Возможности. Существует большое число средств контроля содержимого, но все они ис­пользуют схожие возможности, которые можно разделить на две основных кате­гории:

Существует большое число средств контроля содержимого, но все они ис­пользуют схожие возможности, которые можно разделить на две основных кате­гории:

• контроль почтового трафика;

• контроль Web-трафика.

В свою очередь в каждой из этих категорий реализуются свои возможности, которые мы бы и хотели перечислить:

1. Обнаружение спама. Данная возможность позволяет путем анализа в сооб­щениях типовых слов и фраз обнаруживать попытки рассылки спама. Анализ про­водится не только в тексте сообщения, но и в заголовке и даже во вложениях, пе­редаваемых в рамках сообщения. Некоторые системы (например MAILsweeper for SMTP) позволяют создавать списки спамеров и даже блокировать сообщения, по­лучаемые от них.

2. Анализ удержания сообщения. Это наиболее распространенная и типич­ная возможность, присущая системам контроля содержания, с помощью которой можно, путем поиска ключевых слов и фраз, обнаруживать утечку конфиденциа­льной информации, оскорбления и другие нарушения политики безопасности.

3. Обнаружение подмены адреса. Так как зачастую злоумышленники, в том числе и спамеры, пытаются подменить исходный адрес своих сообщений, то неко­торые системы контроля содержимого пытаются обнаруживать такие попытки.

4. Анализ размера сообщений и вложений. Если центральный или удаленные офисы компании подключается к сети Internet по низкопроизводительным кана­лам, то часто бывает необходимо ограничить объемы передаваемого трафика, что и реализуется с помощью указанной возможности. При этом пересылка сообще­ний, размер которых превышает указанные в политике безопасности значения, могут отбрасываться, а могут и блокироваться до тех пор, пока напряженность передаваемого трафика спадет.

5. Обнаружение вирусов и троянских коней. Эта возможность также являет­ся одной из самых распространенных. При этом обнаружение вирусов и других враждебных элементов (троянцев, Java и т. д.) осуществляется с помощью как собственных антивирусных подсистем, так и с помощью продуктов третьих фирм.

6. Анализ передаваемых файлов. В сообщениях электронной почты могут пе­редаваться различные файлы, начиная от договоров и списков цен и заканчивая порнографическими картинками и музыкальными записями Для того чтобы раз­решать прохождение одних и запрещать прохождение других файлов, использует­ся механизм анализа передаваемых файлов. При этом анализ может происходить как на основе расширения и имени файла, так и на основе самой структуры фай­ла. Такая возможность присутствует во многих системах контроля содержания, но число распознаваемых форматов разнится от производителя к производителю.

7. Анализ вложений. Данная возможность позволяет не ограничиваться ана­лизом текста сообщения электронной почты или HTML-страницы, но и анализи­ровать содержание передаваемых файлов. Например, с помощью этой возможно­сти можно обнаружить передачу документов, содержащих строку «СТРОГО КОНФИДЕНЦИАЛЬНО».

8. Анализ скрытых HTML. Сейчас стало распространенным рассылать сооб­щения электронной почты не путем обычного текста, а виде HTML-страниц, что делает сообщения красочными и удобочитаемыми. Однако такая красота скрыва­ет и ряд опасностей. Например, с помощью скрытого сценария в HTML-странице можно украсть пароли или реализовать атаку типа «отказ в обслуживании».

9. Блокировка доступа к определенным URL. Хотя возможность блокирова­ния доступа к сайтам, содержащим материалы, противоречащие политике без­опасности, может быть реализована и с помощью межсетевого экрана, но, как было показано в начале главы, в них этот механизм ограничен. Кроме того, очень неудобно указывать в правилах доступа IP-адреса запрещенных сайтов, число ко­торых может насчитывать тысячи.

10. Анализ содержания HTML-страницы. Не всегда есть возможность зада­ния конкретных адресов запрещенных сайтов или страниц. Поэтому некоторые системы контроля содержимого позволяют обнаруживать в страницах, к которым идет обращение, ключевые слова и фразы и, в случае превышения заданного по­рога вхождений, блокировать доступ к этой странице (в т.ч. и к динамически со­зданной).