在信息安全领域的职业生涯初期,我有机会参加了一个非常有趣的项目。 首先,作为确保信息安全的综合方法的一部分,独联体最大的天然气和石油私人生产商和供应商之一的安全服务决定引入DLP系统。 现在,这个股份公司顺应了俄罗斯市场的总体趋势,已经消失在几家国有公司的肠胃中,我可以告诉你这个故事。
项目目的
该项目的主要目标是通过引入对信息流的控制系统来提高公司业务流程的安全性。
通过实施DLP系统解决的项目任务:
- 监视并防止机密信息外泄露:商业机密,个人数据,知识产权等。
- 提供事件调查工具:创建传输信息的存档,并可能进行后续追溯搜索。
- 及时识别内部人员:监视可疑的用户行为。
- 优化公司信息资源的使用:禁止出于个人目的使用资源。
项目方式
从技术和组织的角度来看,在控股公司的地理位置分散的公司网络上引入DLP系统是一项相当艰巨的任务。 有必要考虑到DLP系统对于现有公司信息系统应该绝对“透明”,甚至不允许暂时阻止或减慢已建立的业务流程。 另外,它的实现应该不被普通用户所注意。
因此,决定在公司办公室分阶段引入DLP系统,并逐渐增加其功能。
项目实施
阶段1:在总部监控和存档公司电子邮件
目录内容
在公司总部,安装了DLP系统,该系统包括:
- 以1 Gbit / s的速度获取信息的模块;
- 交互模块;
- 分析模块;
- 信息存储模块;
- AWP分析。
另外,在公司邮件服务器上安装了特殊的插件。
结合控股公司的安全服务,并考虑到业务的具体细节,建立了摩擦学专家-形态分析所需主题的层次树
文字。 根据公司安全政策以及有关商业秘密和机密信息的地方法规,在摩擦器中设置了有关搜索和分析信息的相关规则。
在运行的最初几个月中,对Rubricator进行了迭代修改和补充,以获取所检测到的关键信息所需的准确度。 同时,为了使客户满意,进行了工作以达到第一和第二种错误级别。
结果
可以确定正式没有访问权限的员工可以访问某些机密文件(对电子邮件附件中的文件进行检测和分析)。 根据调查结果,从存储机密文档和限制对它们的访问方面调整了公司信息安全策略的某些参数。
阶段2:FTP流量监控
目录内容
信息解码模块已添加到DLP系统。
结果
- 已经揭示了将机密信息放置在公司FTP资源上的目的,而不是为此目的。
- 在多个资源上同时发现了大量信息(照片,视频,档案)的重复。
调整了在网络资源上发布信息的权限。 重新配置了网络基础架构,以消除大量信息的重复,从而优化了数据存储系统中的可用空间。
阶段3:通过http监控流量
目录内容
插件安装在公司代理服务器上,它使您可以控制获取和发布请求以及“开放” https流量。 根据公司安全服务和TOP管理的任务,将Rubricator配置为监视某些信息。
结果
- 估计公司人员查看的与工作主题(博客,论坛,娱乐和新闻站点)无关的信息量。 结论是,此类流量的百分比非常小,并且在允许的标准之内。
- 已经确定了许多个人,他们定期在Internet上查看大量的信息,而这些信息并不是他们能力和兴趣范围内的正式信息。 受安全部门控制的员工。
- 找到对竞争者信息感兴趣并损害自己公司的员工。 已经对它们采取了必要的措施。
阶段4:档案的回顾性分析
目录内容
已将模块添加到产品中,从而可以重新分析整个累积的流量档案。
结果
作为公司集团重组的一部分,在一定时期内进行了大幅度裁员,调动新职位以及改变员工职能。
设置了新的Rubricator,从而可以搜索有关特定员工的信息。
根据新的搜索规则,对累积信息进行了完整的回顾性分析,从而有可能在计划减少或转移到其他职位的员工工作中识别出工作外兴趣,非法工作联系以及其他可疑事实。
正确使用收到的信息可以使我们在一个方向或另一个方向上审查某些人事决定,从而显着降低组织和人员改革带来负面影响的风险。
阶段5:在远程办公室中实施系统
目录内容
在公司总部根据日历计划测试的解决方案已逐步引入该公司集团的所有地区办事处。
结果
由于DLP系统具有灵活的扩展功能,因此可以在客户的整个信息和电信网络上完全实施DLP,该网络包括10个远程办公室,160个法人实体,4,500名员工。
信息检索模块已安装在办公室所有可用的外部通讯渠道上。 系统管理是从公司总部的一个监控中心实施的。 同时,如果办公室之间的连接丢失,则安装在远程单元中的系统将继续根据指定策略自主运行。
总结
在控股公司中引入DLP系统可以提高业务安全性,并显着降低经济,声誉和其他风险,包括在公司进行重大重组期间。