Средства контентного анализа

Средства контентного анализа предназначены для мониторинга сетевого трафика с целью выявления нарушений политики безопасности. В настоящее время можно выделить два основных вида средств контентного анализа — системы аудита почтовых сообщений и системы мониторинга Интернет трафика.

Системы аудита почтовых сообщений предполагают сбор информации о SMTP-сообщениях, циркулирующих в АС, и ее последующий анализ с целью выявления несанкционированных почтовых сообщений, нарушающих требования безопасности, заданные администратором. Системы этого типа позволяют выявлять и блокировать возможные каналы утечки конфиденциальной информации через почтовую систему. Для этого при помощи системы аудита почтовых сообщений можно определить следующие параметры обработки почтовых сообщений: список адресатов, с которыми пользователи могут обмениваться информацией; перечень допустимых форматов данных, которые могут передаваться по почте; список ключевых слов, наличие которых в тексте почтового сообщения является признаком того, что в сообщении содержится конфиденциальная информация. Системы аудита почтовых сообщений располагаются в АС таким образом, чтобы через них проходил весь поток SMTP-данных. Для этого может использоваться три варианта установки:

• установка «в разрыв» канала связи между пользователем и почтовым сервером;

• установка в одном логическом сегменте с почтовым сервером. При поступлении данных на сервер, их копия перенаправляется системе аудита;

• установка на рабочие станции пользователей.

После получения SMTP-сообщений модуль анализа системы аудита начинает их обработку с целью выявления почтовых сообщений, нарушающих заданные требования. Системы аудита почтовых сообщений могут реализовывать пассивные и активные методы реагирования на выявленные нарушения. К пассивным методам относится оповещение администратора безопасности, а к активным — блокирование почтовых сообщений, которые были классифицированы системой как несанкционированные.

Системы мониторинга Интернет-трафика предназначены для контроля доступа пользователей к ресурсам сети Интернет. Средства защиты данного типа позволяют заблокировать доступ пользователей к запрещенным Интернет-ресурсам, а также выявить попытку передачи конфиденциальной информации по протоколу HTTP. Системы мониторинга устанавливаются таким образом, чтобы через них проходил весь сетевой трафик, передаваемый в сеть Интернет.

Примерами систем контентного анализа являются программные продукты «Дозор-Джет» (компании «Инфосистемы Джет») и «MIME Sweeper» (компании «Clearswift»).

Кроме рассмотренных выше, существует еще одна отдельная специальная категория средств защиты информации — системы обнаружения атак.