2014年2月11日,俄罗斯FSTEC批准了方法文件“国家信息系统中的信息安全措施”。 本文档用于“针对与国家机密无关且包含在国家信息系统(GIS)中的信息,选择和实施旨在确保信息的机密性,完整性和可访问性的保护措施”。 监管机构建议使用此文档来保护GIS和非政府信息系统中的信息,包括确保个人数据的安全。
该文件指出了与某些类别的系统相关的推荐信息保护措施,例如身份验证工具,防病毒软件,IDS / IPS等。但是,监管机构并未直接表明需要使用机密数据保护系统以防泄漏(DLP)。 但是,这些系统可以满足诸如确保机密性,从信息系统传输的信息的完整性,记录安全事件等要求。
因此,乍一看,在哪里可以找到两个相交点,即平行现象-调节和泄漏保护? 细节剪下。
首先,让我们谈谈DLP系统的用途。 DLP的实施具有以下基本目标:
- 防止泄露机密信息。
- 收集有关事件和侵权的信息,以便在案件移交给法院时形成证据。
- 维护用户操作档案和追溯分析,以识别欺诈迹象。
从多年的经验来看,我们可以说客户使用DLP解决了许多任务,包括最狭窄和最具体的任务。 我们将把它们放在本材料的范围之外,这里我们将考虑基本的内容。
尽管DLP系统不是强制性的信息安全工具,但此类产品仍能够提供必要的功能,以实施FSTEC在上述文档中建议的多种措施。
廉正
让我们从确保TECTEC方法论文件(2014年2月11日)中确保信息系统和信息(OTsL)完整性的主要建议开始。
“ OTSL.5-控制从信息系统传输的信息内容(基于访问对象属性的容器 , 以及基于对使用签名,掩码和其他方法禁止传输的信息进行搜索的内容 ), 并排除从信息系统中非法传输信息的情况”。
监管机构建议采取哪些措施来控制信息内容,哪些措施可以使用泄漏保护系统来实施?
非法转让受保护的信息 。 识别通过各种类型的网络连接(包括公共通信网络)从信息系统非法传输受保护信息的事实,以及对它们的响应。
根据所使用的通信通道,使用两个DLP组件的划分功能来实现此过程:
- 可以使用Web代理类系统的工具来检查通过http / https协议传输的信息是否非法传输受保护的数据。
- 要在从代理服务器或路由器发送数据时分析Intranet流量,可以监视通过邮件协议进行的文件和消息的传输。
在可移动媒体上非法记录。 查明在未说明的可移动计算机存储介质上非法记录受保护信息的事实,并对其做出响应。
安装在工作站上的DLP代理除了监视用户操作外,还分析文件的内容,并可以阻止用户尝试复制到USB或发送机密文档以进行打印的尝试。 已将USB驱动器已连接的事实记录在代理上,根据结果,信息安全专家可以通过将该驱动器包括在黑名单或白名单中来更改DLP系统策略。
监视服务器和工作站上受保护信息的存储 。
标识在共享网络资源(共享文件夹,工作流系统,数据库,邮件档案和其他资源)上存储机密信息的事实 。
可以使用文件存储扫描功能来实现所指示的措施,该功能在所有高级DLP系统中都以不同的复杂程度实现。 此功能使您可以在文件/云存储和本地硬盘驱动器以及邮件归档中清点内容。
扫描文件存储可使用以下机制显示敏感数据和违反其存储规则的信息(列表可能因系统而异):
- 扫描本地网络节点,公共文件和云存储。
- 扫描邮件服务器以分析电子邮件的存档。
- 扫描卷影副本档案。
- 积极应对违反保护数据存储规则的行为(将非法存储的机密信息移至隔离存储区,将其替换为通知文件,将信息安全专家复制到工作站等)。
- 根据策略设置自动分类公司数据。
- 监控公司内部信息的传播并确定关键数据存储不一致的地方。
另外,加强此措施的要求包括
阻止来自IP内容不适当的信息的传输。 几乎所有的DLP系统都可以满足您在各种通信渠道上的这些要求-从邮件消息到复制到USB驱动器。
安全事件记录
FSTEC关于信息保护的第二个重要建议是
安全事件的
注册 -SSR
。 当然,在开始采取这些措施之前,组织应该对所有信息资产(资源)进行分类。 此后,可以执行以下措施:
确定有关要记录的安全事件的信息的组成和内容。
在主存储时间内收集,记录和存储有关安全事件的信息。
监视(查看,分析)记录安全事件并对其进行响应的结果。
并非所有的DLP解决方案都可以显示信息系统中用户身份验证的事实和时间,以及有关授予用户权利的信息。 但是其中大多数允许您配置在某些信息系统中工作时禁止启动某些应用程序并控制用户操作的权限。 通常,在高级DLP系统中,会根据事件的严重程度对事件进行扩展的分级,最高可达4-5级。 这对于分析事件,生成报告和收集统计数据非常方便。 在分析了这些事件之后,与系统一起工作的信息安全专家确定是否发生了信息安全事件。
通过将所有事件存储在DLP系统的数据库中,在更新策略时,您可以进行回顾性分析和调查。
保护IP及其通信和数据传输的手段和系统
让我们回到DLP系统面临的基本目标。 通过成熟的思想,很明显,不仅收集和合并各种类型的日志的能力对于实现它们很重要,而且在其传输/处理和存储过程中保护累积的数据也很重要。 实际上,在创建,发送和接收信息时,我们谈论的是不可否认性这一概念,我们
在上一篇文章中对此
进行了详细
介绍。 您可以从不同角度采取这种措施。 一些DLP系统的实现意味着仅使用附加的商业SZI和CPSI以确保“不可抵赖性”。 其他允许您使用操作系统的标准功能。 考虑一下您可以依靠的东西,例如,在CentOS OS和PostgreSQL数据库中:
- 通过内置在DM_Crypt OS核心中的扇区进行卷加密。
- 数据库加密-pgcrypto模块(对数据库本身的表和行进行加密,除其他功能外,还可以针对特权用户(包括IT人员)建立保护)。
- 在数据库“ pg_hba.conf”之间的集群中创建安全连接。
- 保护客户端-服务器连接-实际上,需要TLS 1.2和更高版本。
尽管FSTEC并未对加密保护手段的使用进行规范,但仍建议使用加密来保护
信息系统,其手段以及通信和数据传输系统(VMS),这样DLP系统本身就不会交由合格的IT人员掌握专有信息的泄漏。 由于上述工具是OS和相关软件的组件,因此上述示例属于私有性质。 但是,在任何情况下,如果有必要,您始终可以找到现有的加密信息保护商业手段的开源/免费替代品。 但是,这里马上出现了对这些解决方案进行认证的问题,这是一个单独的话题。
在我们的下一篇文章中,我们将讨论关键DLP系统在组件模块中的适用性,以符合American NIST US标准的建议。