состав агента DeviceLock и соответственно устанавливается вместе с агентом на контролируемые компьютеры.

  • Требуется ли перезагрузка компьютера после установки агента?

    Перезагрузка не требуется.

  • Есть ли поддержка групповых политик (group policy) домена Windows?

    Да. Более того – DeviceLock можно полностью встроить в групповые политики домена Windows. Это означает развертывание с помощью групповых политик (в том числе автоматическое при включении нового компьютера в домен), передачу политикам на защищаемые компьютеры в домене (объекты политик DeviceLock становятся объектами групповых политик), и, наконец, управление DeviceLock посредством консоли, встраиваемой в редактор групповых политик Windows. Агенты могут быть установлены на удаленные компьютеры с уже определенными политиками безопасности (настройками) путем развертывания специально созданного установочного пакета Microsoft Installer (MSI). Такой MSI-пакет создается администратором при помощи стандартной консоли управления DeviceLock. С помощью стандартной оснастки Resultant Set of Policy можно просмотреть применяемые в настоящий момент политики DeviceLock и проверить задаваемый набор политик, который будет применен после его распространения в сети.

    Управление DeviceLock с помощью средств Active Directory является наиболее удобным и эффективным способом для сетей любого масштаба.

  • Обязательно ли интегрировать DeviceLock с Active Directory и управлять системой через домен?

    Нет, это совершенно необязательно.

    DeviceLock может работать как в доменной сети, так и в сети без домена. Для случаев, когда использование домена по каким-либо причинам невозможно или его попросту нет, предусмотрена консоль с собственным интерфейсом - DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP (таких как Novell eDirectory, Open LDAP и т.п.).

  • Можно ли установить DeviceLock с помощью Microsoft Systems Management Server (SMS)?

    Да. Вы можете использовать спец. файлы (DevLock.pdf для SMS версии 1.x и DevLock.sms для SMS версии 2.0 и выше), поставляемые вместе с DeviceLock в архиве sms.zip.

  • Не конфликтует ли DeviceLock с антивирусами?

    Нет. Тем не менее, поскольку агент DeviceLock (его драйверная часть) функционирует на уровня ядра операционной системы (kernel mode), то существует потенциальная возможность конфликта с некоторыми антивирусами. В общем случае мы рекомендуем добавлять исполняемые файлы DeviceLock в число исключений антивирусов.

  • Можно ли установить DeviceLock на компьютеры с Mac OS X?

    Да, можно. Список поддерживаемых ОС можно посмотреть на странице описания (спецификации) продукта.

    Ограничения:

    •  На Mac можно установить исключительно агент DeviceLock Service, консоли и другие компоненты DeviceLock на Mac установлены быть не могут;

    •  Компоненты ContentLock и NetworkLock на данный момент не поддерживаются в агенте DeviceLock Service для Mac.

     

  • Какие порты нужно открыть на файерволе для дистанционного администрирования DeviceLock?

    Вы можете настроить DeviceLock на использование фиксированного порта (см.следующий вопрос), упрощая конфигурирование файервола. Если вы хотите использовать файервол для подключения через динамические порты, следуйте нижеприведенным инструкциям. Вам нужно открыть порты с 135 по 139 и все порты выше 1024 для входящих и исходящих соединений:

    •  Порт 135 (TCP) - для службы "Remote Procedure Call (RPC)"

    •  Порт 137 (UDP) - для службы "NetBIOS Name Service"

    •  Порт 138 (UDP) - для "NetBIOS Netlogon and Browsing"

    •  Порт 139 (TCP) - для "NetBIOS session (NET USE)"

    •  Порты выше 1024 (TCP) - для "RPC Communication"

     DeviceLock работает как любое другое стандартное средство администрирования Windows NT/2000/XP/Vista (например: Event Viewer, Computer Management и т.д.), поэтому если эти программы работают - DeviceLock будет работать тоже.

 

  • Как настроить агент DeviceLock Service на использование фиксированного порта для связи с консолями DeviceLock?

Агент DeviceLock по умолчанию использует для связи с консолями порт 9132 с тем, чтобы облегчить настройку файрволла. В том случае, если данный порт был недоступен при установке DeviceLock, выбирается случайный порт.

Чтобы настроить агент DeviceLock на использование фиксированного порта, необходимо:

1. Переустановить сервис DeviceLock, задав фиксированный TCP порт в процессе установки,

2. Либо открыть на компьютере, находящемся под управлением агента DeviceLock, редактор системного реестра и создать следующую запись:

•  Ключ (Key): HKEY_LOCAL_MACHINE\SOFTWARE\SmartLine Vision\DeviceLock

•  Имя (Name): ncacn_ip_tcp[номер порта]

•  Тип (Type): REG_SZ

•  Значение (Value): не используется (может быть пустым)

•  Номер порта - фиксированный номер порта TCP, который будет использоваться для связи между агентом DeviceLock и консолями DeviceLock;

 
По назначении порта перезапустите агент DeviceLock с тем, чтобы новые настройки вступили в силу.

Теперь, чтобы подключиться через консоли DeviceLock к компьютеру, на котором агент DeviceLock был настроен на использование фиксированного порта, после имени компьютера требуется указать заданный номер порта в квадратных скобках, например: имя_компьютера[номер_порта].

Помните, что при подключении к агенту DeviceLock с использованием фиксированного порта функция удалённой установки/обновления агента становится недоступной, т.е. Вы не сможете установить или обновить агент DeviceLock на удалённом компьютере без использования динамических портов. Также, просмотрщик журнала аудита (Audit Log Viewer) не будет работать в том случае, если порт 139 (TCP) будет закрыт файрволлом.

Лицензирование DeviceLock

 

  • Как считаются и сколько стоят лицензии на DeviceLock?

    Одна лицензия (Single-лицензия) дает вам право устанавливать и использовать DeviceLock (его агентскую часть - DeviceLock Service) только на одном компьютере. Чтобы установить и использовать DeviceLock на большем количестве компьютеров, необходимо приобрести соответствующее количество лицензий. ВАЖНО: Для NetworkLock и ContentLock также необходима лицензия на основной DeviceLock. Количествово лицензий ContentLock и NetworkLock должно быть таким же, как и основного DeviceLock.

    Лицензирование компонента DeviceLock Search Server несколько отличается: лицензия Search Server 50K позволяет поисковому серверу (DeviceLock Search Server в составе DeviceLock Content Security Server) индексировать (и искать) до 50000 документов из журналов теневого копирования, и до 250000 записей из каждого другого журнала. Чтобы индексировать (и искать) большее количество документов и/или записей, необходимо приобрести соответствующее количество лицензий.

    Важно: консоли управления и компонент DeviceLock Enterprise Server НЕ лицензируются, вы можете использовать их в любом количестве.

  • Я купил одну Single-лицензию, могу я использовать DeviceLock для защиты всех компьютеров?

    Одна Single-лицензия дает вам право использовать DeviceLock для защиты только одного компьютера. Если вы хотите использовать DeviceLock для защиты нескольких компьютеров, необходимо приобрести соответствующее количество лицензий. Помните, что модули ContentLock и NetworkLock лицензируются отдельно и требуют наличия лицензии на основной DeviceLock. Количество лицензий ContentLock и/или NetworkLock должно быть таким же, как и основного DeviceLock. Предусмотрена прогрессирующая скидка в зависимости от числа приобретаемых лицензий.

  • В чем смысл раздельного лицензирования компонентов DeviceLock Endpoint DLP Suite?

    Выборочное лицензирование модулей позволяет оптимальным образом удовлетворить требования организаций по защите от утечек данных с пользовательских компьютеров и серверов корпоративных информационных сетей и минимизировать расходы на приобретение и эксплуатацию DLP-решений. Опционально лицензируемые компоненты ContentLock, NetworkLock и DLSS могут приобретаться дополнительно к DeviceLock и независимо друг от друга, что обеспечивает пользователям поэтапное и экономное расширение функционала их DLP-решений в соответствии с ростом их потребностей. Поскольку инсталляционный пакет DeviceLock 7 включает все компоненты комплекса, активация опциональных лицензий не требует переустановки каких-либо его частей.

  • Как лицензируются и сколько стоят консоли управления и серверная часть DeviceLock?

    Все консоли управления DeviceLock, а также серверный компонент DeviceLock Enterprise Server НЕ лицензируются, вы можете использовать их в любом количестве. Обратите внимание, что все компоненты DeviceLock Endpoint DLP Suite входят в состав инсталяционного пакета, отдельно ни один компонент скачать нельзя. При установке вы сможете выбрать нужные компоненты.

  • Обязательно ли приобретать сервер СУБД MS SQL Server и можно ли купить его у вас?

    Если не планируется накапливать базу данных аудита и теневого копирования, превышающую 4 Гб, можно использовать бесплатную версию СУБД MS SQL Express. Он скачивается с сайта компании Microsoft: http://msdn.microsoft.com/ru-ru/evalcenter/hh230763.aspx

    Если же планируется, что база данных аудита и теневого копирования будет превышать 4 Гб, потребуется использовать полновесную версию SQL Server (http://www.microsoft.com/sqlserver/ru/ru/). ЗАО «Смарт Лайн Инк» не занимается реализацией продуктов третьих сторон, и приобрести MS SQL Server у нас невозможно.

  • Должен ли я покупать новую лицензию, когда выходит новая версия или обновление программы?

    Нет. Когда вы покупаете лицензию (любого типа), вы автоматически приобретаете право на все обновления программы, выпущенные в течение одного года с даты покупки.