Atigris informatika a professzionális informatika
Atigris  
Kilencszeres Microsoft Gold Partner | "A Microsoft legkiemelkedőbb infrastruktúra- és licenc partnere az Atigris Informatika"
Navigációs hivatkozások kihagyása
Kezdőlap
Céginfo
Microsoft licenc
Microsoft szolgáltatások
Közbeszerzés
IT biztonság
Navigációs hivatkozások kihagyása

Microsoft szoftver licencek

Megoldási lehetőség az információ szivárgás megelőzésére

Ez a dokumentum átfogó ismertetést ad a Lumension cég Device Control termékének működési elveiről, összehasonítja azt az egyes konkurrens termékekkel és megadja a hazai és nemzetközi referenciákat

 Lumension Security

Lumension - Device Control: megoldási lehetőség
az információszivárgás megakadályozására

Bevezetés

Napjainkban egyre gyakrabban hallunk az üzleti folyamatokban keletkezett információk kiszivárgásáról. Bárhol akadhat olyan dolgozó, aki – akár a legjobb szándékkal is – képes visszaélni a munkaköréhez kapcsolódó belső jogosítványokkal és lehetőségekkel, abban az esetben pedig az adatszivárgás valószínűsége jelentősen megnő, ha a dolgozó a megfelelő szabályzók hiányában biztos lehet abban, hogy nem kell tartania semmiféle felelősségre vonástól. A legtöbb cégnél léteznek ugyan szabályok a digitális információk kezelésére, de szigorú és következetes betartásukra csak ritkán kerül sor.

Az információ szivárgás problémája a Magyar Államigazgatásban is jelentős kérdés, hiszen az elindított Államreform és a Kormányzat reformlépései sok embernek fájnak, sok, eddig az Államigazgatási intézménynél dolgozó munkatársat érintenek negatívan. Ebben a helyzetben jelentősen megnövekszik a kockázata annak, hogy az egyes Intézmények fontos adatai rossz helyre kerüljenek, azok felhasználásával senkinek nem hiányzó hangulatkeltés és politikai viták induljanak el.

Ha valaki tenni is akar valamit a digitális információ védelme érdekében, első lépésként mindig az adatokat kezelő központi kiszolgálókat védi. Ez nagyon helyes lépés, de sajnos a tapasztalatok alapján nem elégséges. A számítógépes hálózatban csak kevés központi kiszolgáló van, amelyhez általában több, sőt esetenként igen nagy számú munkaállomás kapcsolódik, amelyek ebben az esetben mind kockázati tényezőnek számítanak.

Hála a folyamatos műszaki fejlődésnek, a számítógépek egyre többet tudnak, egyre gyorsabbak, és egyre könnyebb kezelni őket. Ma már természetes igény, hogy a cég összes számítógépéről elérhető legyen a központi kiszolgáló, azaz az Intézmény központi adatbázisa, vagyis digitális vagyona. Ezzel a digitális vagyonnal dolgoznak nap mint nap a dolgozók: adatot visznek be a rendszerbe, készletmozgás, ügyfelek, szállítások, megrendelések, szerződések azaz gyarapszik az információ. A digitális információ nagy érték, és mint az értékes dolgokkal általában lenni szokott, mások számára is kívánatossá válhatnak. A központi számítógépre minden rendelkezésre álló eszközzel vigyázunk, de ki védi azt az információt, amelyik átkerült a központi gépről a munkaállomásra?

Néhány éve még a floppy lemez volt az egyetlen adathordozó, amelyet a személyi számítógépek kezeltek, ma viszont a modern operációs rendszerek tucatnyi kapcsolódási technológiát támogatnak. Szinte naponta jelennek meg az egyre újabb, egyre nagyobb kapacitású és egyre gyorsabb adatátvitelre képes adathordozók és kommunikációs eszközök, amelyekkel bárki gond nélkül tud kapcsolódni a saját személyi számítógépéhez. Ha a digitális információ ellenőrzés nélkül kijuthat a cégtől a hálózatba kötött munkaállomásokon keresztül, akkor csak idő kérdése, hogy az “adatszivárgás” akár véletlenül, akár akarattal, mikor fog megtörténni.

Megoldási lehetőség

A Lumension Security (korábban SecureWave) cég által fejlesztett Sanctuary® elnevezésű szoftverrendszer egyedülálló lehetőségeket biztosít a fent jelzett problémák megoldására, azaz az adatáramlás központi menedzselésére, illetve a nem kívánt eszközhasználat korlátozására. Alkalmazása segítségével az informatikai rendszer valamennyi felhasználójára és eszközére egyedi biztonsági rendszabályok érvényesíthetők, és egy speciális megoldás segítségével szükség esetén a teljes ki- vagy bemenő adatforgalom eltárolható és utólag tartalmilag is vizsgálható.

A szoftver segítségével megvalósítható a teljes, központosított felügyelet minden hordozható média, eszköz és port elérés esetében. A szoftver a működése során ellenőrzi a felhasználói jogosultságokat az ACL (Access Control List) segítségével, majd összehasonlítja a saját un. „fehér listáján” található felhasználó és a szabályzók által a felhasználónak jogosan használhatónak nyilvánított eszközlistával. Amennyiben a szbályrendszer által a felhasználó és az eszköz is engedélyezett, így a használat megvalósul, az összes többi esetben az eszköz használhatatlan az adott számítógép adott portján, adott felhasználó által.

A szoftver lehetőséget biztosít az adminisztrátornak arra, hogy gyorsan azonosítsa az egyes eszközöket és ezek használatának szabályait csoportokhoz, felhasználókhoz rendelhesse. A felhasználhatósági információk az Active Directory-ban tárolódnak, így jelentősen egyszerűsödik a szoftver menedzsmentje, az egyes eszközök „fehár listára” kerülése így percek kérdése. A fehér lista segítségével könnyen elérhető akár az is, hogy az Intézmény felhasználói csakis azokat az USB pen drive-okat használhassák amelyeket az Intézmény vezetése biztosít számukra.

Ellenőrzött adatmozgás

A Sanctuary szoftverek a „minden tilos, amit nem engedélyezünk” elvet használják. A szoftverben jellemzően engedélyeket adunk ki minden jóváhagyott adatmozgásra vagy eszközre. A fenti elvet követve engedélyt adhatunk egy bizonyos port (pl USB port, Bluetooth stb) használatára, vagy engedélyezhetjük az adatátvitelt a számítógép és egy konkrét eszköz között (pl adott típusú memóriakulcs, okostelefon). A felhasználó csak olyan periférián keresztül és csak olyan eszközre küldhet ki vagy olvashat be adatot, amely számára engedélyezésre került, ezáltal automatikusan megakadályozza a rendszer a nem kívánt adatmozgást. Nem kell törődni azzal, hogy hányféle kommunikáció lehetséges, hanem elég csak arra figyelnünk, hogy mi az, amit a cég használni kíván. Létezhet akárhány adat ki- és beviteli lehetőség egy számítógépen, a cégnek elegendő azt a néhány eszközt és adatkiviteli módot engedélyezni, amelyet ténylegesen használ. A kialakított szabályokon kizárólag akkor kell változtatni, ha valamelyik felhasználó egy új engedélyezett eszközt kíván használatba venni.

Árnyékmásolat – adatszirvárgás megakadályozására

A Lumension cég „Device Control” termékének szabadalmazott „Shadow” technológiája lehetővé teszi, hogy a kliens az adott felhasználónak a munkaállomáson keresztül a külvilággal folytatott bármely adatcseréjét rögzítse. Az adatcsere ebben az esetben szó szerint értednő, hiszen nemcsak az az információ lehet káros amit valaki elvisz a cégtől, hanem az is, amit behoz. Ezen technológia segítségével azonban pontosan nyomon lehet követni, hogy felhasználó mikor, milyen adatokat másolt ki egy külső eszközre, illetve mikor, milyen adatokat vitt be egy külső eszközről a céghez az adott munkaállomáson keresztül.

Az un. „árnyékmásolatok” a felhasználó munkaállomásáról automatikusan egy központi tárhelyre kerülnek, ezáltal bármikor visszakereshető, hogy ki, melyik munkaállomáson, milyen információkat másolt ki, illetve hozott be.

Tekintettel arra, hogy az árnyékmásolatok akár komoly tárhelyet is foglalhatnak, választhatunk, hogy a teljes adatforgalmat tároljuk el, vagy csak a gépről elvitt (vagy behozott) file nevét. A választás megtehető külön-külön felhasználónként, felhasználó csoportonként, munkaállomásonként, eszköztípusonként, és rugalmasan módosítható a cég biztonsági elvárásainak megfelelően.

Állományszűrés

Engedélyezett eszközök, és eszköztípusok esetén az adatmozgás felügyeletének további finomítására van mód az állományszűrők segítségével. Ebben az esetben csak az előre meghatározott fájltípusok másolása lehetséges a Lumension rendszerrel védett számítógépeken. Természetesen a fájltípusok ellenőrzése valós idejű állományátvizsgálással történik, és nem kiterjesztés alapján. Így például előre meghatározható, hogy egy adott felhasználó csak Word dokumentumot (doc fájlt) másolhasson, és más fájltípust nem.

További előnyök
  • Rugalmas jogosultságok rendelhetők az Active Directory és eDirectory adatbázisokban tárolt felhasználókhoz és csoportokhoz,

  • Minden I/O eszköz használati kísérletről jelentést küld a kliens munkaállomás a központi Lumension adatbázisba

  • A Lumension szoftver többféle módon telepíthető a kliens munkaállomásokra: a menedzsment eszköz beépített telepítőjével, Microsoft SMS vagy Group Policy segítségével, stb.

  • További finomhangolási lehetőségek állnak rendelkezésre, pl. meghatározható a napi másolási mennyiség a médiákra, átmeneti hozzáférés engedélyezés adható a felhasználóknak, stb.

  • Kiváló enkriptálási lehetőség a hordozható eszközökre. Az egyes hordozható eszközökön (pld USB pen drive) tárolt adatok védelmére lehetséges azokat a mentés során enkriptált formában tárolni, így a pen drive elvesztése esetén a felhasználó nyugodt lehet, hogy az adat biztos nem férhető hozzá mások által. A felhasználó viszont olyan számítógépeken is hozzáférhet adataihoz, ahol a Sanctuary szoftver nem került telepítésre. Az enkriptálás történhet egyedileg, de akár a központi policy-ban meghatározottan, kényszerített formában is.
Támogatott eszközök és kapcsolatok
Támogatott eszköz típusok Támogatott kapcsolatok
USB memóriakulcsok Wireless LAN adapterek USB LPT
ZIP drive-ok Digitális kamerák FireWire IrDA
PDA-k CD/DVD író-olvasók BlueTooth IDE
Szalagos egységek Szkennerek WiFi COM
Floppy drive-ok Smart kártya olvasók PCMCIA S-ATA
Merevlemezek Biotechnológia azonosítók PS/2 SCSI
Modemek USB nyomtatók    

 

Patchlink Scan – sérülékenységvizsgálat gyorsan és olcsón

A Lumension cég egy másik terméke kiegészíti a fehér listás védelmet, egyfajta sérülékenységviszgálatot tesz lehetővé a rendszerbe bevont számítógépekre. A szoftver elvégzi a számítógépes hálózatban található eszközök átfogó sérülékenységi vizsgálatát, felmérést készít a biztonsági beállításokról (antivírus, antispam, hiányzó javító csomagok, nyitott portok, stb.) és mindezek alapján javaslatot készít az azonosított potenciális támadási pontok helyreállításának sorrendjére. Fontos megjegyezni, hogy a Microsoft által rendelkezésre bocsátott szoftverekkel ellentétben ez a termék nemcsak a Microsoft szoftverek, hanem a gépre telepített többi szoftver nagy részének biztonsági hiányosságait is felfedezi.

Patchlink Update

A szoftver automatizálja a heterogén hálózati környezetben a biztonsági javító csomagok összegyűjtését, analizálását és kiosztását. A PatchLink Update rendelkezik a világ legnagyobb, legtöbb termékre kiterjedő biztonsági javítócsomag gyűjteményével, vagyis a Patchlink által felfedezett biztonsági hiánnyosságokat orvosolni is képes.

A termékek működésének főbb jellemzői:

  • Biztonsági sebezhetőségek feltárása, javítása és érvényesítése.
  • A hálózat összes eszközének automatikus azonosítása és leltárba vétele.
  • Szoftver alkalmazások és hardver eszközök felügyelete.
  • Átfogó riportok a házirendben rögzített szabályok betartásáról.
  • Szoros együttműködés más gyártók hálózatfelügyeleti megoldásaival.
Magyarországi referenciák
Cég / Intézmény Felhasználók száma Mire használják
Raiffeisen Bank 3000 Banki munkaállomások adatainak védelme
Magyar Nemzeti Bank 2000 Banki munkaállomások adatainak védelme
Pénzügyminisztérium 100 Vezetői számítógépek adatainak védelme
Magyar Honvédség 360 Számítógépek adatainak védelme
Büntetésvégrehajtás Országos Parancsnokága 150 A központban működő számítógépek adatainak védelme
HungaroControl 330 Irodai számítógépeken tárolt adatok védelme

 

Európai referenciák
Cég/Intézmény Felhasználók száma
Barclays Bank 22 000
Norwich Union 30 000
MoD (Ministery of Defence) UK 150 000
Commerzbank (D) 31 400
Commissariat a l’Energie Atomique (French Nuclear Office) 5 000
Metropolitan Police (UK) 15 000
Banque Pictet (CH) 5 000
Goldman Sachs 12 000(30 000)
Zentrale Polizeitechnische Dienste NRW 26 000
ZKB (Zürcher Kantonalbank) 6 000
Andreas Stihl 5 000
Dutch ministry of Foreign Affairs 7 000
UK customs (HMC) 100 000
DEXIA Bank 5 000
BAE (British Aerospace) 44 000
Bavarian Ministry of Justice 14 000
FBI (US) 36 800
ING-Diba 5 500
Credit du Nord (France) 10 000
Dutch Police 45 000
El Cortes Ingles (Spain) 2 000
PWC UK 16 000
Brose (Germany) 5 800
OBI 16 000
Gazprombank (Russia) 5 500
JSC "TNK-BP Management"(Russia) 10 000

 

Összehasonlítás az egyes konkurrens termékekkel

A lenti táblázatban a Sanctuary Device Control termék főbb tulajdonságait vizsgáltuk két konkurrens termékkel szemben. Az összehasonlítást a DataDefender és az EagleEye OS termékkel végeztük el, nagyjából ezen termékek azok amelyek ma Magyarországon ismertek és hasonló célra alkalmazhatóak.

Securewave SDC Data Defender Eagle EyeOS
„Fehér listás” elv alkalmazása – amit engedünk csak az működik Létezik fehér listás elv is, alapjában véve fekete listás megközelítést használ Fekete listás elv használata – csak az ismert és a gyanús fenyegetéseket képes kizárni
A szabályok felhasználó / felhasználó csoport / munkaállomás / munkaállomás csoport alapúak. A szabályok Felhasználó alapúak A szabályok munkaállomás és felhasználó alapúak
I/O eszköz kontroll: eszköztípusra, eszközosztályra, egyedileg azonosított eszközre,
írás / olvasás / tiltás alapon kezelhető		 I/O eszközkontrol: csak eszközosztályra és egyedi eszközre I/O eszköz kontroll: Tiltás vagy normál engedélyezés
USB pendrive-ok titkosíthatóak N/A N/A
Fájlszűrés: tartalom alapján Fájlszűrés: kiterjesztés alapján N/A
Tetszőlegesen megadható időzítési beállítások adott felhasználónak / csoportnak
(pl: du 5-től reggel 7-ig engedélyezett a CD-írás)		 Tetszőlegesen megadható időzítési beállítások N/A
Eszköz típusonkénti shadow funkció (kimenő és a bejövő adatokról): teljes tartalomról készül árnyékmásolat vagy fájlnév alapú logolás Csak fájlnév alapú logolás (kimenő adatokról) N/A
Online / offline jogosultságok (mindegyek cache-elve) Online / offline jogosultságok Online jogosultság, mely cache-elésre kerül
Elsődleges célja az I/O eszközök kontrolja, egyszerűen átlátható és menedzselhető adminisztrációja, illetve egyszerű és áttekinthető logok, auditok. Elsődleges célja az I/O eszközök kontrolja. Elsődleges célja a fájl életútjának követése, mint az eszközkontrol
A munkaállomásokon futó kliens a Windows csökkentett módban való indításakor is 100%-os védelmet nyújt. N/A Információink szerint a Windows csökkentett módban való indításakor a Eagle Eye nem nyújt védelmet
Active Directory és eDirectory támogatás Active Directory támogatás Active Directory támogatás
Hot Plug támogatás (On the fly): azonnali jogosultság érvénybe léptetés N/A N/A

 

A Device Control működési elve
1. Felhasználó bejelentkezik. Client Driver 6. Az ACL lista lokálisan gyorsító tárazásra kerül.
Client Driver AppServer
2. Kliens meghajtóprogram kérést intéz a szerverhez a frissített engedélyezett eszközlista eléréséhez. Application Server 5. A SecureWave Application Server digitálisan aláírással látja el az ACL listát és visszaküldi azt a kliens meghajtóprogramnak.
AppServer SQL DataBase
3. A SecureWave Application Server az adatbázis kiszolgálónak továbbítja a kérést. SQL DataBase 4. Az engedélyezett eszközlista a felhasználó jogainak megfelelően összeáll (Access Control List)

 

Menedzselt eszköz hozzáférés a Device Control segítségével

Menedzselt Eszköz Hozzáférés

 

Informatikai biztonság az Atigristől:
Megoldás a perifériák hozzáférésének szabályozása: Sanctuary Device Control (SecureWave Eszköz felügyelet)

Ugrás a lap tetejére.
Ugrás a kezdőlapra.

Microsoft Gold Certified Partner
Advanced Infrastructure Solutions Information Worker Solutions Licensing Solutions Microsoft Business Solutions Networking Infrastructure Solutions
Microsoft Data Management Solutions Mobility Solutions Security Solutions Custom Development Solutions

Microsoft Certified Business Solutions Partner

ISO 9001

SPLA, SaaS, hosting

Vienna 

Magyar Ingatlan Kínálat - Budapest, Balaton,
Határon túl,
Akadálymentes ingatlanok
Microsoft SPLA | Microsoft licencelési formák | Atigris szakértelem | 9 csillagos Microsoft Gold Partner | Informatika
Vírusvédelem és internet biztonság: McAfee | Magyar Informatikai Biztonsági Központ | Rendszermérnöki szolgáltatások | Szoftverfejlesztés
Microsoft Excellence díjas termékünk | Vezénylési rendszer | Virtualizáció, virtualizációs megoldások | Informatikai infrastruktúra
Microsoft SPLA és SaaS Disztribúció | Microsoft SPLA konstrukció | Microsoft SPLA licencek | Microsoft SPLA referenciák | SaaS termékek
(C)2006-2010 Minden jog fenntartva.
ATIGRIS INFORMATIKA Zártkörűen Működő Részvénytársaság
Pf. 453/20. Budapest, 1537.   Telefon: 206-1996
kontakt