Обзор функциональных возможностей комплекса «Дозор-Джет» - DLP, защита от утечек

Обзор функциональных возможностей комплекса «Дозор-Джет» 4.0



"Дозор-Джет" – система предотвращения утечек информации, существующая более 10 лет. На сегодняшний день она является одним из наиболее популярных решений на рынке. "Дозор-Джет" позволяет контролировать практически все возможные сетевые каналы утечки информации, а также обладает некоторым дополнительными возможностями.

Сертификат AM Test Lab

Номер сертификата: 99

Дата выдачи: 29.12.2011

Срок действия: 29.12.2016

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Системные требования "Дозор-Джет"

3. Функциональные возможности "Дозор-Джет"

4. Состав "Дозор-Джет"

5. Развертывание "Дозор-Джет"

6. Эксплуатация "Дозор-Джет"

7. Выводы

 

 

Введение

Продукт "Дозор-Джет" является первым российским DLP-решением, которое появилось еще в 2000 году. Изначально это был относительно простой почтовый фильтр, позволяющий найти в отправляемых письмах заданные слова или выражения. С тех пор разработчики "Дозор-Джет" постоянно развивали продукт, наращивая его функциональное наполнение. На сегодняшний день эта система является одним из лидеров российского DLP-рынка (согласно нашему исследованию на его долю приходится более 25% рынка России).

В настоящее время "Дозор-Джет" представляет собой комплексную DLP-систему, способную контролировать практически весь спектр потенциально опасных (в плане утечки конфиденциальной информации) сетевых каналов: корпоративная и внешняя веб-почта, всевозможные веб-сервисы, FTP-серверы, IM-клиенты. Работая в пассивном (скрытом) режиме, "Дозор-Джет" осуществляет анализ копий сетевых пакетов с активного оборудования, а в режиме активного противодействия – является фильтром, пропуская только разрешенную соответствующими политиками безопасности информацию. Также возможны подключения к системе с использованием ICAP - распространенного протокола изменения и анализа содержимого.

Интересной особенностью рассматриваемого продукта является блок "Система инспекции файловых ресурсов". С его помощью можно осуществлять контроль распространения информации в пределах локальной корпоративной сети, в частности, контролировать факты расположения конфиденциальных документов на общедоступных ресурсах. Система инспекции файловых ресурсов может дополняться модулем контроля съемных накопителей.

Для определения конфиденциальной информации в комплексе "Дозор-Джет" используются два типа анализа данных – анализ по свойствам данных и анализ по содержимому, обычно - тексту. Для этого в продукте реализованы такие инструменты, как поддержка большого количества различных форматов файлов, морфологический анализ, работа с цифровыми отпечатками документов, система идентификаторов, наборы готовых словарей, средства выделения наиболее значимых фраз и выражений.

"Дозор-Джет" обладает высокой производительностью в части обработки содержимого поддерживаемых протоколов и используется как в средних, так и в крупных компаниях. При необходимости, производительность и надежность системы можно увеличить за счет использования встроенных средств, что позволяет применять рассматриваемый продукт для организации DLP-системы, контролирующей значительные объемы данных в рамках информационной структуры предприятия, как внутри сети, так и на периметре.

 

Системные требования "Дозор-Джет"

Минимальные системные требования DLP-системы "Дозор-Джет" приведены в таблице.

 Сервер "Дозор-Джет" (на 500 пользователей почтовой системы)Комплекс пассивного перехвата сообщенийАРМ Администратора безопасности и АРМ системного администратора
Процессор2 ГГц2,8 ГГц1,5 ГГц
Оперативная память4 ГБ4 ГБ1 Гб
Жесткий диск160 ГБ160 Гб20 ГБ
Операционная системаLinux X86 (дистрибутивы CENTOS4/RHEL4/CENTOS5/RHEL5)32- или 64-битная Windows Server 2003 
Дополнительные требованияСУБД PostgreSQL-8, Oracle 10 или 11, сетевой адаптер Ethernet2 и более сетевых адаптера Ethernetсетевой адаптер Ethernet, веб-браузер (рекомендуется Internet Explorer 7.0 и выше, Mozilla Firefox 3.0 и выше)

 

Функциональные возможности комплекса "Дозор-Джет"

Для обеспечения защиты от утечек конфиденциальной информации из корпоративной сети в продукте "Дозор-Джет" реализованы следующие функциональные возможности.

Широкий спектр поддерживаемых каналов коммуникаций

"Дозор-Джет" может перехватывать и сохранять в архиве все почтовые сообщения, получаемые и отправляемые сотрудниками компании как с помощью почтовых клиентов (поддерживаются протоколы SMTP и POP3, Lotus 8), так и через службы веб-почты. Кроме того, данная система позволяет работать с широким спектром IM-клиентов: ICQ, Jabber, MSN, "Mail.ru.Агент" и некоторыми другими. В решении заложена возможность перехватывать сообщения, отправленные по Skype, с помощью специального агента для рабочих станций. Также контролируются такие каналы передачи информации, как сообщения в социальных сетях, службы поиска работы и каталоги резюме, передача файлов на FTP-сервера и загрузка их на различные сайты. По сути, речь идет практически обо всех возможных интернет-каналах, которые могут использоваться преднамеренно или случайно для утечки конфиденциальной информации.

Поддержка HTTPS и цифровой подписи

В рассматриваемом DLP-решении реализован модуль раскрытия HTTPS-трафика, что позволяет контролировать данные, передаваемые в зашифрованном виде. Также есть возможность поддержки электронно-цифровой подписи почтовых сообщений. Система может проверять подписи на сообщениях в соответствии с адресами отправителей и получателей, а также работать с зашифрованной корреспонденцией. Во втором случае письма распаковыаются, анализируются, после чего снова зашифровываются и отправляются адресату. Это позволяет использовать продукт для мониторинга почтовой переписки  в целях контроля утечек и архивирования по требованиям регулирующих органов.

Пассивный режим работы

Рассматриваемый продукт может работать в т.н. «пассивном режиме», обрабатывая копию сетевых пакетов, формируемую на активном оборудовании. При  использовании такого режима  потенциально опасные сообщения не блокируются. Однако данный режим хорош тем, что не препятствует работе защищаемой компании  в случае возможных ложных срабатываний (достаточно распространенная проблема всех активных DLP-фильтров). При обнаружении потенциально опасной или подозрительной активности сотрудников "Дозор-Джет" может сохранить информацию в архив и оперативно известить об этом ответственного сотрудника соответствующей службы предприятия.

Режим активного противодействия.

Система "Дозор-Джет" может работать в т.н. «активном режиме», пропуская трафик через себя и блокируя те сообщения, которые не удовлетворяют заданным политикам безопасности. С одной стороны, такой подход существенно уменьшает риск утечки конфиденциальной информации. Но с другой, при такой настройке возможны ложные срабатывания, частота которых зависит от заданных администратором безопасности правил и обычно пропорциональна надежности детектирования конфиденциальной информации.  Данный режим может быть реализован для протоколов smtp и http(s).

Контроль файловых ресурсов

В рассматриваемом продукте есть специальный модуль для инспекции файловых ресурсов. С его помощью можно контролировать содержимое жестких дисков рабочих станций сотрудников и сетевых папок. Это позволяет отслеживать факты хранения конфиденциальной информации в пределах корпоративной информационной системы, предотвращая ее утечку через ПК пользователей сети. Система инспекции файловых ресурсов может интегрироваться с продуктом Device Control от компании Lumension Security, Inc., что позволяет ей контролировать съемные накопители.

Большое количество возможных действий

В правилах политики администратор безопасности может использовать целый ряд различных действий: запрет на отправку сообщений, запрет на доступ к интернет-ресурсу, удаление сообщения и/или его запись в архив, добавление к сообщению метки, автоматическая модификация сообщения (например, удаление запрещенного вложения или добавление к нему некоторого текста), перепаковка архивов с удалением запрещенного содержимого (разархивирование, удаление запрещенных файлов и повторное архивирование) и пр.

Широкие возможности анализа по свойствам данных

"Дозор-Джет" позволяет администратору безопасности использовать широкий спектр параметров для настройки атрибутивного анализа: количество получателей, размер письма, данные из его заголовка, информация о получателе и отправителе, имя и формат файлов, размеры изображений, количество и тип вложений и.т.п. Эти возможности можно комбинировать друг с другом для точного описания контролируемых данных.

Морфологические технологии

В рассматриваемой системе реализован  морфологический анализ, позволяющий находить в сообщениях или текстовых вложениях указанные слова в произвольных их формах. Стоит отметить, что "Дозор-Джет" – российская разработка. Поэтому разработчики стараются максимально учитывать особенности русской морфологии, что должно положительно сказываться на качестве анализа. Морфологический поиск доступен также для английского и немецкого языков.

Использование списков слов

В "Дозор-Джет" существует возможность использования пользовательских словарей, которые в терминологии решения названы «списками слов». Создавать их необходимо вручную, задавая отдельные слова или целые выражения. Примечательно то, что данные списки могут использоваться не только в морфологическом, но и в анализе свойств (например, для проверки текстовых параметров сообщений, адресов e-mail или других адресов.).

Работа с цифровыми отпечатками

В рассматриваемом продукте присутствует специальный модуль DiFi, в котором реализована работа с цифровыми отпечатками. Суть данной технологии сводится к следующему – система создает электронные копии документов, расположенных в одной или нескольких указанных папках, и сохраняет их в базе данных. Свойства создаваемого набора эталонов таковы, что из сохраненных в базе данных нельзя восстановить оригинальные защищаемые документы. При наличии созданного набора эталонов все отправляемые за пределы информационной системы файлы можно проверять на соответствие этим отпечаткам. Это позволяет с очень большой степенью эффективности выявлять попытки передачи защищаемых данных. Примечательно, что система может находить даже те сообщения, в которых содержится только часть исходных данных. При этом она выдает процент совпадения текста, который может использоваться в качестве условия в правилах политики безопасности. Модуль цифровых отпечатков работает для бинарных данных и текста. Отличительной особенностью реализации модуля является возможность определения частичного или полного совпадения с эталонными изображениями. Данная возможность позволяет реализовать контроль за движением сканированных документов без привлечения средств OCR (Optical Character Recognition).

Работа с цифровыми идентификаторами.

В рассматриваемом продукте присутствует модуль под названием IDID. С его помощью можно осуществлять анализ сообщений по цифровым идентификаторам. Данная технология в своей основе похожа на работу с шаблонами, которая реализована во всех DLP-системах. Однако это гораздо более современное решение, которое позволяет задавать требуемую точность срабатывания. Это позволяет также минимизировать ложные срабатывания. Возьмем, в качестве примера, номер кредитной карты. Если задать его с помощью шаблона (набор из 16 цифр), то система будет реагировать на любые 16 подряд идущих цифры. И совсем не обязательно, что они являются именно номером кредитной карты. Т.е., налицо высокая вероятность ложного срабатывания, если подходить к решению задачи напрямую, например с использованием регулярных выражений.

Цифровые идентификаторы, в отличие от простых шаблонов, задаются целым набором условий, среди которых могут быть ключевые суммы, диапазоны значений и даже ключевые слова, расположенные в окружении "подозрительной" строки. Это позволяет значительно уменьшить количество ложных срабатываний DLP-системы. Набор идентификаторов в «Дозор Джет» включает в себя характерные для РФ идентификаторы (ИНН, БИК, ОКАТО, СНИЛС, номера личных документов), а также глобально используемые – такие как номера кредитных карт и другие.

Поиск по архиву

В "Дозор-Джет" работает поисковая система, реализованная в  виде веб-интерфейса к архиву, которая позволяет быстро находить практически любую информацию в архиве сообщений. Для этого используется система запросов, каждый из которых может состоять из произвольного количества условий. Результат выполнения запроса представляет собой список сообщений, которые можно просматривать, выполнять любые действия над ними и экспортировать в разные форматы. Дополнительно система позволяет просмотреть статистическую информацию по найденным сообщениям.

Многопользовательский доступ

Рассматриваемое решение является многопользовательским. Администратор безопасности может  настраивать различные права доступа разных пользователей к сообщениям, модулям самой системы, списку пользователей и пр.

Модуль статистики и отчетов

В продукте "Дозор-Джет" реализован модуль, позволяющий генерировать отчеты различных типов на основе собираемой информации. При этом данные предоставляются в наглядном виде, что значительно облегчает работу администратора безопасности. Возможен экспорт в html и использование полученных данных в Excel.

Блокирование нежелательных ресурсов

Дополнительной системой защиты является блокирование веб-сайтов нежелательных категорий, например, блогов, социальных сетей, файлообменных сетей и пр. С одной стороны, это позволяет уменьшить риск утечек конфиденциальной информации, с другой, – снижает риск использования Интернета сотрудниками компании в личных целях.

 

Состав "Дозор-Джет"

В состав комплекса "Дозор-Джет" входит несколько самостоятельных систем, которые можно комбинировать в разных сочетаниях, создавая  подходящее под те или иные условия конкретной задачи решение.

Система архивирования и анализа

Система архивирования и анализа является основой комплекса "Дозор-Джет". Именно она отвечает за анализ содержимого перехватываемых сообщений, создание архива, работу с ним администратора безопасности, общее управление, подключение дополнительных модулей (DiFi, IDID и пр.).

Система перехвата сообщений

Данная система предназначена для контроля всего HTTP-, FTP-трафика, IM-клиентов и т.п. Она подключается к SPAN-порту маршрутизатора, принимает копию сетевых пакетов, восстанавливает на основе его анализа исходные сообщения и передает их в систему архивирования и анализа.

Система активного контроля

Система активного контроля представляет собой фильтр, который работает с протоколами SMTP, HTTP и HTTPS. Она может использоваться для анализа содержимого сообщений и разграничения доступа к внешним ресурсам при реализации корпоративной политики информационной безопасности.

Система инспекции файловых ресурсов

Данная система, как видно из ее названия, предназначена для контроля за файлами, размещаемыми на рабочих компьютерах сотрудников, а также в различных сетевых папках, на файловых серверах и пр. Ее возможности могут быть расширены за счет интеграции с Device Control от компании Lumension, которая позволит контролировать файлы, копируемые на съемные накопители.

 

Развертывание "Дозор-Джет"

Процесс развертывания DLP-системы начинается с запуска основного сервера. Он работает под управлением операционной системы семейства Linux, так что предварительно ее придется установить и соответствующим образом настроить (эта процедура подробно описана в руководстве системного администратора). Кроме того, нужно будет инсталлировать СУБД PostgreSQL (в крупных организациях, при наличии соответствующей лицензии, можно использовать Oracle).

Сама установка сервера не отличается особой сложностью. Дистрибутив представляет собой полный набор всех необходимых пакетов, которые разворачиваются с помощью одной команды. После этого необходимо создать схему базы данных и произвести первичную настройку системы. Данный процесс также выполняется с помощью командной строки и достаточно подробно описан в документации, прилагаемой к продукту.

Все параметры работы системы "Дозор-Джет" хранятся в специальных конфигурационных XML-файлах. Всего предусмотрено три способа их изменения. Первый – из командной строки. Для его использования на сервере необходимо запускать специальные скрипты, которые позволяют устанавливать значения разных параметров. Второй вариант – прямое редактирование конфигурационных XML-файлов, которое можно выполнять в любом текстовом или специализированном редакторе.

Третий вариант подразумевает использование АРМ (автоматизированное рабочее место) администратора, который представляет собой специальный веб-интерфейс. Воспользоваться им очень просто. Достаточно обратиться к серверу (по IP-адресу или по имени хоста) из любого современного браузера и авторизоваться. АРМ администратора позволяет выполнить всю процедуру настройки параметров работы сервера, а также осуществлять его мониторинг, просмотр статистики, работать с журналами и пр.

 

Рисунок 1. Раздел "Конфигурация" АРМ администратора сервера "Дозор-Джет"

Обзор функциональных возможностей комплекса «Дозор Джет»

 

В завершение необходимо определиться с режимом работы системы "Дозор-Джет". Как мы уже говорили, возможно два варианта: пассивный и активный. В первом случае необходимо создать ответвленный поток сообщений, который будет поступать на сервер "Дозор-Джет". Для этого нужно, чтобы корпоративный почтовый сервер направлял копии всех обрабатываемых писем на целевой адрес. Рассматривать это мы не будем (просто потому, что это выходит за рамки данной статьи и относится не к системе "Дозор-Джет", а к администрированию почтовых серверов). Отметим только, что реализовать это совсем несложно, причем как на серверах уровня предприятия, наподобие Microsoft Exchange или Lotus Notes, так и на относительно простых службах типа SendMail и Postfix.

Второй вариант предполагает работу DLP-системы в режиме фильтрации. В этом случае "Дозор-Джет" должен стоять в "разрыве" между корпоративным почтовым сервером и интернет-шлюзом. То есть сервер периметра или MX-сервер должен пересылать всю входящую корреспонденцию именно на DLP-сервер. Так же должен поступать и почтовый сервер компании с исходящими письмами.

Комплекс пассивного перехвата сообщений представляет собой обособленную часть DLP-системы и предназначен для контроля всех остальных сетевых каналов распространения информации, кроме электронной почты. Он работает под управлением ОС семейства Windows. Сама процедура установки практически ничем не отличается от инсталляции любого другого ПО, поэтому ее мы рассматривать отдельно не будем.

На компьютере, на котором разворачивается комплекс пассивного перехвата, должно быть установлено, как минимум, два Ethernet-контроллера. Один будет работать в обычном режиме, его необходимо подключить к корпоративной сети. Он нужен для управления сервером. На другом необходимо убрать все протоколы и подключить его к SPAN-порту маршрутизатора. На него будет поступать зеркалируемый трафик. Если мощности ПК достаточно (по данным разработчиков, на компьютере с процессором с частотой 2 ГГц и 4 Гб оперативной памяти можно обрабатывать два порта прослушивания), то на сервере можно установить несколько Ethernet-контроллеров для прослушивания, что позволяет сэкономить при прослушивании большого объема данных за счет использования того же сенсора. Максимальная устойчивая производительность сенсора, достигнутая на одном физическом сервере без дополнительных карт ускорения, составляет 5 Гбит/c.

Настройка комплекса пассивного перехвата сообщений может осуществляться двумя способами – ручным редактированием  конфигурационных XML-файлов  или с помощью специальной программы настройки, представляющей собой обычное windows-приложение с графическим интерфейсом.

 

Рисунок 2. Программа настройки комплекса пассивного перехвата сообщений "Дозор-Джет"

Обзор функциональных возможностей комплекса «Дозор Джет»

 

Комплекс пассивного перехвата сообщений может работать автономно от сервера "Дозор-Джет". Например, есть возможность задать правила фильтрации непосредственно на нем. Это бывает полезно для предварительного отсечения данных, которые не представляют значительной угрозы – внутренний трафик, трафик от роботов, что позволит снизить нагрузку на средства анализа и хранения. Полученные в результате перехвата сообщения можно передать на один или несколько серверов анализа, через  службу доставки, которая будет передавать результаты перехвата по протоколам SMTP (SMTPS) и FTP (FTPS) или копировать их в локальные или сетевые папки. Это позволяет использовать сенсор как в составе комплекса «Дозор-Джет», так и применять его автономно – в таком режиме для просмотра перехваченных данных можно использовать существующие почтовые сервера и клиенты.

 

Эксплуатация "Дозор-Джет"

Если настройкой параметров работы системы "Дозор-Джет" должен заниматься системный администратор, то основную эксплуатацию DLP-системы осуществляют администраторы безопасности или другие сотрудники, ответственные за информационную безопасность компании. В их задачу входит разработка правил, реализующих корпоративную политику, отслеживание возникающих инцидентов и принятие тех или иных решений. Вся перечисленная работа с "Дозор-Джет" осуществляется с помощью веб-интерфейсов. В системе реализованы два раздельных интерфейса для данных классов пользователей. Системные администраторы не имеют доступа к данным, администраторы безопасности не могут изменить ключевые настройки системы. Это позволяет следовать принципу разделения полномочий.

Политика безопасности в "Дозор-Джет" представлена как набор правил фильтрации, каждое из которых в свою очередь является набором условий и действий. В условиях может использоваться как атрибутивный, так и контекстный анализ. А объединяться друг с другом они могут с помощью логических операций "И" и "ИЛИ". Действий также может быть много. Среди них можно отметить такие операции, как поместить в архив, установить пометку, отправить обычным порядком или вне очереди и пр. Кстати, здесь можно заметить, что некоторые действия позволяют использовать "Дозор-Джет" не только для защиты от утечки информации, но и для решения некоторых других задач.

 

Рисунок 3. Создание набора правил в веб-интерфейсе "Дозор-Джет"

Обзор функциональных возможностей комплекса «Дозор Джет»

 

В политике можно использовать такие возможности системы, как списки слов, настраиваемые с помощью шаблонов уведомления, настраиваемые записи в журнал, внешние команды и пр. Все они задаются с помощью веб-интерфейса. После создания всех необходимых правил на основе заданной политики безопасности формируется почтовый фильтр. Именно с момента генерации  все внесенные администратором безопасности изменения вступают в силу.

Другим важным аспектом эксплуатации системы "Дозор-Джет" является работа с архивом. В основном она сводится к поиску сообщений, удовлетворяющих тем или иным условиям. Для этого в рассматриваемом продукте реализована система запросов. Суть ее сводится к следующему. Сначала пользователь должен сформировать запросы, после чего в любой момент может запускать их и получать список результатов.

 

Рисунок 4. Создание запроса в веб-интерфейсе "Дозор-Джет"

Обзор функциональных возможностей комплекса «Дозор Джет»

 

В запросах можно использовать различные атрибуты писем, включая текст (контекстный анализ), события обработки писем фильтром и пр. Это позволяет создавать достаточно гибкие условия, выдающие только необходимые сообщения. Стоит отметить, что такая система, несмотря на все свои преимущества, имеет и некоторые недостатки. В частности, она относительно сложна в использовании. Сначала администратору безопасности нужно в настройках сформировать запрос и сохранить его. Потом уже можно запустить его на исполнение и получить список результатов. Это, вместе с некоторыми особенностями интерфейса, может вызывать затруднения у неподготовленных пользователей. Между тем, в компаниях администраторами безопасности зачастую являются не ИТ-специалисты. С другой стороны, для тонкой настройки политики фильтрации достаточно освоиться с интерфейсом администратора безопасности, нет необходимости изучать специализированные языки или другие средства.

В результате выполнения запроса в рабочей области веб-интерфейса отображается список найденных сообщений. Их можно просматривать, выполнять с ними различные действия (добавлять пометки, экспортировать, отправлять уведомления и пр.). Система предоставляет возможность в одном интерфейсе поиска работать с данными от всех источников данных – почты, web-прокси, сенсора, системы контроля файловых ресурсов и агентов на рабочих станциях.

При необходимости, администратор может получить из интерфейса полную информацию о сообщении в архиве, адресную информацию, текст, структуру, факты срабатывания правил политики, журнал обработки сообщения. Доступ к частям сообщения может быть ограничен для части администраторов так, чтобы полную информацию могли получить только некоторые из них. Все действия администратора безопасности, включая факты просмотра сообщений, сохраняются в специальном журнале системы.

 

Рисунок 5. Просмотр результатов выполнения запроса в веб-интерфейсе "Дозор-Джет"

Обзор функциональных возможностей комплекса «Дозор Джет»

 

Правила фильтрации комплекса пассивного перехвата сообщений настраиваются отдельно. Делается это следующим образом. Фильтр представляет собой набор таблиц, в которых содержатся соответствующие правила. Каждое правило состоит из критерия выполнения (одно или несколько условий, объединенных логическими операциями "И" и "ИЛИ") и списка действий. В результате получается разветвленная структура правил анализа перехваченной информации. Все эти операции подробно описаны в документации.

 

Рисунок 6. Программа настройки комплекса пассивного перехвата сообщений системы "Дозор-Джет"

Обзор функциональных возможностей комплекса «Дозор Джет»

 

В силу своей сложности рассказать о системе "Дозор-Джет" в рамках одной статьи не представляется возможным. В этот обзоре мы лишь рассказали об основных и наиболее важных ее особенностях. Но уже это позволяет сделать определенные выводы и обозначить нашу субъективную оценку решения.

 

Выводы

Из всего вышесказанного можно сделать следующие выводы. Комплекс "Дозор-Джет" позволяет контролировать практически все сетевые каналы передачи информации. К ним относятся электронная почта, IM-клиенты, HTTP/HTTPS, FTP-серверы, службы загрузки файлов на удаленные сервера и пр. Недостаток, который раньше приписывали данному решению специалисты, работающие на рынке, в настоящее время устранен: разработан специальный модуль для контроля переписки по Skype.

Что касается контроля работы пользователей со съемными накопителями, то здесь ситуация достаточно неоднозначна. С одной стороны, в "Дозор-Джет» существует собственный модуль контроля съемных накопителей. С другой, –  предлагается воспользоваться продуктом Device Control от компании Lumension Security, Inc., который интегрируется с рассматриваемым DLP-решением. Казалось бы, нет разницы, какой модуль использовать. Однако на самом деле интеграция осуществляется лишь на уровне теневых копий. То есть "Дозор-Джет" может анализировать содержимое хранилища теневого копирования для выявления нарушений политик безопасности (пассивный режим работы). Между тем, в некоторых случаях, необходима система динамического блокирования доступа к съемным накопителям, в зависимости от результатов контекстного или атрибутивного анализа копируемого файла (активный режим работы).

В отличие от большинства конкурентов, решение "Дозор-Джет" работает под управлением ОС семейства Linux. Впрочем, никаких особых проблем в этом нет. Дело в том, что данный продукт рассчитан, в основном, на крупные и средние компании, то есть речь идет о достаточно больших объемах обрабатываемой информации. А значит, для DLP-системы все равно придется выделять отдельный сервер и, по большому счету, без разницы на какой ОС он будет работать. Да и специалисты, способные развернуть программу из готовых пакетов, а также настроить ее с помощью командной строки, а не графического интерфейса, в крупной компании наверняка найдутся. Со своей стороны, инженеры Дозор Джет предоставляют полный цикл сопровождения продукта – от внедрения пилотных решений до поддержки при эксплуатации. Поэтому у заказчиков, как правило, не возникает вопросов, на какой платформе реализовано решение. Еще одним преимуществом использования ОС семейства Linux является высокая гибкость решения. Выбор платформы позволяет использовать как дешевые в обслуживании, так и относительно дорогие, но устойчивые к отказам системы (в том числе, и с полной поддержкой производителя).

Управление системой "Дозор-Джет" реализовано достаточно удобно. Веб-интерфейс прост, на его освоение не уйдет много времени. Правда, немного смущает работа с поисковыми запросами. Для ИТ-специалиста в ней нет ничего сложного. Но для людей, не получивших соответствующее образование (а таких людей в отделах безопасности компаний немало), она может показаться затруднительной. Но, опять же, упомянем новую версию "Дозор-Джет". Разработчики пообещали, что работа с запросами в ней станет проще. Кроме того, при внедрении разработчики предлагают подробное консультирование по работе с системой и проведение учебного курса для администраторов системы.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.