So sánh các hệ thống DLP. Đánh giá hệ thống DLP trên thị trường toàn cầu và Nga

Về vấn đề Ngày nay, công nghệ thông tin là một thành phần quan trọng của bất kỳ tổ chức hiện đại nào. Nói một cách hình tượng, công nghệ thông tin là trái tim của doanh nghiệp, có chức năng duy trì hiệu quả hoạt động của doanh nghiệp, tăng hiệu quả và khả năng cạnh tranh trong điều kiện cạnh tranh hiện đại, khốc liệt. Hệ thống lập kế hoạch và phân tích đa chiều cho phép nhanh chóng thu thập thông tin, hệ thống hóa và nhóm thông tin, đẩy nhanh quá trình ra quyết định quản lý và đảm bảo tính minh bạch của các quy trình kinh doanh và kinh doanh cho ban quản lý và cổ đông. tài sản thông tin quan trọng của doanh nghiệp và hậu quả của việc rò rỉ thông tin này sẽ ảnh hưởng đến hiệu quả của tổ chức. Việc sử dụng các biện pháp bảo mật truyền thống ngày nay như phần mềm chống vi-rút và tường lửa, thực hiện chức năng bảo vệ tài sản thông tin khỏi các mối đe dọa từ bên ngoài, nhưng lại làm không đảm bảo việc bảo vệ tài sản thông tin khỏi bị rò rỉ, biến dạng hoặc phá hủy bởi kẻ tấn công nội bộ. Các mối đe dọa nội bộ đối với an ninh thông tin có thể vẫn bị bỏ qua hoặc, trong một số trường hợp, không được ban quản lý chú ý do thiếu hiểu biết về mức độ nghiêm trọng của các mối đe dọa này cho doanh nghiệp. Chính vì lý do này bảo vệ dữ liệu bí mật rất quan trọng ngày hôm nay. Về giải pháp Bảo vệ thông tin bí mật khỏi bị rò rỉ là một thành phần quan trọng trong tổ hợp bảo mật thông tin của tổ chức. Hệ thống DLP (hệ thống bảo vệ rò rỉ dữ liệu) được thiết kế để giải quyết vấn đề rò rỉ dữ liệu bí mật một cách vô tình và cố ý.

Hệ thống bảo vệ rò rỉ dữ liệu toàn diện (hệ thống DLP) là một tổ hợp phần mềm hoặc phần cứng-phần mềm nhằm ngăn chặn việc rò rỉ dữ liệu bí mật.

Nó được thực hiện bởi hệ thống DLP bằng các chức năng chính sau:

• Lọc lưu lượng trên tất cả các kênh truyền dữ liệu;
• Phân tích lưu lượng truy cập sâu ở cấp độ nội dung và bối cảnh.

Bảo vệ thông tin bí mật trong hệ thống DLP được thực hiện ở ba cấp độ: Dữ liệu đang chuyển động, Dữ liệu ở trạng thái nghỉ, Dữ liệu đang sử dụng.

Dữ liệu chuyển động– dữ liệu được truyền qua các kênh mạng:

• Web (giao thức HTTP/HTTPS);
• Internet - tin nhắn tức thời (ICQ, QIP, Skype, MSN, v.v.);
• Thư công ty và cá nhân (POP, SMTP, IMAP, v.v.);
• Hệ thống không dây (WiFi, Bluetooth, 3G, v.v.);
• Kết nối FTP.

Dữ liệu ở trạng thái nghỉ– Dữ liệu được lưu trữ tĩnh trên:

• May chủ;
• Máy trạm;
• Máy tính xách tay;
• Hệ thống lưu trữ dữ liệu (DSS).

Dữ liệu đang sử dụng– dữ liệu được sử dụng trên máy trạm.

Các biện pháp nhằm ngăn chặn rò rỉ thông tin gồm hai phần chính: tổ chức và kỹ thuật.

Bảo vệ thông tin bí mật bao gồm các biện pháp tổ chức để tìm kiếm và phân loại dữ liệu có sẵn trong công ty. Trong quá trình phân loại, dữ liệu được chia thành 4 loại:

• Thông tin bí mật;
• Thông tin bí mật;
• Thông tin để sử dụng chính thức;
• Thông tin công cộng.

Cách xác định thông tin bí mật trong hệ thống DLP.

Trong hệ thống DLP, thông tin bí mật có thể được xác định bởi một số đặc điểm khác nhau cũng như theo nhiều cách khác nhau, ví dụ:

• Phân tích thông tin ngôn ngữ;
• Phân tích thống kê thông tin;
• Biểu thức chính quy (mẫu);
• Phương pháp vân tay kỹ thuật số, v.v.

Sau khi thông tin đã được tìm thấy, nhóm lại và hệ thống hóa, phần tổ chức thứ hai tiếp theo - phần kỹ thuật.

Biện pháp kỹ thuật:
Việc bảo vệ thông tin bí mật bằng các biện pháp kỹ thuật dựa trên việc sử dụng chức năng và công nghệ của hệ thống để bảo vệ rò rỉ dữ liệu. Hệ thống DLP bao gồm hai mô-đun: mô-đun máy chủ và mô-đun mạng.

Mô-đun máy chủđược cài đặt trên máy trạm của người dùng và cung cấp quyền kiểm soát các hành động do người dùng thực hiện liên quan đến dữ liệu được phân loại (thông tin bí mật). Ngoài ra, mô-đun máy chủ cho phép bạn theo dõi hoạt động của người dùng theo nhiều thông số khác nhau, chẳng hạn như thời gian sử dụng Internet, ứng dụng đã khởi chạy, quy trình và đường dẫn dữ liệu, v.v.

mô-đun mạng thực hiện phân tích thông tin được truyền qua mạng và kiểm soát lưu lượng truy cập vượt ra ngoài hệ thống thông tin được bảo vệ. Nếu phát hiện thông tin bí mật trong lưu lượng truyền, mô-đun mạng sẽ dừng truyền dữ liệu.

Việc triển khai hệ thống DLP sẽ mang lại điều gì?

Sau khi triển khai hệ thống bảo vệ rò rỉ dữ liệu, công ty sẽ nhận được:

• Bảo vệ tài sản thông tin và thông tin chiến lược quan trọng của công ty;
• Dữ liệu có cấu trúc và hệ thống hóa trong tổ chức;
• Tính minh bạch của hoạt động kinh doanh và quy trình kinh doanh đối với các dịch vụ quản lý và bảo mật;
• Kiểm soát quá trình chuyển dữ liệu bí mật trong công ty;
• Giảm thiểu rủi ro liên quan đến mất mát, trộm cắp và phá hủy thông tin quan trọng;
• Bảo vệ chống lại phần mềm độc hại xâm nhập vào tổ chức từ bên trong;
• Lưu giữ mọi hoạt động liên quan đến việc di chuyển dữ liệu trong hệ thống thông tin;

Ưu điểm phụ của hệ thống DLP:

• Giám sát sự có mặt của nhân viên tại nơi làm việc;
• Tiết kiệm lưu lượng truy cập Internet;
• Tối ưu hóa mạng công ty;
• Kiểm soát các ứng dụng được người dùng sử dụng;
• Tăng hiệu quả làm việc của nhân viên.

Ngày nay, thị trường hệ thống DLP là một trong những thị trường phát triển nhanh nhất trong số tất cả các công cụ bảo mật thông tin. Tuy nhiên, Belarus vẫn chưa theo kịp xu hướng toàn cầu và do đó thị trường có DLP-Hệ thống ở nước ta có những đặc điểm riêng.

DLP là gì và chúng hoạt động như thế nào?

Trước khi nói về thị trường DLP -hệ thống, cần phải quyết định, nói đúng ra, có ý nghĩa gì khi nói về những quyết định đó. Dưới DLP - hệ thống thường được hiểu là các sản phẩm phần mềm bảo vệ tổ chức khỏi bị rò rỉ thông tin bí mật. Bản thân chữ viết tắt DLP là viết tắt của Phòng chống rò rỉ dữ liệu , tức là ngăn chặn rò rỉ dữ liệu.

Các hệ thống kiểu này tạo ra một “chu vi” kỹ thuật số an toàn xung quanh tổ chức, phân tích tất cả thông tin gửi đi và trong một số trường hợp là thông tin gửi đi. Thông tin được kiểm soát không chỉ là lưu lượng truy cập Internet mà còn là một số luồng thông tin khác: tài liệu được đưa ra ngoài vòng bảo mật được bảo vệ trên phương tiện bên ngoài, được in trên máy in, được gửi đến phương tiện di động qua Bluetooth, v.v.

Bởi vì DLP - hệ thống phải ngăn chặn rò rỉ thông tin bí mật, sau đó hệ thống phải có cơ chế tích hợp để xác định mức độ bảo mật của tài liệu được phát hiện trong lưu lượng truy cập bị chặn. Theo quy định, phổ biến nhất là hai phương pháp: bằng cách phân tích các dấu tài liệu đặc biệt và bằng cách phân tích nội dung của tài liệu. Tùy chọn thứ hai hiện phổ biến hơn vì nó có khả năng chống lại các sửa đổi được thực hiện đối với tài liệu trước khi nó được gửi và cũng cho phép bạn dễ dàng mở rộng số lượng tài liệu bí mật mà hệ thống có thể làm việc.

Nhiệm vụ "phụ" DLP

Ngoài nhiệm vụ chính liên quan đến việc ngăn chặn rò rỉ thông tin, DLP -hệ thống cũng rất phù hợp để giải quyết một số nhiệm vụ khác liên quan đến giám sát hành động của nhân sự. Thường xuyên nhất DLP -hệ thống được sử dụng để giải quyết các nhiệm vụ không cần thiết sau:

• Giám sát việc sử dụng thời gian làm việc và nguồn lực làm việc của người lao động;
• Giám sát thông tin liên lạc của nhân viên để xác định các cuộc đấu tranh “bí mật” có thể gây hại cho tổ chức;
• Giám sát tính hợp pháp của các hành động của nhân viên (ngăn chặn in tài liệu giả, v.v.);
• Xác định nhân viên gửi hồ sơ để nhanh chóng tìm kiếm chuyên gia cho các vị trí còn trống;

Do nhiều tổ chức coi một số nhiệm vụ này (đặc biệt là kiểm soát việc sử dụng thời gian làm việc) có mức độ ưu tiên cao hơn việc bảo vệ chống rò rỉ thông tin nên đã xuất hiện một số chương trình được thiết kế đặc biệt cho việc này, nhưng có thể trong một số trường hợp còn có tác dụng như một phương tiện bảo vệ tổ chức khỏi bị rò rỉ. Từ chính thức DLP -Các hệ thống như vậy được phân biệt bằng việc thiếu các công cụ phát triển để phân tích dữ liệu bị chặn, việc này phải được thực hiện thủ công bởi chuyên gia bảo mật thông tin, chỉ thuận tiện cho các tổ chức rất nhỏ (tối đa 10 nhân viên được kiểm soát). Tuy nhiên, vì những giải pháp này đang được yêu cầu ở Belarus nên chúng cũng được đưa vào bảng so sánh kèm theo bài viết này.

Phân loại hệ thống DLP

Tất cả các hệ thống DLP có thể được chia thành nhiều lớp chính theo một số đặc điểm. Dựa trên khả năng chặn thông tin được xác định là bí mật, các hệ thống có quyền kiểm soát chủ động và thụ động đối với hành động của người dùng được phân biệt. Cái trước có thể chặn thông tin được truyền đi, cái sau, do đó, không có khả năng này. Các hệ thống đầu tiên tốt hơn nhiều trong việc chống rò rỉ dữ liệu ngẫu nhiên, nhưng đồng thời có khả năng vô tình làm dừng các quy trình kinh doanh của tổ chức, trong khi các hệ thống thứ hai an toàn cho các quy trình kinh doanh nhưng chỉ phù hợp để chống rò rỉ hệ thống. Một cách phân loại khác của hệ thống DLP dựa trên kiến ​​trúc mạng của chúng. cống DLP chạy trên các máy chủ trung gian, trong khi máy chủ lưu trữ sử dụng các tác nhân chạy trực tiếp trên máy trạm của nhân viên. Ngày nay, tùy chọn phổ biến nhất là sử dụng các thành phần cổng và máy chủ cùng nhau.

Thị trường DLP toàn cầu

Hiện nay, những người chơi chính trên thị trường toàn cầu DLP -systems là các công ty được biết đến rộng rãi với các sản phẩm khác nhằm đảm bảo an ninh thông tin trong các tổ chức. Đây là, trước hết, Symantec, McAffee, TrendMicro, WebSense. Về tổng khối lượng thị trường toàn cầu DLP -các giải pháp ước tính trị giá 400 triệu USD, một con số khá cao so với cùng một thị trường chống vi-rút. Tuy nhiên, thị trường DLP đang cho thấy sự tăng trưởng nhanh chóng: trở lại năm 2009, con số này ước tính chỉ hơn 200 triệu.

Thị trường Belarus có ảnh hưởng rất lớn đến thị trường nước láng giềng phía đông là Nga, vốn đã khá lớn và trưởng thành. Những người tham gia chính ngày nay là các công ty Nga: Thông tinXem , "Hệ thống thông tin máy bay phản lực", SecurIT, SearchInform, Perimetrix và một số người khác. Tổng khối lượng của thị trường DLP Nga ước tính khoảng 12–15 triệu đô la. Đồng thời, nó đang phát triển với tốc độ tương tự như thế giới.

Theo các chuyên gia, xu hướng chính của những xu hướng này là sự chuyển đổi từ các hệ thống “bản vá”, bao gồm các thành phần từ nhiều nhà sản xuất khác nhau, mỗi nhà sản xuất giải quyết vấn đề riêng của mình, sang các hệ thống phần mềm tích hợp thống nhất. Lý do cho sự chuyển đổi này rất rõ ràng: các hệ thống tích hợp phức tạp giúp các chuyên gia bảo mật thông tin giảm bớt nhu cầu giải quyết các vấn đề về tính tương thích của các thành phần khác nhau của hệ thống “vá” với nhau, giúp dễ dàng thay đổi cài đặt ngay lập tức cho nhiều máy trạm khách trong các tổ chức, đồng thời cho phép bạn không gặp khó khăn khi truyền dữ liệu từ một thành phần của hệ thống tích hợp duy nhất sang hệ thống khác. Ngoài ra, việc các nhà phát triển chuyển sang các hệ thống tích hợp là do đặc thù của nhiệm vụ đảm bảo an ninh thông tin: xét cho cùng, nếu có thể không kiểm soát được ít nhất một kênh mà thông tin có thể bị rò rỉ, thì người ta không thể nói về vấn đề bảo mật của tổ chức từ loại này. của các mối đe dọa.

nhà sản xuất phương Tây DLP -các hệ thống tiếp cận thị trường của các nước CIS phải đối mặt với một số vấn đề liên quan đến việc hỗ trợ ngôn ngữ quốc gia (tuy nhiên, trong trường hợp của Belarus, việc nói về việc hỗ trợ tiếng Nga chứ không phải tiếng Belarus là thích hợp). Vì thị trường CIS rất thú vị đối với các nhà cung cấp phương Tây nên ngày nay họ đang tích cực làm việc để hỗ trợ tiếng Nga, đây là trở ngại chính cho sự phát triển thành công của họ trên thị trường.

Một xu hướng quan trọng khác trong lĩnh vực này DLP là sự chuyển đổi dần dần sang cấu trúc mô-đun, khi khách hàng có thể độc lập chọn các thành phần hệ thống mà mình cần (ví dụ: nếu hỗ trợ cho các thiết bị bên ngoài bị vô hiệu hóa ở cấp hệ điều hành thì không cần phải trả thêm tiền cho chức năng này). kiểm soát chúng). Vai trò quan trọng trong sự phát triển DLP -hệ thống cũng sẽ bị ảnh hưởng bởi đặc thù của ngành - chúng ta có thể mong đợi sự xuất hiện của các phiên bản đặc biệt của các hệ thống nổi tiếng, được điều chỉnh đặc biệt cho khu vực ngân hàng, cho các cơ quan chính phủ, v.v., tương ứng với nhu cầu của chính các tổ chức.

Nhân tố quan trọng ảnh hưởng tới sự phát triển DLP hệ thống, cũng là sự phổ biến của máy tính xách tay và netbook trong môi trường doanh nghiệp. Các đặc điểm cụ thể của máy tính xách tay (làm việc bên ngoài môi trường công ty, khả năng đánh cắp thông tin cùng với chính thiết bị, v.v.) buộc các nhà sản xuất phải DLP -hệ thống phát triển các phương pháp cơ bản mới để bảo vệ máy tính xách tay. Điều đáng chú ý là ngày nay chỉ có một số nhà cung cấp sẵn sàng cung cấp cho khách hàng chức năng giám sát máy tính xách tay và netbook bằng hệ thống DLP của họ.

Ứng dụng DLP tại Belarus

DLP ở Belarus -hệ thống được sử dụng ở một số lượng tương đối nhỏ các tổ chức, nhưng số lượng của chúng đã tăng lên đều đặn trước cuộc khủng hoảng. Tuy nhiên, được thu thập bằng cách sử dụng DLP -systems information, các tổ chức của Belarus không vội công khai thông tin, truy tố những nhân viên chịu trách nhiệm rò rỉ thông tin trước tòa. Mặc dù thực tế là luật pháp Belarus có các điều khoản cho phép trừng phạt những người phân phối bí mật công ty, nhưng đại đa số các tổ chức sử dụng DLP -các hệ thống muốn giới hạn mình trong các thủ tục tố tụng nội bộ và các biện pháp trừng phạt kỷ luật, và, phương sách cuối cùng, sa thải những nhân viên đã phạm tội đặc biệt quy mô lớn. Tuy nhiên, truyền thống “không giặt đồ vải bẩn ở nơi công cộng” là đặc điểm của toàn bộ không gian hậu Xô Viết, không giống như các nước phương Tây, nơi rò rỉ dữ liệu được báo cáo cho tất cả những người có thể phải chịu đựng điều đó.

Vadim STANKEVICH

Nếu chúng tôi khá nhất quán trong các định nghĩa của mình, chúng tôi có thể nói rằng bảo mật thông tin bắt đầu chính xác từ sự ra đời của hệ thống DLP. Trước đó, tất cả các sản phẩm liên quan đến “bảo mật thông tin” thực sự không được bảo vệ thông tin mà là cơ sở hạ tầng - nơi lưu trữ, truyền tải và xử lý dữ liệu. Máy tính, ứng dụng hoặc kênh lưu trữ, xử lý hoặc truyền thông tin nhạy cảm được các sản phẩm này bảo vệ giống như cơ sở hạ tầng xử lý thông tin vô hại. Nghĩa là, với sự ra đời của các sản phẩm DLP, các hệ thống thông tin cuối cùng đã học được cách phân biệt thông tin bí mật với thông tin không bí mật. Có lẽ, với việc tích hợp công nghệ DLP vào cơ sở hạ tầng thông tin, các công ty sẽ có thể tiết kiệm rất nhiều cho việc bảo vệ thông tin - ví dụ: chỉ sử dụng mã hóa trong trường hợp thông tin bí mật được lưu trữ hoặc truyền đi và không mã hóa thông tin trong các trường hợp khác.

Tuy nhiên, đây là vấn đề của tương lai và hiện tại, những công nghệ này được sử dụng chủ yếu để bảo vệ thông tin khỏi bị rò rỉ. Công nghệ phân loại thông tin là cốt lõi của hệ thống DLP. Mỗi nhà sản xuất coi các phương pháp phát hiện thông tin bí mật của mình là duy nhất, bảo vệ chúng bằng các bằng sáng chế và đưa ra các nhãn hiệu đặc biệt cho chúng. Xét cho cùng, các thành phần còn lại của kiến ​​trúc khác với các công nghệ này (bộ chặn giao thức, bộ phân tích định dạng, quản lý sự cố và lưu trữ dữ liệu) đều giống hệt nhau đối với hầu hết các nhà sản xuất và đối với các công ty lớn, chúng thậm chí còn được tích hợp với các sản phẩm bảo mật cơ sở hạ tầng thông tin khác. Về cơ bản, để phân loại dữ liệu trong các sản phẩm bảo vệ thông tin doanh nghiệp khỏi bị rò rỉ, hai nhóm công nghệ chính được sử dụng - phương pháp phân tích và thống kê ngôn ngữ (hình thái, ngữ nghĩa) (Dấu vân tay kỹ thuật số, DNA tài liệu, chống đạo văn). Mỗi công nghệ đều có điểm mạnh và điểm yếu riêng, quyết định phạm vi ứng dụng của nó.

Phân tích ngôn ngữ

Việc sử dụng các từ dừng (“bí mật”, “bí mật” và những thứ tương tự) để chặn các email gửi đi trong máy chủ thư có thể được coi là tiền thân của các hệ thống DLP hiện đại. Tất nhiên, điều này không bảo vệ khỏi những kẻ tấn công - việc loại bỏ từ dừng, thường được đặt trong một phần riêng biệt của tài liệu, không khó và ý nghĩa của văn bản sẽ không thay đổi chút nào.

Động lực cho sự phát triển của công nghệ ngôn ngữ được tạo ra vào đầu thế kỷ này bởi những người tạo ra bộ lọc email. Trước hết, để bảo vệ email khỏi thư rác. Hiện nay, các phương pháp danh tiếng đang chiếm ưu thế trong các công nghệ chống thư rác, nhưng vào đầu thế kỷ này đã xảy ra một cuộc chiến ngôn ngữ thực sự giữa đạn và áo giáp - kẻ gửi thư rác và kẻ chống thư rác. Bạn có nhớ các phương pháp đơn giản nhất để đánh lừa các bộ lọc dựa trên các từ dừng không? Thay thế các chữ cái bằng các chữ cái tương tự từ bảng mã hoặc số khác, phiên âm, khoảng trắng ngẫu nhiên, gạch chân hoặc ngắt dòng trong văn bản. Những người chống gửi thư rác nhanh chóng học cách đối phó với những thủ thuật như vậy, nhưng sau đó, thư rác đồ họa và các loại thư từ không mong muốn xảo quyệt khác xuất hiện.

Tuy nhiên, không thể sử dụng công nghệ chống thư rác trong các sản phẩm DLP nếu không có sự sửa đổi nghiêm túc. Suy cho cùng, để chống thư rác, việc chia luồng thông tin thành hai loại: thư rác và không thư rác là đủ. Phương pháp Bayes, được sử dụng để phát hiện thư rác, chỉ đưa ra kết quả nhị phân: “có” hoặc “không”. Điều này là không đủ để bảo vệ dữ liệu của công ty khỏi bị rò rỉ - bạn không thể đơn giản chia thông tin thành bí mật và không bí mật. Bạn cần có khả năng phân loại thông tin theo liên kết chức năng (tài chính, sản xuất, công nghệ, thương mại, tiếp thị) và trong các lớp - phân loại thông tin theo mức độ truy cập (để phân phối miễn phí, để truy cập hạn chế, để sử dụng chính thức, bí mật, tuyệt mật , và như thế).

Hầu hết các hệ thống phân tích ngôn ngữ hiện đại không chỉ sử dụng phân tích ngữ cảnh (nghĩa là trong ngữ cảnh nào, kết hợp với những từ khác mà một thuật ngữ cụ thể được sử dụng), mà còn sử dụng phân tích ngữ nghĩa của văn bản. Những công nghệ này hoạt động hiệu quả hơn khi mảnh được phân tích càng lớn. Việc phân tích được thực hiện chính xác hơn trên một đoạn văn bản lớn, đồng thời có nhiều khả năng xác định được danh mục và loại tài liệu hơn. Khi phân tích các tin nhắn ngắn (SMS, Internet Messenger), không có gì tốt hơn các từ dừng vẫn chưa được phát minh. Tác giả đã phải đối mặt với nhiệm vụ như vậy vào mùa thu năm 2008, khi hàng nghìn tin nhắn như “chúng tôi đang bị sa thải”, “họ sẽ tước giấy phép của chúng tôi”, “dòng người gửi tiền chảy ra” được gửi tới Internet từ nơi làm việc của nhiều ngân hàng thông qua tin nhắn tức thời, ngay lập tức bị chặn khỏi khách hàng của họ.

Ưu điểm của công nghệ

Ưu điểm của công nghệ ngôn ngữ là chúng làm việc trực tiếp với nội dung của tài liệu, nghĩa là đối với họ, tài liệu được tạo ra ở đâu và như thế nào, loại tem nào hoặc tệp được gọi là gì - tài liệu không quan trọng. được bảo vệ ngay lập tức. Điều này rất quan trọng, ví dụ như khi xử lý bản nháp của tài liệu bí mật hoặc để bảo vệ tài liệu đến. Nếu các tài liệu được tạo và sử dụng trong công ty bằng cách nào đó có thể được đặt tên, đóng dấu hoặc đánh dấu theo một cách cụ thể thì các tài liệu đến có thể có tem và nhãn không được tổ chức chấp nhận. Các bản nháp (tất nhiên trừ khi chúng được tạo trong hệ thống quản lý tài liệu an toàn) cũng có thể chứa thông tin bí mật, nhưng chưa có tem và nhãn cần thiết.

Một ưu điểm khác của công nghệ ngôn ngữ là khả năng học tập của chúng. Nếu bạn đã ít nhất một lần trong đời nhấp vào nút “Không phải thư rác” trong ứng dụng email của mình, thì bạn có thể hình dung ứng dụng khách là một phần của hệ thống đào tạo công cụ ngôn ngữ. Hãy để tôi lưu ý rằng bạn hoàn toàn không cần phải là một nhà ngôn ngữ học được chứng nhận và biết chính xác điều gì sẽ thay đổi trong cơ sở dữ liệu danh mục - chỉ cần cho hệ thống biết kết quả dương tính giả và nó sẽ tự thực hiện phần còn lại.

Ưu điểm thứ ba của công nghệ ngôn ngữ là khả năng mở rộng của chúng. Tốc độ xử lý thông tin tỷ lệ thuận với số lượng của nó và hoàn toàn không phụ thuộc vào số lượng danh mục. Cho đến gần đây, việc xây dựng cơ sở dữ liệu phân cấp theo danh mục (trước đây gọi là BKF - cơ sở dữ liệu lọc nội dung, nhưng tên này không còn phản ánh ý nghĩa thực sự) trông giống như một kiểu pháp sư của các nhà ngôn ngữ học chuyên nghiệp, vì vậy việc thiết lập BKF có thể dễ dàng được coi là một thiếu sót. Nhưng với việc phát hành một số sản phẩm “tự động ngôn ngữ” vào năm 2010, việc xây dựng cơ sở dữ liệu chính về các danh mục trở nên cực kỳ đơn giản - hệ thống hiển thị những nơi lưu trữ tài liệu của một danh mục nhất định và chính nó xác định các đặc điểm ngôn ngữ của danh mục này và trong trường hợp dương tính giả, nó sẽ tự đào tạo. Vì vậy, giờ đây việc dễ dàng cấu hình đã được thêm vào những lợi thế của công nghệ ngôn ngữ.

Và một ưu điểm nữa của công nghệ ngôn ngữ mà tôi muốn lưu ý trong bài viết đó là khả năng phát hiện các danh mục trong các luồng thông tin không liên quan đến tài liệu đặt trong công ty. Công cụ giám sát nội dung của luồng thông tin có thể xác định các danh mục như hoạt động bất hợp pháp (vi phạm bản quyền, phân phối hàng bị cấm), sử dụng cơ sở hạ tầng của công ty cho mục đích riêng, gây tổn hại đến hình ảnh của công ty (ví dụ: lan truyền tin đồn phỉ báng) và sớm.

Nhược điểm của công nghệ

Nhược điểm chính của công nghệ ngôn ngữ là sự phụ thuộc vào ngôn ngữ. Không thể sử dụng một công cụ ngôn ngữ được thiết kế cho một ngôn ngữ để phân tích ngôn ngữ khác. Điều này đặc biệt đáng chú ý khi các nhà sản xuất Mỹ thâm nhập thị trường Nga - họ chưa sẵn sàng đối mặt với sự hình thành từ tiếng Nga và sự hiện diện của sáu bảng mã. Việc dịch các danh mục và từ khóa sang tiếng Nga là chưa đủ - trong tiếng Anh, việc hình thành từ khá đơn giản và các trường hợp được đưa vào giới từ, nghĩa là khi trường hợp thay đổi, giới từ thay đổi chứ không phải chính từ đó. Hầu hết các danh từ trong tiếng Anh đều trở thành động từ mà không cần thay đổi từ. Và như thế. Trong tiếng Nga, mọi thứ không như vậy - một gốc có thể tạo ra hàng chục từ trong các phần khác nhau của lời nói.

Ở Đức, các nhà sản xuất công nghệ ngôn ngữ của Mỹ phải đối mặt với một vấn đề khác - cái gọi là “từ ghép”, từ ghép. Trong tiếng Đức, người ta thường gắn định nghĩa vào từ chính, dẫn đến những từ đôi khi bao gồm hàng chục gốc. Không có thứ như vậy trong tiếng Anh, trong đó một từ là một chuỗi các chữ cái nằm giữa hai dấu cách, vì vậy công cụ ngôn ngữ tiếng Anh không thể xử lý các từ dài không quen thuộc.

Công bằng mà nói, cần phải nói rằng những vấn đề này hiện nay phần lớn đã được các nhà sản xuất Mỹ giải quyết. Công cụ ngôn ngữ đã phải được thiết kế lại (và đôi khi được viết lại) khá nhiều, nhưng các thị trường lớn như Nga và Đức chắc chắn xứng đáng với điều đó. Việc xử lý văn bản đa ngôn ngữ bằng công nghệ ngôn ngữ cũng gặp khó khăn. Tuy nhiên, hầu hết các công cụ vẫn xử lý được hai ngôn ngữ, thường là ngôn ngữ quốc gia + tiếng Anh - đối với hầu hết các công việc kinh doanh, điều này là khá đủ. Mặc dù tác giả đã gặp phải các văn bản mật có chứa, chẳng hạn như tiếng Kazakh, tiếng Nga và tiếng Anh cùng một lúc, nhưng đây là ngoại lệ chứ không phải là quy luật.

Một nhược điểm khác của công nghệ ngôn ngữ trong việc kiểm soát toàn bộ thông tin bí mật của công ty là không phải tất cả thông tin bí mật đều ở dạng văn bản mạch lạc. Mặc dù trong cơ sở dữ liệu thông tin được lưu trữ ở dạng văn bản và không có vấn đề gì khi trích xuất văn bản từ DBMS, thông tin nhận được thường chứa tên riêng - tên đầy đủ, địa chỉ, tên công ty, cũng như thông tin kỹ thuật số - số tài khoản, thẻ tín dụng, số dư của họ, v.v. Việc xử lý dữ liệu đó bằng ngôn ngữ học sẽ không mang lại nhiều lợi ích. Điều tương tự cũng có thể nói về các định dạng CAD/CAM, tức là các bản vẽ thường chứa tài sản trí tuệ, mã chương trình và định dạng phương tiện (video/âm thanh) - một số văn bản có thể được trích xuất từ ​​​​chúng, nhưng quá trình xử lý chúng cũng không hiệu quả. Chỉ ba năm trước, điều này cũng được áp dụng cho các văn bản được quét, nhưng các nhà sản xuất hệ thống DLP hàng đầu đã nhanh chóng bổ sung tính năng nhận dạng quang học và giải quyết vấn đề này.

Nhưng thiếu sót lớn nhất và thường bị chỉ trích nhất của công nghệ ngôn ngữ vẫn là cách tiếp cận xác suất để phân loại. Nếu bạn đã từng đọc một email có danh mục "Có thể là SPAM", bạn sẽ hiểu ý tôi. Nếu điều này xảy ra với thư rác, nơi chỉ có hai danh mục (thư rác/không phải thư rác), bạn có thể tưởng tượng điều gì sẽ xảy ra khi hàng chục danh mục và lớp bảo mật được tải vào hệ thống. Mặc dù việc đào tạo hệ thống có thể đạt được độ chính xác 92-95%, nhưng đối với hầu hết người dùng, điều này có nghĩa là cứ mỗi một phần mười hoặc hai mươi chuyển động thông tin sẽ bị gán nhầm vào loại sai, với tất cả các hậu quả kinh doanh tiếp theo (rò rỉ hoặc gián đoạn một quy trình hợp pháp).

Thông thường, người ta không coi sự phức tạp của việc phát triển công nghệ là một bất lợi, nhưng không thể bỏ qua. Việc phát triển một công cụ ngôn ngữ nghiêm túc với việc phân loại văn bản thành nhiều hơn hai loại là một quá trình đòi hỏi nhiều kiến ​​thức và khá phức tạp về mặt công nghệ. Ngôn ngữ học ứng dụng là một ngành khoa học đang phát triển nhanh chóng, nhận được động lực phát triển mạnh mẽ nhờ sự phổ biến của tìm kiếm trên Internet, nhưng ngày nay trên thị trường chỉ có một số công cụ phân loại khả thi: đối với tiếng Nga chỉ có hai trong số đó, và đối với ngôn ngữ học ứng dụng. một số ngôn ngữ đơn giản là chúng chưa được phát triển. Do đó, chỉ có một số công ty trên thị trường DLP có thể phân loại đầy đủ thông tin một cách nhanh chóng. Có thể giả định rằng khi thị trường DLP phát triển lên quy mô hàng tỷ đô la, Google sẽ dễ dàng gia nhập. Với công cụ ngôn ngữ riêng, được thử nghiệm trên hàng nghìn tỷ truy vấn tìm kiếm trên hàng nghìn danh mục, sẽ không khó để anh ấy ngay lập tức giành được một phần quan trọng của thị trường này.

phương pháp thống kê

Nhiệm vụ tìm kiếm trên máy tính các trích dẫn quan trọng (tại sao chính xác là "có ý nghĩa" - muộn hơn một chút) đã khiến các nhà ngôn ngữ học quan tâm trở lại những năm 70 của thế kỷ trước, nếu không muốn nói là sớm hơn. Văn bản được chia thành nhiều phần có kích thước nhất định và một hàm băm được lấy từ mỗi phần đó. Nếu một chuỗi băm nhất định xảy ra trong hai văn bản cùng một lúc, thì khả năng cao là các văn bản trong các khu vực này trùng khớp với nhau.

Ví dụ, sản phẩm phụ của nghiên cứu trong lĩnh vực này là “niên đại thay thế” của Anatoly Fomenko, một học giả đáng kính, người đã nghiên cứu về “các mối tương quan văn bản” và từng so sánh biên niên sử Nga từ các giai đoạn lịch sử khác nhau. Ngạc nhiên vì biên niên sử của các thế kỷ khác nhau trùng khớp đến mức nào (hơn 60%), vào cuối những năm 70, ông đưa ra giả thuyết rằng niên đại của chúng ta ngắn hơn vài thế kỷ. Do đó, khi một số công ty DLP tham gia thị trường cung cấp “công nghệ mang tính cách mạng để tìm kiếm báo giá”, có thể nói rằng khả năng cao là công ty đó không tạo ra gì khác ngoài một thương hiệu mới.

Công nghệ thống kê xử lý văn bản không phải là một chuỗi từ mạch lạc mà là một chuỗi ký tự tùy ý, và do đó hoạt động tốt như nhau với văn bản ở bất kỳ ngôn ngữ nào. Vì bất kỳ đối tượng kỹ thuật số nào - có thể là hình ảnh hoặc chương trình - cũng là một chuỗi ký hiệu, nên các phương pháp tương tự có thể được sử dụng để phân tích không chỉ thông tin văn bản mà còn bất kỳ đối tượng kỹ thuật số nào. Và nếu giá trị băm trong hai tệp âm thanh khớp nhau thì một trong số chúng có thể chứa trích dẫn từ tệp kia, vì vậy, phương pháp thống kê là phương tiện hiệu quả để bảo vệ chống rò rỉ âm thanh và video, được sử dụng tích cực trong các studio âm nhạc và công ty điện ảnh.

Đã đến lúc quay lại khái niệm "một câu trích dẫn có ý nghĩa". Đặc điểm chính của hàm băm phức tạp được lấy từ một đối tượng được bảo vệ (trong các sản phẩm khác nhau được gọi là Dấu vân tay kỹ thuật số hoặc DNA tài liệu) là bước thực hiện hàm băm. Như có thể hiểu từ mô tả, “bản in” như vậy là một đặc điểm riêng của đối tượng, đồng thời có kích thước riêng. Điều này rất quan trọng vì nếu bạn in từ hàng triệu tài liệu (bằng dung lượng lưu trữ của một ngân hàng trung bình), bạn sẽ cần đủ dung lượng ổ đĩa để lưu trữ tất cả các bản in. Kích thước của dấu vân tay như vậy phụ thuộc vào bước băm - bước càng nhỏ thì dấu vân tay càng lớn. Nếu bạn lấy hàm băm theo gia số một ký tự, kích thước của dấu vân tay sẽ vượt quá kích thước của chính mẫu đó. Nếu bạn tăng kích thước bước (ví dụ: 10.000 ký tự) để giảm “trọng lượng” của dấu vân tay, thì đồng thời xác suất tăng lên là tài liệu chứa trích dẫn từ một mẫu dài 9.900 ký tự sẽ được bảo mật nhưng sẽ bị trượt. qua mà không được chú ý.

Mặt khác, nếu bạn thực hiện một bước rất nhỏ, một vài ký hiệu, để tăng độ chính xác của việc phát hiện thì bạn có thể tăng số lượng kết quả dương tính giả lên giá trị không thể chấp nhận được. Về mặt văn bản, điều này có nghĩa là bạn không nên xóa hàm băm khỏi mỗi chữ cái - tất cả các từ đều bao gồm các chữ cái và hệ thống sẽ lấy sự hiện diện của các chữ cái trong văn bản làm nội dung trích dẫn từ văn bản mẫu. Thông thường, bản thân các nhà sản xuất đề xuất một số bước tối ưu để loại bỏ giá trị băm sao cho kích thước của báo giá vừa đủ, đồng thời trọng lượng của bản in nhỏ - từ 3% (văn bản) đến 15% (video nén). Ở một số sản phẩm, nhà sản xuất cho phép bạn thay đổi kích thước của ý nghĩa báo giá, tức là tăng hoặc giảm bước băm.

Ưu điểm của công nghệ

Như bạn có thể hiểu từ mô tả, để phát hiện một trích dẫn, bạn cần một đối tượng mẫu. Và các phương pháp thống kê có thể cho biết với độ chính xác cao (lên tới 100%) liệu tệp đang được kiểm tra có chứa trích dẫn quan trọng từ mẫu hay không. Tức là hệ thống không chịu trách nhiệm phân loại tài liệu - công việc đó hoàn toàn phụ thuộc vào lương tâm của người phân loại hồ sơ trước khi lấy dấu vân tay. Điều này hỗ trợ rất nhiều cho việc bảo vệ thông tin nếu doanh nghiệp lưu trữ các tệp đã được phân loại và thay đổi không thường xuyên ở một số nơi. Sau đó, chỉ cần lấy dấu vân tay từ mỗi tệp này là đủ và theo cài đặt, hệ thống sẽ chặn việc truyền hoặc sao chép các tệp có chứa các trích dẫn quan trọng từ các mẫu.

Tính độc lập của phương pháp thống kê với ngôn ngữ văn bản và thông tin phi văn bản cũng là một lợi thế không thể phủ nhận. Chúng rất giỏi trong việc bảo vệ các đối tượng kỹ thuật số tĩnh thuộc bất kỳ loại nào - hình ảnh, âm thanh/video, cơ sở dữ liệu. Tôi sẽ nói về việc bảo vệ các đối tượng động ở phần “nhược điểm”.

Nhược điểm của công nghệ

Giống như trường hợp của ngôn ngữ học, nhược điểm của công nghệ cũng chính là mặt trái của ưu điểm. Sự dễ dàng trong việc đào tạo hệ thống (chỉ ra tệp cho hệ thống và nó đã được bảo vệ) chuyển trách nhiệm đào tạo hệ thống sang người dùng. Nếu đột nhiên một tệp bí mật bị đặt sai vị trí hoặc không được lập chỉ mục do sơ suất hoặc mục đích xấu thì hệ thống sẽ không bảo vệ tệp đó. Theo đó, các công ty quan tâm đến việc bảo vệ thông tin bí mật khỏi bị rò rỉ phải cung cấp quy trình kiểm soát cách hệ thống DLP lập chỉ mục các tệp bí mật.

Một nhược điểm khác là kích thước vật lý của bản in. Tác giả đã nhiều lần chứng kiến ​​​​các dự án thí điểm ấn tượng trên bản in khi hệ thống DLP với xác suất 100% chặn việc chuyển các tài liệu có chứa các trích dẫn quan trọng từ ba trăm tài liệu mẫu. Tuy nhiên, sau một năm vận hành hệ thống ở chế độ chiến đấu, dấu vân tay của mỗi lá thư gửi đi được so sánh không phải với ba trăm mà với hàng triệu dấu vân tay mẫu, điều này làm chậm đáng kể hoạt động của hệ thống thư, gây ra sự chậm trễ hàng chục phút. .

Như tôi đã hứa ở trên, tôi sẽ mô tả kinh nghiệm của mình trong việc bảo vệ các đối tượng động bằng phương pháp thống kê. Thời gian lấy dấu vân tay trực tiếp phụ thuộc vào kích thước và định dạng tệp. Đối với một tài liệu văn bản như bài viết này thì chỉ mất một phần nhỏ của một giây, đối với một bộ phim MP4 dài một tiếng rưỡi thì phải mất hàng chục giây. Đối với các tệp hiếm khi thay đổi, điều này không quan trọng, nhưng nếu một đối tượng thay đổi mỗi phút hoặc thậm chí một giây thì sẽ phát sinh một vấn đề: sau mỗi lần thay đổi đối tượng, một dấu vân tay mới cần được lấy từ nó... Mã đó lập trình viên đang làm việc không phải là vấn đề phức tạp nhất, nó còn tệ hơn nhiều với cơ sở dữ liệu được sử dụng trong thanh toán, ngân hàng lõi hoặc trung tâm cuộc gọi. Nếu thời gian lấy dấu vân tay lâu hơn thời gian đối tượng không thay đổi thì vấn đề không có lời giải. Đây không phải là một trường hợp kỳ lạ - ví dụ: dấu vân tay của cơ sở dữ liệu lưu trữ số điện thoại của khách hàng của một nhà khai thác di động liên bang phải mất vài ngày để lấy được nhưng thay đổi mỗi giây. Vì vậy, khi một nhà cung cấp DLP tuyên bố rằng sản phẩm của họ có thể bảo vệ cơ sở dữ liệu của bạn, hãy thêm từ “gần như tĩnh”.

Sự thống nhất và đấu tranh của các mặt đối lập

Như có thể thấy ở phần trước của bài viết, sức mạnh của công nghệ này thể hiện ở điểm yếu của công nghệ khác. Ngôn ngữ học không cần mẫu, nó phân loại dữ liệu một cách nhanh chóng và có thể bảo vệ thông tin chưa được lấy dấu vân tay, dù vô tình hay cố ý. Dấu vân tay cho độ chính xác tốt hơn và do đó thích hợp hơn để sử dụng ở chế độ tự động. Ngôn ngữ học hoạt động tốt với văn bản, dấu vân tay hoạt động tốt với các định dạng lưu trữ thông tin khác.

Do đó, hầu hết các công ty hàng đầu đều sử dụng cả hai công nghệ trong quá trình phát triển của mình, một trong số đó là công nghệ chính và công nghệ còn lại là bổ sung. Điều này là do ban đầu các sản phẩm của công ty chỉ sử dụng một công nghệ, sau đó công ty đã tiến bộ hơn nữa và sau đó, theo nhu cầu thị trường, công nghệ thứ hai đã được kết nối. Ví dụ: trước đây InfoWatch chỉ sử dụng công nghệ ngôn ngữ Morph-OLogic được cấp phép và Websense sử dụng công nghệ PrecisionID, thuộc danh mục Dấu vân tay kỹ thuật số, nhưng giờ đây các công ty sử dụng cả hai phương pháp. Lý tưởng nhất là hai công nghệ này không nên được sử dụng song song mà tuần tự. Ví dụ: dấu vân tay sẽ thực hiện công việc xác định loại tài liệu tốt hơn - ví dụ: đó là hợp đồng hay bảng cân đối kế toán. Sau đó, bạn có thể kết nối cơ sở dữ liệu ngôn ngữ được tạo riêng cho danh mục này. Điều này giúp tiết kiệm đáng kể tài nguyên máy tính.

Một số loại công nghệ khác được sử dụng trong các sản phẩm DLP nằm ngoài phạm vi của bài viết này. Ví dụ, chúng bao gồm một bộ phân tích cấu trúc cho phép bạn tìm các cấu trúc chính thức trong các đối tượng (số thẻ tín dụng, hộ chiếu, mã số thuế, v.v.) mà không thể phát hiện được bằng ngôn ngữ học hoặc dấu vân tay. Ngoài ra, chủ đề về các loại nhãn khác nhau không được đề cập đến - từ các mục trong trường thuộc tính của tệp hoặc đơn giản là tên đặc biệt cho tệp cho đến các thùng chứa mật mã đặc biệt. Công nghệ thứ hai đang trở nên lỗi thời, vì hầu hết các nhà sản xuất không muốn tự mình phát minh lại bánh xe mà muốn tích hợp với các nhà sản xuất hệ thống DRM, chẳng hạn như Oracle IRM hoặc Microsoft RMS.

Các sản phẩm DLP là một lĩnh vực bảo mật thông tin đang phát triển nhanh chóng; một số nhà sản xuất phát hành phiên bản mới rất thường xuyên, hơn một lần mỗi năm. Chúng tôi mong muốn sự xuất hiện của các công nghệ mới để phân tích lĩnh vực thông tin của doanh nghiệp nhằm tăng hiệu quả bảo vệ thông tin bí mật.

Trước khi nghiên cứu và thảo luận chi tiết về thị trường hệ thống DLP, bạn cần quyết định điều này có nghĩa là gì. Hệ thống DLP thường có nghĩa là các sản phẩm phần mềm được tạo ra để bảo vệ các tổ chức và doanh nghiệp khỏi bị rò rỉ thông tin mật. Đây là cách bản thân từ viết tắt DLP được dịch sang tiếng Nga (đầy đủ - Phòng chống rò rỉ dữ liệu) - “tránh rò rỉ dữ liệu”.

Những hệ thống như vậy có khả năng tạo ra một “chu vi” an toàn kỹ thuật số để phân tích tất cả thông tin gửi đi hoặc đến. Thông tin được hệ thống này kiểm soát là lưu lượng truy cập Internet và nhiều luồng thông tin: tài liệu được đưa ra ngoài “chu vi” được bảo vệ trên phương tiện bên ngoài, được in trên máy in, gửi đến thiết bị di động qua Bluetooth. Vì ngày nay việc gửi và trao đổi nhiều loại thông tin khác nhau là nhu cầu tất yếu nên tầm quan trọng của việc bảo vệ đó là hiển nhiên. Càng sử dụng nhiều công nghệ kỹ thuật số và internet thì càng cần nhiều đảm bảo an ninh hàng ngày, đặc biệt là trong môi trường doanh nghiệp.

Làm thế nào nó hoạt động?

Vì hệ thống DLP phải chống lại sự rò rỉ thông tin bí mật của công ty nên tất nhiên nó có các cơ chế tích hợp để chẩn đoán mức độ bảo mật của bất kỳ tài liệu nào được tìm thấy trong lưu lượng truy cập bị chặn. Trong trường hợp này, có hai cách phổ biến để nhận biết mức độ bảo mật của tệp: bằng cách kiểm tra các dấu hiệu đặc biệt và bằng cách phân tích nội dung.

Hiện tại, tùy chọn thứ hai có liên quan. Nó có khả năng chống lại các sửa đổi có thể được thực hiện đối với tệp tốt hơn trước khi nó được gửi và cũng giúp dễ dàng mở rộng số lượng tài liệu bí mật mà hệ thống có thể làm việc.

Nhiệm vụ DLP phụ

Ngoài chức năng chính là ngăn chặn rò rỉ thông tin, hệ thống DLP còn phù hợp để giải quyết nhiều nhiệm vụ khác nhằm giám sát hành động của nhân sự. Thông thường, hệ thống DLP giải quyết một số vấn đề sau:

• toàn quyền kiểm soát việc sử dụng thời gian làm việc cũng như nguồn lực làm việc của nhân viên tổ chức;
• giám sát thông tin liên lạc của nhân viên để phát hiện khả năng họ gây hại cho tổ chức;
• kiểm soát hành động của nhân viên về mặt tính hợp pháp (ngăn chặn việc sản xuất tài liệu giả);
• xác định nhân viên gửi hồ sơ để nhanh chóng tìm được nhân sự cho vị trí còn trống.

Phân loại và so sánh các hệ thống DLP

Tất cả các hệ thống DLP hiện có có thể được chia theo các đặc điểm nhất định thành nhiều loại phụ chính, mỗi loại sẽ nổi bật và có những ưu điểm riêng so với các loại khác.

Nếu có thể chặn thông tin được coi là bí mật, thì sẽ có những hệ thống giám sát liên tục chủ động hoặc thụ động hành động của người dùng. Hệ thống đầu tiên có thể chặn thông tin được truyền đi, không giống như hệ thống thứ hai. Họ cũng có khả năng xử lý thông tin tình cờ được truyền sang một bên tốt hơn nhiều, nhưng đồng thời họ có thể dừng các quy trình kinh doanh hiện tại của công ty, đây không phải là chất lượng tốt nhất của họ so với các quy trình sau.

Một cách phân loại khác của hệ thống DLP có thể được thực hiện dựa trên kiến ​​trúc mạng của chúng. Cổng DLP hoạt động trên các máy chủ trung gian. Ngược lại, máy chủ sử dụng các tác nhân hoạt động cụ thể trên các máy trạm của nhân viên. Hiện tại, một lựa chọn phù hợp hơn là sử dụng đồng thời các thành phần máy chủ và cổng, nhưng tùy chọn trước đây có những ưu điểm nhất định.

Thị trường DLP hiện đại toàn cầu

Hiện tại, các vị trí chính trên thị trường hệ thống DLP toàn cầu đang do các công ty nổi tiếng rộng rãi trong lĩnh vực này chiếm giữ. Chúng bao gồm Symantec, TrendMicro, McAffee, WebSense.

Symantec

Symantec vẫn duy trì vị trí dẫn đầu trên thị trường DLP, mặc dù thực tế này rất đáng ngạc nhiên vì nhiều công ty khác có thể thay thế nó. Giải pháp vẫn bao gồm các thành phần mô-đun cho phép nó cung cấp các khả năng mới nhất được thiết kế để tích hợp hệ thống DLP với các công nghệ tốt nhất. Lộ trình công nghệ cho năm nay được biên soạn bằng cách sử dụng thông tin từ khách hàng của chúng tôi và ngày nay là lộ trình tiến bộ nhất hiện có trên thị trường. Tuy nhiên, đây không phải là sự lựa chọn tốt nhất của hệ thống DLP.

Điểm mạnh:

• những cải tiến đáng kể đối với công nghệ DLP nhận biết nội dung dành cho thiết bị di động;
• Cải thiện khả năng truy xuất nội dung để hỗ trợ cách tiếp cận toàn diện hơn;
• cải thiện khả năng tích hợp DLP với các sản phẩm khác của Symantec (ví dụ nổi bật nhất là Data Insight).

Những điều bạn cần chú ý (nhược điểm quan trọng trong công việc đáng suy nghĩ):

• mặc dù lộ trình công nghệ của Symantec được coi là tiến bộ nhưng việc triển khai nó thường gặp trở ngại;
• Mặc dù bảng điều khiển quản lý có đầy đủ chức năng nhưng nó không có tính cạnh tranh như Symantec tuyên bố;
• Thông thường khách hàng của hệ thống này phàn nàn về thời gian phản hồi của dịch vụ hỗ trợ;
• giá của giải pháp này vẫn cao hơn đáng kể so với thiết kế của đối thủ cạnh tranh, theo thời gian có thể chiếm vị trí dẫn đầu nhờ những thay đổi nhỏ trong hệ thống này.

Websense

Trong vài năm qua, các nhà phát triển đã thường xuyên cải tiến việc cung cấp DLP của Websense. Nó có thể được coi là một giải pháp đầy đủ chức năng một cách an toàn. Websense đã cung cấp cho người dùng hiện đại những khả năng nâng cao.

Các bên thắng cuộc:

• Đề xuất của Websense là sử dụng giải pháp DLP đầy đủ tính năng hỗ trợ điểm cuối và khám phá dữ liệu.
• Sử dụng chức năng DLP nhỏ giọt, có thể phát hiện rò rỉ thông tin dần dần kéo dài khá lâu.

Điều đáng được quan tâm đặc biệt:

• Bạn chỉ có thể chỉnh sửa dữ liệu khi đang nghỉ ngơi.
• Bản đồ công nghệ được đặc trưng bởi năng lượng thấp.

McAfee DLP

Hệ thống bảo mật McAfee DLP cũng đã trải qua nhiều thay đổi tích cực. Nó không được đặc trưng bởi sự hiện diện của các chức năng đặc biệt, nhưng việc thực hiện các khả năng cơ bản được tổ chức ở mức cao. Sự khác biệt chính, ngoài việc tích hợp với các sản phẩm bảng điều khiển McAfee ePolicy Orchestrator (EPO) khác, là việc sử dụng công nghệ lưu trữ trong cơ sở dữ liệu tập trung về dữ liệu đã thu thập. Khung này có thể được sử dụng để tối ưu hóa các quy tắc mới nhằm kiểm tra các kết quả dương tính giả và giảm thời gian triển khai.

Điều gì thu hút bạn nhất về giải pháp này?

Quản lý sự cố có thể dễ dàng được gọi là thế mạnh của giải pháp McAfee. Với sự trợ giúp của nó, các tài liệu và nhận xét được đính kèm hứa hẹn mang lại lợi ích khi làm việc ở mọi cấp độ. Giải pháp này có thể phát hiện nội dung không phải văn bản, chẳng hạn như hình ảnh. Các hệ thống DLP có thể triển khai giải pháp mới từ nhà phát triển này để bảo vệ các điểm cuối, chẳng hạn như độc lập.

Các chức năng nhằm phát triển nền tảng, được thể hiện dưới dạng thiết bị liên lạc di động và mạng xã hội, đã hoạt động khá tốt. Điều này cho phép họ đánh bại các giải pháp cạnh tranh. Các quy tắc mới được phân tích thông qua cơ sở dữ liệu chứa thông tin đã thu thập, giúp giảm số lượng kết quả dương tính giả và tăng tốc độ thực hiện các quy tắc. McAfee DLP cung cấp chức năng cốt lõi trong môi trường ảo. Các kế hoạch liên quan đến sự phát triển của họ vẫn chưa được xây dựng rõ ràng.

Triển vọng và hệ thống DLP hiện đại

Tổng quan về các giải pháp khác nhau được trình bày ở trên cho thấy rằng tất cả chúng đều hoạt động theo cùng một cách. Theo các chuyên gia, xu hướng phát triển chính là các hệ thống “vá” chứa các thành phần của một số nhà sản xuất liên quan đến việc giải quyết các vấn đề cụ thể sẽ được thay thế bằng gói phần mềm tích hợp. Quá trình chuyển đổi này sẽ được thực hiện do nhu cầu giảm bớt các chuyên gia giải quyết một số vấn đề nhất định. Ngoài ra, các hệ thống DLP hiện có, các hệ thống tương tự không thể cung cấp mức độ bảo vệ tương tự, sẽ không ngừng được cải tiến.

Ví dụ, thông qua các hệ thống tích hợp phức tạp, khả năng tương thích của nhiều loại thành phần hệ thống “vá” với nhau sẽ được xác định. Điều này sẽ tạo điều kiện dễ dàng thay đổi cài đặt cho các trạm khách hàng quy mô lớn trong các tổ chức, đồng thời không gặp khó khăn khi truyền dữ liệu từ các thành phần của một hệ thống tích hợp duy nhất sang nhau. Các nhà phát triển hệ thống tích hợp đang tăng cường tính đặc thù của các nhiệm vụ nhằm đảm bảo an ninh thông tin. Không được để một kênh nào không được kiểm soát vì nó thường là nguồn có thể gây rò rỉ thông tin.

Điều gì sẽ xảy ra trong tương lai gần?

Các nhà sản xuất phương Tây đang cố gắng chiếm lĩnh thị trường hệ thống DLP ở các nước CIS đã phải đối mặt với các vấn đề liên quan đến việc hỗ trợ ngôn ngữ quốc gia. Họ khá tích cực quan tâm đến thị trường của chúng tôi, vì vậy họ cố gắng hỗ trợ tiếng Nga.

Ngành công nghiệp DLP đang hướng tới một cấu trúc mô-đun. Khách hàng sẽ có cơ hội lựa chọn độc lập các thành phần hệ thống mà họ yêu cầu. Ngoài ra, việc phát triển và triển khai hệ thống DLP phụ thuộc vào đặc thù của ngành. Rất có thể, các phiên bản đặc biệt của các hệ thống nổi tiếng sẽ xuất hiện, việc điều chỉnh chúng sẽ phụ thuộc vào hoạt động trong lĩnh vực ngân hàng hoặc các cơ quan chính phủ. Các yêu cầu liên quan của các tổ chức cụ thể sẽ được tính đến ở đây.

An ninh doanh nghiệp

Việc sử dụng laptop trong môi trường doanh nghiệp có tác động trực tiếp tới định hướng phát triển của hệ thống DLP. Loại máy tính xách tay này có nhiều lỗ hổng hơn, cần được tăng cường bảo vệ. Do tính chất cụ thể của máy tính xách tay (khả năng bị đánh cắp thông tin và bản thân thiết bị), các nhà sản xuất hệ thống DLP đang phát triển các phương pháp mới để đảm bảo an ninh cho máy tính xách tay.

Ngay cả những thuật ngữ CNTT thời thượng nhất cũng phải được sử dụng phù hợp và chính xác nhất có thể. Ít nhất là để không đánh lừa người tiêu dùng. Việc coi mình là nhà sản xuất giải pháp DLP chắc chắn đã trở thành mốt. Ví dụ, tại triển lãm CeBIT-2008 gần đây, người ta thường thấy dòng chữ “Giải pháp DLP” trên khán đài của các nhà sản xuất không chỉ các phần mềm chống vi-rút và máy chủ proxy ít được biết đến trên thế giới mà còn cả tường lửa. Đôi khi có cảm giác rằng ở góc tiếp theo, bạn có thể nhìn thấy một loại đầu phun CD nào đó (một chương trình điều khiển việc mở ổ đĩa CD) với khẩu hiệu đáng tự hào về giải pháp DLP dành cho doanh nghiệp. Và, thật kỳ lạ, mỗi nhà sản xuất này, theo quy luật, đều có lời giải thích ít nhiều hợp lý cho việc định vị sản phẩm của họ như vậy (một cách tự nhiên, bên cạnh mong muốn nhận được “lợi ích” từ một thuật ngữ thời thượng).

Trước khi xem xét thị trường của các nhà sản xuất hệ thống DLP và những người chơi chính của nó, chúng ta nên quyết định ý nghĩa của hệ thống DLP. Đã có nhiều nỗ lực để định nghĩa loại hệ thống thông tin này: ILD&P - Information Leakage Development & Prevention ("xác định và ngăn chặn rò rỉ thông tin", thuật ngữ này được IDC đề xuất năm 2007), ILP - Information Leakage Protection ("bảo vệ chống lại thông tin"). rò rỉ”, Forrester , 2006), ALS - Phần mềm chống rò rỉ (“phần mềm chống rò rỉ”, E&Y), Giám sát và lọc nội dung (CMF, Gartner), Hệ thống ngăn chặn đùn (tương tự như hệ thống ngăn chặn xâm nhập).

Tuy nhiên, cái tên DLP - Ngăn chặn mất dữ liệu (hoặc Ngăn chặn rò rỉ dữ liệu, bảo vệ chống rò rỉ dữ liệu), được đề xuất vào năm 2005, tuy nhiên đã trở thành một thuật ngữ được sử dụng phổ biến. hệ thống bảo vệ bí mật” đã được thông qua dữ liệu từ các mối đe dọa nội bộ.” Đồng thời, các mối đe dọa nội bộ được hiểu là sự lạm dụng (cố ý hoặc vô tình) của nhân viên của một tổ chức, những người có quyền hợp pháp để truy cập dữ liệu liên quan và quyền hạn của họ.

Các tiêu chí hài hòa và nhất quán nhất để thuộc về hệ thống DLP đã được cơ quan nghiên cứu Forrester Research đưa ra trong nghiên cứu hàng năm của họ về thị trường này. Họ đề xuất bốn tiêu chí theo đó một hệ thống có thể được phân loại là DLP. 1.

Đa kênh. Hệ thống phải có khả năng giám sát một số kênh rò rỉ dữ liệu có thể xảy ra. Trong môi trường mạng, đây ít nhất là e-mail, Web và IM (tin nhắn tức thời) chứ không chỉ quét lưu lượng thư hoặc hoạt động cơ sở dữ liệu. Trên máy trạm - giám sát các hoạt động của tệp, làm việc với khay nhớ tạm, cũng như kiểm soát e-mail, Web và IM. 2.

Quản lý thống nhất. Hệ thống phải có các công cụ quản lý chính sách bảo mật thông tin thống nhất, phân tích và báo cáo sự kiện trên tất cả các kênh giám sát. 3.

Bảo vệ tích cực. Hệ thống không chỉ phát hiện các hành vi vi phạm chính sách bảo mật mà còn buộc phải tuân thủ chính sách đó nếu cần. Ví dụ: chặn các tin nhắn đáng ngờ. 4.

Dựa trên các tiêu chí này, năm 2008, Forrester đã chọn ra danh sách 12 nhà cung cấp phần mềm để xem xét và đánh giá (chúng được liệt kê bên dưới theo thứ tự bảng chữ cái, với tên công ty được nhà cung cấp này mua lại để tham gia thị trường hệ thống DLP được ghi trong ngoặc đơn) ):

1. Mã Xanh;
2. Thông tin;
3. McAfee (Onigma);
4. Dàn nhạc;
5. Kết nối lại;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericept;
11. Websense(PortAuthority);
12. Chia sẻ công việc.

Ngày nay, trong số 12 nhà cung cấp nêu trên, chỉ có InfoWatch và Websense có mặt trên thị trường Nga ở mức độ này hay mức độ khác. Phần còn lại hoàn toàn không hoạt động ở Nga hoặc chỉ công bố ý định bắt đầu bán giải pháp DLP (Trend Micro).

Xem xét chức năng của hệ thống DLP, các nhà phân tích (Forrester, Gartner, IDC) giới thiệu cách phân loại đối tượng bảo vệ - loại đối tượng thông tin cần được giám sát. Việc phân loại như vậy giúp có thể đánh giá gần đúng phạm vi áp dụng của một hệ thống cụ thể. Có ba loại đối tượng giám sát.

1. Dữ liệu chuyển động (dữ liệu chuyển động) - tin nhắn email, máy nhắn tin Internet, mạng ngang hàng, truyền tệp, lưu lượng truy cập Web, cũng như các loại tin nhắn khác có thể được truyền qua các kênh liên lạc. 2. Data-at-rest (dữ liệu được lưu trữ) - thông tin về máy trạm, máy tính xách tay, máy chủ tệp, bộ lưu trữ chuyên dụng, thiết bị USB và các loại thiết bị lưu trữ dữ liệu khác.

3. Data-in-use (dữ liệu đang sử dụng) - thông tin đang được xử lý tại thời điểm hiện tại.

Hiện tại, có khoảng hai chục sản phẩm trong và ngoài nước trên thị trường của chúng tôi có một số tính năng của hệ thống DLP. Thông tin ngắn gọn về chúng theo tinh thần phân loại trên được liệt kê trong bảng. 1 và 2. Cũng có trong bảng. 1 đã giới thiệu một tham số như “lưu trữ và kiểm tra dữ liệu tập trung”, ngụ ý khả năng hệ thống lưu dữ liệu trong một kho lưu trữ duy nhất (đối với tất cả các kênh giám sát) để phân tích và kiểm tra thêm. Chức năng này gần đây đã có tầm quan trọng đặc biệt không chỉ do yêu cầu của các đạo luật lập pháp khác nhau mà còn do tính phổ biến của nó đối với khách hàng (dựa trên kinh nghiệm của các dự án đã triển khai). Tất cả thông tin trong các bảng này được lấy từ các nguồn công khai và tài liệu tiếp thị của các công ty tương ứng.

Dựa trên dữ liệu được trình bày trong Bảng 1 và 2, chúng ta có thể kết luận rằng ngày nay chỉ có ba hệ thống DLP được trình bày ở Nga (từ các công ty InfoWatch, Perimetrix và WebSence). Chúng cũng bao gồm sản phẩm tích hợp được công bố gần đây từ Jet Infosystem (SKVT+SMAP), vì nó sẽ bao gồm một số kênh và có sự quản lý thống nhất các chính sách bảo mật.

Khá khó để nói về thị phần của những sản phẩm này ở Nga, vì hầu hết các nhà sản xuất được đề cập đều không tiết lộ doanh số bán hàng, số lượng khách hàng và máy trạm được bảo vệ, chỉ giới hạn ở thông tin tiếp thị. Chúng tôi chỉ có thể nói chắc chắn rằng các nhà cung cấp chính vào lúc này là:

• Hệ thống “Dozor”, có mặt trên thị trường từ năm 2001;
• Sản phẩm InfoWatch được bán từ năm 2004;
• WebSense CPS (bắt đầu bán ở Nga và trên toàn thế giới vào năm 2007);
• Perimetrix (một công ty trẻ, phiên bản đầu tiên của sản phẩm được công bố trên trang web của mình vào cuối năm 2008).

Tóm lại, tôi muốn nói thêm rằng việc một hệ thống có thuộc loại hệ thống DLP hay không không làm cho sản phẩm tệ hơn hay tốt hơn - đó chỉ đơn giản là vấn đề phân loại và không có gì hơn thế.

Bảng 1. Các sản phẩm được giới thiệu trên thị trường Nga và có một số đặc tính nhất định của hệ thống DLP

Công ty	Sản phẩm	Tính năng sản phẩm
		Bảo vệ dữ liệu đang chuyển động	Bảo vệ dữ liệu đang sử dụng	Bảo vệ “dữ liệu ở trạng thái nghỉ ngơi” (data-at-rest)	Lưu trữ và kiểm tra tập trung
Thông tinXem	Giám sát lưu lượng IW	Đúng	Đúng	KHÔNG	Đúng
	Lưu trữ tiền điện tử IW	KHÔNG	KHÔNG	Đúng	KHÔNG
Perimetrix	Không gian an toàn	Đúng	Đúng	Đúng	Đúng
Hệ thống thông tin máy bay phản lực	Máy bay phản lực Dozor (SKVT)	Đúng	KHÔNG	KHÔNG	Đúng
	Đồng hồ phản lực (SMAP)	Đúng	KHÔNG	KHÔNG	Đúng
Công ty cổ phần đường dây thông minh	Khóa thiết bị	KHÔNG	Đúng	KHÔNG	Đúng
Bảo mậtIT	Zlock	KHÔNG	Đúng	KHÔNG	KHÔNG
	người giữ bí mật	KHÔNG	Đúng	KHÔNG	KHÔNG
SpectorSoft	Spector 360	Đúng	KHÔNG	KHÔNG	KHÔNG
Bảo mật Lumension	Kiểm soát thiết bị thánh địa	KHÔNG	Đúng	KHÔNG	KHÔNG
WebSense	Bảo vệ nội dung Websense	Đúng	Đúng	Đúng	KHÔNG
Thông báo	Studio bảo mật	KHÔNG	Đúng	Đúng	KHÔNG
Primetek	Người trong cuộc	KHÔNG	Đúng	KHÔNG	KHÔNG
Phần mềm AtomPark	Nhân viênCop	KHÔNG	Đúng	KHÔNG	KHÔNG
Thông tin mềm	Máy chủ thông tin tìm kiếm	Đúng	Đúng	KHÔNG	KHÔNG

Bảng 2. Sự tuân thủ của các sản phẩm được bày bán trên thị trường Nga với tiêu chí thuộc loại hệ thống DLP

Công ty	Sản phẩm	Tiêu chí thuộc hệ thống DLP
		Đa kênh	Quản lý thống nhất	Bảo vệ chủ động	Xem xét cả nội dung và bối cảnh
Thông tinXem	Giám sát lưu lượng IW	Đúng	Đúng	Đúng	Đúng
Perimetrix	Không gian an toàn	Đúng	Đúng	Đúng	Đúng
“Hệ thống thông tin máy bay phản lực”	“Máy bay phản lực Dozor” (SKVT)	KHÔNG	KHÔNG	Đúng	Đúng
	“Máy bay phản lực Dozor” (SMAP)	KHÔNG	KHÔNG	Đúng	Đúng
"Đường dây thông minh Inc"	Khóa thiết bị	KHÔNG	KHÔNG	KHÔNG	KHÔNG
Bảo mậtIT	Zlock	KHÔNG	KHÔNG	KHÔNG	KHÔNG
Phần mềm phòng thí nghiệm bảo vệ thông minh	người giữ bí mật	Đúng	Đúng	Đúng	KHÔNG
SpectorSoft	Spector 360	Đúng	Đúng	Đúng	KHÔNG
Bảo mật Lumension	Kiểm soát thiết bị thánh địa	KHÔNG	KHÔNG	KHÔNG	KHÔNG
WebSense	Bảo vệ nội dung Websense	Đúng	Đúng	Đúng	Đúng
“Thông báo cho tôi”	Studio bảo mật	Đúng	Đúng	Đúng	KHÔNG
"Primtek"	Người trong cuộc	Đúng	Đúng	Đúng	KHÔNG
“Phần mềm AtomPark”	Nhân viênCop	Đúng	Đúng	Đúng	KHÔNG
“Thông tin mềm”	Máy chủ thông tin tìm kiếm	Đúng	Đúng	KHÔNG	KHÔNG
“Phòng thủ thông tin”	“Thông tin chu vi”	Đúng	Đúng	KHÔNG	KHÔNG